Este documento presenta una propuesta metodológica para formular programas de auditoría basados en riesgos. Describe los elementos básicos que debe contener un programa de auditoría, incluyendo la identificación, objetivos generales y específicos, alcance, métodos de muestreo, cronograma y recursos. También propone un enfoque para determinar los puntos críticos, objetivos y procedimientos de auditoría basados en el análisis de riesgos del proceso, subproceso o etapa a auditar.
Este documento trata sobre la auditoría financiera y el proceso de muestreo aplicado a la auditoría. Explica la naturaleza y tipos de auditoría financiera, incluyendo la auditoría gubernamental. También describe el proceso completo de auditoría, incluyendo la planeación, cálculo del tamaño de la muestra, selección de observaciones, procedimientos de auditoría y evaluación de resultados. Finalmente, cubre el muestreo específico para pruebas de control, transacciones sustantivas, y detalles de saldos y balances.
Este documento presenta información sobre un seminario de casos de auditoría realizado en la Universidad de San Carlos de Guatemala. Incluye resúmenes de presentaciones de varios estudiantes sobre temas como la evidencia de auditoría, consideraciones específicas para determinadas áreas como existencias, litigios y reclamaciones, e información por segmentos.
El documento describe el proceso de gestión de riesgos que debe seguir el director de auditoría interna para desarrollar un plan de auditoría basado en riesgos. El director debe considerar los riesgos inherentes y residuales identificados en el proceso de gestión de riesgos de la organización para determinar las prioridades de auditoría y asignar recursos a las áreas de mayor exposición al riesgo. El plan de auditoría debe centrarse en identificar áreas de alto riesgo inherente, alto riesgo residual y los controles clave que sustentan la organización.
BPMN es una notación gráfica que representa la lógica y secuencia de actividades de un proceso de negocio. Un diagrama de procesos de negocio (BPD) en BPMN puede contener varios procesos que son de tres tipos: interno, abstracto o colaborativo. Un BPD incluye elementos como actividades, compuertas, eventos, flujos de secuencia, pools y líneas de mensaje.
Este documento describe la auditoría de procesos y operaciones del área de informática. Explica definiciones clave como auditoría, auditoría informática y procesos. Luego detalla los objetivos, aspectos relevantes, evaluación de riesgos y control interno en una auditoría informática. Finalmente, presenta la metodología y aspectos que debe contener una auditoría de este tipo, como la estructura del servicio informático, planificación, documentación, seguimiento de costos y más.
Este documento presenta una guía sobre técnicas de muestreo para auditorías. Introduce conceptos clave como población, muestra, censo y plan de muestreo. Explica la diferencia entre muestreo probabilístico y no probabilístico. También describe consideraciones importantes para el diseño de un programa de muestreo como objetivos, variables, precisión y errores. Finalmente, detalla diversos planes de muestreo probabilístico y no probabilístico.
El documento resume los conceptos clave del control interno. Explica que el control interno comprende los métodos y procedimientos implementados por una empresa para lograr objetivos como la obtención de información financiera correcta, la salvaguarda de activos y la eficiencia de operaciones. También describe los cinco elementos del control interno - ambiente de control, evaluación de riesgos, sistemas de información y comunicación, procedimientos de control y vigilancia - y explica brevemente cada uno. Finalmente, destaca la importancia de que el auditor examine el control interno como parte de
Este documento trata sobre el riesgo y la evidencia en auditoría. Explica que la evidencia en auditoría se obtiene mediante pruebas y procedimientos de auditoría, los cuales deben seleccionarse teniendo en cuenta factores como el riesgo de auditoría y la importancia relativa. Luego define los conceptos de riesgo en auditoría, importancia relativa y tipos de riesgos (riesgo inherente, de control y de detección), y cómo estos afectan la planificación, ejecución y emisión del informe de auditoría.
Este documento trata sobre la auditoría financiera y el proceso de muestreo aplicado a la auditoría. Explica la naturaleza y tipos de auditoría financiera, incluyendo la auditoría gubernamental. También describe el proceso completo de auditoría, incluyendo la planeación, cálculo del tamaño de la muestra, selección de observaciones, procedimientos de auditoría y evaluación de resultados. Finalmente, cubre el muestreo específico para pruebas de control, transacciones sustantivas, y detalles de saldos y balances.
Este documento presenta información sobre un seminario de casos de auditoría realizado en la Universidad de San Carlos de Guatemala. Incluye resúmenes de presentaciones de varios estudiantes sobre temas como la evidencia de auditoría, consideraciones específicas para determinadas áreas como existencias, litigios y reclamaciones, e información por segmentos.
El documento describe el proceso de gestión de riesgos que debe seguir el director de auditoría interna para desarrollar un plan de auditoría basado en riesgos. El director debe considerar los riesgos inherentes y residuales identificados en el proceso de gestión de riesgos de la organización para determinar las prioridades de auditoría y asignar recursos a las áreas de mayor exposición al riesgo. El plan de auditoría debe centrarse en identificar áreas de alto riesgo inherente, alto riesgo residual y los controles clave que sustentan la organización.
BPMN es una notación gráfica que representa la lógica y secuencia de actividades de un proceso de negocio. Un diagrama de procesos de negocio (BPD) en BPMN puede contener varios procesos que son de tres tipos: interno, abstracto o colaborativo. Un BPD incluye elementos como actividades, compuertas, eventos, flujos de secuencia, pools y líneas de mensaje.
Este documento describe la auditoría de procesos y operaciones del área de informática. Explica definiciones clave como auditoría, auditoría informática y procesos. Luego detalla los objetivos, aspectos relevantes, evaluación de riesgos y control interno en una auditoría informática. Finalmente, presenta la metodología y aspectos que debe contener una auditoría de este tipo, como la estructura del servicio informático, planificación, documentación, seguimiento de costos y más.
Este documento presenta una guía sobre técnicas de muestreo para auditorías. Introduce conceptos clave como población, muestra, censo y plan de muestreo. Explica la diferencia entre muestreo probabilístico y no probabilístico. También describe consideraciones importantes para el diseño de un programa de muestreo como objetivos, variables, precisión y errores. Finalmente, detalla diversos planes de muestreo probabilístico y no probabilístico.
El documento resume los conceptos clave del control interno. Explica que el control interno comprende los métodos y procedimientos implementados por una empresa para lograr objetivos como la obtención de información financiera correcta, la salvaguarda de activos y la eficiencia de operaciones. También describe los cinco elementos del control interno - ambiente de control, evaluación de riesgos, sistemas de información y comunicación, procedimientos de control y vigilancia - y explica brevemente cada uno. Finalmente, destaca la importancia de que el auditor examine el control interno como parte de
Este documento trata sobre el riesgo y la evidencia en auditoría. Explica que la evidencia en auditoría se obtiene mediante pruebas y procedimientos de auditoría, los cuales deben seleccionarse teniendo en cuenta factores como el riesgo de auditoría y la importancia relativa. Luego define los conceptos de riesgo en auditoría, importancia relativa y tipos de riesgos (riesgo inherente, de control y de detección), y cómo estos afectan la planificación, ejecución y emisión del informe de auditoría.
El documento describe las cualificaciones y responsabilidades de un auditor informático. Un auditor informático debe tener conocimientos técnicos de informática así como entender las operaciones empresariales. Su formación debe incluir auditoría financiera, desarrollo de software, bases de datos, seguridad, redes y más. Además de auditar los sistemas, un auditor informático debe asesorar a la organización sobre mejoras y gestión de riesgos.
Este documento presenta una introducción a la gestión de riesgos de TI. Define los términos clave como riesgo, gestión de riesgos y stakeholders. Explica que el riesgo de TI se refiere a los riesgos comerciales asociados con el uso y adopción de la tecnología dentro de una organización. Además, clasifica los riesgos de TI y discute marcos como ISO 31000 para la gestión de riesgos. Finalmente, destaca que la TI puede jugar un papel en permitir o inhibir oportunidades y que las organiz
El documento proporciona información sobre la planeación de auditorías. Explica que el Memorando de Planeación es un documento importante que identifica los aspectos clave a considerar durante la auditoría. Detalla los componentes que debe incluir el Memorando como la descripción de la empresa, el análisis de riesgos, los objetivos de la auditoría, el equipo de trabajo y el cronograma. Además, explica los conceptos de control interno como el entorno de control, la evaluación de riesgos, los sistemas de información, las actividades de control y el monitoreo
El documento presenta el plan de auditoría de Servientrega S.A. para el año 2013. El objetivo general es determinar la razonabilidad de los estados financieros y la confiabilidad de los controles internos. Se auditarán específicamente los estados financieros de diciembre de 2013 y los controles en tesorería. El plan describe los procedimientos y técnicas a usar como verificaciones, análisis de riesgos y visitas. Finalmente, presenta el cronograma y costo de la auditoría.
El documento habla sobre las cédulas de trabajo de auditoría. Explica que las cédulas de trabajo contienen datos e información obtenida por el auditor durante la revisión, describen las pruebas realizadas y los resultados. También explica los diferentes tipos de cédulas de trabajo como las cédulas analíticas, subanalíticas y sumarias, y la importancia de las cédulas de trabajo para respaldar el informe de auditoría.
La metodología de auditoría incluirá visitar al cliente para explicar el propósito y cronograma de la auditoría. Se elaborará un plan de auditoría y cuestionario para evaluar los servicios del laboratorio de informática en la escuela primaria "Justo Sierra". La auditoría evaluará el laboratorio mediante encuestas y listas de verificación, e identificará áreas que carecen de elementos necesarios como iluminación adecuada, ventilación, extintores y una buena distribución de equipos de cómputo.
El documento habla sobre la auditoría de estados financieros. Explica que la auditoría es el proceso de examinar los estados financieros de una entidad para emitir una opinión profesional. Señala que la auditoría interna la realizan empleados de la empresa y la externa la hacen profesionales independientes con el objetivo de emitir un dictamen. También menciona que la auditoría beneficia a los propietarios, inversionistas, gobierno y empleados al proporcionar certeza sobre la situación financiera de la empresa.
Este documento presenta el enfoque del control interno según el Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO). Explica los cinco componentes del control interno COSO: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. Además, describe los objetivos del informe COSO de 1992 y la evolución hacia la versión de 2004, la cual amplió el enfoque hacia la administración de riesgos corporativos.
Este documento presenta el módulo I sobre el plan de trabajo del sistema de seguimiento integral de las organizaciones. Explica los objetivos de difundir el marco conceptual del plan de trabajo y estandarizar la supervisión de las entidades controladas. Además, detalla los elementos que componen un plan de trabajo como el alcance, objetivos, actividades, entregables, recursos, tiempos y diagrama de Gantt. Finalmente, describe el proceso de definición del plan que incluye la solicitud, carga, revisión, aprobación y validación.
UNIDAD 1-2 - NIA y CODIGO DE ETICA PROFESIONAL.pptxTanniaLopez2
Las Normas Internacionales de Auditoría (NIA) establecen reglas para armonizar las tareas de los auditores a nivel mundial. El documento describe las diferentes NIA que cubren la planificación, ejecución, comunicación de resultados y aspectos éticos de una auditoría, incluyendo normas sobre documentación, respuesta a riesgos, evidencia, dictámenes y comunicación.
Este documento resume la historia y propósito de ISACA y COBIT. ISACA es una asociación internacional que apoya la auditoría y control de sistemas de información mediante el desarrollo de metodologías y certificaciones. COBIT es un marco de gobierno de TI desarrollado y mantenido por ISACA para ayudar a las organizaciones a alinear el uso de la tecnología con sus objetivos de negocio y gestionar los riesgos relacionados con la información. El documento describe las diferentes ediciones de COBIT y cómo
La auditoría es el proceso de reunir y evaluar de manera objetiva y sistemática las pruebas sobre los hechos para garantizar que coincidan con los criterios establecidos. Existen tres tipos básicos de auditoría: la auditoría financiera, que determina si los estados financieros presentan razonablemente la situación financiera; la auditoría de cumplimiento, que comprueba que las operaciones cumplen las leyes y normas aplicables; y la auditoría operacional, que evalúa la economía, eficiencia y eficacia en el manejo de los
El documento proporciona recomendaciones sobre la inclusión de la naturaleza de los servicios de consultoría en el Estatuto de auditoría interna. Sugiere que el Estatuto defina ampliamente los principios que guían las actividades de consultoría realizadas por los auditores internos para agregar valor a la organización de manera consistente con la definición de auditoría interna y sin comprometer la objetividad. También recomienda que el Estatuto establezca reglas claras para la prestación de servicios de consultoría que sean entendidas por
El documento presenta un resumen del catálogo de cuentas de una empresa. Explica que el catálogo de cuentas es una lista ordenada de las cuentas utilizadas para registrar las operaciones contables y proporciona la estructura del activo, pasivo, capital y estados de resultados. Además, incluye ejemplos del catálogo de cuentas de la empresa con cuentas para efectivo, clientes, inventarios, activos fijos y más.
El documento describe los papeles de trabajo de una auditoría, los cuales incluyen toda la documentación y evidencia recopilada por el auditor durante la auditoría. Los papeles de trabajo sirven para respaldar las opiniones del auditor, documentar los procedimientos realizados, y proporcionar un registro permanente de la auditoría. Deben contener la evidencia, análisis, y conclusiones del auditor de manera ordenada, clara y bien documentada.
Este documento presenta varias técnicas y herramientas utilizadas en la auditoría de sistemas, incluyendo guías de evaluación, ponderación, diagramas HIPO, diagramas de flujo de Nassi-Shneiderman, y seudocódigo. Explica brevemente cada una y cómo pueden aplicarse en el análisis y diseño de sistemas computacionales.
Este documento presenta información sobre los marcos COSO I y COSO II. Explica que COSO I se enfoca en control interno y proporciona un marco de cinco componentes: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. COSO II amplía el enfoque a gestión de riesgos empresariales y describe ocho componentes interrelacionados que cubren identificación de eventos, establecimiento de objetivos, evaluación de riesgos, respuesta a riesgos, actividades de control, inform
La junta directiva de una empresa solicitó una auditoría de sistemas a una firma externa. El auditor realizó una visita preliminar para conocer el área de sistemas y definir los objetivos e incluir la evaluación de la seguridad, el aprovechamiento de recursos y las funciones del personal. Se desarrolló un programa de auditoría con actividades específicas y se asignaron recursos. Finalmente, se presentó el informe definitivo a la junta directiva luego de realizar las modificaciones tras su discusión.
El documento habla sobre la definición y objetivos de la auditoría. Define la auditoría como la recopilación, acumulación y evaluación de evidencia sobre la información de una entidad para determinar el grado de cumplimiento con los criterios establecidos. También describe la auditoría como una evaluación sistemática de las operaciones y controles de una organización para determinar si se siguen las políticas, procedimientos, normas y si se alcanzan los objetivos de la organización. Finalmente, define la auditoría como un proceso sistemático para obtener y evaluar evidencias
El documento presenta una matriz de peligros que evalúa los riesgos laborales en diferentes procesos y áreas de una empresa. Identifica peligros como ruido, material particulado, posturas prolongadas, entre otros. Describe controles existentes como uso de equipos de protección personal, señalización, capacitaciones y mantenimiento preventivo. Finalmente, analiza cada riesgo y establece su nivel de aceptabilidad, requiriendo en algunos casos controles específicos.
Este documento describe las Especificaciones Técnicas Ambientales y Sociales (ETAS) para la construcción de un proyecto de alcantarillado sanitario. Establece las responsabilidades del contratista en la implementación de programas de prevención y mitigación de impactos ambientales y sociales. Incluye 16 programas agrupados en áreas como protección del medio físico, salud y seguridad, manejo de desechos, y protección del patrimonio cultural. Además, describe las responsabilidades de la empresa contratante y el gerente de obra
El documento describe las cualificaciones y responsabilidades de un auditor informático. Un auditor informático debe tener conocimientos técnicos de informática así como entender las operaciones empresariales. Su formación debe incluir auditoría financiera, desarrollo de software, bases de datos, seguridad, redes y más. Además de auditar los sistemas, un auditor informático debe asesorar a la organización sobre mejoras y gestión de riesgos.
Este documento presenta una introducción a la gestión de riesgos de TI. Define los términos clave como riesgo, gestión de riesgos y stakeholders. Explica que el riesgo de TI se refiere a los riesgos comerciales asociados con el uso y adopción de la tecnología dentro de una organización. Además, clasifica los riesgos de TI y discute marcos como ISO 31000 para la gestión de riesgos. Finalmente, destaca que la TI puede jugar un papel en permitir o inhibir oportunidades y que las organiz
El documento proporciona información sobre la planeación de auditorías. Explica que el Memorando de Planeación es un documento importante que identifica los aspectos clave a considerar durante la auditoría. Detalla los componentes que debe incluir el Memorando como la descripción de la empresa, el análisis de riesgos, los objetivos de la auditoría, el equipo de trabajo y el cronograma. Además, explica los conceptos de control interno como el entorno de control, la evaluación de riesgos, los sistemas de información, las actividades de control y el monitoreo
El documento presenta el plan de auditoría de Servientrega S.A. para el año 2013. El objetivo general es determinar la razonabilidad de los estados financieros y la confiabilidad de los controles internos. Se auditarán específicamente los estados financieros de diciembre de 2013 y los controles en tesorería. El plan describe los procedimientos y técnicas a usar como verificaciones, análisis de riesgos y visitas. Finalmente, presenta el cronograma y costo de la auditoría.
