Auditoria Riesgos ERM

REALIZANDO AUDITORIA BASADA EN RIESGOS
DESDE EL PLAN ANUAL DE AUDITORIA HASTA

SU EJECUCIN Y EMISIN DEL INFORME
Edwin Arley Giraldo Zapata

CPA, CIA, CCSA, CFSA,QA
Noviembre de 2015
INSTRUCTOR
Cuenta con mas de (15) aos de experiencia en Auditora y
Consultora, en Firmas de Auditora - Deloitte And Touche -
Ernst & Young, en esta ltima como Gerente de Consultora
en Riesgos y Negocios y Gerente de Proyectos de
Outsourcing de Auditoria Interna, (3) aos como Gerente
Senior de Auditoria y de Control Interno en HSBC Colombia
S.A (4) aos como Gerente de Gestin de Riesgos Operativo
SOX Continuidad de Negocio en Banco Popular.
Implementador de metodologas de Auditoria Interna

Basadas en el Marco Internacional Para la Practica
Profesional de Auditoria Interna, Control Interno COSO,
Edwin Arley Giraldo Zapata Gestin de Riesgos ISO31000-2009, COSO ERM y SOX.
CIA,CCSA, CFSA, QA Gerente de Proyectos de Outsourcing y Co-outsourcing de
Gerente de Aseguramiento Control Interno, Gestin de Riesgos, SOX, y Auditoria Interna.
y Consultora S.A.S Facilitador de cursos y talleres en Gestin al Riesgo, Auditoria,
egiraldo@aseguramientoyconsultoria.com Control Interno en Colombia, Per, Mxico, Costa Rica y
Salvador.
Docente de la Universidad Externado de Colombia en la

2
asignatura - Diseo de Control.
Presentaciones / Expectativas
Nombre, organizacin y cargo.
Conocimientos y/o experiencia previa

sobre Auditoria Basada en Riesgos.
Expectativas de la Materia.
Objetivos
Comprender la importancia del proceso de la actividad de

Auditoria Interna y como a partir de este entendimiento genera
valor el equipo de control interno y/o auditoria.
Entender las principales etapas del Proceso Auditor con el fin de

enfocar la Auditoria a los Objetivos de la entidad y la
administracin de riesgos.
Aplicar en la practica una metodologa de auditoria basada en

riesgos que apoye el cumplimiento de los objetivos de la entidad.
Contenido
Introduccin.
Auditoria Tradicional VS Auditoria Actual.
Entendiendo la Gestin de Riesgos.
Plan Anual de Auditoria Basado en Riesgos.
Etapas de la Auditoria y Aplicacin de la Auditoria Basada en
Riesgos:
a. Planeacin preliminar de cada trabajo de auditoria.
b. Desarrollo y ejecucin de la auditoria.
c. Informe y seguimiento.
d. Programa de Aseguramiento y Mejora de la Calidad en
el Trabajo de Campo de la Auditoria.
Contenido
Introduccin.
Riesgos:
INTRODUCCIN
Definicin de Auditoria Interna

Marco Internacional Para la Practica
Obligatorios
Profesional de Auditora Interna
Cdigo de tica
Normas Internacionales para el Ejercicio Profesional

de la Auditora Interna.
Consejos para la Practica

Recomendados
Altamente
Documentos de Posicin
Guas para la Prctica

Contenido
Introduccin.
Riesgos:
Auditoria Tradicional Vs Auditoria Actual
Contenido
Introduccin.
Riesgos:
Naturaleza del Trabajo de
Auditoria Interna
ENTENDIENDO LA GESTIN DE
RIESGOS
COSO ERM
Riesgo: La posibilidad de que ocurra
un evento que tenga impacto
negativo sobre el logro de los
objetivos.
ISO 31000 2009 Definicin de Riesgo

Es el efecto de la incertidumbre en la consecucin de los objetivos.
1. Incertidumbre (Puede que nunca ocurra).
2. El Riesgo importa y debe gestionarse porque tiene un efecto (Positivo y Negativo).
3. Ese efecto es sobre los objetivos fijados.

RIESGOS
La ISO 31.000:2009, emitida por la Organizacin Internacional de
Normalizacin (ISO), proporciona instrucciones sobre cmo
establecer y mantener un marco de gestin de riesgos que puede ser
adoptada por cualquier organizacin.
RIESGOS
ISO 31000 - 2009
Establecimiento del Contexto
Riesgos a Que?
COSO ERM Roles y responsabilidades en la gestin
Evaluaciones continuas (Autocontrol, Autorregulacin, Autogestin)

de riesgos.
Mapas de riesgos por macro-actividades y procesos.

Valoracin del Riesgo
Riesgos y controles comunicados y actualizados.
Evaluaciones independientes (Auditoria Interna)

Identificacin del Riesgo.
1 Qu puede suceder que afecte el
4.2 Comunicacin y Consulta

objetivo del proceso?
4.3 Monitoreo y Revisin

2 Por qu puede suceder?
3
Anlisis del Riesgo.
4 Establecer la probabilidad y el
5 impacto de la materializacin del
riesgo a los objetivos.
6
7 Evaluacin del Riesgo.
Establecer prioridades de
8 tratamiento (evitar, aceptar,
compartir, reducir).
Mapa de Riesgo Inherente
Tratamiento del Riesgo.

Polticas y Procedimientos
Diseo y Ejecucin de Controles
Mapa de Riesgo Residual
RIESGOS
Misin - Visin
Objetivos Estratgicos
Objetivos Relacionados
Operacionales Reportes Cumplimiento

(informes)
Identificacin de Riesgos
Comunicacin y Consulta
Monitoreo y Revisin
Anlisis del Riesgo
Evaluacin del Riesgo
Tratamiento del Riesgo

Rol de la Primera Lnea de Defensa
Artillera.
Objetivos de Negocio y Planificacin Estratgica.
Instituto de Auditores Internos del Per

En qu herramientas establezco los objetivos?
Cmo aseguro que no me quedaron

objetivos pendientes de cubrir?
Instituto de Auditores Internos del Per

Para poder relacionar los objetivos e identificar los incidentes o acontecimientos de fuentes internas o
externas que afectan el logro de las metas y objetivos, es importante tener como punto de partida la
identificacin de los procesos implementados por la entidad para el logro de los objetivos: Estos procesos
deben integrarse en tres niveles. (Estratgicos, Misionales y de Apoyo).
Procesos de innovacin o estratgicos:

Son aquellos que buscan establecer la visin y orientacin para
el desarrollo de los dems procesos. Generan
permanentemente innovacin y criterios para el alcance de los
logros y propsitos.
Cadena de Valor
Procesos de valor, primarios o misionales:
Es un modelo que describe como se desarrollan las Son los procesos esenciales de la entidad, destinados a llevar a
actividades de una empresa siguiendo el concepto de cabo las actividades que permitan ejecutar efectivamente las
cadena, esta compuesta por distintos eslabones que polticas y estrategias relacionadas con la calidad de los
forman un proceso econmico, en cada eslabn se productos o servicios que ofrecen a sus clientes.
agrega valor que es en trminos competitivos la
cantidad que los consumidores estn dispuestos a Procesos de apoyo o soporte:
pagar por un producto o servicio.
Son aquellos que soportan y apoyan a los procesos estratgicos
y productivos, se encargan de proporcionar personal
competente, mantener las condiciones de operatividad y
funcionamiento, coordinar y controlar la eficacia del
desempeo administrativo y la optimizacin de los recursos.
Mega o Macroproceso: Agrupamiento lgico al ms alto nivel de los procesos que dan
una visin global del funcionamiento de la organizacin.
Proceso: Agrupamiento lgico de subprocesos o actividades que resultan en un

flujo de trabajo con mltiples entradas y salidas que frecuentemente involucran a
varias personas y reas.
Subproceso: Subdivisin de los procesos que representa una

coleccin de actividades.
Actividades: Un paso o accin que se realiza en un perodo

