COMIT DE ENLACE DE AUDITORA INTERNA

DEL MUNICIPIO DE MEDELLN

Auditoria basada en Riesgos

Agosto 2 de 2013

Pg. 1
 Contenidos

1. Justificacin
2. Gobierno, riesgo y control
3. Las lneas de defensa frente a los riesgos
corporativos
4. Rol de la Auditora Interna
5. Criterios para priorizar el programa de auditoras
6. Ejecucin de auditora basada en riesgos
7. Evaluacin de controles
 1. Justificacin
Quienes gestionan el riesgo de forma eficaz y eficiente tienen
ms probabilidad de alcanzar sus objetivos y hacerlo a menor
costo, por ello, la gestin de riesgos debe formar parte de la
cultura organizacional.

La Auditora interna ayuda a la organizacin a ese cumplimiento

de sus objetivos aportando un enfoque sistemtico y
disciplinado para evaluar y mejorar la eficacia de los procesos de
gestin de gobierno, riesgo y control
 2. Gobierno, riesgo y control

Gobierno es el proceso orientado por los socios y la Junta

Directiva para autorizar, dirigir y supervisar su gestin con el fin
de alcanzar los objetivos de una Empresa.
 2. Gobierno, riesgo y control
Entendiendo el Riesgo
AMENAZA
Condicin con potencial
para causar daos o
perjuicios
--------------------------
Probabilidad de que ocurra
algo
Riesgo :
RIESGO SINIESTRO
Incertidumbre de que se Evento accidental que
presenten determinadas tiene consecuencias
prdidas negativas
--------------------------- ---------------------------
Probabilidad de que se pierda
Certeza de que ha ocurrido
algo
una prdida
f ( probabilidad, consecuencias )
 2. Gobierno, riesgo y control
Criterio de vulnerabilidad
NIVEL DE MNIMO MXIMO
DESCRIPCIN GENERAL
GRAVEDAD (SMMLV) (SMMLV)

Prdida de utilidad
Las consecuencias no afectan en forma
Insignificante VULNERABILIDAD BAJA bruta operacional 0 8,8
significativa el sistema
menor a una hora
Prdida de utilidad
Las consecuencias slo afectan parcialmente
Marginal bruta operacional entre 8,8 1,76
el sistema, pero son considerables
una hora y un da.
VULNERABILIDAD
Las MEDIA
consecuencias afectan totalmente el
Prdida de utilidad
funcionamiento del sistema, pero de manera
Grave bruta operacional entre 1,76 5.294
temporal, generando efectos que son
un da y un mes
recuperables

Las consecuencias afectan totalmente el Prdida de utilidad

Crtico funcionamiento del sistema generando daos bruta operacional entre 5.294 49.409
irrecuperables, pero sin hacerlo desaparecer. un mes y un ao.
VULNERABILIDAD ALTA
Las consecuencias afectan totalmente el Prdida de utilidad
Catastrfico funcionamiento del sistema y pueden hacerlo bruta operacional mayor 49.409
desaparecer. de un ao. 6
2. Gobierno, riesgo y control

Calificacin de riesgos
Frecuencia Severidad

Riesgo = F x DM + Op + IC + Vi + MA + SL + Me + Inf
2. Gobierno, riesgo y control

Amenaza OBJETIVO

RIESGO

1. IDENTIFICACIN RIESGO NO IDENTIFICADO

2. ANLISIS

3. VALORACIN

4. TRATAMIENTO

REDUCCIN FINANCIACIN

Evitar Aceptar
Retener Retencin Retencin
Prevenir
Activa Pasiva
Proteger Transferir
Parcial Total
El riesgo Las prdidas
2. Gobierno, riesgo y control

Calificacin del riesgo

R. con tratamiento

Riesgo
con controles

Riesgo
absoluto
 2. Gobierno, riesgo y control
Rab

$36.000 - $50.000

$3.000 - $36.000
Rcc

$1.000 - $3.000
SEVERIDAD (millones de $)

$200 - $1.000

$100 - $200

$50 - $100

$20 - $50 Rct

$5 - $20

$1 - $5

$0 - $1

0.02 0.04 0.05 0.07 0.1 0.2 1 12 52

FRECUENCIA
(eventos / ao)
 3. Las lneas de defensa frente a los riesgos corporativos

La primera lnea de defensa frente a los riesgos est conformada

por la Alta Direccin. Las reas o procesos tienen la propiedad y
responsabilidad para evaluar, controlar y mitigar los riesgos y
deben garantizar el mantenimiento de controles internos
efectivos.