El documento habla sobre las cédulas de trabajo de auditoría. Explica que las cédulas de trabajo contienen datos e información obtenida por el auditor durante la revisión, describen las pruebas realizadas y los resultados. También explica los diferentes tipos de cédulas de trabajo como las cédulas analíticas, subanalíticas y sumarias, y la importancia de las cédulas de trabajo para respaldar el informe de auditoría.
La metodología de auditoría incluirá visitar al cliente para explicar el propósito y cronograma de la auditoría. Se elaborará un plan de auditoría y cuestionario para evaluar los servicios del laboratorio de informática en la escuela primaria "Justo Sierra". La auditoría evaluará el laboratorio mediante encuestas y listas de verificación, e identificará áreas que carecen de elementos necesarios como iluminación adecuada, ventilación, extintores y una buena distribución de equipos de cómputo.
El documento habla sobre la auditoría de estados financieros. Explica que la auditoría es el proceso de examinar los estados financieros de una entidad para emitir una opinión profesional. Señala que la auditoría interna la realizan empleados de la empresa y la externa la hacen profesionales independientes con el objetivo de emitir un dictamen. También menciona que la auditoría beneficia a los propietarios, inversionistas, gobierno y empleados al proporcionar certeza sobre la situación financiera de la empresa.
Este documento presenta el enfoque del control interno según el Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO). Explica los cinco componentes del control interno COSO: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. Además, describe los objetivos del informe COSO de 1992 y la evolución hacia la versión de 2004, la cual amplió el enfoque hacia la administración de riesgos corporativos.
Este documento presenta el módulo I sobre el plan de trabajo del sistema de seguimiento integral de las organizaciones. Explica los objetivos de difundir el marco conceptual del plan de trabajo y estandarizar la supervisión de las entidades controladas. Además, detalla los elementos que componen un plan de trabajo como el alcance, objetivos, actividades, entregables, recursos, tiempos y diagrama de Gantt. Finalmente, describe el proceso de definición del plan que incluye la solicitud, carga, revisión, aprobación y validación.
UNIDAD 1-2 - NIA y CODIGO DE ETICA PROFESIONAL.pptxTanniaLopez2
Las Normas Internacionales de Auditoría (NIA) establecen reglas para armonizar las tareas de los auditores a nivel mundial. El documento describe las diferentes NIA que cubren la planificación, ejecución, comunicación de resultados y aspectos éticos de una auditoría, incluyendo normas sobre documentación, respuesta a riesgos, evidencia, dictámenes y comunicación.
Este documento resume la historia y propósito de ISACA y COBIT. ISACA es una asociación internacional que apoya la auditoría y control de sistemas de información mediante el desarrollo de metodologías y certificaciones. COBIT es un marco de gobierno de TI desarrollado y mantenido por ISACA para ayudar a las organizaciones a alinear el uso de la tecnología con sus objetivos de negocio y gestionar los riesgos relacionados con la información. El documento describe las diferentes ediciones de COBIT y cómo
La auditoría es el proceso de reunir y evaluar de manera objetiva y sistemática las pruebas sobre los hechos para garantizar que coincidan con los criterios establecidos. Existen tres tipos básicos de auditoría: la auditoría financiera, que determina si los estados financieros presentan razonablemente la situación financiera; la auditoría de cumplimiento, que comprueba que las operaciones cumplen las leyes y normas aplicables; y la auditoría operacional, que evalúa la economía, eficiencia y eficacia en el manejo de los
El documento proporciona recomendaciones sobre la inclusión de la naturaleza de los servicios de consultoría en el Estatuto de auditoría interna. Sugiere que el Estatuto defina ampliamente los principios que guían las actividades de consultoría realizadas por los auditores internos para agregar valor a la organización de manera consistente con la definición de auditoría interna y sin comprometer la objetividad. También recomienda que el Estatuto establezca reglas claras para la prestación de servicios de consultoría que sean entendidas por
El documento presenta un resumen del catálogo de cuentas de una empresa. Explica que el catálogo de cuentas es una lista ordenada de las cuentas utilizadas para registrar las operaciones contables y proporciona la estructura del activo, pasivo, capital y estados de resultados. Además, incluye ejemplos del catálogo de cuentas de la empresa con cuentas para efectivo, clientes, inventarios, activos fijos y más.
El documento describe los papeles de trabajo de una auditoría, los cuales incluyen toda la documentación y evidencia recopilada por el auditor durante la auditoría. Los papeles de trabajo sirven para respaldar las opiniones del auditor, documentar los procedimientos realizados, y proporcionar un registro permanente de la auditoría. Deben contener la evidencia, análisis, y conclusiones del auditor de manera ordenada, clara y bien documentada.
Este documento presenta varias técnicas y herramientas utilizadas en la auditoría de sistemas, incluyendo guías de evaluación, ponderación, diagramas HIPO, diagramas de flujo de Nassi-Shneiderman, y seudocódigo. Explica brevemente cada una y cómo pueden aplicarse en el análisis y diseño de sistemas computacionales.
Este documento presenta información sobre los marcos COSO I y COSO II. Explica que COSO I se enfoca en control interno y proporciona un marco de cinco componentes: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo. COSO II amplía el enfoque a gestión de riesgos empresariales y describe ocho componentes interrelacionados que cubren identificación de eventos, establecimiento de objetivos, evaluación de riesgos, respuesta a riesgos, actividades de control, inform
La junta directiva de una empresa solicitó una auditoría de sistemas a una firma externa. El auditor realizó una visita preliminar para conocer el área de sistemas y definir los objetivos e incluir la evaluación de la seguridad, el aprovechamiento de recursos y las funciones del personal. Se desarrolló un programa de auditoría con actividades específicas y se asignaron recursos. Finalmente, se presentó el informe definitivo a la junta directiva luego de realizar las modificaciones tras su discusión.
El documento habla sobre la definición y objetivos de la auditoría. Define la auditoría como la recopilación, acumulación y evaluación de evidencia sobre la información de una entidad para determinar el grado de cumplimiento con los criterios establecidos. También describe la auditoría como una evaluación sistemática de las operaciones y controles de una organización para determinar si se siguen las políticas, procedimientos, normas y si se alcanzan los objetivos de la organización. Finalmente, define la auditoría como un proceso sistemático para obtener y evaluar evidencias
El documento presenta una matriz de peligros que evalúa los riesgos laborales en diferentes procesos y áreas de una empresa. Identifica peligros como ruido, material particulado, posturas prolongadas, entre otros. Describe controles existentes como uso de equipos de protección personal, señalización, capacitaciones y mantenimiento preventivo. Finalmente, analiza cada riesgo y establece su nivel de aceptabilidad, requiriendo en algunos casos controles específicos.
Este documento describe las Especificaciones Técnicas Ambientales y Sociales (ETAS) para la construcción de un proyecto de alcantarillado sanitario. Establece las responsabilidades del contratista en la implementación de programas de prevención y mitigación de impactos ambientales y sociales. Incluye 16 programas agrupados en áreas como protección del medio físico, salud y seguridad, manejo de desechos, y protección del patrimonio cultural. Además, describe las responsabilidades de la empresa contratante y el gerente de obra
Este documento presenta varios ejemplos para evaluar la criticidad de riesgos asociados a trabajos de operación y mantenimiento en una planta de gas. Explica cómo se evalúan los riesgos en términos de personas, económicos, ambientales e imagen, y cómo se define el riesgo global como la mayor clasificación encontrada entre los cuatro análisis. Los ejemplos incluyen encendido de hornos, mantenimiento de válvulas y revisión de niveles en un condensador.
Este documento presenta una introducción a la auditoría financiera. Explica que la auditoría es una disciplina especializada que evalúa las operaciones y estados financieros de una entidad para emitir una opinión. Describe los diferentes tipos de auditoría, incluyendo la auditoría financiera, de gestión, especial, administrativa, tributaria, fiscal, de calidad, de sistemas e informática. El objetivo principal de la auditoría financiera es dictaminar sobre la razonabilidad de los estados financieros de una entidad.
El documento presenta 21 preguntas de selección múltiple sobre elementos y características del género dramático. Las preguntas abarcan temas como el origen del drama, sus características formales como el diálogo y la representación, elementos estructurales como el conflicto, personajes y partes de la acción dramática. El documento también incluye tres breves textos dramáticos de ejemplo.
Este documento establece lineamientos sobre el uso del trabajo de otro auditor cuando un auditor dictamina sobre los estados financieros de una entidad que incluyen información financiera de un componente auditado por otro auditor. El auditor principal debe determinar la competencia y trabajo del otro auditor, y puede discutir resultados y necesitar pruebas adicionales. El auditor principal debe documentar los componentes auditados por otros y los procedimientos realizados.
Este documento es una ley chilena que establece normas sobre igualdad de oportunidades e inclusión social de personas con discapacidad. La ley define discapacidad y principios como vida independiente y accesibilidad universal. Además, establece que el Estado debe promover programas para mejorar la calidad de vida de personas con discapacidad a través de inclusión social, autodeterminación y ejercicio de derechos. También crea un registro nacional de discapacidad y comisiones médicas de evaluación.
El documento habla sobre los costos y la auditoría. Los costos determinan el precio de venta de un producto o servicio, mientras que la auditoría examina de forma crítica e independiente los sistemas financieros de una entidad para evaluar la precisión de la información y el cumplimiento de las normas contables. La auditoría y los costos son importantes para una empresa porque permiten determinar los precios de venta y las utilidades potenciales, así como identificar errores para mejorar el desempeño. El autor eligió esta carrera porque considera que el á
Curso de inducción sistema integrado para el control de auditorías sica 09.e...miguelserrano5851127
El documento describe el Sistema Integrado para el Control de Auditorías (SICA) de la Contraloría General de la República del Perú. El SICA es un sistema de información desarrollado por la Contraloría de Chile que permite planificar, programar, ejecutar, supervisar y controlar las auditorías de manera integral y en tiempo real. Su objetivo es fortalecer la función de vigilancia y control gubernamental de la Contraloría a través de un enfoque de riesgos y el uso eficiente de los recursos.
LA ADMINISTRACIÓN DEL RIESGO OPERATIVO EN LA IMPLEMENTACION DE UN SISTEMA DE...Vilma Mila
El documento proporciona información sobre la empresa Carrocerías Ballena, fundada en 1975 en Trujillo, Perú. La empresa fabrica carrocerías de madera y metal para camiones. Inicialmente se centró en carrocerías de madera, pero luego se expandió a carrocerías de metal. Actualmente opera desde su sede principal en Trujillo y una sucursal en Juanjui.
Curso Evaluación del Diseño y Efectividad de los Controles Internos 27.FEB.20...Miguel Aguilar
Este documento describe la importancia de identificar y documentar los controles existentes en una compañía para mitigar los riesgos críticos. Propone metodologías para evaluar la efectividad del diseño y operación de los controles internos a través de modelos cuantitativos que permitan medir el nivel de cobertura de los riesgos. El objetivo es apoyar a los auditores con una valoración técnica sobre la efectividad de los controles al realizar auditorías basadas en riesgos.
Este documento describe el estándar COBIT y la norma ISO/IEC 38500:2008 relacionada con el buen gobierno de TI. COBIT es un marco de referencia para el gobierno y gestión de TI que consta de 36 procesos agrupados en 5 dominios. La norma ISO/IEC 38500:2008 establece principios para el buen gobierno corporativo de TI basado en la evaluación, dirección y seguimiento del uso de TI por parte de la alta dirección. La implementación de ambos frameworks puede generar beneficios como la alineación
Gtc 45 actualizada y registrada diciembre de 2010Aleja-pel
Este documento presenta lineamientos para identificar peligros y valorar riesgos en seguridad y salud ocupacional. Define términos clave como peligro, riesgo, consecuencia, probabilidad y ofrece una metodología en 7 pasos para llevar a cabo la identificación de peligros y la valoración de riesgos. El objetivo es que las organizaciones gestionen de forma efectiva los riesgos y prevengan incidentes y enfermedades laborales.
El documento presenta una lista de recomendaciones para mejorar las condiciones de seguridad en un centro educativo. La mayoría de los puntos requieren acciones moderadas como mejorar señalizaciones, realizar mantenimientos periódicos y asegurar el cumplimiento de normativas. Solo unos pocos elementos como los botiquines de primeros auxilios se consideran de riesgo tolerable.
Auditoria Informatica al Departamento de TITabodiaz
El documento presenta una descripción general de la Universidad de la Amazonia. Incluye información sobre su
historia, misión, visión, valores, objetivos y funciones. También describe la estructura y funciones del Departamento
de Tecnologías de la Información de la universidad. Finalmente, presenta los hallazgos y evidencias encontradas
durante la auditoría realizada entre el 3 de septiembre y el 13 de octubre de 2011.
Panorama gerneral de factor de riesgo empresa reymec s.a. blogspotreymec
Este documento resume los principales factores de riesgo en un área de trabajo y propone métodos para prevenirlos y controlarlos. Identifica riesgos eléctricos, locativos, físicos, ergonómicos y mecánicos, y evalúa su probabilidad, exposición y gravedad. Recomienda construir redes eléctricas estáticas, reconstruir pisos, exámenes médicos periódicos, capacitación en higiene postural y usar dispositivos de seguridad.
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...netmind
El documento describe el marco COBIT 5 para la gobernanza y gestión de las tecnologías de la información de una empresa. COBIT 5 reúne cinco principios y siete facilitadores que permiten a las empresas elaborar una gobernanza efectiva basada en un conjunto holístico que optimiza el uso de la información y la tecnología. El marco principal de COBIT 5 documenta los principios y facilitadores y proporciona una guía para la implementación.
Este documento presenta COBIT 5, un marco de trabajo integral para el gobierno y la administración de la tecnología de la información (TI) que ayuda a las organizaciones a crear valor a partir de la TI. COBIT 5 se basa en cinco principios y siete habilitadores para proporcionar procesos, estructuras y herramientas que permiten a las organizaciones satisfacer las necesidades de las partes interesadas y cubrir la empresa de forma integral mediante el uso efectivo de la TI.
El documento describe varios desafíos para cumplir con el mandato de la auditoría interna, como la falta de personal calificado, la complejidad de los sistemas, la falta de propiedad sobre los controles y riesgos por parte de la gerencia, y estructuras de datos fragmentadas. También discute conceptos clave relacionados con riesgos, como su definición, clasificación, valoración y formas de afrontarlos de manera proactiva o reactiva.
Documento tecnico n° 71 aseguramiento al proceso de gestión de riesgos en e...auditormilano
Este documento proporciona directrices para que los auditores internos realicen el aseguramiento al Proceso de Gestión de Riesgos implementado por las organizaciones gubernamentales. Describe los objetivos y procedimientos mínimos de auditoría para cada fase del proceso de gestión de riesgos, incluyendo el establecimiento del contexto, identificación, análisis, valoración, tratamiento, comunicación y monitoreo de riesgos. El objetivo es entregar a las autoridades un aseguramiento razonable del proceso y una retroalimentación para
El documento explica la diferencia entre un plan de auditoría y un programa de auditoría. Un plan de auditoría describe el alcance y conducción general de la auditoría, incluyendo objetivos, riesgos clave, procedimientos y recursos. Un programa de auditoría es más específico, detallando los pasos de auditoría para cada área, como introducciones, objetivos, responsables y tiempos estimados. El programa guía la implementación del plan y permite controlar el progreso de la auditoría.
Este documento contiene siete formatos para realizar auditorías internas, incluyendo formatos para el plan de auditoría, actas de apertura y cierre, registro de asistencia, informe de auditoría, reporte de no conformidades, y registro de fortalezas y oportunidades de mejora. Los formatos guían el proceso de auditoría interna para evaluar el cumplimiento de normas en seguridad y salud ocupacional.
El documento describe los roles y responsabilidades de un auditor, incluyendo investigar el diseño e implementación de controles internos, evaluar riesgos, y realizar pruebas de auditoría. También cubre el mejoramiento continuo de la auditoría a través del monitoreo y evaluación de controles. Finalmente, detalla los pasos de ejecución de una auditoría como la recopilación de información y elaboración de informes.
Esta guía está dedicada a tratar diversos aspectos relacionados con la ejecución
de las auditorías, tocando a la vez ciertos temas de otros tipos de auditoría que
son comunes y que por lo tanto resulta beneficioso su mención en este
segmento.
La auditoría gubernamental se lleva a cabo en tres fases generales
denominadas: planificación, ejecución y comunicación de resultados.
Este documento proporciona una guía sobre la revisión de la norma ISO 19011:2018 sobre directrices para la auditoría de sistemas de gestión. Explica los principales cambios realizados en esta tercera edición, como ampliar los lineamientos sobre la gestión del programa de auditoría e incorporar un enfoque basado en riesgos. También resume los componentes clave de la norma, como los principios de auditoría, la gestión del programa, la realización de auditorías y la competencia de los auditores.