de tiempo definido.
Tareas: Es el conjunto de pasos o procedimientos que

conducen a un resultado final visible y mesurable.
Caracterizacin del Proceso:
Es el conjunto de variables que ayudan a un mayor entendimiento del proceso:
Objetivo del proceso: Es el resultado que una organizacin espera alcanzar en el desarrollo y operacionalizacin
concreta de su misin y visin. El objetivo debe ser mensurable para poder efectuar su seguimiento a travs del
tiempo.
Alcance del proceso: Es la frontera del proceso: dnde comienza y dnde termina. El alcance permite establecer
los procesos como interactan entre s, en este caso tambin se contempla las entradas y salidas.
Comienzo o inicio: actividades con la cuales se da inicio al proceso
Fin / Final / Terminacin : actividades con las cuales finaliza el proceso
Entradas del Proceso: Son los insumos que ingresan al proceso para poder desarrollar una y/o varias
actividades especficas.
Salidas del proceso: Son los resultados del desarrollo de las actividades del proceso, que en algunas
oportunidades son las entradas de otros procesos. Las salidas no necesariamente se dan al finalizar el
proceso.
Flujo de Actividades: Es agrupacin de actividades, ordenadas de acuerdo con una secuencia lgica establecida.
A su vez la cadena de valor apoya el nivel de documentacin requerida en los
Mapas de Riesgo.
Macro-procesos
Procesos Mapas
Procedimiento
1 Especficos.
Para evitar interpretaciones, y van
asociado directamente a los resultados y
beneficios cuantificables.
2 Medibles.
Deben establecerse indicadores en un
horizonte de tiempo para poder
determinar con precisin y objetividad su
cumplimiento.
3 Alcanzables
Deben ser realistas y factibles de lograrlo,
4 Relevantes con los recursos que se tienen.
Deben estar asociados a los
objetivos estratgicos y coherentes 5 Delimitados en el tiempo
entre si. Ejemplo:
Incluyen fechas especificas del
Realizar los pagos de impuesto de
objetivo o su terminacin implcita
en el ao fiscal.
manera oportuna, correcta y segn
los requerimientos normativos
establecidos por la normatividad.
Definiendo Objetivos?
Operacionales
Consecucin de la misin y visin
Mejora del desempeo financiero.
Productividad, Calidad, Practicas Medioambientales.
Proteccin de Activos.
Reporte (Informes)
Preparacin de informacin
til y confiable para uso de la
organizacin y las partes
interesadas.
Cumplimiento
Leyes y regulaciones aplicables.
Normas mnimas de conducta esperada.
Los objetivos a nivel de la organizacin, deben alinearse con las

leyes, reglas, regulaciones y normas impuestas por los legisladores
y organismos reguladores.
Identificacin del Riesgo
Riesgo a Que?
Anlisis de Flujo de Proceso
RIESGO CAUSA / FALLA
Factores internos y
externos que ayudan a
Asociado al cumplimiento la materializacin del
de los objetivos. riesgo
RIESGO IMPACTO
Efecto del riesgo sobre
la organizacin
(ingresos, reputacin,
Asociado al cumplimiento satisfaccin de clientes
de los objetivos. emisin de la
informacin).
Critico
- Interrupcin de las operaciones por ms de 4 horas.
- Intervencin por parte de la Superintendencia de Bancos por
Incumplimientos legales y/o contractuales.
- Impacto que afecte la imagen negativamente en el mercado
relacionada con prcticas inseguras y/o irregulares.
- Prdida de informacin crtica de la Compaa y/o de terceros
que no se pueda recuperar.
Anlisis de Flujo de Proceso
Actividad: Especificacin de una secuencia parametrizada
la notacin es un rectngulo con las esquina redondeadas
Flujo de control: Muestra el flujo de control de una actividad ha

otra. La notacin es una flecha continua
Nodo inicial: Inicio del flujo del proceso.
Nodo Final: Finalizacin del flujo del proceso
Riesgo y Controles:
T alonario y
Documentos asociados: documento de

i denti dad A
Anlisis de Flujo
A su vez la cadena de valor apoya el nivel de documentacin requerida en los

Mapas de Riesgo.
Macro-procesos
Procesos Mapas
Procedimiento
Matriz de Riesgos
Proceso No Riesgo Del Proceso Tipo de Riesgo Evento / Falla Factor de riesgo
1 2 6
3 4 5
Proceso: No. de Riesgo:

1 Corresponde al nombre del proceso / al cual se est realizando la 2 Escriba en esta columna consecutivamente desde R1 hasta Rn
evaluacin de Riesgos y Controles. dependiendo del nmero de riesgos en el proceso
Riesgo del proceso:

3 4 Tipo de Riesgo Operativo, Estratgico, Crediticio, Mercado,
Descripcin del riesgo identificado en el proceso
Reputacional.
Un riesgo se identifica como todas aquellas situaciones que afectan
o impiden el cumplimiento del objetivo del proceso.
5 Descripcin del evento / o lo que puede fallar.
Ejemplo de la redaccin de un Riesgo:
Objetivo del proceso: Procesar y verificar oportunamente la

informacin de los pagos recibidos de los afiliados. Factor de Riesgo: Infraestructura, Personal, Procesos, Tecnologa.
6
Riesgo: Inoportunidad en la verificacin y procesamiento de los
pagos recibidos de los afiliados.
Qu se debe tener en cuenta al redactar un Riesgo?
El riesgo debe estar escrito en un lenguaje comn y comprensible para toda la Entidad.
Responde fcilmente a la pregunta si ocurre el riesgo Qu prdida es generada? Es decir,

permite identificar la prdida potencial: fraude, multa, demanda, reproceso, robo, sancin,
etc.
Permite establecer la probabilidad e impacto, obteniendo as la calificacin del mismo.
Evitar las negaciones para expresar el Riesgo.
El riesgo se debe pensar inicialmente sin considerar la existencia de controles.
Ejemplo: No afiliar oportunamente
Inoportunidad en la afiliacin.
Gestin de Impuestos
Gestin Financiera
Realizar los pagos de impuesto de manera oportuna,

correcta y segn los requerimientos legales.
Cuales son los Riesgo de este proceso de acuerdo al objetivo y

sus causas o fallas que pueden hacer que el riesgo
Se materialice.?
Riesgo:
Causa/Falla:
Anlisis del Riesgo.
Evaluacin del riesgo inherente riesgo bruto:
Es la evaluacin preliminar del riesgo, con la cual la Organizacin quiere conocer el nivel de exposicin
al mismo, sin tener en cuenta las medidas de mitigacin o los controles. En esta evaluacin se
involucran dos conceptos la probabilidad de ocurrencia y la magnitud del impacto.
Magnitud del impacto:

Probabilidad de ocurrencia:
Es el resultado de un
Es la posibilidad que un evento se materialice. Para determinar la probabilidad se evento expresado
cualitativa o
puede utilizar el anlisis cualitativo o cuantitativo, as como la estadstica de la cuantitativamente, sea
situacin. este una prdida, perjuicio
o desventaja.
El anlisis cualitativo se utiliza para aquellos casos en los cuales no existen datos para
generar estadsticas; sta se asocia al criterio de frecuencia (medida de las veces que se Se definen rangos sobre
sucede un evento expresado como la cantidad de ocurrencias en un tiempo dado). los resultados posibles
asociados a un evento.
Anlisis del Riesgo.
Un mapa de riesgos es la visualizacin global de los riesgos de una organizacin,
diferencindolos de acuerdo con sus niveles de criticidad.
Se convierte en una carta de navegacin para conocer y definir estrategias de gestin para
los riesgos.
Anlisis del Riesgo.
Evaluacin del Riesgo Inherente (Evaluacin Inicial)
Probabilidad de que se Impacto o efecto del riesgo sobre la

materialice o manifieste el riesgo organizacin (ingresos, reputacin,
satisfaccin de clientes, emisin de la
informacin, etc)
Evaluacin / Severidad / Calificacin: Es la evaluacin general del Resultado de la

riesgo, resulta de la combinacin de la probabilidad y el impacto: combinacin de las dos
P variables
R Muy Alta
O Evaluacin del riesgo
B Alta
A
B Moderada
I Alto Moderado
L Baja
I
D Muy Baja
A
D Inferior Menor Importante Mayor Superior Extremo Bajo
NIVEL DE IMPACTO
Anlisis del Riesgo.
Probabilidad de Ocurrencia
Es la variable que mide la posibilidad de que un riesgo Probabilidad