El Sistema de Control Interno es una responsabilidad de los

Socios y de la Junta Directiva, de la direccin y de todo el
personal de una entidad, diseado con el objeto de proporcionar
una seguridad razonable en cuanto a la consecucin de objetivos
dentro de las siguientes categoras: eficacia y eficiencia de las
operaciones, fiabilidad de la informacin, cumplimiento de las
leyes y normas aplicables y salvaguarda de sus activos.
 3. Las lneas de defensa frente a los riesgos corporativos

La segunda lnea de defensa la constituyen algunas funciones

especializadas como:

Gestin de Riesgos, esta funcin facilita y vigila la aplicacin

de las prcticas efectivas de gestin de riesgos, por parte de los
propietarios de los riesgos y les ayuda a medir el nivel de
exposicin al riesgo y a comunicar informacin adecuada de los
riesgos a la organizacin.
Cumplimiento, orientada a verificar el control de los riesgos de
no conformidad con la aplicacin de leyes y reglamentos
externos e internos.
Otras funciones de caractersticas transversales a los
procesos: Control Financiero, Seguridad, Calidad e Inspeccin.
 3. Las lneas de defensa frente a los riesgos corporativos

Auditora Interna constituye la tercera lnea de defensa y es el

control de los controles. La Auditora Interna, proporciona
aseguramiento a los rganos de gobierno de la organizacin
sobre la efectividad de la evaluacin y gestin de riesgos,
incluyendo la verificacin de forma en que operan la primera y la
segunda lnea.

El IIA ha establecido un esquema de abanico que ilustra la

actuacin para Auditora Interna dentro de la Gestin de Riesgos,
de forma que delimita claramente su rol a las funciones de
aseguramiento, y como mucho a las funciones de consultora,
pero en ningn caso debe asumir funciones ejecutivas en la
definicin, respuesta y gestin de los riesgos.
4. Rol de la auditora en la gestin de riesgos
 4. Rol de la Auditora Interna

De acuerdo con la declaracin del Instituto Internacional de

Auditores sobre el Rol de la Auditora Interna en la Gestin del
Riesgo Empresarial, se enmarca en tres grupo de actividades:

Roles fundamentales de la auditora interna respecto al ERM:

Brindar aseguramiento respecto de los procesos de gestin de

riesgo.
Brindar aseguramiento sobre la correcta evaluacin de los
riesgos.
Evaluar el reporte de riesgos claves.
Revisar la gestin de los riesgos claves.
 4. Rol de la Auditora Interna

Roles legtimos de auditora interna que deben realizarse con

salvaguarda:

Facilitar la identificacin y evaluacin de riesgos.

Asesorar a la gerencia sobre respuesta a riesgos.
Coordinar actividades de ERM.
Consolidar reportes sobre riesgos.
Mantener y desarrollar el enfoque de gestin de riesgo
empresarial.
Defender el establecimiento del ERM.
Desarrollar estrategias de gestin de riesgo para aprobacin
de la junta.
 4. Rol de la Auditora Interna

Roles que auditora interna NO debe realizar:

Establecer el grado de aceptacin al riesgo.

Imponer procesos de gestin de riesgo.
Manejar el aseguramiento sobre los riesgos.
Tomar decisiones en respuesta a los riesgos.
Implementar respuestas a riesgos en nombre de la
administracin.
Tener responsabilidad de la gestin de riesgo.
 5. Criterios para priorizar el programa de auditoras

Se proponen algunos criterios objetivos y pasos a seguir

para la identificacin de las prioridades en la realizacin
de un programa de auditoras, con el propsito de
agregar un mayor valor y cubrir las necesidades de cada
empresa, en materia de control, riesgo y cumplimiento.
5. Criterios para priorizar el programa de auditoras

Pasos
1. Definir el universo auditable
Se debe determinar cual ser la totalidad de procesos,
proyectos, contratos o reas a auditar. Se entiende por
Universo Auditable, la totalidad de unidades de auditora
que se podran realizar.

El Ente o Unidad Auditable, es cada uno de los posibles

elementos o actividades a auditar.