Este documento proporciona una guía sobre la revisión de la norma ISO 19011:2018 sobre directrices para la auditoría de sistemas de gestión. Explica los principales cambios realizados en esta tercera edición, como ampliar los lineamientos sobre la gestión del programa de auditoría e incorporar un enfoque basado en riesgos. También resume los componentes clave de la norma como los principios de auditoría, la gestión del programa, la realización de auditorías y la competencia de los auditores.
El documento describe el programa de auditoría como el procedimiento a seguir para examinar una entidad. Un buen programa de auditoría debe ser flexible, sencillo y conciso. Debe considerar las normas de auditoría, experiencias anteriores y levantamientos iniciales. El auditor es responsable de elaborar, revisar y ajustar el programa. Un programa efectivo fija responsabilidades, coordina el trabajo del equipo y asegura que se sigan los principios de auditoría.
Trabajo norma internacion de auditoria sobre planificacion cipa_julifa - ad...lizeth_meyer
El documento presenta las normas internacionales de auditoría sobre la planificación del proceso de auditoría. Explica que la planificación involucra establecer la estrategia general, desarrollar el plan de trabajo, y seleccionar un equipo competente. También requiere entender el marco legal de la entidad y determinar procedimientos para evaluar riesgos. Finalmente, destaca que la planificación es un proceso continuo e interactivo.
El documento describe el plan global y el programa de auditoría. El plan global es elaborado por el auditor al final del proceso de planificación y contiene información como los términos del encargo, principios contables aplicables, riesgos de auditoría identificados y la naturaleza de las pruebas de auditoría. El programa de auditoría concreta los procedimientos diseñados para cada área, con el fin de alcanzar los objetivos de la auditoría.
Este documento describe las fases y elementos principales de una auditoría integral. Explica que la fase previa incluye establecer relaciones entre auditores y la entidad para determinar el alcance y objetivos de la auditoría. Luego, detalla los pasos clave de la planeación de la auditoría, incluyendo el análisis preliminar del control interno, la identificación de riesgos, y la elaboración de programas específicos. Resalta que una planeación adecuada es fundamental para el éxito de la auditoría.
La norma técnica colombiana NTC-4114 establece los parámetros e implementación de un sistema de inspecciones planeadas en empresas para identificar condiciones subestándar que puedan causar accidentes. Las inspecciones pueden ser generales, de orden y aseo, o enfocadas en áreas críticas. Se deben establecer objetivos, responsables, frecuencia de inspecciones, listas de verificación e informes. También es necesario dar seguimiento a las acciones correctivas identificadas y medir la efectividad del programa de inspecciones.
El documento describe los procesos de gestión de tiempo, costos, riesgos, calidad, recursos y adquisiciones para un proyecto de implementación de un sistema de gestión documental. Se detallan 6 procesos clave para la gestión del proyecto: secuenciar actividades, estimar recursos y duración de actividades, desarrollar el cronograma, controlar el cronograma, estimar y determinar el presupuesto, y controlar los costos. También se presentan planes para la gestión de riesgos, calidad, recursos y adquisiciones para
El documento describe los objetivos de 6 unidades relacionadas con la realización de una auditoría financiera. Los objetivos incluyen elaborar una oferta técnica y económica, desarrollar un plan de auditoría, diseñar programas específicos de auditoría, documentar la evidencia obtenida, y elaborar un informe de auditoría con dictamen y notas a los estados financieros.
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Anne Yackeline
Las auditorias surgieron durante la revolución industrial, como una medida orientada a identificar el fraude. Con el tiempo esta visión cambió, y hoy es una herramienta muy utilizada para controlar el alineamiento de la organización con la estrategia propuesta por la administración y asegurar un adecuado funcionamiento del área financiera.
Gracias a las auditorías se puede identificar los errores cometidos en la organización y se puede enmendar a tiempo cualquier falla en la ejecución de la estrategia, para tomar medidas que permitan retomar el rumbo correcto en la empresa.
Para llevar a cabo una auditoria el auditor debe seguir ciertas reglas y apegarse a sus normas que son Las normas internacionales de auditoria son un conjunto de reglas, principios y procedimientos que debe seguir el auditor para que pueda evaluar de manera integral y confiable la situación de la empresa y así dar una opinión de acuerdo al tipo de auditoría realizada. Las NIAs abarcan variados temas como, por ejemplo: Principios Generales Y Responsabilidades, Evaluación de Riesgos y respuesta a los riesgos evaluados, Evidencia de Auditoria, Dictámenes y Conclusiones de Auditoria, entre otros.
Las NIAS son un conjunto de normas internacionales de auditoría emitidas por la IFAC que establecen las herramientas y procedimientos para realizar auditorías de alta calidad. La NIA 300 establece las normas para la planeación de una auditoría de estados financieros, incluyendo el desarrollo de una estrategia general y un enfoque detallado, así como la documentación de un plan global de auditoría que describa el alcance y conducción esperados.
El documento describe los pasos iniciales para planificar una auditoría de sistemas de información. Explica que la comprensión del negocio y sus riesgos es fundamental para identificar los objetivos de la auditoría. También destaca la importancia de desarrollar un programa de auditoría que incluya procedimientos para recopilar evidencia y evaluar los controles internos.
Este documento presenta la Norma Profesional de Auditoría del Sistema Nacional de Fiscalización No. 200 sobre los Principios Fundamentales de Auditoría Financiera. Se describen los principios relacionados con el proceso de auditoría financiera, incluyendo la planeación, el conocimiento del ente auditado, la evaluación de riesgos, la evidencia de auditoría, la formulación de opiniones y la elaboración de informes. El documento proporciona detalles sobre cada una de estas etapas del proceso de auditoría y los aspectos que deben considerarse.
El documento proporciona información sobre una capacitación para auditores de sistemas de gestión de calidad. Explica conceptos clave como objetivos de auditoría, técnicas de auditoría e informes de hallazgos. También ofrece consejos para que los auditores agreguen valor a través de un enfoque en los procesos, resultados y ciclo de mejora continua de una organización.
Este documento presenta un cuestionario de auditoría para evaluar el cumplimiento de los requisitos de un sistema de gestión de calidad ISO 9001. El cuestionario contiene preguntas sobre varios requisitos clave como la documentación del sistema, la responsabilidad de la dirección, los recursos, la realización del producto y los procesos relacionados con el cliente. El propósito del cuestionario es verificar que la organización cumple con todos los requisitos de la norma ISO 9001 a través de evidencias documentales y observaciones.
El documento presenta una actualización de la norma ISO 19011:2011. Consiste en 42 páginas que contienen información confidencial y derechos reservados por ICONTEC.
Este documento proporciona instrucciones paso a paso para crear un diploma en Microsoft Word. Explica cómo establecer los márgenes y la orientación de la página, agregar bordes, insertar cuadros de texto para el nombre de la institución, la frase de otorgamiento, la palabra "diploma" y los nombres del graduado e instructor, y agregar una línea debajo de los nombres. También cubre cómo cambiar los estilos de fuente, tamaño, color y contorno para mejorar la presentación visual del diploma.
El teclado es un dispositivo de entrada para computadoras inspirado en las máquinas de escribir. Está compuesto de una carcasa plástica, teclas, gomitas, laminas plásticas y una placa de circuito impreso. Las teclas presionan las gomitas para cerrar circuitos en las laminas plásticas y enviar señales a la placa de circuito, la cual interpreta los códigos de las teclas presionadas.
El teclado es un dispositivo de entrada para computadoras inspirado en las máquinas de escribir. Está compuesto de una carcasa plástica, teclas, gomitas, laminas plásticas y una placa de circuito impreso. Cuando se presiona una tecla, la gomita empuja las laminas plásticas para cerrar un circuito y enviar la señal al chip que la interpreta como código ASCII.
Fabio Barragán describe su proyecto de vida en el que busca realizarse como persona a través de la educación y el desarrollo de valores positivos para poder brindar una buena vida a su futura familia. Sus metas incluyen tener una casa, un trabajo que le guste y viajar y conocer muchas personas, además de convertirse en un ejemplo a seguir para los demás.
Este documento describe las partes y funcionamiento de dos tipos de ratones (mouse): óptico y mecánico. Explica que el ratón óptico usa una luz para detectar movimiento, mientras que el mecánico usa rodillos movidos por una esfera. Detalla las partes externas e internas de ambos, el proceso de desarmado, limpieza y ensamblado de un ratón óptico, y que la limpieza de uno mecánico incluye también la esfera.
El documento presenta tres resúmenes de talleres prácticos de base de datos en Microsoft Access. El primer taller explica cómo crear una base de datos con tablas y campos para registrar datos de alumnos, así como ingresar 10 registros. El segundo taller describe cómo crear otra base de datos, tablas y campos para socios de un club, con validaciones de datos. El tercer taller indica crear una base de datos para un centro de acopio con tablas relacionadas para personal, productos y proveedores.
Este documento describe un curso de "Fundamentos de COBIT 5" con examen de certificación que se llevará a cabo en Ibagué, Colombia. El curso de 16 horas busca que los asistentes obtengan un entendimiento de los principales conceptos y componentes de COBIT 5 para aprobar el examen de certificación. El curso será dictado por Fernando Ferrer Olivares, un experto en COBIT con amplia experiencia en consultoría y auditoría.
El Instituto Politécnico Americano informa al estudiante que su desempeño en la competencia fue favorable y que alcanzó los logros adquiridos en el área. Le desea que continúe desarrollando sus habilidades y conocimientos.
Este documento proporciona directrices para auditores sobre cómo revisar y cerrar no
conformidades identificadas durante auditorías. Explica que una respuesta a una no conformidad
debe incluir corrección, análisis de causa y acción correctiva. Detalla lo que los auditores deben
verificar al revisar la respuesta de una organización y cuando una no conformidad puede
considerarse cerrada.
Este informe de auditoría interna resume los hallazgos de una auditoría realizada al proceso de gestión, control y mejora. La auditoría encontró 7 no conformidades relacionadas con incumplimientos de procedimientos y normas. También identificó 3 observaciones para fortalecer el sistema. Las conclusiones son que el proceso generalmente se lleva a cabo según lo documentado, pero se puede mejorar especialmente en indicadores y acciones de mejora.
Este documento presenta un manual para combinar correspondencia mediante la creación de cartas y sobres personalizados utilizando variables. Explica los pasos para crear una carta modelo, identificar variables como códigos y nombres, elaborar una base de datos con los destinatarios, definir los campos de combinación, revisar la vista previa y completar la combinación para generar cartas individuales para cada destinatario. También cubre cómo crear un sobre en blanco y combinarlo de manera similar para dirigir sobres personalizados.
El documento introduce los conceptos básicos de las bases de datos, incluyendo el proceso de diseño de una base de datos, los sistemas de gestión de bases de datos, el modelo entidad-relación y sus conceptos clave como entidades, atributos, relaciones y claves. También describe las operaciones básicas que se pueden realizar en tablas como selección, proyección, unión e intersección.
Este documento presenta un manual básico para la creación de páginas web. Explica conceptos clave como el lenguaje HTML, cómo crear el primer documento HTML, características generales de HTML como marcas y atributos, y comandos básicos como párrafos, encabezados, enlaces e imágenes. El manual proporciona ejemplos prácticos para cada tema cubierto con el fin de ayudar al lector a aprender a crear páginas web de manera efectiva.
El documento proporciona consejos para realizar entrevistas efectivas como auditor interno. Explica que las preguntas deben ser claras y directas para evitar respuestas vagas y obtener información relevante. También señala la importancia de escuchar activamente las respuestas para comprender su significado completo, y de mantener el control de la entrevista de manera educada. El objetivo es recopilar información útil sin revelar lo que se sabe o no se sabe.
Este documento presenta información sobre la administración de riesgos y su importancia para las organizaciones. Explica el proceso de gestión de riesgos que incluye etapas como establecer el contexto, identificar, analizar, evaluar y tratar los riesgos, monitorearlos y revisarlos, y comunicarlos. También menciona tendencias como el aumento de inversiones en esta área y herramientas como normas y estándares que guían la administración de riesgos en las compañías.
Este documento contiene consejos de Dios para vivir en la tierra. Dios le dice al autor que sea como el sol, la luna, los pájaros, las flores y otros elementos naturales. También le dice que sea como el buen perro, la fruta, el día, el oasis, la luciérnaga y el agua. Por último, le pide que sea como Lázaro, José y el cielo, y que permita que Dios lo guíe a donde quiera que vaya.
El documento habla sobre las habilidades que debe tener un auditor. Explica cómo realizar una auditoría por procesos, elaborar listas de chequeo y formular preguntas. También cubre habilidades en entrevistas como escuchar activamente y dar retroalimentación. Por último, da lineamientos para redactar hallazgos e informes de auditoría.
1. PROGRAMACIÓN EN
AUDITORÍA
EN BASE A RIESGOS
MMAARRZZOO 22000066
DOCUMENTO TÉCNICO
N° 24 – VERSION 0.3
PROGRAMACIÓN EN AUDITORÍA
EN BASE A RIESGOS
2. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
1
TABLA DE CONTENIDOS
_______________________________________________________________________________
MATERIAS PÁGINA
I.- INTRODUCCIÓN.
II.- OBJETIVO DEL DOCUMENTO.
III.- ELEMENTOS BÁSICOS DEL PROGRAMA DE AUDITORÍA.
1.- Documentación del programa de auditoría.
2.- Identificación del programa, versión, autor, fecha de emisión y periodo de vigencia.
3.- Aprobación del programa de auditoría.
4.- Tipo de Objetivo de Control.
5.- Proceso a auditar y materia de auditoría.
6.- Equipo de auditores y responsable del equipo.
7.- Objetivos generales de auditoría.
8.- Alcance de la auditoría.
9.- Método para determinar las muestras.
10.- Oportunidad y periodo.
11.- Horas de auditoría.
12.- Cronograma específico para realizar la auditoría.
13- Fuentes de información operacional y legal.
14.- Uso de Técnicas de Auditoría Asistidas por Computador.
15.- Definición de puntos críticos, objetivos específicos de auditoría y procedimientos de auditoría
a aplicar (cumplimiento y sustantivos).
15.1.- Metodología para definir puntos críticos, objetivos específicos de auditoría y determinar los
procedimientos de auditoría a aplicar (en base a riesgos).
a.- Análisis del proceso, subproceso o etapa a auditar.
b.- Reconocimiento de objetivos operativos específicos.
c.- Identificación de riesgos operativos relevantes.
d.- Identificación del nivel de severidad del riesgo
e.- Identificación y clasificación de la eficiencia de controles claves.
f.- Determinación preliminar del nivel de exposición al riesgo.
g.- Determinación de los puntos críticos a evaluar.
h.- Definición de objetivos específicos de auditoría en el programa.
i.- Formulación de procedimientos para alcanzar los objetivos específicos de auditoría.
j.- Construcción Matriz de Riesgos definitiva del proceso a la fecha de la auditoría.
IV.- RESUMEN ESQUEMA DE ANÁLISIS PROPUESTO.
V.- GLOSARIO DE TÉRMINOS UTILIZADOS EN ESTE DOCUMENTO.
VI.- BIBLIOGRAFÍA.
ANEXO Nº 1 : Ejemplo de relaciones básicas en la etapa de programación en auditoría.
ANEXO Nº 2 : Ejemplo formato básico para presentar y listar en el programa de auditoría; puntos
críticos, objetivos específicos de auditoría y actividades y proced. a aplicar.
ANEXO Nº 3 : Escalas de valoración para construir matrices de riesgos.
ANEXO Nº 4 : Conceptos generales sobre normas de control.
ANEXO Nº 5 : Conceptos generales sobre procedimientos de auditoría.
ANEXO Nº 6 : Conceptos generales sobre riesgos de auditoría.
3
4
4
4
4
5
5
5
5
5
5
6
6
6
6
7
7
7
7
7
8
8
9
9
9
10
10
11
11
12
16
17
18
19
20
26
34
40
3. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
2
HISTORIA DE CAMBIOS DEL DOCUMENTO.
________________________________________________________________________
Versión Fecha Autor Entidad/Unidad de
Auditoría Servicio:
Descripción
0.1 01/01/2005
Ricardo Correa F.
Daniella Caldana F.
Carlos Tapia S.
Consejo de Auditoría
Interna General de
Gobierno
Formulación de la versión
0.1 del documento
técnico.
Lilian Contreras M.
Unidad de Auditoría
Parque Metropolitano de
Santiago
Eugenia Rodríguez P.
Unidad de Contraloría
Interna
Superintendencia de
Valores y Seguros
Jaime Gutiérrez S.
Unidad de Auditoría
Superintendencia de
Seguridad Social
Gloria Guerrero E.
Unidad de Auditoría
Subsecretaría del
Trabajo
Juan C. Zapata U.
Unidad de Auditoría
Subsecretaría de
Previsión Social
Luis Urra S.
Unidad de Auditoría
Instituto de Desarrollo
Agropecuario
Moisés Cortes P.
Unidad de Auditoría
Instituto de Desarrollo
Agropecuario
Carlos Ogno C.
Unidad de Auditoría
Ministerio de Hacienda
Carlos Conley M.
Unidad de Auditoría
Servicio Nacional de
Pesca
0.2 15/03/2005
Nidia Cepeda A.