se materialice. Sin embargo no en todos los casos se Muy Alta
tiene informacin histrica para su clculo, por lo tanto - Se espera la ocurrencia del evento en ms del 20% de los
se establecern las siguientes dos opciones de escala: casos.
- Nos ocurre con cierta periodicidad (1 vez cada mes).
Casustica: Escala que determina la probabilidad de
ocurrencia de un riesgo basada en datos histricos. (Ej. Alta
3 de 50 casos, 5% de los casos). - El evento ocurrir entre el 15 y 20% de los casos.
- Se presenta con alguna frecuencia (1 vez cada trimestre).
Periodicidad: Escala relacionada con la frecuencia con Moderada
la que un riesgo se materializa en un periodo - El evento puede ocurrir entre el 10 y 14.99% de los casos.
determinado de tiempo. (Ej.: una vez al mes, una vez - Se presenta por lo menos una vez cada semestre.
cada ao) Baja
- El evento puede ocurrir entre el 3 y el 9.99% de los casos
Los cinco niveles de probabilidad de ocurrencia
ubicados en el mapa de riesgos son: - Se presenta por lo menos una vez cada ao.
Muy Alta Muy Baja
Alta - El evento puede ocurrir en menos del 3% de los casos
Moderada - Se ha presentado una vez en la entidad o en el sector en los
Baja ltimos ao.
Muy Baja
Anlisis del Riesgo.
Magnitud de Impacto
Criterios Cualitativos
Corresponde a la evaluacin del efecto y la
consecuencia producida al materializarse un riesgo al Critico
interior de la entidad. Las variables que son tenidas en
- Interrupcin de las operaciones por ms de 4 horas.
cuenta para definir el impacto se encuentran divididas
en dos grupos: - Intervencin por parte de la Superintendencia Financiera de
Colombia por Incumplimientos legales y/o contractuales.
Cuantitativos: Aquellos criterios que miden el impacto - Impacto que afecte la imagen negativamente en el mercado
de los riesgos desde el punto de vista financiero. relacionada con prcticas inseguras y/o irregulares.
- Prdida de informacin crtica de la Compaa y/o de terceros
Cualitativos: Aquellos criterios que miden el impacto que no se pueda recuperar.
de los riesgos intangibles, que generalmente no son
fciles de medir desde el punto de vista financiero (Ej. Mayor
La reputacin (imagen, temas legales, prdida de
clientes, entre otros.) - Interrupcin de las operaciones entre 2 a 4 horas.
- Sanciones econmicas por incumplimiento de las normas
Los cinco niveles de impacto ubicados en el mapa de establecidas (operaciones / obligaciones contractuales).
riesgos son:
Crtico - Impacto que afecte negativamente la imagen en el mercado
relacionada con el servicio al cliente.
Mayor
Importante - Prdida de informacin crtica de la Compaa o de terceros
Menor que no se pueda recuperar fcilmente.
Inferior.
Anlisis del Riesgo.
Magnitud de Impacto
Criterios Cualitativos
Corresponde a la evaluacin del efecto y la
consecuencia producida al materializarse un riesgo al Importante
interior de la entidad. Las variables que son tenidas en - Llamados de atencin o requerimientos realizado por los
cuenta para definir el impacto se encuentran divididas entes reguladores.
en dos grupos:
- Interrupcin de las operaciones entre 1 y menor a 2 horas.
Cuantitativos: Aquellos criterios que miden el impacto - Inoportunidad de la informacin ocasionando retrasos en las
de los riesgos desde el punto de vista financiero. labores de las reas o en la respuesta a los entes reguladores.
- Reproceso de actividades y aumento de la carga operativa
Cualitativos: Aquellos criterios que miden el impacto (ejecutar nuevamente actividades de los procesos por errores
de los riesgos intangibles, que generalmente no son operativos).
fciles de medir desde el punto de vista financiero (Ej. - Impacto que afecta negativamente la imagen con los clientes.
La reputacin (imagen, temas legales, prdida de
clientes, entre otros.) Menor
Los cinco niveles de impacto ubicados en el mapa de - Interrupcin de las operaciones menor a 1 hora.
riesgos son: - No afecta la oportunidad de la informacin de manera
Crtico significativa, no altera el funcionamiento de las reas
Mayor receptoras y procesadoras de informacin.
Importante - Incremento entre el 10% y el 20% del numero de reclamos
Menor formulados por los clientes.
Inferior.
Anlisis del Riesgo.
Anlisis del Riesgo.
Evaluacin del Riesgo.
Matriz de Riesgos
Severidad
Riesgo Del Tipo de Evento / Factor de
Proceso No Probabilidad Impacto del Riesgo
Proceso Riesgo Falla riesgo
Inherente
7 8 9
7 8 Impacto:
Probabilidad:
El impacto del riesgo sin tener en cuenta los controles asociados y de acuerdo con los
Calificacin de la probabilidad de
criterios cuantitativos o cualitativos definidos
ocurrencia del riesgo sin tener en
cuenta los controles asociados.
En este punto, se tienen en cuenta los criterios para calificacin de riesgos definidos.
En este punto, se tienen en cuenta 9 Severidad del Riesgo Inherente:
los criterios para calificacin de De acuerdo a la calificacin de probabilidad e impacto inherente, se asigna la severidad
riesgos definidos. del riesgo
Se establece el Mapa de Riesgo Inherente
R1 Aplicacin de una metodologa inadecuada para la medicin o estimacin de los riesgos .

R2 Ejecucin de operaciones o generacin de exposiciones por fuera del perfil de riesgos de la entidad por debilidad en el monitoreo y control.
R3 Presentar informes y reportes internos o externos con informacin errada o de manera inoportuna. (Riesgos de Liquidez, Crdito y Mercado).
Mapa de Riesgo Inherente
Muy Frecuente Riesgo

Probabilidadde ocurrencia
o Muy Alta 5 25 125 625 3125 Inherente

(5) Extremo
Riesgo
Probable o Alta
(4) 4 20 100 500 2500 Inherente
Alto
Puede Ocurrir Riesgo

o Moderada 3 15 75 375 1875 Inherente
(3) Moderado
Eventualmente Riesgo
o Baja 2 10 50 250 1250 Inherente
(2) Bajo
Rara Vez
o Muy baja 1 5 25 125 625
(1)
Insignificante Menor Moderado o Mayor Catastrofico o

o Inferior (5) Importante (125) Critico
(1) (25) (625)
Impacto
Resultado
10 BAJO
10 < y 75 MODERADO
75 < y 500 ALTO
625 EXTREMO
Identificar las opciones de mitigacin de riesgo
Identificar las opciones para mitigar/tratar los riesgos consiste en realizar la evaluacin de
dichas opciones, preparar los planes de mitigacin de riesgos y su implementacin. Sin
embargo, la Organizacin puede decidir aceptar el riesgo sin tomar acciones adicionales
Tratamiento / Mitigacin del riesgo:

Son las alternativas seleccionadas por la Entidad para mitigar los
riesgos.
Mitigacin / Tratamiento del
Riesgo
Transferir Posibles
estrategias
Apetito Reducir establecidas
de Riesgo por la
Direccin de
Evitar
la Entidad.
Aceptar
El correcto equilibrio entre riesgos y costo del

control.
Alto
Manejando
riesgo
suma valor
ptimo Valor
Expuesto y Control para
destruyendo Minimizar
valor
riesgo
Bajo
Desinformado Gerenciado Obsesionado
Sin frenos- Fuera Frenos puestos-

de control Inmovilizado
Actividades de Control: Las actividades

de control son las acciones establecidas
a travs de polticas y procedimientos
que contribuyen a garantizar que se
lleven a cabo las instrucciones de la
Direccin para mitigar los riesgos que
inciden en el cumplimiento de los
objetivos.
Tratamiento de Riesgos
Usted trabaja en La Entidad Dinero a Toda Hora y

debe analizar que medida de tratamiento o de
mitigacin tomara en los siguientes riesgos y casos
que se han presentado en la organizacin.
1. Se le ha presentado a la entidad en el transcurso del 2014, ocho 8 eventos de riesgo materializados por
suplantacin de clientes que solicitan cartera de crdito y que han representado una perdida de 30.000
dlares al ao, sobre una utilidad de 2.500.000 dlares. Al evaluar las alternativas a implementar la alternativa
que existe para garantizar que esto no pase por el Gerente de Crdito es :
a. Implementar un mecanismo de identificacin directa donde se le tome la huella al cliente y

directamente se coteja con la registradora publica y salgan los datos de manera automtica del
cliente, como nombres, apellidos, identificacin, etc. Este sistema vale implementarlo 250.000 dlares y
un pago a la registraduria por el servicio mensual de 6.000 dlares mensuales.
Usted que accin tomara: Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir / Reducir o Mitigar el
Riesgo.

2. Existen indicios que hay personas que estn reportando horas extras trabajadas despus de la salidad (5:30 pm)
sin trabajarlas y en muchos de los casos ya se han ido de la organizacin, y reportan horas extras como si
estuvieran laborando. Al Analizar los rubros mensuales de la nomina el pago de horas extras asciende
mensualmente a 1.500 dlares mensuales de una nomina de 730.000 Dlares mensuales, la entidad esta
evaluando para mitigar este riesgo dentro se sus alternativas instalar un identificador de llegada y salida de los
funcionarios a travs de huellas que permita identificar y cotejar con el reporte de horas extras las entradas y
salidas del personal, los equipos y la instalacin en las zonas de trabajo cuestan 30.000 dlares, y un
mantenimiento mensual de 1.250 dlares. Usted que accin tomara : Aceptar el Riesgo / Evitar el Riesgo /
Compartir o transferir / Reducir o Mitigar el Riesgo.

3. En el ao 2014, la entidad tuvo 150 eventos de perdida materializados por adulteracin o pago de cheques
ficticios que ascendieron a 800.000 dlares, el 10% de sus ingresos, al realizar las investigaciones
correspondientes se llego a la conclusin de que los controles se realizaron, pero el papel y las firmas eran de
muy buena calidad y a simple vista del cajero o con los lquidos de seguridad era difcil identificar su
adulteracin, la empresa a la fecha tiene una propuesta de la empresa Chequeando, que son expertos peritos
en seguridad y deteccin de firmas y documentacin fraudulenta y estn proponiendo a la entidad prestar el
servicio de revisin de cheques por un valor mensual de 4.000 dlares mensuales y en caso de que se presente
algn ilcito por adulteracin la Empresa chequeando reconoce el pago al Banco de los dineros que le
llegaran a defraudar. Usted que accin tomara: Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir /
Reducir o Mitigar el Riesgo.
RIESGOS MEDIDAS
ANTES DE
MEDIDAS
Inherente
EVITAR
RIESGOS
DESPUES DE
MEDIDAS
No Hay Riesgo
RIESGOS MEDIDAS RIESGOS

ANTES DE DESPUES DE
MEDIDAS MEDIDAS
Inherente Residual
ACEPTAR
RIESGOS MEDIDAS RIESGOS

ANTES DE DESPUES DE
MEDIDAS MEDIDAS
Inherente Residual
ACEPTAR
RIESGOS MEDIDAS
ANTES DE
MEDIDAS
Inherente
REDUCIR
COMPARTIR
RIESGOS
DESPUES DE
MEDIDAS
Tipos de Control Por su oportunidad
CONTROLES
PREVENTIVOS
CONTROLES Intentan identificar los eventos no deseados una vez

que stos han ocurrido.
DETECTIVOS Incluyen pistas de auditora y mtodos de intrusin.
Tipos de Control Por su naturaleza

M
A
Ejecutado por personas sin
Y Manual
O
R
intervencin de un sistema
E
F
E
C
T
I
V
I
D
El control se ejerce sin
Automtico
A intervencin de personas a
D
travs de un sistema
programado
Los Controles para una adecuada gestin de riesgos se deben

validar en su:
DISEO EJECUCION
Podra operar bien pero no Podra estar bien

esta diseado
bien diseado ? Pero opera mal ?
Actividades de Control: Las actividades de control son las
acciones establecidas a travs de polticas y procedimientos que
contribuyen a garantizar que se lleven a cabo las instrucciones
de la Direccin para mitigar los riesgos que inciden en el
cumplimiento de los objetivos.
Aspectos Claves de Diseo a Identificar en un Control

Quin lleva a cabo el control (Responsable)
Frecuencia del Control (Cada cuanto se realiza)
Qu busca hacer el control (objetivo)
Cmo se lleva a cabo el control (procedimiento)
Que pasa con las desviaciones y/o excepciones
(Investigacin y anlisis)
Evidencia de la ejecucin del control (La firma no es
evidencia suficiente de que un control se ejecuto)
Documentacin del Control : La documentacin del control es parte
fundamental del control interno por que:
Informacin
Ayuda en la actualizada y de
Formacin de referencia para
Nuevo Personal el resto de
empleados
Aporta Claridad
a las funciones.
(quien, que,
como, cuando,
evidencia).
Constituye un Establece
medio para expectativas de
conservar el desempeo y
conocimiento de conducta.
la organizacin
Ejemplo de una descripcin de una actividad de control:

La Coordinadora de Costos de Personal mensualmente cuadra los saldos de nomina del
aplicativo vs contabilidad de las cuentas de nomina (vacaciones, sueldos, bonificaciones, horas
extras, pasivos pensionales), extractando la informacin directamente del aplicativo de People
SOFT y comparndola con los auxiliares contables suministrados por el rea de contabilidad
cuenta 5120 Costo de personal, 2710 Pasivos consolidados, 2740 Calculo actuarial y 2810 pasivos
laborales, en caso de existir diferencias se establecen y se solicitan las aclaraciones y
correcciones correspondientes. Como evidencia de la revisin imprime el cuadre en Excel del
comparativo y lo firma en seal de aprobacin.
4. Cmo se lleva a cabo el control (procedimiento)

5. Que pasa con las desviaciones y/o excepciones (Investigacin y
1. Quin lleva a cabo el control (Responsable)
2. Frecuencia del Control (Cada cuanto se realiza) anlisis)
3. Qu busca hacer el control (objetivo) 6. Evidencia de la ejecucin del control (La firma no es evidencia
suficiente de que un control se ejecuto)
Como debe estar redactado un control en una matriz de riesgos, para que desde
la lectura se pueda hacer una idea preliminar del diseo del control y que
realmente sea un control:
Frecuencia Que
Cuando
Quien
El Profesional de Nomina mensualmente a partir de la segunda semana del cierre del mes, realiza los
cuadres de saldos de cuentas de nomina (vacaciones, sueldos, bonificaciones, horas extras, pasivos
pensionales, etc.) comparando los saldos reportados en el aplicativo SRH Vs Saldos contables del
aplicativo PEOPLE SOFT, en caso de observar diferencias solicita las justificaciones o correcciones,
como evidencia del control deja conciliacin en Excel con las justificaciones a las diferencias en caso
que existan.
Como Que pasa si hay Evidencia
excepciones.
Mitiga la Causa Asociada

Un Control Bien Diseado
La frecuencia del control permite identificar un error oportunamente
La persona que ejecuta el control tiene el conocimiento y la experiencia suficiente.
Existe segregacin de funciones en quien hace la actividad y el que ejecuta el

control.
La Informacin utilizada para realizar el control es adecuada y confiable.
Las excepciones resultantes de ejecutar el control son resueltas oportunamente
Es posible reprocesar la actividad de control de acuerdo a las evidencias y soportes anexos

de su ejecucin.
Identificando Adecuadamente Controles
Considerando que ya se realizo un anlisis de Causas y Controles,
identifique, si los siguientes enunciados son controles y que factores faltan
para que sea un diseo adecuado de control, de acuerdo a lo siguiente:
1. Los contratos que estn sujetos a Niveles de Servicio son

monitoreados por el responsable de la relacin con el
proveedor.
2. Cada vez que un contrato est por finalizar, el Sistema

de Gestin de Contratos emite una alerta a las reas que
participaron en la solicitud de generacin y aprobacin
del contrato, para tomar las acciones respectivas de
renovacin o no.
identifique, si los siguientes enunciados son controles y que factores faltan
para que sea un diseo adecuado de control, de acuerdo a lo siguiente:
3. Cada vez que se firma un contrato, se enva el fsico al

proveedor de almacenamiento y una copia al rea de
Compras para su archivo.
4. Cada vez que se firma y aprueba un contrato, queda

registrado digitalmente en la bitcora de Flujo de Estados
del Sistema de Gestin de Contratos.
identifique que factores faltan para que sea un diseo adecuado de
control, de acuerdo a los siguientes enunciados que tiene la entidad
como control:
7. Cada vez que se emite un cheque, se emite con la

condicin de "No Negociables", con lo cual se reduce la
posibilidad de que el cheque sea cobrado por una
persona distinta a la que se ha girado.
8. Cuando se requiera, el Jefe de Contabilidad y la Supervisora de Taxes

revisan las facturas de servicios para evaluar que se ha generado la detraccin
en caso corresponda. Como evidencia colocan su VB en la factura y enva a
la Analista de Tesorera para el correspondiente registro y pago..
Comunicacin y Consulta Comunicacin y Consulta
Las novedades permiten establecer donde el proceso sufre
cambios y as mismo la documentacin (los cambios no

implican modificar la totalidad de los documentos que
conforman la documentacin del proceso).
Conozca el desempeo de sus
Identifique y Establezca cuales son gestores de riesgos de sus reas.
Proceso de Nivel
sus procesos y sus gestores de Macroproceso Proceso Subproceso
1
riesgos. Defina los objetivos a lograr con sus
gestores de riesgos.
Monitoreo y Revisin
Conozca sus procesos y el Ficha Tcnica

estado de la documentacin.
Componentes de la ficha
A B C D E
tcnica actualizados
Conozca
Conozca y analice
sus procesos y elelestado
conjunto con sus
de la gestores de riesgos
documentacin. los Mapas de
Componentes
de la Riesgos de los
ficha tcnica procesos a cargo.
actualizados
Comits de Seguimientos - Indicadores.