Unidad de Auditoría
Gobierno Regional de
Atacama
Aportes, sugerencias e
indicaciones al contenido
de la versión 0.1 del
documento técnico
0.3 01/03/2006
Ricardo Correa F.
Daniella Caldana F.
Carlos Tapia S.
Mario Bórquez B.
Manuel Quezada D.
Consejo de Auditoría
Interna General de
Gobierno
Modificaciones y
actualizaciones de
contenido y forma.
4. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
3
I.- INTRODUCCIÓN.
El Consejo de Auditoría en cumplimiento de la Política de Auditoría Interna General de
Gobierno implementada y propiciada por el Ejecutivo para el fortalecimiento y desarrollo de los
organismos, sistemas y metodologías que permitan resguardar los recursos públicos y apoyar
la gestión de la Administración y los actos de Gobierno ha desarrollado el Documento Técnico
Nº 24 – Programación en auditoría en base a riesgos.
En la actualidad con la utilización de modelos de riesgos en el proceso de auditoría, la fase de
programación se ha convertido en una pieza fundamental del enfoque moderno de auditoría
orientado a agregar valor a la organización, mediante la formulación de sugerencias o
recomendaciones que permitan efectivamente mitigar la materialización de riesgos.
Es por ello, que es necesario armonizar un mecanismo marco de programación en base a
riesgos, que sea de aplicación en las unidades de auditoría del Sector Público, el cual,
mediante los ajustes necesarios se debe adecuar a las características de cada Servicio.
El presente documento contiene una descripción general de los principales elementos que
debe contener un programa de auditoría en base a riesgos. En forma especial se describe el
enfoque metodológico propuesto para determinar los puntos críticos, los objetivos específicos
de auditoría y los procedimientos o pruebas de auditoría. Además se presenta un ejemplo del
esquema requerido para realizar este análisis.
Un aspecto importante que se destaca al programar, corresponde al nivel de desagregación del
análisis de la estructura organizacional de un proceso, subproceso o etapa realizado
previamente en la etapa de planificación anual de auditoría mediante la Matriz de Riesgo
Estratégico. Ese nivel de profundidad del estudio, determinará desde donde se comenzará a
realizar el análisis en la etapa de programación.
Finalmente, en anexos adjuntos se presenta una serie de conceptos y elementos
complementarios referidos a esquemas explicativos, escalas de medición sugeridas, sobre
control interno, procedimientos de auditoría y riesgo de auditoría.
5. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
4
II.- OBJETIVO DEL DOCUMENTO.
Entregar una propuesta metodológica para formular programas de auditoría en base a riesgos,
de aplicación armonizada por las unidades de auditoría interna del Sector Público.
III.- ELEMENTOS BÁSICOS DEL PROGRAMA DE AUDITORÍA.
La programación o planificación específica consiste en el trabajo que el auditor realiza para
determinar en base al conocimiento integral del proceso a auditar; cuáles, cómo, por quién, con
qué extensión y cuándo se ejecutarán las pruebas o procedimientos, que permitan satisfacer
adecuadamente los objetivos de auditoría generales y específicos propuestos.
Entre los beneficios que se pueden obtener de una adecuada programación, destacan:
• Facilitar la organización de las actividades respecto de los objetivos de auditoría.
• Concentración en la identificación y evaluación de lo importante, en base a los riesgos y
controles existentes.
• Contribuir a la racionalización de los recursos humanos, técnicos y financieros.
• Fijar líneas de acción para ejecutar programadamente las labores en terreno.
• Guiar la obtención de evidencia de auditoría adecuada y suficiente para respaldar el
contenido del informe.
• Presentar evidencia objetiva de la programación de las actividades en terreno.
• Justificar la labor del auditor frente a cuestionamientos externos.
En diversos cuerpos normativos de la disciplina de auditoría existen normas que contienen
requisitos a cumplir dentro de esta etapa y que obligan a programar rigurosamente cada
trabajo, considerando objetivos, riesgos, sistemas de control, oportunidad y alcance suficiente
del trabajo con una asignación de recursos adecuada a la naturaleza de éste. Estos mismos
cuerpos normativos establecen que la programación debe ser aprobada por el jefe de la unidad
de auditoría interna, antes de iniciar el trabajo.
En base a estos requerimientos, el Consejo de Auditoría ha relevado los principales elementos
que al menos debe contener el programa de auditoría. El orden de presentación de estos
elementos en el cuerpo del programa puede variar en cada Servicio.
1.- Documentación del programa de auditoría.
Sin perjuicio de lo señalado en este documento técnico, será necesario que cada unidad de
auditoría documente la metodología y acompañe los formatos utilizados para formular el
programa de auditoría. Para este efecto, es recomendable utilizar las instrumentos que se
entregan en la Etapa V y VI del Sistema de Auditoría Interna del Programa de Mejoramiento de
la Gestión.
2.- Identificación del programa, versión, autor, fecha de emisión y periodo de vigencia.
Cada programa de auditoría debe contar con una identificación que incluya elementos tales
como; un número o código de referencia única, el o los autores de su formulación, la fecha de
6. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
5
emisión, el periodo de vigencia y el número de versión que tiene el respectivo programa, ya
que cada vez que se utilice se debe actualizar su contenido.
3.- Aprobación del programa de auditoría.
El Jefe de la Unidad de Auditoría debe aprobar el programa antes de iniciarse su aplicación en
la etapa de ejecución en terreno. Lo mismo ocurre con las modificaciones que deban realizarse
durante la ejecución. En estas aprobaciones formales se requiere al menos, la fecha y firma del
Jefe de Auditoría.
4.- Tipo de Objetivo de Control.
Se debe consignar si la auditoría es Gubernamental (G), Ministerial (M) o Institucional (I).
5.- Proceso a auditar y materia de auditoría.
Corresponde a la identificación del proceso - subproceso - etapa consignada en el Plan Anual
correspondiente y la materia o tema específico que será auditada en éste.
6.- Equipo de auditores y responsable del equipo.
Se debe señalar nombre y profesión de las personas que realizarán la auditoría, incluyendo su
cargo o función, las áreas y temas tratados por cada uno de ellos, cuando corresponda.
Además se debe identificar el profesional que estará a cargo del equipo en la auditoría.
7.- Objetivos generales de la auditoría.
Los objetivos generales corresponden a los propósitos globales que se pretende alcanzar al
auditar un proceso, subproceso o etapa crítica incluida en el Plan Anual de Auditoría que ha
sido determinada en base a una Matriz de Riesgo Estratégica. En consecuencia, los objetivos
generales aquí señalados, deben ser coherentes con los señalados previamente en dicho Plan
Anual.
Estos objetivos deben ser cumplidos en la ejecución de la auditoría. El resultado y las
conclusiones finales de esta actividad deben estar contenidos en el informe de auditoría.
Por otra parte, los objetivos específicos de auditoría (que serán analizados más adelante en
este documento) se deben relacionar directamente con los objetivos generales definidos en el
programa de auditoría y con los riesgos operativos identificados.
En Anexo Nº 1 se presenta un ejemplo de relaciones básicas entre los objetivos generales y
otros elementos relevantes en la fase de programación en auditoría.
8.- Alcance de la auditoría.
El alcance dependerá de la estructura, complejidad y características del proceso o área que se
auditará: período de tiempo que abarca la revisión; tamaño de la muestra auditada respecto al
universo total (cantidad de personas, registros, etc.); profundidad o amplitud de análisis de los
temas auditados. En el caso de auditar transferencias u otros recursos medibles en dinero, el
7. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
6
alcance se puede expresar como el porcentaje que representa la muestra auditada respecto al
total del ítem del presupuesto1
.
En el programa debe señalarse además del alcance en términos cualitativos y cuantitativos, los
criterios utilizados para determinar las muestras de auditoría.
9.- Método para determinar las muestras de auditoría.
En relación con las muestras de auditoría seleccionadas, cuando no es posible realizar una
verificación total de las transacciones o hechos de una población, en consideración al tiempo y
costo, éstas pueden ser determinadas usando métodos estadísticos, tales como: muestreo
aleatorio simple, muestreo estratificado, muestreo por conglomerados (muestreo sistemático o
muestreo por áreas) o métodos no estadísticos, tales como: muestreo por conveniencia,
muestreo por juicio o muestreo por cuotas, entre otros. La muestra seleccionada debe ser
representativa de acuerdo con la población en estudio, de esta forma se dará suficiente
respaldo a las conclusiones obtenidas en la auditoría.
Cualquiera sea el caso, el método de muestreo a utilizar en la auditoría deberá quedar descrito
en el programa.
10.- Oportunidad y periodo.
Se refiere a la fecha de comienzo de realización de la auditoría y a la estimación del período
de tiempo que se empleará en la programación, ejecución e informe de auditoría. Aquí deberá
consignarse el tiempo proyectado desde el diseño de la programación hasta la elaboración del
Informe final de auditoría. El período de tiempo aquí consignado debe guardar coherencia con
la utilización del tiempo indicada en el informe por el auditor.
11.- Horas de auditoría.
Corresponde señalar y relacionar el número de horas hombre estimadas para la realización de
la auditoría para cada etapa, desde la programación hasta el informe final.
12.- Cronograma específico para realizar la auditoría.
Es recomendable adjuntar al programa un cronograma estimado de actividades, confeccionado
en base a los antecedentes que conforman los dos puntos anteriores (10 y 11). En este
cronograma se podría incluir el tiempo requerido para realizar algunos hitos que en su mayoría
son comunes a toda auditoría. A modo de ejemplo:
− Planificación General para determinar los elementos básicos del programa de auditoría.
− Planificación específica para formular los procedimientos específicos de auditoría,
indicando la tarea.
− Tiempos de viaje y traslado de los auditores
− Reunión de inicio con las unidades involucradas.
− Levantamiento y análisis de la Información recopilada.
− Selección de las muestras.
1
Definición incluida en medios de verificación Sistema de Auditoría Interna – PMG.
8. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
7
− Aplicación de los procedimientos de auditoría.
− Supervisión del equipo en terreno
− Registro de observación señalando riesgo e implicancia y recomendación.
− Corrección de papeles de trabajo
− Entrevistas con el personal de las Unidades involucradas.
− Elaboración de la propuesta de Informe detallado e informe ejecutivo.
− Entrevista con Unidades relacionadas para comentar hallazgos y debilidades de control.
− Confección del informe final.
− Entrega de informe a la Jefatura del Servicio.
13.- Fuentes de información operacional y legal.
Identificar las principales fuentes de información donde obtener antecedentes para la auditoría,
tales como leyes, decretos, reglamentos, normas específicas, manuales, e instructivos que
regulan las operaciones en carácter general, como específicas para cada Ministerio y Servicio.
14.- Uso de Técnicas de Auditoría Asistidas por Computador.
En el caso que en la auditoría sea necesario utilizar aplicaciones o software de auditoría para
analizar o evaluar los casos en estudio, debe dejarse constancia del software específico, su
versión y cuál es el objetivo para su utilización. Sin perjuicio que en la determinación de
procedimientos de auditoría aparezcan adecuadamente relacionados los objetivos específicos
de auditoría, las pruebas y la funcionalidad del software que se aplicará.
15.- Definición de puntos críticos, objetivos específicos de auditoría y procedimientos
de auditoría a aplicar (cumplimiento y sustantivos).
En esta sección se deben definir en forma detallada los puntos críticos, los objetivos
específicos de auditoría y los procedimientos o pruebas de cumplimiento y sustantivas que se
aplicarán por el auditor para realizar el trabajo en terreno en la etapa de ejecución.
En Anexo Nº 2 Se presenta un ejemplo de formato básico para presentar en el programa de
auditoría los elementos antes señalados.
15.1.- Metodología para definir puntos críticos, objetivos específicos de auditoría y
determinar los procedimientos de auditoría a aplicar (en base a riesgos).
Los siguientes corresponden a los pasos a considerar en la etapa de programación, para
determinar los elementos que corresponden a esta sección. En esta descripción de pasos
propuestos se incluye desde el levantamiento de información relativa a riesgos, controles y
objetivos operativos realizado a través de matrices, los criterios para la evaluación y
determinación de puntos críticos en el proceso a auditar, hasta la determinación de los
objetivos específicos de auditoría y los respectivos procedimientos y pruebas de auditoría que
se deben aplicar para satisfacerlos.
a.- Análisis del proceso, subproceso o etapa a auditar.
Parte fundamental de la programación, corresponde al conocimiento que el auditor tiene de
todos los elementos estratégicos (internos y externos) que afectan el proceso que se va a
auditar. Entre estos elementos deben considerarse los sistemas de información, la estructura
9. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
8
organizacional, subprocesos, los planes y políticas, el sistema de control interno, los controles
operativos existentes, las normas internas, las leyes y regulaciones y todos los elementos que
sean necesarios para asegurar un conocimiento acabado. Una forma de interiorizarse de la
estructura y aspectos relevantes del proceso o subproceso, es la revisión de los flujogramas de
los mismos, o cuando no existan, y cuando sea posible, la confección de ellos por parte del
auditor.
En base al estudio del proceso a auditar, se debe construir como primer paso (en forma previa
a la formulación de objetivos de auditoría específicos y pruebas de auditoría) una “Matriz
Preliminar de Riesgo Operativo”. Un ejemplo del formato y la estructura y, escalas de
valorización sugeridas, se presentan en el punto IV.- Esquema de Análisis Sugerido y en el
Anexo Nº 3, respectivamente.
Esta “Matriz Preliminar de Riesgo Operativo” servirá especialmente como guía para determinar
los puntos críticos2
del proceso, cuyos controles mitigantes asociados a los riesgos serán
evaluados a través de procedimientos o pruebas de cumplimiento y sustantivas.
El nivel de desagregación de la “Matriz Preliminar de Riesgo Operativo” dependerá del nivel de
desagregación con que se desarrolló la Matriz de Riesgo Estratégica3
. Esto es, si se determinó
a nivel de proceso el área crítica contenida en el Plan Anual, entonces se deberá realizar la
desagregación comenzando desde el nivel de proceso. Si la Matriz se desarrolló a nivel de
subproceso, entonces el análisis se debe realizar comenzando desde ese nivel y así
sucesivamente si el Plan Anual está configurado con áreas críticas a nivel de etapas.
En este documento técnico, el nivel de desagregación de los procesos se realiza bajo el
supuesto que la Matriz de Riesgo Estratégico se desarrolló sólo a nivel de proceso, por lo que
en los ejemplos se analizará cada subproceso y las etapas correspondientes en cada uno de
éstos.
b.- Reconocimiento de objetivos operativos.
Una vez determinadas dentro del proceso o subprocesos a auditar, las etapas relevantes que
los componen, deben identificarse cuáles son los objetivos que se espera lograr en la gestión
de cada una de esos subprocesos o etapas. Este objetivo debería ser formal y obtenerse de la
documentación escrita que existe en los Servicios (reglamentos, términos de referencia, bases
administrativas y técnicas, etc.) y también en base a entrevistas con los ejecutivos y
encargados de los procesos o subprocesos. (Esta información debe ser utilizada en la
formulación de la “Matriz Preliminar de Riesgo Operativo”).
Es necesario aclarar que en este punto no se está haciendo referencia a los objetivos
específicos de auditoría, que se detallan más adelante en este documento.
c.- Identificación de riesgos operativos relevantes.
Conocidos los objetivos operativos por subproceso o etapa a analizar, de ellos se derivarán los
riesgos relevantes que el auditor debe determinar, esto es, identificar los hechos o
2
Etapas en un proceso o subproceso que tienen alta severidad o alto nivel de exposición al riesgo, por lo que sus
controles mitigantes serán evaluados mediante procedimientos de auditoría.
3
Corresponde a la Matriz utilizada para respaldar la formulación del Plan Anual de Auditoría, a través de la
priorización de procesos críticos en la organización.
10. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
9
acontecimientos no deseados que provoquen incumplimiento del objetivo operativo; también
los hechos que provoquen que no ocurra un acontecimiento deseado, afectando el
cumplimiento de los objetivos y metas específicas del subproceso o etapa que se está
evaluando. (Esta información debe ser utilizada en la formulación de la “Matriz Preliminar de
Riesgo Operativo”).
d.- Identificación del nivel de severidad del riesgo.
Identificados los riesgos operativos relevantes, es necesario identificar el nivel de severidad
que presenta dicho riesgo, en términos de probabilidad e impacto.
La probabilidad puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia
de factores internos y externos que puedan propiciar el riesgo, aunque éste no se haya
presentado nunca.
El impacto se refiere a las consecuencias que puede ocasionar en el proceso y a la
organización la materialización del riesgo, y en general puede ser medido en base a criterios
cualitativos. (Escalas de medición sugeridas para probabilidad e impacto se presentan en
Anexo Nº 3)
e.- Identificación y clasificación de la eficiencia de controles claves (detalles y
antecedentes se presentan en Anexo Nº 3 - punto 2 y Anexo Nº 4).
Realizada la identificación de los riesgos operativos relevantes en el proceso, deben
identificarse los controles existentes, cuyo propósito es mitigar la materialización de esos
riesgos en el proceso. También es posible que producto de este análisis se determine
inexistencia de controles asociados a los riesgos.