Establezca el esquema de Reportes de seguimiento por parte de los dueos de los procesos a los
Monitoreo de los procesos de controles.
acuerdo con su nivel de riesgo. Establezca las evidencias del esquema de monitoreo, as como los informes
de las oportunidades de mejora identificadas.
Evale los resultados de los Conozca las las fallas ocasionadas que dieron origen al evento de riesgo.
eventos de riesgo reportados por Establezca en conjunto con los gestores de riesgo, planes de accin y
la Unidad de Riesgo Operativo. oportunidades de mejoramiento de los controles.
Solicite los reportes consolidados del

monitoreo independiente realizado por
los diferentes entes de control a los
procesos a su cargo (auditoria interna,
revisora fiscal, etc.).
El Modelo de las Tres Lnea de Defensa.
Organismo de Gobierno / Consejo / Comit de
Auditora
Organismos De Control
Alta Direccin
Auditora Externa
1 Lnea de defensa 2 Lnea de defensa 3 Lnea de defensa
Controles Financieros
Medidas Seguridad
Controles
d de Gestin de Riesgos
De Auditoria Interna
Gerencia
Control
Calidad
Interno
Inspeccin
Cumplimiento
O
&
M
Seguridad de Informacin
Riesgos
Nov / 22 / 2014
Contenido
Introduccin.
Riesgos:
Plan Anual de Auditoria
Basada en Riesgos
2010 Planificacin
Consejo para la Prctica
El director ejecutivo de
2010-1:
auditora interna debe
El proceso de
establecer planes
planificacin implica el
basados en los riesgos, a establecimiento de:
fin de determinar las Metas
prioridades Programas de trabajo
Planes de personal y
presupuestos financieros
Dichos planes debern Informes de actividad
ser consistentes con las
metas de la organizacin
Contenido
1. DETERMINACIN DEL UNIVERSO DE AUDITORIA.
2. ESTABLECIMIENTO DEL PLAN ANUAL DE AUDITORIA

INTERNA.
3. PLAN ANUAL DE AUDITORIA VS RECURSOS.
4. COMUNICACIN Y APROBACIN DEL PLAN

Contenido

INTERNA.

1. DETERMINACIN DEL UNIVERSO DE AUDITORIA
Un conjunto finito y global de las reas de

auditora, entidades organizacionales y la
identificacin y ubicacin de las funciones de
negocios que podran ser auditadas para
proporcionar un aseguramiento adecuado sobre el
nivel de gestin de riesgos de la organizacin.
GTAG 11- The IIA Global

1. DETERMINACIN DEL UNIVERSO DE AUDITORIA
Contenido

INTERNA.

2. ESTABLECIMIENTO DEL PLAN ANUAL
DE AUDITORIA INTERNA.
Marco Internacional Para la Practica

Profesional de la Auditoria Interna.
2010. A1 El plan de trabajo de la

Plan Anual de actividad de auditoria interna debe estar
Universo de
Auditoria Ao 2015 basado en una evaluacin de riesgos
Auditoria Interna
documentada, realizada al menos
Hallazgos y anualmente. En este proceso deben
Oportunidades Nivel de Riesgo
tenerse en cuenta los comentarios de la
de Mejora Inherente del alta direccin y del Consejo.
Significativos Plan
Proceso
Identificados Anual de 2020 Comunicacin y Aprobacin
Auditoria
Interna El Auditor debe comunicar los planes y
Requerimientos del requerimientos de recursos de la
Plan de Rotacin Comit de Auditoria actividad de Auditoria Interna, incluyendo
y la Direccin. los cambios provisionales significativos,
Requerimientos a la alta direccin y al Consejo para la
de Ley Para la adecuada revisin y aprobacin y
Auditoria Interna. comunicar el impacto de cualquier
limitacin de recursos.
Proceso Subproceso
PLANEACION ESTRATEGICA
DIRECCIONAMIENTO ESTRATEGICO ADMINISTRACION DE PROYECTOS
INFORMES ESTADISTICOS
COMUNICACIONES
COMUNICACIONES
DISEO GRAFICO
AUDITORIA INTERNA
SITEMA DE CONTROL INTERNO
GESTION DE RIESGOS
GESTION DE CALIDAD GESTIN DE CALIDAD
MERCADEO
COMERCIALIZACION VENTAS
MANTENIMIENTO DE EMPRESAS
PLANIFICACION DEL SERVICIO Planificacin del Servicio
Plan Anual de Universo de

AFILIACION Y REGISTRO
58 Subprocesos
POSTULACION Y REGISTRO
Auditoria Ao 2015 Auditoria Interna SUBSIDIOS

RECAUDO
APROPIACION
ASIGNACION
ENTREGA CUOTA MONETARIA
LEGALIZACIN Y ENTREGA SUBSIDIO
DE VIVIENDA Y FONEDE
ALOJAMIENTO
ALIMENTOS Y BEBIDAS
Hallazgos y SERVICIOS SOCIALES

RECREACION
TURISMO
DEPORTES
ALQUILER
P YP
de Mejora Inherente del

PROGRAMAS ESPECIALES
EDUCACION FORMAL
Significativos Plan EDUCACION EDUCACION INFORMAL

EDUCACION PARA EL TRABAJO
Proceso CULTURA
Anual de
CULTURA Y BIBLIOTECA
Identificados GESTION SOCIAL

BIBLIOTECA
CONSECUCIN DE PROYECTOS
GERENCIAMIENTO DE PROYECTOS.
Auditoria PLANEACION FINANCIERA

FACTURACION
CARTERA
Interna
PAGOS
GESTION FINANCIERA
RECAUDO
GESTION CONTABLE
GESTION TRIBUTARIA
Plan de Rotacin Requerimientos del CREDITO

VINCULACIN Y DESVINCULACIN DEL
PERSONAL.
Comit de Auditoria FORMACIN Y DESARROLLO DE

COMPETENCIAS
EVALUACION DE DESEMPEO
GESTION HUMANA
y la Direccin. BIENESTAR SOCIAL

SALUD OCUPACIONAL
ADMON DEL SISTEMA SALARIAL Y
Requerimientos PRESTACIONAL
COMPRAS Y CONTRATACION
ADMINISTRACION DE RECURSOS
de Ley Para la GESTION ADMINISTRATIVA

FISICOS
SERVICIOS GENERALES
GESTION DOCUMENTAL
Auditoria Interna. ADMON DE ACTIVOS FIJOS

GESTION DE INFRAESTRUCTURA
GESTION DE SISTEMAS DE
GESTION TECNOLOGICA
INFORMACION
SOPORTE TECNICO
ASESORIA LEGAL
GESTION JURIDICA
ACCIONES JURIDICAS
TOTAL SUBPROCESOS 58
Proceso Subproceso Nivel De Riesgo Inherente

PLANEACION ESTRATEGICA Alto
DIRECCIONAMIENTO ESTRATEGICO ADMINISTRACION DE PROYECTOS Extremo
INFORMES ESTADISTICOS Moderado
COMUNICACIONES Moderado
COMUNICACIONES
DISEO GRAFICO Moderado
AUDITORIA INTERNA Alto
SITEMA DE CONTROL INTERNO
GESTION DE RIESGOS Alto
GESTION DE CALIDAD GESTIN DE CALIDAD Alto
Plan Anual de Alto
Universo de
MERCADEO
Auditoria Ao 2015 58 Procesos COMERCIALIZACION VENTAS

MANTENIMIENTO DE EMPRESAS
Alto
Alto
Auditoria Interna PLANIFICACION DEL SERVICIO Planificacin del Servicio

Alto
Alto
Alto
RECAUDO Extremo
SUBSIDIOS
APROPIACION Extremo
ASIGNACION Extremo
ENTREGA CUOTA MONETARIA Extremo
Hallazgos y LEGALIZACIN Y ENTREGA SUBSIDIO

DE VIVIENDA Y FONEDE
ALOJAMIENTO
Alto
Alto

ALIMENTOS Y BEBIDAS
RECREACION
TURISMO
Alto
Moderado
Alto
SERVICIOS SOCIALES

DEPORTES
ALQUILER
Moderado
Moderado
Significativos Plan P YP
Moderado
Alto
Proceso EDUCACION FORMAL Alto
Anual de
EDUCACION EDUCACION INFORMAL Alto
Identificados CULTURA Y BIBLIOTECA

EDUCACION PARA EL TRABAJO
CULTURA
Alto
Moderado
BIBLIOTECA Moderado
Auditoria GESTION SOCIAL

PLANEACION FINANCIERA
Alto
Alto
Alto
FACTURACION Alto
Interna GESTION FINANCIERA

CARTERA
PAGOS
RECAUDO
Alto
Alto
Alto
GESTION CONTABLE Alto
Plan de Rotacin Requerimientos del GESTION TRIBUTARIA

CREDITO
Alto
Alto
VINCULACIN Y DESVINCULACIN DEL
Comit de Auditoria PERSONAL.

FORMACIN Y DESARROLLO DE
COMPETENCIAS
Alto
Moderado
y la Direccin. GESTION HUMANA EVALUACION DE DESEMPEO

BIENESTAR SOCIAL
Moderado
Moderado
SALUD OCUPACIONAL Moderado
ADMON DEL SISTEMA SALARIAL Y
Requerimientos PRESTACIONAL
COMPRAS Y CONTRATACION
ADMINISTRACION DE RECURSOS
Alto
Alto
de Ley Para la GESTION ADMINISTRATIVA

FISICOS
SERVICIOS GENERALES
Moderado
Moderado
GESTION DOCUMENTAL Moderado
Auditoria Interna. ADMON DE ACTIVOS FIJOS

GESTION DE INFRAESTRUCTURA
GESTION DE SISTEMAS DE
Moderado
Moderado
GESTION TECNOLOGICA
INFORMACION Moderado
SOPORTE TECNICO Moderado
GESTION JURIDICA
ASESORIA LEGAL Alto
ACCIONES JURIDICAS Moderado
Requerimiento del Comit de Auditoria y la

Direccin
Plan Anual de Si Existe manifestacin de la Alta Direccin
Universo
58 de
Procesos
Auditoria Ao 2015 y/o el Comit de Auditoria, sobre la
Auditoria Interna
necesidad de realizar una auditoria
especifica o recurrente al proceso .
Hallazgos y No La Alta Direccin y/o el Comit de Auditoria, no
Oportunidades Nivel de Riesgo ha realizado ninguna manifestacin sobre la
de Mejora Inherente del necesidad de realizar una auditoria especifica
Significativos Plan o recurrente al proceso o actividades dentro
Proceso del proceso.
Identificados Anual de
Auditoria Proceso
DIRECCIONAMIENTO ESTRATEGICO
Subproceso
PLANEACION ESTRATEGICA
ADMINISTRACION DE PROYECTOS
Nivel De Riesgo Inherente
Alto
Extremo
AUDITORIA INTERNA Alto
Interna SITEMA DE CONTROL INTERNO
GESTION DE CALIDAD
GESTION DE RIESGOS
GESTIN DE CALIDAD
MERCADEO
Alto
Alto
Alto
COMERCIALIZACION VENTAS Alto
Plan de Rotacin Requerimientos del MANTENIMIENTO DE EMPRESAS Alto
27 de
Comit Si Auditoria PLANIFICACION DEL SERVICIO Planificacin del Servicio
Alto
Alto
Alto
RECAUDO Extremo
y la Direccin. SUBSIDIOS APROPIACION

ASIGNACION
Extremo
Extremo
ENTREGA CUOTA MONETARIA Extremo
LEGALIZACIN Y ENTREGA SUBSIDIO
Requerimientos DE VIVIENDA Y FONEDE

TURISMO
Alto
Alto
DEPORTES Moderado
de Ley Para la ALQUILER
PYP
Moderado
Moderado
Auditoria Interna. GESTION SOCIAL

Alto
Alto
Alto
FACTURACION Alto
CARTERA Alto
CREDITO Alto
GESTION ADMINISTRATIVA COMPRAS Y CONTRATACION Alto
Requerimiento de Ley Para Auditoria Interna
Plan Anual de Si Es requerido por Normatividad trabajos de

Universo
58 Procesosde auditoria especficos al proceso o parte del
Auditoria Ao 2015
Auditoria Interna proceso.
No No es requerido por Normatividad trabajos de
Hallazgos y auditoria especficos al proceso o parte del
proceso.
Significativos Plan 1 AUTOEVALUACIN
Proceso 2 CONTROL INTERNO DISCIPLINARIO
Identificados Anual de 3 EVALUACIN INDEPENDIENTE
Auditoria 4 GESTIN CONTABLE
5 GESTIN CONTRACTUAL
Interna GESTIN DE ADMINISTRACIN DEL RIESGO DE LAVADO DE ACTIVOS Y
Plan de Requerimientos del 6 FINANCIACIN DEL TERRORISMO
Rotacin
27 de
Comit Si Auditoria 7 GESTIN DE DEFENSA JUDICIAL
8 GESTIN DE PLANES DE MEJORAMIENTO
y la Direccin.
9 GESTIN DE REQUERIMIENTOS
Requerimientos
12 Si 10 GESTIN DEL RIESGO Y CONTINUIDAD DEL NEGOCIO
de Ley Para la 11 GESTIN ESTRATEGICA
Auditoria Interna. 12 GESTIN PRESUPUESTAL
Plan Anual de
Universo
58 de
Procesos
Auditoria Ao 2015 Un Ao (1)
Auditoria Interna
Dos Aos (2)
Hallazgos y No
Tres Aos (3)
Significativos Plan Cuatro aos (4)
Proceso
Auditoria
Interna
Un Ao (1)
Plan de Requerimientos del
Rotacin
27 de
Comit Si Auditoria Un Ao (1)
y la Direccin. Si
Requerimientos Dos Aos (2)
12 Si
de Ley Para la Tres aos (3)
Auditoria Interna.
Contenido

INTERNA.
4. PROXIMOS PASOS
3. PLAN ANUAL DE AUDITORIA VS RECURSOS
Plan Anual de
Universo de
Auditoria Ao 2015
Auditoria Interna
Hallazgos y
Significativos Plan
Proceso
Auditoria
Interna
Requerimientos del
Plan de Rotacin Comit de Auditoria
y la Direccin. Tota Horas Necesarias ESTIMADAS 29.344
Requerimientos
de Ley Para la
Total Horas Disponible Equipo de 20.526
Auditoria Interna. Auditores:
Diferencia (Tiempo Insuficiente). (9.088)
Se cubrir con Recursos Externos
Contenido

INTERNA.

Comunicacin y Aprobacin del Plan.
Plan anual de auditora Presentado a la

Administracin.
Aprobacin final del plan anual de

auditora por la Junta Directiva / Consejo
Directivo o Comit De Auditoria.
Evidencia de la accin tomada por el

DEA en caso de limitaciones de recursos.
Evaluacin formal de necesidades

preparada por el DEA.
Comunicacin y Aprobacin del Plan.
Informar a la alta direccin y al consejo de todo trabajo de

auditora que ha sido re-programado as como las razones de ese
cambio y el grado de riesgo asociado con los trabajos re-
programados.
Auditorias Programadas del Trimestre Enero Marzo 2015
Segn Plan Anual Aprobado
Tipo de Nombre de la Estatus Nivel de Observacin
Auditoria Auditoria Riesgo
Regulatoria Contratacin Finalizada Extremo
Valoracin Tesorera Aplazada. Alto Los recursos
de Riego. fueron utilizados
en una
investigacin.
Monitoreo C*C Diversas. En Proceso. Alto
Continuo.
Contenido
Introduccin.
Riesgos:
a. Planeacin Preliminar de
Cada Trabajo de Auditoria.
2200 Planificacin del Trabajo.
Los auditores internos Consideraciones Sobre la Planificacin
deben elaborar y 2201:
registrar un plan para Los objetivos de la entidade que estan
siendo revisada y los mdios com los
cada trabajo, que incluya cuales la actividad controla su desempeo.
el alcance, los objetivos, Los Riesgos significativos de la actividad,
el plazo y la asignacin sus objetivos, recursos y operaciones, y los
de recursos mdios con los cuales el impacto potencial
del riesgo se mantiene a un nvel
aceptable
La Adecuacin y eficcia de los procesos
de Gobierno, Gestin de Riesgos y Control
de la Actividad.
a. Planeacin Preliminar de
Cada Trabajo de Auditoria.
A.1 FORMATO AVISO DE INICIO DE LA AUDITORIA.
A.2 PLANEACIN PRELIMINAR VISIN GENERAL / O