La evaluación de la eficiencia de esos controles, debe considerar el nivel de cumplimiento con
normas específicas, lo que sirve para determinar su robustez y en forma complementaria, debe
considerarse aspectos de calidad en su diseño, en relación con la prevención de la ocurrencia
de riesgos, tales como, oportunidad, periodicidad y grado de automatización en la aplicación de
los controles. (Esta información debe ser utilizada en la formulación de la “Matriz Preliminar de
Riesgo Operativo”)
En este punto, es importante señalar que cuando un riesgo tenga más de un control asociado,
será necesario concluir del análisis de auditoría realizado, cuáles controles son claves para
mitigar el riesgo y cuáles deben eliminarse o fortalecerse de acuerdo a su relación costo
beneficio.
f.- Determinación preliminar del nivel de exposición al riesgo.
El nivel de exposición preliminar se determinará ya sea por la diferencia aritmética o cuociente
aritmético (éste último será utilizado en este documento) entre el nivel de severidad del riesgo y
el nivel de eficiencia del control. Este análisis entregará una pauta para determinar en cuales
puntos críticos los controles deben ser probados mediante procedimientos de auditoría, con la
finalidad de determinar si cubren adecuadamente el nivel de severidad del riesgo. (Esta
información debe ser utilizada en la formulación de la “Matriz Preliminar de Riesgo Operativo”)
Todo el análisis realizado hasta este punto, es decir, la desagregación de los procesos, el
análisis de objetivos operativos, el análisis de riesgos, controles mitigantes y exposición al
riesgo, podría haber sido efectuado en la etapa de planificación, al construir la Matriz de Riesgo
Estratégica, en base a un modelo que considerara en forma rigurosa las variables antes
11. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
10
señaladas para cada proceso crítico. En ese caso, sólo se debe actualizar dicha Matriz en lo
referente al proceso en análisis y determinar cuáles son los puntos críticos a evaluar,
considerando para este efecto, los criterios definidos en el punto siguiente. (Particularmente en
este caso, la Matriz de Riesgo Estratégica actualizada en el proceso a auditar, corresponderá a
la Matriz Preliminar de Riesgo Operativo del proceso)
g.- Determinación de los puntos críticos a auditar.
De la “Matriz Preliminar de Riesgo Operativo” deben derivarse los puntos críticos a auditar.
Para determinarlos es posible utilizar diversos criterios, pudiendo optar por los riesgos con
mayores niveles de severidad (probabilidad x impacto) o los riesgos con mayores niveles de
exposición (severidad del riesgo v/s eficiencia del control). También puede considerarse
riesgos que presenten una alta probabilidad (por ejemplo; casi certeza), independiente del nivel
de impacto del riesgo que tengan o riesgos que presenten un grado de impacto muy relevante
(por ejemplo; catastróficas), independientemente del nivel de probabilidad de ocurrencia
determinado.
En todo caso, el criterio adoptado finalmente debe ser debidamente justificado por el auditor,
señalando en forma expresa en el programa de auditoría, cual fue el criterio utilizado para la
elección de los puntos críticos y su fundamento.
Sin perjuicio de lo anteriormente señalado, en los casos en los cuales no se tenga información
acerca de la eficiencia de los controles claves (por ejemplo, informes de auditorías anteriores,
informes de control operativo, entre otros.), se sugiere utilizar para la determinación de puntos
críticos, un criterio distinto al de la exposición al riesgo, ya que ésta pudiese estar distorsionada
debido a que su cálculo y clasificación se realiza en base a controles teóricos que no han sido
validados y de los cuales no se tiene información confiable.
Por otra parte, cuando se trate de niveles de exposición al riesgo relevantes (por ejemplo, No
aceptable o Mayor), y se cuente con información confiable de que los controles mitigantes de
esos riesgos son claramente insuficientes, es recomendable informar en forma inmediata a la
Jefatura del Servicio, para que se tomen las medidas preventivas o correctivas necesarias para
bajar el nivel de exposición determinado. Procedimiento que debe efectuarse antes de realizar
la auditoría, y en el transcurso de ésta, cuando sea posible, analizar y monitorear el estado de
implementación de las medidas comprometidas por la organización.
h.- Definición de objetivos específicos de auditoría en el programa.
Una vez identificados los puntos críticos, con sus respectivos riesgos relevantes que podrían
impedir el logro de las objetivos definidos por el Servicio para cada etapa relevante e
identificados los controles asociados a cada riesgo y el respectivo nivel de exposición en la
“Matriz Preliminar de Riesgo Operativo”, es oportuno y necesario definir los objetivos
específicos de auditoría que se incorporarán en el programa.
Los objetivos específicos de auditoría corresponden a la finalidad del trabajo del auditor, fijada
en relación a los objetivos generales de auditoría y al nivel y tipo de riesgo detectado. Permiten
orientar el trabajo para evaluar y determinar cuál es el nivel del riesgo residual efectivo que
presenta un riesgo específico o el proceso completo.
12. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
11
En definitiva, los objetivos específicos deben guardar estrecha relación con los objetivos
generales definidos en el programa, debiéndose procurar que el resultado de la auditoría
permita cumplirlos adecuadamente. Deben ser coherentes con la descripción de los riesgos
operativos identificados, puesto que al cumplir un objetivo de auditoría específico
exitosamente, debe concluirse sobre el nivel de exposición al terminar la auditoría.
i.- Formulación de procedimientos para alcanzar los objetivos específicos de
auditoría (detalles y antecedentes se presentan en Anexo Nº 5).
Para satisfacer o alcanzar los objetivos específicos de auditoría determinados, se deben
diseñar procedimientos o pruebas de auditoría (de cumplimiento o sustantivos) para determinar
el nivel de eficiencia y calidad de los controles mitigantes asociados al riesgo identificado.
Es necesario tener presente que en el diseño de estos procedimientos o pruebas, ya sean de
cumplimiento o sustantivos, se debe considerar el tiempo estimado que se requiere para su
aplicación. Este elemento debe ser coherente con lo señalado en los puntos 7, 8, 9 y 10 de
este documento. Estos elementos del programa se sugieren presentar y listar por escrito, en un
formato similar al ejemplo dispuesto en Anexo Nº 2.
Una variable relevante en la definición de la naturaleza y extensión de las pruebas de
cumplimiento y sustantivas a aplicar, es el nivel de Riesgo de Auditoría que determine el
auditor previamente (en Anexo Nº 6 se incluyen conceptos sobre Riesgo de Auditoría).
Una vez que se han definido completamente las pruebas o procedimientos de auditoría, tanto
en su naturaleza, extensión y oportunidad, se ha concluido la formulación del programa de
auditoría, que será el documento guía que utilizará el auditor para efectuar su revisión y
obtener evidencia adecuada en cantidad y calidad de los hallazgos y debilidades de control que
se informarán posteriormente al Jefe de Servicio.
Finalmente, la aplicación del programa de auditoría debe ser supervisada rigurosamente
durante su aplicación y al final de la auditoría, con la finalidad de alcanzar exitosamente los
objetivos generales y específicos de auditoría dispuestos en el programa. Producto de estas
supervisiones, es probable que dicho programa pueda ser ajustado en el transcurso de la
auditoría, con la finalidad de adecuarlo a nuevas necesidades.
j.- Construcción de la Matriz Final de Riesgos del Proceso, a la fecha de la auditoría.
Cuando la auditoría esté terminada, es decir, después de aplicado el programa en la etapa de
ejecución y obtenido el resultado y conclusión final de la auditoría, se deberá ajustar y
actualizar la “Matriz Preliminar de Riesgo Operativo” del Proceso, en base a los niveles de
eficiencia del control analizado y por consiguiente del nivel de exposición al riesgo.
Generándose después de esta actualización, la “Matriz Final de Riesgo del Proceso”, a la fecha
de la auditoría.
Este mecanismo permitirá reflejar finalmente el nivel y clasificación de los controles mitigantes,
el nivel y clasificación de la exposición por riesgo específico, por etapa, por subproceso o por
proceso según corresponda, en forma coincidente con la oportunidad de envío del informe
remitido a la dirección.
13. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
12
El formato y estructura de la “Matriz Final de Riesgos del Proceso”, obviamente es el mismo
que se utiliza para la “Matriz Preliminar de Riesgos Operativo”. Ver ejemplo en el punto IV.-
Esquema de Análisis Sugerido.
IV.- RESUMEN ESQUEMA DE ANÁLISIS PROPUESTO.
De acuerdo a lo detallado en el presente documento, los pasos a seguir para definir puntos
críticos, objetivos específicos de auditoría y los procedimientos a aplicar en base a riesgos, se
pueden resumir en los siguientes:
Una vez determinados los procesos críticos a auditar en el Plan Anual de Auditoría (en
base a la Matriz de Riesgo Estratégico construida en la etapa de planificación), se deben
definir los objetivos generales de cada auditoría.
Dependiendo de la profundidad del análisis realizado previamente en la Matriz de Riesgo
Estratégico en la etapa de planificación, se debe desagregar en un nivel adecuado el
proceso a auditar, de acuerdo con sus características y estructura organizacional:
¯ Identificar en el nivel de desagregación que corresponda, los objetivos operativos
formales.
¯ Identificar los riesgos operativos relevantes que afectarían a los objetivos operativos
identificados.
¯ Construir una “Matriz Preliminar de Riesgo Operativo” que considere objetivos
operativos, riesgos, controles y niveles de exposición para el proceso. (la Matriz de
Riesgo Estratégico construida por la organización en la etapa de planificación podría
considerar todas estas variables, por lo que se puede actualizar y utilizar cuando
corresponda)
Determinar en base a la “Matriz Preliminar de Riesgo Operativo” los puntos críticos del
proceso, subproceso o etapa a evaluar en la auditoría.
Determinar los objetivos específicos de auditoría que se perseguirán en el desarrollo de la
labor y que permitirán orientar la evaluación del nivel de riesgo residual operativo, por cada
punto crítico en el proceso, subproceso o etapa.
Formular los procedimientos o pruebas de cumplimiento o sustantivos para evaluar la
eficiencia de los controles mitigantes existentes. Estos procedimientos deben formularse
con la finalidad de satisfacer los objetivos de auditoría específicos definidos en el programa.
Finalmente, se deben presentar y listar por escrito en el programa de auditoría; los puntos
críticos, los objetivos específicos y las actividades y procedimientos a aplicar (se sugiere un
formato similar al ejemplo dispuesto en Anexo Nº 2).
En páginas siguientes, se presenta un ejemplo del esquema sugerido para determinar los
procedimientos de auditoría en base a la metodología explicada en este documento, la que
incluye la “Matriz Preliminar de Riesgo Operativo”.
14. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
13
En el desarrollo de este ejemplo, se considera el supuesto que de acuerdo a los recursos
existentes para ejecutar el programa de auditoría y al análisis de variables estratégicas, tales
como: horas hombre, viáticos, tareas en desarrollo, confiabilidad del sistema de control interno
del proceso, etc., la cantidad de riesgos y etapas consideradas a auditar están debidamente
sustentadas.
Complementariamente a lo anterior, se considera como supuesto que se tiene poca
información acerca de la existencia y nivel de operación de los controles, de modo que se ha
considerado como criterio para determinar los puntos críticos, los riesgos que presentan los
dos mayores niveles de Severidad (La de calificación Extrema y el mayor valor de las
calificadas como Alto) determinados en la “Matriz Preliminar de Riesgo Operativo” para las
etapas analizadas de este proceso. El nivel de severidad del riesgo y el nivel de exposición por
riesgo específico provienen de esa Matriz.
Para la elaboración de dicha Matriz (Página Nº 15), se utilizó las siguientes escalas y
procedimientos de cálculo y clasificación consideradas en el esquema N° 1:
Esquema N° 1. Escalas utilizadas para la Matriz de Riesgo.
Concepto Páginas - Escalas
utilizadas
Procedimiento de clasificación o
cálculo
Probabilidad de ocurrencia Página Nº 20
Categoría y valor de acuerdo a nivel
en escala.
Impacto de ocurrencia
Página Nº 20
Categoría y valor de acuerdo a nivel
en escala.
Severidad del riesgo Página Nº 21
Probabilidad x Impacto
Nivel eficiencia del control
Páginas Nº s 22 a la 24
Páginas Nº s 26 a la 33
Categoría y valor de acuerdo a nivel
en escala y análisis de normas de
control.
Nivel exposición al riesgo
de procesos y
subprocesos
Página Nº 24 a la 25
Cuociente entre el nivel de severidad
del riesgo y el nivel de eficiencia del
control
15. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
14
EJEMPLO : ESQUEMA DE ANÁLISIS PROPUESTO Y MATRIZ PRELIMINAR DE RIESGO OPERATIVO.
Objetivo General de Auditoría: Evaluar los niveles de eficiencia obtenidos en el ciclo de adquisición de productos, en términos de calidad, cantidad y
oportunidad, en base a requerimientos organizacionales.
PROCESOS SUBPROCESOS
ETAPAS - PUNTOS
CRITICOS
OBJETIVOS
OPERATIVOS DE
LA ETAPA
RIESGOS
OPERATIVOS
(Nivel de Exposición o Nivel de
Severidad)
OBJETIVOS ESPECIFICOS
DE AUDITORÍA
PROCEDIMIENTOS DE AUDITORÍA
(CUMPLIMIENTO Y SUSTANTIVOS)
PARA DETERMINAR LA EFICIENCIA DE LOS CONTROLES EXISTENTES EN BASE A LA
POBLACIÓN O MUESTRAS.
Definición de
necesidades de
compra por
producto
(Cantidades)
Nivel Exposición=
Media
(3,5)
Asegurar que se
adquieran las
cantidades
necesarias por
producto, para
abastecer las
necesidades de la
Institución
Otros......
Deficiencias y errores en la
definición de cantidades de
compra de productos, en
relación a las necesidades de
la organización.
Nivel Exposición= Mayor
(4)
Nivel de Severidad = Extremo
(16)
Otros.....
Examinar si las
adquisiciones por
producto efectuadas por el
Depto. de Adquisiciones,
se ajustan a las
necesidades de la
organización.
Otros.....
Pruebas de cumplimiento: ( Determinar)
- Existencia de sistemas de información que entreguen información oportuna,
completa y veraz, sobre niveles de existencia disponibles por productos.
- Existencia de procedimientos que consideren aprobaciones de adquisiciones por
producto antes de la orden de compra.
Otros.....
Pruebas sustantivas:
- Evaluar y analizar la información de compra establecida en el Plan de Compras
por producto, en relación con las necesidades de la Institución.
- Comparar cantidades de compra por producto contempladas en planes de
compra originales con los correspondientes ajustes solicitados y realizados,
durante el periodo por las unidades operativas.
Otros.....
Otros..... Otros...... Otros..... Otros...... Otros.....
Definición de
especificaciones
técnicas
(Características y
calidades)
Nivel Exposición=
Menor
(2,8)
Asegurar que las
especificaciones
técnicas de los
bienes que se
adquieren,
satisfacen las
necesidades de la
Institución.
Otros......
Deficiencias y errores en la
definición de requisitos
técnicos para compra de
productos, en relación a las
necesidades de la
organización.
Nivel de Exposición= Menor
(2,4)
Nivel de Severidad = Alto
(12)
Otros......
Calificar la calidad y
pertinencia de los
mecanismos y técnicas
utilizadas para definir
especificaciones técnicas
por las unidades
operativas.
Otros......
Pruebas de cumplimiento: ( Determinar)
- Existencia de instancias de control formales para evaluar las especificaciones
técnicas respecto de los productos insertos en el Plan de Compras.
- Existencia de aprobaciones previas a la entrega de requerimientos técnicos.
- Existencia de sistemas de información que permitan controlar las características
del producto recepcionado en relación con los requerimientos técnicos.
Otros....
Pruebas sustantivas:
- Examinar y evaluar las especificaciones existentes, mediante el concurso de
personal técnico especialista.
- Examinar origen, periodo y frecuencia de problemas de producción, relacionados
con deficiencias en especificaciones técnicas de productos adquiridos.
Otros....
Abastecimiento
Nivel
Exposición=
Media
(3,0)
Planificación
Nivel
Exposición=
Media
(3,4)
Otros...... Otros....... Otros....... Otros...... Otros.....
Análisis y niveles de severidad y/o exposición al riesgo) obtenidos de la “Matriz Preliminar Definición realizada por el auditor en base a los análisis de riesgo realizados en el proceso
de Riesgo Operativo”
Página siguiente
16. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
15
EJEMPLO : “MATRIZ PRELIMINAR DE RIESGO OPERATIVO” DISEÑADA EN FORMA PREVIA A LA IDENTIFICACIÓN DE PUNTOS CRÍTICOS, FORMULACIÓN DE
OBJETIVOS ESPECÍFICOS DE AUDITORÍA Y PROCEDIMIENTOS O PRUEBAS DE AUDITORÍA.
RIESGOS OPERATIVOS IDENTIFICADOS CONTROLES CLAVES EXISTENTES
CLASIFICACION
DE EXPOSICIÓN AL
RIESGO
PROBABILIDAD IMPACTO
NIVEL EFICIENCIAPROCESO SUBPROCESO
ETAPAS
(PUNTOS
CRITICOS)
OBJETIVO
OPERATIVO
DE LA ETAPA
DESCRIPCION DEL
RIESGO
CLASIFIC VALOR CLASIFIC VALOR
SEVERIDAD
DEL RIESGO VALOR
DESCRIPCION DEL
CONTROL
PD O A
VALOR NIVEL VALOR
Deficiencias y
errores en la
definición de
cantidades de
compra de
productos, en
relación a las
necesidades de la
organización.