CONOCIMIENTO DEL NEGOCIO.
A.3 RIESGOS Y CONTROLES DEL PROCESO A EVALUAR

Contenido
Introduccin.
Riesgos:
b. Desarrollo y Ejecucin de la
Auditoria.
2240 Programas de Trabajo
Norma de Implantacin
2240.A1
Los auditores internos Los programas de trabajo deben
deben preparar establecer los procedimientos
programas que cumplan para identificar, analizar, evaluar
y registrar informacin
con los objetivos del
trabajo
Debe ser aprobado con
anterioridad al comienzo del
trabajo y cualquier ajuste ha de
ser aprobado oportunamente
Auditoria.
2240 Programas de Trabajo
Puntos a considerar:
Los programas de trabajo deben establecer los procedimientos
para identificar, analizar, evaluar y registrar informacin durante
la tarea.
El plan de trabajo debe ser aprobado por escrito por parte del
DEA o persona delegada, antes del comienzo del trabajo si
fuera factible.
Los ajustes al plan de trabajo deben ser aprobados
oportunamente.
Inicialmente, la aprobacin puede ser obtenida oralmente si
existen circunstancias que impidan obtener la aprobacin por
escrito antes de comenzar el trabajo.
Auditoria.
2300 Desempeo del Trabajo
Norma de Implantacin
2330
Los auditores internos Los auditores internos deben
deben identificar y documentar informacin
analizar, evaluar y relevante que les permita
soportar las conclusiones y los
documentar suficiente resultados del trabajo.
informacin de manera tal
que les permita cumplir
con los objetivos del
trabajo.
Auditoria.
B.1 FORMATO PRUEBA DE RECORRIDO.
B.2 FORMATO DE PROGRAMA DE TRABAJO.
B.3 FORMATO DE PRUEBA VALIDACIN EFECTIVA.

Contenido
Introduccin.
Riesgos:
c. Informe y Seguimiento.
El informe es uno de los nicos

aspectos del trabajo del auditor
que ven los usuarios tanto
internos como externos, y es
probable que por este informe
se juzgue la competencia del
auditor y del mismo derive su
responsabilidad.
Al realizar un informe de auditoria

se esta respaldando la labor del
auditoria de una manera objetiva e
independiente. As como sus
aptitudes y pericia, y que se ha
realizado la auditoria de acuerdo
con el Marco para la practica
profesional de auditoria interna.
No existe una estructura modelo

en la redaccin de los Informes
de Auditoria Interna, ya que es
muy difcil opinar uniformemente,
sobre una gran variedad de
actividades administrativas de
diferentes alcance, que no tienen
una misma base inicial y final.
Si bien el formato y contenido de las

comunicaciones finales de trabajo
varan segn las organizacin o el tipo
de trabajo, deben contener como
mnimo:
Objetivos y Alcance del Trabajo.
Conclusiones
Recomendaciones y Planes de
Accin. Norma 2410
La explicacin del Objetivo

describe el Propsito del trabajo
y puede informar al lector sobre
las razones que motivaron la
realizacin del trabajo y lo que se
esperaba conseguir.
Ejemplo
El objetivo de la auditoria ha sido

verificar el adecuado cumplimiento de
los controles establecidos para la
mitigacin de los riesgos del proceso de
manejo de inventarios relacionados con:
Perdida o Robo de inventarios.
Obsolencia del Inventario.

La explicacin del Alcance

identifica las actividades auditadas y
puede incluir informacin de
soporte, como por ejemplo el
periodo revisado y las actividades
relacionadas que no fueron
revisadas, con el fin de definir los
limites del trabajo.
Alcance
La Auditoria se realiz en la Sucursal XYZ del

01ENE14 al 31MAR14, con la inclusin de los
siguientes temas:
Operaciones y Plataforma de Caja realizadas

en el trimestre enero-marzo de 2014.
Apertura de nuevos productos pasivos en el

trimestre enero-marzo de 2014.
Business Continuity Plan en caso de falla del

sistema principal de la entidad.
Los Resultados incluyen

observaciones, conclusiones,
opiniones, recomendaciones y
planes de accin.
Las opiniones en los trabajos de

auditoria pueden ser clasificaciones
(ratings).
Las Observaciones son

exposiciones pertinentes de los
hechos. El auditor interno
comunica aquellas observaciones
que sean necesarias para apoyar
sus conclusiones y
recomendaciones.
Las observaciones y
recomendaciones del trabajo
surgen de un proceso de
comparacin entre el criterio (el
estado correcto) y la condicin
(el estado actual).
Las observaciones y
recomendaciones se basan en los
siguientes atributos:
Criterio: (el estado correcto).
Los estndares, medidas, o

supuestos utilizados al hacer una
evaluacin y verificacin
Las observaciones y
Condicin: (el estado actual).
La evidencia, los hechos que el

auditor interno encuentra
durante la realizacin de su
trabajo
Ejemplo : Observacin
En la revisin de las Actas de reuniones de

Junta Directiva realizadas del 01 de Enero
al 30 de diciembre de 2013, observamos
que el acta del mes de diciembre se
encuentran sin la firma del presidente y
secretario de la Junta Directiva, segn lo
requerido en el Cdigo de Gobierno.
Ejemplo : Recomendaciones
Las reuniones de la Junta Directiva

deben quedar en actas consecutivas
y en libros debidamente foliados,
con la firma del Presidente y el
Secretario de la Junta Directiva.
Las observaciones y
Causa: La razn de la
diferencia entre las situaciones
esperadas y las reales.
Casos de la Vida Real
Lo que no se debe hacer
Como hacerlo bien.
Las observaciones y
Efecto: El riesgo o exposicin

en que se encuentra la
organizacin u otros terceros,
debido a que la condicin no
coincide con el criterio.
Las conclusiones y opiniones

son las evaluaciones que hace el
auditor interno sobre los efectos
de las observaciones y
recomendaciones en la actividad
revisada.
Se pueden comunicar
recomendaciones para mejoras,
reconocimientos de desempeo
satisfactorio y acciones
correctivas.
El auditor interno obtiene el acuerdo

sobre los resultados del trabajo y
sobre cualquier plan de accin
necesario para mejorar las
operaciones. Si ambos discrepan
sobre los resultados del trabajo, las
comunicaciones pueden exponer
ambas posiciones.
Modelo de Ejemplo
Ejemplo Informe
Final
Calidad de la Comunicacin
Las comunicaciones deben

ser precisas, objetivas,
claras, concisas,
constructivas, completas y
oportunas.
Las comunicaciones precisas

estn libres de errores y
distorsiones y son fieles a los
hechos que describen.
Las comunicaciones objetivas son justas, imparciales y

sin desvos y son el resultado de una evaluacin justa y
equilibrada de todos los hechos y circunstancias
relevantes.
Las comunicaciones claras son

fcilmente comprensibles y lgicas,
evitando el lenguaje tcnico
innecesario y proporcionando toda
la informacin significativa y
relevante.
Las comunicaciones concisas van

a los hechos y evitan elaboraciones
innecesarias, detalles superfluos,
redundancia y uso excesivo de
palabras.
Las comunicaciones
constructivas son tiles para el
cliente de trabajo y la organizacin,
y conducen a mejoras que son
necesarias.
Las comunicaciones completas no

les falta nada que sea esencial para
los receptores principales e incluyen
toda la informacin y observaciones
significativas y relevantes para
apoyar las recomendaciones y
conclusiones
Las comunicaciones oportunas

son realizadas en el tiempo debido
y son pertinentes, dependiendo de
la significatividad del tema,
permitiendo a la direccin tomar la
accin correctiva apropiada.
Redaccin de Hallazgos
Un hallazgo incluye toda aquella informacin necesaria
para que:
El lector pueda entender y juzgar por si mismo el

informe.
Cualquier otro auditor pueda examinar o analizar los

hechos y llegar a los mismo resultados.
Debe responder fcilmente Cul es el Problema?

Atributos del Hallazgo
Hallazgo - Ejemplo
Lo que no se debe hacer
Como hacerlo bien.
Recomendaciones
Deben ser:
Especificas, claras y precisas
Ser prcticas costo/beneficio
Dirigidas al funcionario con autoridad para resolver o

implantar la recomendacin.
Atributos del Hallazgo
Ejercicio Practico:
Plan y Resultado
de la Prueba
Recomendaciones y Ejercicios
prcticos para la redaccin del
Informe de Auditoria.
Tenemos que brindar igual

atencin y dedicacin a la
redaccin del informe que la
que brindamos a los procesos
de auditora.
La redaccin del informe de auditoria, requiere de

cuidado; a veces el auditor hace un buen trabajo de
campo pero no redacta el informe en la forma que debera
hacerlo, sencillamente por que le falta capacidad de
anlisis, sntesis y capacidad informativa o de redaccin.
Busque primero
comprender y luego ser
comprendido.
Escriba de manera constructiva.
Recordar que nuestro objetivo es asistir y ayudar a la

direccin a mejorar su administracin a travs del control.
Cercirese de haber incluido en el informe, los hechos

significativos.
Indique en primer termino las observaciones mas

importantes.
Piense como si estuviera en la posicin de un Gerente

o el dueo del proceso.
El contenido de las observaciones debe estar basado

en hechos demostrables.
Evite el uso de trminos complejos
Por lo general, prefiera oraciones cortas o prrafos

cortos.
Escriba en tercera persona, es preferible decir, nuestra

opinin es, se opina que.; en vez de, mi
opinin es.
Procure no hacer mucho rodeo y enfoque antes del

asunto que desea informar.
Evite empezar las recomendaciones con trminos

dbiles..(Se debera, considerar, evaluar la posibilidad).
No repita siempre las mismas palabras o deje de utilizar

palabras repetitivas en un mismo prrafo.
Revise el uso de las reglas gramaticales para no cometer

errores como el siguiente:
- Incorrecto: Seor muerto, sta tarde hemos llegado
- Correcto: Seor, muerto est, tarde hemos llegado

Procure cuantificar los efectos, es mas til para un

ejecutivo, conocer en nmeros, el alcance o transcendencia
de los efectos.
Debe indicarse con exactitud, cualquier referencia

adicional, por ejemplo.
No use trminos que generan duda ( parece, quizs,

posiblemente, aparentemente, etc).
Cuando se utilicen abreviaturas, hay que explicar su
significado.
Evite utilizar trminos en Ingles cuando se est redactando

en idioma Castellano a menos que sean estrictamente
necesarios.
Redacte el Informe en borrador, en el campo. (Hallazgos).
Los temas menores pueden ser informados verbalmente.

Presentacin y Difusin del
Informe de Auditoria
El Director ejecutivo de auditora o

la persona por l designada debe
revisar y aprobar la comunicacin
final del trabajo antes de su emisin
y decidir a quines y cmo ser
distribuida dicha comunicacin.
Presentacin y Difusin del
Informe de Auditoria
El DEA distribuye las comunicaciones

finales del trabajo a la gerencia de la
actividad auditada y aquellos miembros
de la organizacin que puedan asegurar
que se prestara debida atencin a los
resultados del trabajo y seguirn las
acciones correctivas o asegurarn que
se sigan las mismas.
Contenido
Introduccin.
Riesgos:
d. Programa de Aseguramiento y
Calidad en el Trabajo de Campo
de la Auditoria.
1300 Programa de Aseguramiento y mejora de la calidad.
Requisitos del programa de

El Director ejecutivo de aseguramiento y mejora de la calidad
auditoria debe
desarrollar y mantener El Programa de aseguramiento y mejora
un programa de de la calidad debe incluir tanto
aseguramiento y mejora evaluaciones internas como externas.
de la calidad que cubra
todos los aspectos de la
actividad de auditoria
interna.
GRACIAS POR SU
ASISTENCIA
Profesionales con Actitud y Aptitud dos
palabras que marcan la diferencia
Edwin Arley Giraldo Z.

Scio y Representante Legal
CPA / CIA / CFSA / CCSA / QA
Celular: 3017537163
egiraldo@aseguramientoyconsultoria.com
Calle 93 11-28 Oficina 601

Edificio Capital Park 93 Cetro Empresarial
Tel: 57 (1) 7560533
Bogot D.C. Colombia
info@aseguramientoyconsultoria.com
www.aseguramientoyconsultoria.com
Portafolio de Servicios
PORTAFOLIO DE SERVICIOS
OUTSOURCING DE AUDITORIA INTERNA
OUTSOURCING EN CONTROL INTERNO
OUTSOURCING EN LA ADMINISTRACIN DE LA GESTIN DE RIESGOS
OUTSOURCING EN DOCUMENTACIN DE PROCESOS
IMPLEMENTACIN DE SISTEMAS INTEGRADOS DE GESTIN ESTRATEGICA
FORTALECIMIENTO METODOLOGIA DE AUDITORIA INTERNA BASADA EN RIESGOS
FORTALECIMIENTO METODOLOGIAS DE GESTIN DE RIESGOS
(SARO-SARLAFT-SOX, FRAUDE Y CORRUPCIN)
FORTALECIMIENTO METODOLOGIAS DE ASEGURAMIENTO BASADO
EN LAS NORMAS DE ASEGURAMIENTO DE INFORMACIN
DIAGNOSTICO E IMPLEMENTACIN ISO 31000 2009 / COSO ERM
DIAGNOSTICO E IMPLEMENTACIN COSO 2013 / MECI 2014
EVALUACIN DE CALIDAD DE LA FUNCIN DE AUDITORIA INTERNA
DISEO Y EJECUCIN DE PRUEBAS PARA SOX
INTERVENTORIA EN PROYECTOS DE PROCESOS-RIESGOS-CONTROL-AUDITORIA
Profesionales con Actitud y Aptitud dos palabras que marcan la diferencia.

Auditoria Riesgos ERM

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria Riesgos ERM

Uploaded by

Copyright:

Available Formats

REALIZANDO AUDITORIA BASADA EN RIESGOS

DESDE EL PLAN ANUAL DE AUDITORIA HASTA

Edwin Arley Giraldo Zapata

Implementador de metodologas de Auditoria Interna

Docente de la Universidad Externado de Colombia en la

Nombre, organizacin y cargo.

Conocimientos y/o experiencia previa

Comprender la importancia del proceso de la actividad de

Entender las principales etapas del Proceso Auditor con el fin de

Aplicar en la practica una metodologa de auditoria basada en

Definicin de Auditoria Interna

Normas Internacionales para el Ejercicio Profesional

Consejos para la Practica

Guas para la Prctica

ISO 31000 2009 Definicin de Riesgo

1. Incertidumbre (Puede que nunca ocurra).

2. El Riesgo importa y debe gestionarse porque tiene un efecto (Positivo y Negativo).

3. Ese efecto es sobre los objetivos fijados.

Evaluaciones continuas (Autocontrol, Autorregulacin, Autogestin)

Mapas de riesgos por macro-actividades y procesos.

Riesgos y controles comunicados y actualizados.

Evaluaciones independientes (Auditoria Interna)

4.2 Comunicacin y Consulta

4.3 Monitoreo y Revisin

Tratamiento del Riesgo.

Operacionales Reportes Cumplimiento

Evaluacin del Riesgo

Tratamiento del Riesgo

Instituto de Auditores Internos del Per

En qu herramientas establezco los objetivos?

Cmo aseguro que no me quedaron

Instituto de Auditores Internos del Per

Procesos de innovacin o estratgicos:

Proceso: Agrupamiento lgico de subprocesos o actividades que resultan en un

Subproceso: Subdivisin de los procesos que representa una

Actividades: Un paso o accin que se realiza en un perodo

Tareas: Es el conjunto de pasos o procedimientos que

Caracterizacin del Proceso:

Es el conjunto de variables que ayudan a un mayor entendimiento del proceso:

Mejora del desempeo financiero.

Productividad, Calidad, Practicas Medioambientales.

Normas mnimas de conducta esperada.

Los objetivos a nivel de la organizacin, deben alinearse con las

RIESGO CAUSA / FALLA

Flujo de control: Muestra el flujo de control de una actividad ha

Nodo inicial: Inicio del flujo del proceso.

Nodo Final: Finalizacin del flujo del proceso

Documentos asociados: documento de

A su vez la cadena de valor apoya el nivel de documentacin requerida en los

Proceso: No. de Riesgo:

Riesgo del proceso:

Objetivo del proceso: Procesar y verificar oportunamente la

Responde fcilmente a la pregunta si ocurre el riesgo Qu prdida es generada? Es decir,

Permite establecer la probabilidad e impacto, obteniendo as la calificacin del mismo.

Evitar las negaciones para expresar el Riesgo.

El riesgo se debe pensar inicialmente sin considerar la existencia de controles.

Ejemplo: No afiliar oportunamente

Realizar los pagos de impuesto de manera oportuna,

Cuales son los Riesgo de este proceso de acuerdo al objetivo y

Magnitud del impacto:

Evaluacin del Riesgo Inherente (Evaluacin Inicial)

Probabilidad de que se Impacto o efecto del riesgo sobre la

Evaluacin / Severidad / Calificacin: Es la evaluacin general del Resultado de la

Es la variable que mide la posibilidad de que un riesgo Probabilidad