Probable 4 Mayores 4 Extremo 16
Existe un sistema de
información informático
que entrega información
histórica y proyectada,
cada 4 meses, la que se
utiliza como base para la
programación de compras
para productos.
Pd Pv At 4 4 Mayor
Definición de
necesidades
de compra por
producto
(Cantidades)
N.E.= Media
(3,5)
Asegurar que
se adquieren
las
cantidades
por producto
necesarias
para
abastecer las
necesidades
de la
Institución.
Sistemas de
información no
entregan
información
actualizada y
oportuna sobre
niveles de stock.
Improb. 2 Moderado 3 Moderado 6
Existe contrato con una
empresa externa para
mantención y protección
de los sistemas. En el
ámbito físico y lógico. El
Jefe de finanzas
monitorea este contrato
Oc Pv Sa 2 3 Media
Otros… Otros… Otros… x x X x x x Otros... x x x x x x
Faltan capacidades
técnicas del
personal para definir
especificaciones
Moderado 3 Moderado 3 Alto 9
La empresa realiza
capacitaciones al
personal encargado cada
6 meses en materias
técnicas,
Pd Dt Ma 3 3 Media
Deficiencias y
errores en la
definición de
requisitos técnicos
para compra de
productos, en
relación a las
necesidades de la
organización.
Probable 4 Moderado 3 Alto 12
Existe Comité técnico que
una vez al año analiza los
productos y los avances
tecnológicos con el fin de
adecuar y actualizar los
requerimientos técnicos
que se solicitan.
Para cada adquisición, se
reúne un Comisión que
analiza la compra
específica a la luz de los
criterios del Comité
Pe Pv Ma 5 2.4 Menor
Planificación
N.E. = Media
(3,4) Definición de
especificacio
nes técnicas
(Característi
cas y
calidades)
N.E.= Menor
(2,8)
Asegurar que
las
especificacio
nes técnicas
de los bienes
que se
adquieren,
satisfacen las
necesidades
de la
Institución.
No se encuentran
Proveedores de
bienes en el Mº de
acuerdo a las
especificaciones
técnicas
Moderado 3 Moderado 3 Alto 9
Cada 6 meses se hace un
estudio de los
proveedores que existen
en el mercado y que
productos y condiciones
técnicas ofrecen.
Pd Dt Ma 3 3 Media
Abastecimiento
N.E = Media
(3,0)
Otros… Otros… Otros… Otros… x x x x x x Otros… x x x x x x
(*) N.E. = Nivel de Exposición Promedio
17. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
16
V.- GLOSARIO DE TÉRMINOS UTILIZADOS EN ESTE DOCUMENTO.
Controles Claves existentes: Todas las medidas claves que toma la administración
con la finalidad de evitar la ocurrencia de un riesgo potencial, es decir, mitigando la
ocurrencia del riesgo.
Descripción del Riesgo: Identificación detallada de la situación que podría afectar el
logro de los objetivos operativos de una etapa, subproceso o proceso.
Desagregación de procesos: Identificación de unidades organizacionales
componentes en un proceso. Por ejemplo, en subprocesos relevantes. A nivel de
subproceso en etapas relevantes, etc.
Etapa relevante: Componente estratégico de carácter relevante en un subproceso.
Impacto: Consecuencia que puede ocasionar al proceso examinado y en
consecuencia, a la organización, la materialización del riesgo.
Matriz Preliminar de Riesgo Operativo: Conjunto de relaciones y análisis efectuadas
antes de definir objetivos y procedimientos de auditoría que permiten determinar; nivel
de severidad de los riesgos, nivel del control existente y nivel de exposición en los
procesos institucionales críticos.
Matriz Final de Riesgo Operativo: Corresponde a la actualización y ajuste de la
Matriz de Riesgo Operativo Preliminar en base a los resultados de la auditoría.
Nivel de Riesgo: Severidad ante la ocurrencia del riesgo. Se determina por la relación
Riesgo = Probabilidad x Impacto.
Nivel de exposición al riesgo: Es el riesgo residual que se mantiene después de
aplicados los controles existentes.
Normas específicas de control: Normas de aseguramiento que se deberían aplicar
en el sistema de control interno en una organización o proceso.
Objetivos operativos: Finalidad principal de gestión que se debe alcanzar en una
etapa, subproceso o proceso de una organización.
Probabilidad: Posibilidad de ocurrencia de un riesgo potencial.
Riesgo asociado: Cualquier situación relevante que entorpece el normal desarrollo e
impide el logro del objetivo.
Severidad del riesgo: Corresponde al nivel del riesgo originado por la relación entre el
impacto y la probabilidad de ocurrencia.
Subproceso: Corresponden a aquellos componentes principales en la estructura de
un proceso.
18. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
17
VI.- BIBLIOGRAFÍA.
The Institute of Internal Auditors - Normas para el ejercicio profesional de la auditoría interna –
EEUU, 2001.
Instituto de Auditores Internos de España - Concepto Moderno de la Auditoría, Eduardo Hevia
Vásquez, Madrid, 1999.
Sponsoring Organizations for The Treadway Commission – Informe COSO – Marco Integrado de
Control.
Internacional Auditing Assurance Standards Board – Procedimientos de auditoría en respuesta a
los riesgos valorados, 2002.
American Institute of Certified Public Accountants (AICPA) – Procedimientos de auditoría – SAS,
1997.
Organización Internacional de las Entidades Fiscalizadoras Superiores – Directrices para las
Normas de Control Interno, 1992.
19. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
18
ANEXO Nº 1
EJEMPLO DE RELACIONES BASICAS EN LA ETAPA DE PROGRAMACIÓN EN
AUDITORIA.
A objeto de describir una relación global entre riesgos y objetivos generales y específicos, procedimientos
generales, medios para obtener evidencia y elementos a considerar en la obtención de evidencia, a continuación
se presenta el siguiente esquema:
Esquema N° 2. Relaciones entre objetivos generales y específicos.
OBJETIVO GENERAL DE AUDITORIA PARA EL PROCESO CRITICO INCLUIDO EN EL PLAN ANUAL
Conocer Comprender Explicar Sintetizar Interpretar Deducir Analizar Evaluar Otros...
Objetivos
operativos del
proceso o
subproceso o
etapa.
Identificación de riesgos
operativos, asociados a los
objetivos operativos.
Objetivos específicos de
auditoría asociados al
riesgo operativo y al
objetivo general.
Procedimientos
generales para
satisfacer los
objetivos de
auditoría.
Medios para
obtener evidencia
de auditoría en
base a muestras
o población.
Elementos a
considerar en la
obtención de la
evidencia de
auditoría.
Categorizar...
Clasificar...
Deficiencias o errores en la...
Falta de transparencia...
Examinar...
Conocer...
Transferir...
Vincular...
Transferencia incompleta....
Falta de autorización...
Deducir...
Medir...
Establecer...
Estructurar...
Falta de coherencia de....
Falta de claridad en los...
Interrelacionar...
Vincular...
Identificar...
Ordenar...
Omisión de...
Desconocimiento de...
Relacionar...
Inferir...
Originar...
Pronosticar...
Inexistencia de...
Falta de oportunidad del...
Analizar...
Comparar...
Resolver...
Sintetizar...
Incumplimiento de...
Procesamiento incompleto...
Distinguir...
Validar...
Relacionar
Desarrollar...
Diseñar...
Seguridad insuficiente...
Falta de recursos...
Identificar...
Evaluar...
Medir...
Organizar...
Realizar...
Falta de claridad en la
comunicación...
Calidad insuficiente...
Distinguir...
Comparar...
Reconocer...
Sintetizar...
Inexistencia de información..
Déficit en competencias...
Calificar...
Evaluar...
Obtener...
Adquirir...
Seguimiento inadecuado...
Cláusulas deficientes...
Analizar...
Determinar....
Producir...
Procesar...
Deficiencias en el control...
Ineficiencias en
producción...
Revisar...
Chequear...
Otros... Otros... Otros...
Cumplimiento y
Sustantivos
• Examen físico
• Confirmación
• Cálculo
• Documentación
• Observación
• Procedimientos
analíticos
• Otros…
• Naturaleza y
Fuente
• Integridad
• Disponibilidad y
accesibilidad
• Autorizaciones
• Formatos
• Completitud
• Firmas
• Almacenamiento
• Otros...
20. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
19
ANEXO Nº 2
EJEMPLO FORMATO BÁSICO PARA PRESENTAR Y LISTAR EN EL PROGRAMA DE AUDITORÍA; PUNTOS
CRITICOS, OBJETIVOS ESPECIFICOS DE AUDITORIA Y ACTIVIDADES Y PROCEDIMIENTOS A APLICAR.
Número :…
Código: ….
Versión :….
Nombre del documento: Procedimiento de auditoría
para….
Página :…. de….
1.- TIPO DE OBJETIVO DE CONTROL.
2.- PROCESO, SUBPROCESO O ETAPA A AUDITAR Y MATERIA DE AUDITORÍA.
3.- EQUIPO DE AUDITORES Y RESPONSABLE DEL EQUIPO.
4.- OBJETIVOS GENERALES DE AUDITORÍA.
5.- ALCANCE DE LA AUDITORÍA.
6.- OPORTUNIDAD Y PERIODO.
7.- HORAS DE AUDITORÍA.
8.- CRONOGRAMA ESPECÍFICO PARA REALIZAR LA AUDITORÍA.
9- FUENTES DE INFORMACIÓN OPERACIONAL Y LEGAL.
10.- CRITERIO UTILIZADO PARA DEFINIR LOS PUNTOS CRÍTICOS A AUDITAR (Severidad, impacto, exposición
al riesgo, etc.)
11.- Definición de puntos críticos, objetivos específicos de auditoría y procedimientos de
auditoría a aplicar (de cumplimiento y sustantivos).
PUNTOS CRÍTICOS OBJETIVOS
ESPECIFICOS DE
AUDITORIA
DETALLE ACTIVIDADES Y
PROCEDIMIENTOS AUDITORIA
REF.
P/T
4
TIEMPO (HRS.)
ESTIMADO
APLICACIÓN DE
PROCEDIMIENTO
CONTROL DE AUDITORES PARTICIPANTES EN EL PROGRAMA
AUDITOR (S) QUE ELABORÓ AUDITOR (S) QUE REVISÓ AUDITOR (S) QUE AUTORIZÓ
Nombre: Nombre: Nombre:
Firma: Firma: Firma:
Fecha: Fecha: Fecha:
4
REF. P/T = Referencia a papeles de trabajo
21. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
20
ANEXO Nº 3
ESCALAS DE VALORACIÓN SUGERIDAS PARA CONSTRUIR LA MATRIZ DE RIESGOS.
1.- SEVERIDAD DEL RIESGO.
1.1.- Esquema N° 3. Categorías de probabilidad:
Categoría Valor Descripción
Casi certeza 5
Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto
grado de seguridad que éste se presente. (90% a 100%)
Probable 4
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a
89% de seguridad que éste se presente.
Moderado 3
Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31%
a 65% de seguridad que éste se presente.
Improbable 2
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a
30% de seguridad que éste se presente.
Muy improbable 1
Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre
1% a 10% de seguridad que éste se presente.
1.2.- Esquema N° 4. Categorías de Impacto:
CCaatteeggoorrííaa Valor Descripción
Catastróficas
5
Riesgo cuya materialización influye gravemente en el desarrollo del proceso y
en el cumplimiento de sus objetivos, impidiendo finalmente que éste se
desarrolle.
Mayores 4
Riesgo cuya materialización dañaría significativamente el desarrollo del
proceso y el cumplimiento de sus objetivos, impidiendo que éste se desarrolle
en forma normal.
Moderadas 3
Riesgo cuya materialización causaría un deterioro en el desarrollo del proceso
dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que éste
se desarrolle en forma adecuada.
Menores 2
Riesgo que causa un daño menor en el desarrollo del proceso y que no afecta
mayormente el cumplimiento de sus objetivos estratégicos.
Insignificantes 1
Riesgo que puede tener un pequeño o nulo efecto en el desarrollo del proceso
y que no afecta el cumplimiento de sus objetivos estratégicos.
22. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
21
1.3.- Esquema N° 5. Nivel de Severidad del riesgo.
NIVEL PROBABILIDAD
(P)
NIVEL IMPACTO
(I)
SEVERIDAD DEL RIESGO
S = (P x I)
Casi Certeza (5) Catastróficas (5) EXTREMO ( 25)
Casi Certeza (5) Mayores (4) EXTREMO (20 )
Casi Certeza (5) Moderadas (3) EXTREMO (15 )
Casi Certeza (5) Menores (2) ALTO (10)
Casi Certeza (5) Insignificantes (1) ALTO (5)
Probable (4) Catastróficas (5) EXTREMO (20)
Probable (4) Mayores (4) EXTREMO (16 )
Probable (4) Moderadas (3) ALTO (12)
Probable (4) Menores (2) ALTO (8)
Probable (4) Insignificantes (1) MODERADO (4)
Moderado (3) Catastróficas (5) EXTREMO (15 )
Moderado (3) Mayores (4) EXTREMO (12 )
Moderado (3) Moderadas (3) ALTO (9)
Moderado (3) Menores (2) MODERADO (6)
Moderado (3) Insignificantes (1) BAJO (3)
Improbable (2) Catastróficas (5) EXTREMO (10 )
Improbable (2) Mayores (4) ALTO (8)
Improbable (2) Moderadas (3) MODERADO (6)
Improbable (2) Menores (2) BAJO (4)
Improbable (2) Insignificantes (1) BAJO (2)
muy improbable (1) Catastróficas (5) ALTO (5)
muy improbable (1) Mayores (4) ALTO (4)
muy improbable (1) Moderadas (3) MODERADO (3)
muy improbable (1) Menores (2) BAJO (2)
muy improbable (1) Insignificantes (1) BAJO (1)
En el esquema se muestra el resultado de la combinación entre las categorías del nivel de
impacto del riesgo y las categorías del nivel de probabilidad de ocurrencia del riesgo, es decir,
el nivel de severidad.
De este esquema se puede observar que las categorías de impacto tienen una mayor
incidencia en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia
sea menor, al tratarse de riesgos con impactos altos, cualquier materialización del riesgo
(aunque sea en sólo una oportunidad) tendrá una consecuencia significativa en el
cumplimiento de los objetivos del proceso examinado.
Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de
ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD
(P)
NIVEL IMPACTO
(I)
SEVERIDAD DEL RIESGO
S = (P x I)
muy improbable (1) Mayores (4) ALTO (4)
Probable (4) Insignificantes (1) MODERADO (4)
Probable (4) Moderadas (3) ALTO (12)
Moderado (3) Mayores (4) EXTREMO (12 )
23. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
22
2.- CLASIFICACIÓN DEL CONTROL CLAVE.
2.1.- Diseño del control.
• Esquema N° 6. Oportunidad de la acción del control (O):
Clasificación Descripción
Preventivo (Pv) Controles claves que actúan antes o al inicio de un proceso.
Correctivo (Cr) Controles claves que actúan durante el proceso y que permiten corregir las deficiencias.
Detectivo (Dt) Controles claves que sólo actúan una vez que el proceso ha terminado.
• Esquema N° 7. Periodicidad en la acción del control (PD):
Clasificación Descripción
Permanente (Pe) Controles claves aplicados durante todo el proceso, es decir, en cada operación.
Periódico (Pd) Controles claves aplicados en forma constante sólo cuando ha transcurrido un periódico
específico de tiempo
Ocasional (Oc) Controles claves que se aplican sólo en forma ocasional en un proceso.
• Esquema N° 8. Automatización en la aplicación del control (A):
Clasificación Descripción
100% automatizado (At)
Controles claves incorporados en el proceso, cuya aplicación es
completamente informatizada. Están incorporados en los sistemas
informatizados
Semi – automatizado (Sa)
Controles claves incorporados en el proceso, cuya aplicación es parcialmente
desarrollada mediante sistemas informatizados.
Manual (Ma)
Controles claves incorporados en el proceso, cuya aplicación no considera
uso de sistemas informatizados
24. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
23
2.2.- Esquema N° 9. Escala de clasificación de la eficiencia de los controles.
CARACTERÍSTICAS DISEÑO CONTROL
CLAVE/FUNDAMENTALREQUISITO EN
CUMPLIMIENTO CON
NORMAS DE CONTROL PERIODICIDAD
(PD)
OPORTUNIDAD
(O)
AUTOMATIZACIÓN
(A)
CLASIFICACIÓN
VALOR DEL
DISEÑO DEL
CONTROL
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
PREVENTIVO
PREVENTIVO
PREVENTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
OPTIMO 5
CUMPLIMIENTO
ADECUADO
PERMANENTE
PERMANENTE
PERMANENTE
DETECTIVO
DETECTIVO
DETECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
CUMPLIMIENTO
ADECUADO
PERIODICO
PERIODICO
PERIODICO
PREVENTIVO
PREVENTIVO
PREVENTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
BUENO 4
CUMPLIMIENTO
ADECUADO
PERIODICO
PERIODICO
PERIODICO
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
CUMPLIMIENTO
ADECUADO
PERIODICO
PERIODICO
PERIODICO
DETECTIVO
DETECTIVO
DETECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
MMAASS QQUUEE
RREEGGUULLAARR
3
CUMPLIMIENTO
ADECUADO
OCASIONAL
OCASIONAL
OCASIONAL
PREVENTIVO
PREVENTIVO
PREVENTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
CUMPLIMIENTO
ADECUADO
OCASIONAL
OCASIONAL
OCASIONAL
CORRECTIVO
CORRECTIVO
CORRECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
REGULAR 2
CUMPLIMIENTO
ADECUADO
OCASIONAL
OCASIONAL
OCASIONAL
DETECTIVO
DETECTIVO
DETECTIVO
INFORMATIZADO
SEMI INFORMAT
MANUAL
DEFICIENTE 1
Insuficiente
NO
DETERMINADO
NO
DETERMINADO
NO
DETERMINADO INEXISTENTE 1
En el esquema anterior, se señala que en primer lugar se debe evaluar si el control mitigante
asociado a un riesgo, tiene un nivel de cumplimiento adecuado respecto de las normas de
control (ver anexo N° 4). Esto implica realizar un análisis integral de las referidas normas
(segregación, autorización, formalización, etc.) y determinar si las normas que se requieren de
acuerdo con la naturaleza del control examinado en particular se cumplen.
Producto de este análisis, se puede dar que las normas se cumplan satisfactoriamente, es
decir, que el control está sustentado en una estructura básica sólida. Posteriormente, se debe
seguir con el análisis del diseño del control, este aspecto es relevante, ya que los riesgos son
por naturaleza dinámicos y requieren que los controles tengan una estructura que se oriente a
la prevención de la materialización del efecto de los riesgos.
Finalmente, se debe clasificar el nivel de eficiencia del control examinado, de acuerdo con el
esquema presentado, asignándole el valor respectivo según la escala.
En caso que esto no ocurra, es decir, las normas no presentan un cumplimiento suficiente en el
control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y
corresponde clasificarlo como si se tratara de un control inexistente, con valoración de 1, sin
25. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
24
que ya sea necesario evaluar la eficiencia en el diseño del control respecto de la ocurrencia del
riesgo.
En caso que no exista control, obviamente no será necesario probarlo mediante procedimientos
y pruebas de auditoría, ni verificar si su diseño está orientado a mitigar el riesgo. Por
consiguiente debe clasificarse como inexistente, con nivel de eficiencia del control examinado
de 1, de acuerdo con la escala contenida en el esquema presentado.
Posteriormente, en la etapa de formulación del informe, debe describirse la situación de
inexistencia de control y los efectos reales o potenciales para la organización. Debiendo
adicionalmente el auditor, aportar a la disminución del nivel de exposición determinado
mediante propuestas de medidas correctivas y preventivas, que contribuyan a un adecuado
control y administración del riesgo (por ejemplo mediante sugerencias de diseño e
implementación de controles con características apropiadas de periodicidad, oportunidad y
automatización en relación al riesgo asociado).
Ante inconsistencias entre la medición y la opinión profesional del auditor prevalece esta última,
debidamente fundada.
3.- NIVELES DE CLASIFICACIÓN DEL NIVEL DE EXPOSICIÓN AL RIESGO.
La exposición al riesgo está determinada por la severidad del riego dividida por eficiencia del
control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas en la
página Nº 21 (nivel de severidad del riesgo) y páginas Nº s 22 a la 24 (nivel de eficiencia del
control).
A continuación se presenta la escala de nivel de exposición al riesgo que los califica:
Esquema N° 10. Escala del nivel de exposición al riesgo.
INDICADOR DE EXPOSICION AL
RIESGO
VALOR NVEL DE EXPOSICION AL
RIESGO
8,0 – 25,0 NO ACEPTABLE (Na)
4,0 – 7,99 MAYOR (Ma)
3,0 – 3,99 MEDIA (Md)
NIVEL SEVERIDAD DEL RIESGO
NIVEL EFICIENCIA DEL CONTROL
0,2 - 2,99 MENOR (Me)
Tal como se señaló, la escala previamente presentada, ha sido construida en base a la
relación entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de
eficiencia del control asociado a ese riesgo (Deficiente, Regular, Más que regular, Bueno,
Óptimo). Dicha relación se presenta en el esquema N° 11.
26. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
25
Un primer análisis de dicha escala observaría que los niveles de exposición al riesgo Mayor y
No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos
respectivamente, pero al realizar un análisis más riguroso, se debería observar que en realidad
los niveles de exposición al riesgo con valores más altos, corresponden en general a las
combinaciones entre los niveles de riesgo más severos y los niveles de eficiencia del control
más bajos, o a las combinaciones entre los riesgos con severidad más altas y con controles
que tienen un nivel de eficiencia sólo de regular.
Por otra parte, los niveles de exposición al riesgo más bajos están conformados en general por
las combinaciones entre los niveles de riesgos menos severas y los niveles de eficiencia del
control más altos, o por las combinaciones entre riesgos con severidades bajas y controles con
niveles de eficiencia deficiente o regular, o por las combinaciones entre riesgos con severidad
altas, pero con controles con nivel de eficiencia óptimo o bueno.
Por ejemplo, en el esquema N° 11 se observa que el nivel de exposición al riesgo E1 = 10,
(Nivel de exposición al riesgo No Aceptable) está conformado por un nivel de severidad del
riesgo, Extremo = 20 y un nivel de eficiencia de control, Regular = 2.
En el caso del nivel de exposición E2 = 4 (Nivel de exposición al riesgo Mayor), está
conformado por un nivel de severidad del riesgo, Alto = 12 y un nivel de eficiencia de control,
Más que Regular = 3.
Finalmente, el nivel de exposición E3 = 1 (Nivel de exposición al riesgo Menor), está
conformado por un nivel de severidad del riesgo, Alto = 5 y un nivel de eficiencia de control,
Óptimo = 5.
Esquema N° 11. Relaciones entre severidad del riesgo y eficiencia del control que determinan
la escala del nivel de exposición al riesgo.
27. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
26
ANEXO Nº 4
CONCEPTOS GENERALES SOBRE NORMAS DE CONTROL.
1.- Definición de control.
El Control es la función administrativa que consiste en medir el desempeño individual y
organizacional para asegurar que las actividades se ajusten a los planes y mitiguen
adecuadamente los riesgos.
2.- Normas básicas de control.
Las normas básicas son los mecanismos o procedimientos que permiten alcanzar los objetivos
de control. Estas normas comprenden las políticas específicas, los procedimientos, los planes
de la organización (incluida la división de las tareas) y los dispositivos físicos y lógicos (tales
como cerraduras o alarmas contra incendio y controles en las aplicaciones computacionales),
si bien no se limitan exclusivamente a estos aspectos. Los controles deben proporcionar una
seguridad razonable de que se logren continuamente los objetivos del control interno. Para
ello, deben ser eficaces y estar diseñados de forma que operen como un sistema integrado y
no individualmente.
Los controles, para que sean eficaces, deben cumplir con el propósito previsto en la aplicación
real. Es posible que los controles diseñados para funcionar en un ambiente manual no sean
eficaces en uno automatizado. Por consiguiente, los controles seleccionados deben cumplir el
propósito previsto y funcionar siempre que el caso lo requiera. En cuanto a su eficiencia, los
controles deben estar diseñados para poder obtener el máximo beneficio con un esfuerzo
adecuado. Los controles que se examinen para verificar su eficacia y suficiencia deben ser los
que se utilizan en la práctica y deben ser evaluados periódicamente para asegurar su
aplicación constante en la prevención de riesgos.
Los controles que se presentan a continuación son los que se utilizan generalmente en una
estructura de control interno ordenada y eficaz. Los métodos y procedimientos específicos que
se describen en relación a cada uno de ellos, no pretenden ser exhaustivos sino que deben
ser considerados como ejemplos. Entre otros se cuentan: la documentación, el registro
oportuno y adecuado de las transacciones y hechos, autorización y ejecución de las
transacciones y hechos, división de las tareas, supervisión y acceso a los recursos y registros
y responsabilidad ante los mismos.
a) Documentación en papel y medios electrónicos.
Deben documentarse las estructuras de control interno y todas las transacciones y hechos
internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos
pertinentes de las transacciones y hechos significativos. Asimismo, la documentación en papel
y electrónica debe estar disponible y ser fácilmente accesible para su verificación por el
personal apropiado y los auditores.
La documentación relativa a las estructuras de control interno debe incluir aspectos sobre la
estructura y políticas de una institución, sobre sus categorías operativas, objetivos y
28. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
27
procedimientos de control. Esta información debe figurar en documentos tales como planes o
guías, las políticas administrativas y los manuales de operación y de contabilidad.
La documentación sobre transacciones y hechos significativos debe ser completa y exacta y
facilitar el seguimiento de la transacción o hecho, antes, durante y después de su realización.
La documentación de las estructuras de control interno, de las transacciones y de hechos
importantes debe tener un propósito claro, ser apropiada para alcanzar los objetivos de la
institución y servir a los directivos para controlar sus operaciones y a los auditores para
analizar dichas operaciones.
En los casos en que existen sistemas informáticos integrados en la institución, que generen
como soporte respaldatorio de las operaciones, documentos electrónicos con existencia legal,
se deberá obtener evidencia electrónica respecto del origen, firmas, integridad, completitud,
archivo o registro, accesibilidad y disponibilidad y no-repudio de la información.
b) Registro oportuno y adecuado de las transacciones y hechos.
Las transacciones y hechos importantes deben registrarse inmediatamente y debidamente
clasificados.
Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la
información siga siendo relevante y útil para los directivos que controlan las operaciones y
adoptan las decisiones pertinentes. Ello es válido para todo el proceso o ciclo de vida de una
transacción; abarcando el inicio y la autorización, todos los aspectos de la transacción
mientras se realiza y su anotación final en los registros. También conviene actualizar
rápidamente toda la documentación con objeto de mantener su validez.
Se requiere, asimismo, una clasificación pertinente de las transacciones y hechos a fin de
garantizar que la dirección disponga continuamente de una información fiable. Una
clasificación pertinente significa organizar y procesar la información a partir de la cual se
elaboran los informes, los planes y los estados financieros y presupuestarios.
El registro inmediato y pertinente de la información es un factor esencial para asegurar la
oportunidad y fiabilidad de toda la información que la institución maneja en sus operaciones y
en la adopción de decisiones.
En los casos en que existen sistemas informáticos integrados en la institución, que generan
como soporte respaldatorio de las operaciones, documentos electrónicos con existencia legal,
se deberá obtener evidencia electrónica respecto de la firma, integridad, completitud y archivo
o registro.
c) Autorización y ejecución de las transacciones y hechos.
Las transacciones y hechos relevantes solo podrán ser autorizados en papel o
electrónicamente y ejecutados por aquellas personas que actúen dentro del ámbito de sus
competencias.
La dirección es quien decide el canje, la transferencia, la utilización o la asignación de fondos
para atender metas específicas en condiciones particulares. La autorización es la principal
forma de asegurar que sólo se efectúen transacciones y hechos válidos de conformidad con lo
29. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
28
previsto por la dirección. La autorización debe estar documentada física o electrónicamente y
ser comunicada explícitamente a los directivos y a los empleados, incluyendo los términos y
condiciones específicos conforme a los cuales se concede una autorización. La conformidad
con los términos de una autorización significa que los empleados ejecutan las tareas que les
han sido asignadas de acuerdo con las directrices y dentro del ámbito de competencias
establecido por la dirección o la legislación.
En los casos en que existen sistemas informáticos integrados en la institución, que generan
como soporte respaldatorio de las operaciones, documentos electrónicos con existencia legal,
se deberá obtener evidencia electrónica respecto del origen, firmas e integridad de la
información.
d) División o segregación de las tareas.
Las tareas y responsabilidades principales ligadas a la autorización, tratamiento, registro y
revisión de las transacciones y hechos deben ser asignadas a personas diferentes.
Con el fin de reducir el riesgo de errores, despilfarros o actos ilícitos, o la probabilidad de que
no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales
de una transacción u operación se concentren en manos de una sola persona o sección. Las
funciones y responsabilidades deben asignarse sistemáticamente a varias personas para
asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la
autorización y el registro de las transacciones, la emisión y el recibo de los haberes, los pagos
y la revisión o fiscalización de las transacciones. Sin embargo, la colusión puede reducir o
eliminar la eficacia de esta técnica de control interno.
Una pequeña organización puede que no tenga suficientes empleados para aplicar esta
técnica plenamente. En tal caso, la dirección debe ser consciente del riesgo que ello implica y
compensar el defecto con otros controles. La rotación del personal contribuye a que los
aspectos centrales de las transacciones o hechos contables no se concentren en una sola
persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse también
el uso del período vacacional anual para ayudar a reducir estos riesgos.
e) Supervisión.
Debe existir una supervisión para garantizar el logro de los objetivos de control interno.
Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus
subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitación
necesarias para minimizar los errores, el despilfarro y los actos ilícitos y asegurar la
comprensión y cumplimiento de las directrices especificas de la dirección.
La asignación, revisión y aprobación del trabajo del personal exige:
Indicar claramente las funciones y responsabilidades del trabajo del empleado.
Examinar sistemáticamente el trabajo de cada empleado, en la medida que sea necesario.
Aprobar el trabajo en puntos críticos del desarrollo para asegurarse de que avanza según
lo previsto.
30. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
29
La asignación, revisión y aprobación del trabajo del personal debe tener como resultado el
control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y
requisitos aprobados, la constatación y eliminación de los errores, los malentendidos y las
prácticas inadecuadas, la reducción de las probabilidades de que ocurran o se repitan actos
ilícitos y el examen de la eficiencia y eficacia de las operaciones. La delegación del trabajo de
los supervisores no exime a estos de la obligación de rendir cuentas de sus responsabilidades
y tareas.
f) Acceso a los recursos y registros y responsabilidades ante los mismos.
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello,
quienes están obligadas a rendir cuentas de la custodia o utilización de los mismos. Para
garantizar dicha responsabilidad, se debe cotejar periódicamente los recursos con los registros
y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y
relevancia de los activos.
La restricción del acceso físico y lógico a los recursos permite reducir el riesgo de una
utilización no autorizada o de pérdida y contribuir al cumplimiento de las directrices de la
dirección. El grado de limitación depende de la vulnerabilidad de los recursos y del riesgo
potencial de pérdida. Ambos deben evaluarse periódicamente. Por ejemplo, el acceso a los
documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como
cheques en blanco, puede restringirse:
Manteniéndolos en una caja fuerte.
Asignando a cada documento un número de serie.
Encargando su custodia a personas responsables.
Al determinarse la vulnerabilidad de un activo, debe considerarse también su costo, la
facilidad de transporte y el riesgo de pérdida o de utilización indebida.
En los casos en que existen sistemas informáticos integrados en la institución, que generan
como soporte respaldatorio de las operaciones, documentos electrónicos con existencia legal,
se deberá obtener evidencia electrónica respecto del origen, firmas, integridad y accesibilidad
y disponibilidad. Además de deberá evaluar los niveles de seguridad de los accesos lógicos a
las base de datos de la organización.
3.- Principales Normas específicas de control en Marco Integrado de Control Interno
– Modelo C.O.S.O. - Committee of Sponsoring Organizations.
Estas normas se presentan a modo de sugerencia, puesto que su existencia y características
dependen del tipo de control y de la estructura del proceso, entre otras variables.
Normas relativas al ambiente de control.
• Ambiente propicio para el control.
• Actitud de apoyo superior al control interno.
31. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
30
• Valores de integridad y ética.
• Administración eficaz del potencial humano.
• Estructura organizativa formal y conocida.
• Delegación formal y adecuada.
• Coordinación de acciones organizacionales.
• Participación del personal en el control interno.
• Adhesión a las políticas institucionales.
Normas relativas a la evaluación de riesgos.
• Identificación y evaluación de riesgos.
• Planificación formal.
• Indicadores de desempeño mensurables.
• Divulgación de los planes.
• Definición y comunicación de políticas de apoyo a los objetivos.
• Revisión de los objetivos.
• Cuestionamiento periódico de los supuestos de planificación.
Normas relativas a las actividades de control.
• Prácticas y medidas de control formales.
• Control integrado.
• Análisis de costo/beneficio.
• Responsabilidad delimitada.
• Instrucciones por escrito.
• Separación de funciones incompatibles.
• Autorización y aprobación de transacciones y operaciones.
• Documentación de procesos y transacciones.
• Supervisión constante.
• Registro oportuno.
• Sistema contable y presupuestario.
• Acceso a activos y registros.
• Revisiones de control permanentes.
• Conciliación periódica de registros.
• Inventarios periódicos.
• Arqueos independientes.
• Formularios uniformes.
• Rotación de labores.
• Toma oportuna de vacaciones.
• Garantías a favor de la institución.
• Dispositivos de control y seguridad lógicos y físicos.
Normas relativas a información y comunicación.
• Obtención y comunicación de información efectivas.
• Calidad y suficiencia de la información.
• Sistemas de información.
32. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
31
• Controles sobre sistemas de información.
• Canales de comunicación abiertos.
• Archivo institucional formal.
Normas relativas al monitoreo.
• Monitoreo constante del control interno en operación.
• Monitoreo de las actividades.
• Monitoreo constante del ambiente de control.
• Evaluación del desempeño institucional.
• Informes de seguimiento a responsables.
• Rendición de cuentas.
• Reporte de deficiencias.
• Toma de acciones correctivas.
• Asesoría externa para monitoreo del control interno.
4.- Identificación y análisis de controles claves.
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en
la institución, los que teóricamente mitigan los riesgos, esto es, todas las medidas que ha
tomado la administración con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos
controles deben ser evaluados en el nivel de cumplimiento de norma s de control y calificados
de acuerdo a su diseño, es decir, su oportunidad (en que momento del proceso se aplican;
preventivos, correctivos, detectivos), periodicidad (si son permanentes, periódicos u
ocasionales), grado de automatización (manual, semi automatizado, 100% automatizado) y
evaluados en términos del cumplimiento de normas específicas de control.
Una vez determinada claramente la existencia de todos los controles asociados a los riesgos
relevantes que operan en el proceso en estudio, será necesario en primer lugar, definir si
existe uno o más controles asociados a cada riesgo específico identificado.
Cuando exista más de un control por riesgo específico, será necesario identificar si se trata de
controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si
alguno de los controles no tienen esa característica y sólo se trata de controles que no
contribuyen significativamente a mitigar el riesgo. En general para este último tipo de
controles, es recomendable informar a la Dirección, para su eliminación o fortalecimiento, si
corresponde (relación costo/beneficio).
Cuando se identifique que un riesgo específico tiene varios controles asociados y éstos tienen
distinto nivel de eficiencia medida en forma individual, el auditor debe sólo evaluar el nivel de
eficiencia que se genera al actuar en conjunto los distintos controles clasificados como claves,
desechando para efectos de este análisis a los controles no fundamentales (ver ejemplo en
páginas siguientes).
El segundo paso corresponde a determinar (identificar, analizar y cuantificar) el nivel de
eficiencia de los controles en base al diseño del control y cumplimiento de normas específicas
de control. Nivel definida por los atributos periodicidad, oportunidad y nivel de automatización
del control en base al esquema que se presenta en la página siguiente.
33. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
32
El siguiente paso corresponde a analizar para cada uno de los controles claves identificados
con los riesgos, el grado de cumplimiento de normas específicas de control.
En resumen, lo que se persigue con este procedimiento, no es sólo verificar la existencia y el
grado de cumplimiento de normas específicas para todos los controles, sino que evaluar si
existen controles claves o fundamentales asociados a un riesgo en particular y si éstos
además de cumplir con normas específicas están diseñados con la finalidad de mitigar los
efectos que se puedan producir ante la materialización del riesgo.
A continuación se presenta un procedimiento que permite dejar evidencia del análisis realizado
al auditor. Para este efecto, se sugiere utilizar el siguiente esquema:
Esquema N° 12. Análisis de controles claves
IImmppoorrttaanncciiaa ddeell ccoonnttrrooll pprreesseennttee ppaarraa mmiittiiggaarr llooss
rriieessggooss aall iinntteerriioorr ddeell pprroocceessoo
Etapa Riesgo
Relevante
Descripción del
Control identificado en el proceso
( asociado a un riesgo determinado) Clave/Fundamental No es fundamental
Ejemplo de determinación de una evaluación de la eficiencia de los controles claves:
i.- Esquema N° 13. Identificación de controles claves en etapa de cálculo de horas
extraordinarias.
IImmppoorrttaanncciiaa ddeell ccoonnttrrooll pprreesseennttee ppaarraa
mmiittiiggaarr llooss rriieessggooss aall iinntteerriioorr ddeell
pprroocceessoo
Etapa
Riesgo
Relevante
Descripción del
Control identificado en el
proceso
( asociado a un riesgo
determinado)
Clave/fundamental No es fundamental
El sistema de control
biométrico registra las horas
trabajadas y calcula aquellas
que exceden de las 44 horas
ordinarias
X
El jefe de la Unidad de
remuneraciones revisa y
aprueba el cálculo de horas
para su pago.
X
Cálculo de
horas
extraordinarias
Errores o
irregularidades
en el cálculo de
las horas
extraordinarias
El encargado de
remuneraciones lleva un
archivador con el detalle del
las horas extras por
funcionario
X
34. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
33
ii.- Esquema N° 14. Análisis del cumplimiento de normas de control en el control
mitigante examinado.
Nivel de cumplimento de normas del control asociado
Niveles de cumplimiento de normas: adecuado, regular, insuficiente
Riesgo Relevante
Documentación Registro Autorización
División o
Segregación
Supervisión Acceso
Errores o
irregularidades en el
cálculo de las horas
extraordinarias
Nivel adecuado
Nivel
adecuado
Nivel adecuado
Nivel
adecuado
Nivel
adecuado
Nivel
regular
Conclusión del nivel de cumplimiento de las normas: Adecuado
iii.- Esquema N° 11. Determinación de la eficiencia de los controles claves.
Características en el diseño del control clave/fundamental
Controles
Claves/fundamental
Nivel de
Cumplimiento
de normas
específicas de
control
Oportunidad Periodicidad Automatización Clasificación Valor
El sistema biométrico de
control horario, contiene un
algoritmo que calcula las
horas trabajadas,
indicando en forma precisa
aquellas que exceden de
las 44 semanales. El jefe
de remuneraciones revisa
el reporte del sistema y
aprueba el cálculo para su
pago.
Adecuado
respecto de las
normas de
control
Preventivo
(previene
errores y se
encuentra al
principio del
proceso)
Periódico
(a la fecha de
corte mensual
para pago)
Automatizado y
Manual
Óptimo 5
35. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
34
ANEXO Nº 5
CONCEPTOS GENERALES SOBRE PROCEDIMIENTOS DE AUDITORÍA.
1.- Concepto.
Se definen como aquellas técnicas que utiliza el auditor para obtener la evidencia necesaria y
suficiente para formarse un juicio profesional y objetivo sobre la materia auditada. Los
procedimientos pueden ser de cumplimiento o sustantivos. Son de cumplimiento cuando se
examina la evidencia disponible acerca de que los controles existen y están funcionando
efectiva y continuamente durante el periodo de la auditoría. Son sustantivos cuando tienen por
objeto obtener evidencia de auditoría relacionada con la integridad, exactitud y validez de la
información utilizada en la auditoría. Son procedimientos diseñados para verificar errores o
irregularidades que afecten directamente el cumplimiento de los objetivos de la organización
El auditor determinará la naturaleza, oportunidad y extensión de los procedimientos a aplicar
para que los mismos sean efectivos y además se preocupará de optimizar la cantidad y
calidad de la evidencia.
2.- Consideración de la Naturaleza, Oportunidad y Extensión de los Procedimientos
de Auditoría.
a.- Naturaleza.
La naturaleza de los procedimientos de auditoría se refiere a su propósito (pruebas de
cumplimiento o procedimientos sustantivos) y su tipo, esto es, inspección, observación,
indagación, confirmación, re-cálculo, pruebas de detalle, o procedimientos analíticos. Para
algunos riesgos, ciertos procedimientos de auditoría pueden ser más apropiados que otros.
La selección que realiza el auditor entre los procedimientos de auditoría se basa en la
valoración del riesgo. A más alta la valoración que hizo el auditor sobre el riesgo, más
confiable y relevante es la evidencia de auditoría que busca el auditor. Esto puede afectar
tanto los tipos de procedimientos de auditoría a ser desempeñados como su combinación. Por
ejemplo, el auditor puede confirmar la completitud de los términos de un contrato con un
tercero, además de inspeccionar el documento.
Al determinar los procedimientos de auditoría a ser desempeñados, el auditor considera las
razones para cada valoración de riesgo. Por ejemplo, si el auditor considera que existe un
riesgo bajo a causa de las características particulares de la clase de transacciones, el auditor
puede determinar que los procedimientos analíticos sustantivos pueden proveer evidencia de
auditoría suficiente y apropiada; o si considera que existe un riesgo bajo ya que la entidad
tiene controles efectivos, puede diseñar la naturaleza, oportunidad y extensión de los
procedimientos sustantivos planeados, con base en la operación efectiva de esos controles,
para obtener evidencia de auditoría sobre la efectividad de su operación.
Cuando la información que usa el auditor para desempeñar procedimientos de auditoría es
producida por el sistema de información de la entidad, el auditor debe obtener evidencia sobre
la exactitud y completitud de la información electrónica.
36. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
35
b.- Oportunidad.
La oportunidad se refiere a cuándo se aplican los procedimientos de auditoría o al período o
fecha a la que corresponde la evidencia de auditoría obtenida.
El auditor puede desempeñar pruebas de los controles o procedimientos sustantivos en una
fecha intermedia o a final del período en el que se realiza la auditoría. A mayor nivel de riesgo
de auditoría y de negocio, mayor es la probabilidad de que el auditor deba utilizar
procedimientos sustantivos.
En casos de auditorías financieras desempeñar procedimientos sustantivos antes de finalizar
el período le puede permitir al auditor considerar asuntos significativos, en cuanto ellos surgen,
y desarrollar un enfoque de auditoría efectivo para direccionarlos.
Al considerar cuándo aplicar procedimientos de auditoría, el auditor también considera asuntos
tales como:
· Cuándo está disponible la información relevante.
· La naturaleza del riesgo.
· El período o fecha al cual se refiere la evidencia de auditoría.
· El ambiente de control.
c.- Extensión.
La extensión incluye la cantidad a aplicar de un procedimiento específico de auditoría, por
ejemplo, un tamaño de muestra o una cantidad de observaciones de un procedimiento de
control. La extensión de un procedimiento de auditoría se determina mediante el juicio del
auditor luego de considerar la materialidad, el riesgo valorado, y el grado de aseguramiento
que el auditor planea obtener. En particular, el auditor ordinariamente incrementa la extensión
de los procedimientos de auditoría en la medida en que se incrementa el riesgo. Sin embargo,
incrementar la extensión de un procedimiento de auditoría es solamente efectivo si el
procedimiento de auditoría mismo es relevante para el riesgo específico; por consiguiente, la
naturaleza de un procedimiento de auditoría constituye la consideración más importante.
El uso de técnicas de auditoría asistidas por computador (CAATs) puede facilitar pruebas más
extensivas de las transacciones electrónicas. Tales técnicas se pueden usar para seleccionar
transacciones a partir de archivos electrónicos claves, para buscar transacciones con
características específicas, o para probar una población entera en lugar de una muestra.
3.- Pruebas de Control o Cumplimiento.
Cuando el análisis preliminar de los riesgos y controles, se basa en una expectativa de que los
controles están operando efectivamente, el auditor debe desempeñar pruebas de
cumplimiento para obtener evidencia de auditoría suficiente y apropiada respecto de que los
controles estuvieron operando efectivamente en tiempos relevantes durante el período
sometido a auditoría. Las pruebas de la efectividad de operación de los controles se pueden
aplicar sobre los controles que el auditor ha determinado que están diseñados para prevenir, o
detectar y corregir riesgos relevantes.
37. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
36
Las pruebas sobre implementación del control son distintas a las pruebas de efectividad del
control. Cuando se prueba la implementación, el auditor determina si existen los controles
relevantes y si la entidad los está usando. Cuando se prueba la efectividad de la operación de
los controles, el auditor determina si los controles operan efectivamente. Esto incluye obtener
evidencia de auditoría sobre cómo se aplicaron los controles en tiempos relevantes durante el
período sujeto a auditoría, la consistencia con la cual se aplicaron, y por quién y por qué
medios fueron aplicados.
3.1.- Naturaleza de las pruebas de cumplimiento.
El auditor selecciona procedimientos de auditoría para obtener evidencia sobre la efectividad
de la operación de los controles. En la medida en que se incrementa el nivel de aseguramiento
planeado, el auditor busca evidencia de auditoría más confiable. En circunstancias en las que
el auditor adopta un enfoque que consiste principalmente en pruebas de los controles,
relacionadas particularmente con aquellos riesgos en los que no es posible o no es práctico
obtener evidencia de auditoría suficiente y apropiada solamente a partir de procedimientos
sustantivos, ordinariamente el auditor desempeña pruebas de cumplimiento para obtener un
mayor nivel de aseguramiento sobre la efectividad de su operación.
Las pruebas de la efectividad de la operación de los controles en general, incluyen aquellos
procedimientos usados para evaluar el diseño de los controles y para determinar si han sido
implementados y aplicados adecuadamente.
La naturaleza de un control particular influye en el tipo de procedimiento de auditoría que se
requiere para obtener evidencia de auditoría sobre si el control estuvo operando efectivamente
en tiempos relevantes durante el período sometido a auditoría. Para algunos controles, la
efectividad de operación se evidencia mediante documentación. Para otros controles puede
no estar disponible o puede no ser relevante tal documentación. Por ejemplo, puede no existir
documentación de las operaciones para algunos factores del ambiente de control, tal como
asignación de autoridad y responsabilidad, o para algunos tipos de procedimientos de control
tal como los procedimientos de control que se aplican mediante computador. En tales
circunstancias, la evidencia de auditoría sobre la efectividad de la operación se puede obtener
mediante procedimientos de auditoría tales como observación, indagación, o uso de técnicas
de auditoría asistidas por computador - CATTs.
Al diseñar las pruebas de cumplimiento, el auditor considera la necesidad de obtener
evidencia de auditoría sobre la operación de los controles relacionados directamente con el
riesgo e igualmente otros controles indirectos de los cuales dependen esos controles.
En el caso de un control de aplicación TI5
, dada la consistencia inherente del procesamiento
TI, la evidencia de auditoría sobre la implementación del control, cuando se considera en
combinación con la evidencia de auditoría obtenida en relación con la efectividad de operación
de los controles generales de la entidad, pueden proveer evidencia sustancial de auditoría
sobre su efectividad de operación durante el período relevante.
3.2.- Oportunidad de las pruebas de cumplimiento.
La oportunidad de las pruebas de los controles depende del objetivo del auditor y determina el
período de confianza en esos controles. Si el auditor prueba los controles en un tiempo
5
TI = Tecnologías de Información
38. Programación en auditoría en base a riesgos
____________________________________________________________________________________________
37
particular, el auditor solamente obtiene evidencia de auditoría de que los controles operaron
efectivamente en ese tiempo. Sin embargo, si el auditor prueba los controles durante el
período, el auditor obtiene evidencia de auditoría sobre la efectividad de la operación de los
controles durante el período.
La evidencia de auditoría que se relaciona solamente con un punto en el tiempo puede ser
suficiente para el propósito del auditor, por ejemplo, cuando prueba los controles sobre el
conteo del inventario físico de la entidad al final del período. Es decir, el auditor requiere
evidencia de auditoría respecto de la efectividad de un control durante un período. La
evidencia de auditoría que se relaciona solamente con un punto del tiempo puede no ser
suficiente y el auditor complementa esas pruebas con otras pruebas de controles que sean
capaces de proveer evidencia de auditoría de que el control operó efectivamente en los
tiempos relevantes durante el período sometido a auditoría.
Si el auditor planea usar evidencia de auditoría sobre la efectividad de la operación de los
controles obtenida en períodos anteriores, debe obtener evidencia de auditoría sobre si los
cambios en esos controles específicos han ocurrido en forma posterior a la auditoría anterior.
Si el auditor planea confiar en controles que han cambiado desde que fueron probados por
última vez, el auditor debe probar la efectividad de operación de tales controles en la auditoría
actual.
Si el auditor planea confiar en controles que no han cambiado desde que fueron probados por
última vez, el auditor debe probar la efectividad de operación de tales controles en forma
periódica.
3.3.- Extensión de las pruebas de cumplimiento.
A menor confianza del auditor sobre la efectividad de operación de los controles en el riesgo
valorado, mayor es la extensión de las pruebas de cumplimiento que realiza el auditor.
Además, en la medida en que se incrementa la tasa de la desviación esperada de un atributo
particular, el auditor incrementa la extensión de las pruebas de los controles.
Sin embargo, dada la consistencia inherente del procesamiento TI, el auditor puede no
requerir incrementar la extensión de la prueba de un control TI. Un control de aplicación
programado debe funcionar consistentemente a menos que se cambie el programa
(incluyendo tablas, archivos, u otros datos permanentes usados en el programa). Una vez que
el auditor determina que un control automatizado está funcionando como se intentó que lo
hiciera (lo cual se debe hacer en el momento en el que el control se implementa inicialmente o
en alguna otra fecha), el auditor considera desempeñar pruebas para determinar que el control
continúa funcionando efectivamente. Tales pruebas pueden incluir determinar que los cambios
al programa no se hagan sin estar sujetos a los controles apropiados para el cambio de
programa, que para el procesamiento de las transacciones se usa la versión autorizada del
programa, y que son efectivos los otros controles generales relevantes. Tales pruebas también
pueden incluir determinar que no se han realizado los cambios al programa, como puede ser el
caso cuando la entidad usa aplicaciones de software empaquetado sin modificarlas o
mantenerlas.