Se recomienda tomar como universo auditable todos los

procesos o reas de la entidad, donde cada una de estas
sern los entes o unidades auditables (Ej: Talento Humano,
Contabilidad, Mercadeo, entre otros).
5. Criterios para priorizar el programa de auditoras
2. Aplicacin de Variables
Con base en el universo auditable, a cada unidad auditable
se le aplican las siguientes variables, con su rango de
calificacin:
Calificacin
Variable
B M A
1. Cumplimiento de Indicadores del Cuadro de
1 3 5
Mando Integral (CMI)
2. Participacin en el Presupuesto de Ingresos o
1 3 5
Egresos
3. Contrato de Impacto Misional 1 5
4. Valor del Contrato 1 3 5
5. Resultados Entes de Control (Contralora) 1 3 5
6. Calificacin de los riesgos del proceso 1 3 5
5. Criterios para priorizar el programa de auditoras
Cumplimiento de Indicadores del Cuadro de Mando Integral
(CMI): Se refiere a los resultados de los indicadores del CMI
relacionados con cada ente auditable o proceso (si no tiene
indicadores no se califica). Se califica con base en el resultado
de estos en el ao inmediatamente anterior, con el siguiente
rango:

Si el indicador est en verde, su calificacin es 1 (Bajo)

Si el indicador est en amarillo, su calificacin es 3
(Medio)
Si el indicador est en rojo, su calificacin es 5 (Alto)

En el caso de que se tengan varios indicadores bajo la

responsabilidad de un mismo proceso, se realiza una
ponderacin de los mismos.
5. Criterios para priorizar el programa de auditoras

Participacin en el Presupuesto de Ingresos o Egresos: Se

refiere a la participacin que tiene el proceso auditado
dentro del presupuesto de ingresos o egresos, teniendo en
cuenta los siguientes aspectos:

Si el presupuesto est entre el 0.001% y el 3.5%, se

califica como 1 (Bajo)

Si el presupuesto est entre el 3.6% y el 10%, se califica

como 3 (Medio)

Si el presupuesto es mayor al 11%, se califica como 5

(Alto)
5. Criterios para priorizar el programa de auditoras

Contrato de Impacto Misional: Se refiere a aquellos

procesos que tienen a cargo contratos relacionados
directamente con la misin de la empresa, los cuales se
calificaran de la siguiente manera:

Si el contrato no tiene relacin con la misin de la

empresa, sino que es de apoyo, se califica con 1 (Bajo).

Si el contrato afecta directamente la misin de la

empresa, se califica con 5 (Alto).
5. Criterios para priorizar el programa de auditoras

Valor del Contrato: De acuerdo al sistema de contratacin de

la empresa, se debe establecer un rango en valores que
determinan la calificacin del contrato, as:

Contratos a hasta 100 SMLMV, se califica con 1 (Bajo)

Contratos mayores a 100 SMLMV y menor de 500

SMLMV, se califica con 3 (Medio)

Contratos Mayores a 500 SMLMV, se califica con 5 (Alto)

5. Criterios para priorizar el programa de auditoras

Resultados Entes de Control (Contralora): Se refiere a las

deficiencias y hallazgos levantados por la Contralora en su
ltima auditora realizada, con las siguientes calificaciones:

Si el resultado es cero hallazgos y deficiencias, el

resultado es 1 (Bajo).

Si el resultado es ms de una deficiencia administrativa,

el resultado es 3 (Medio).

Si el resultado es ms de una deficiencia fiscal o

hallazgo fiscal, el resultado es 5 (Alto).
5. Criterios para priorizar el programa de auditoras

Resultados

El resultado de la suma de las anteriores variables se compara

contra una tabla con los siguientes valores:

Si el resultado es menor o igual a 9, su nivel es Bajo (B)

Si el resultado es mayor o igual a 10 y menor a 16, su nivel es

Medio (M)

Si el resultado es mayor o igual a 17, su nivel es Alto (A)

5. Criterios para priorizar el programa de auditoras

Resultados Periodicidad Auditoras

De acuerdo con el resultado anterior, los niveles de cada
proceso incluido en el universo auditable y la periodicidad
de cada auditora quedara de la siguiente manera:

Periodicidad Auditora
Nivel
Meses
A 12
M 24
B 36
 6. Ejecucin de auditora basada en riesgos
Realizar
Planificar Ejecutar Comunicar
seguimiento
Realizar anlisis del ente auditable que Realizar pruebas para reunir Elaborar y enviar Revisar la informacin del
incluye: evidencias informe final plan de mejoramiento

Entender el propsito del trabajo Registrar documentar y Socializar informe Priorizar acciones de
(riesgos asociados por los cuales se validar hallazgos. con la alta direccin mejoramiento para el
incluy en el plan de trabajo). seguimiento
Comprender el rea auditada, Evaluar las evidencias Retroalimentar plan
incluidos sus objetivos reunidas y hacer de mejora Evaluar la implementacin
Identificar los indicadores clave de conclusiones. de acciones de
desempeo del ente auditable mejoramiento
Identificar y evaluar los riesgos. Elaborar informe borrador
Priorizar los riesgos para los cuales de Auditoria Reportar los resultados del
e van a probar los controles. seguimiento a las instancias
Identificar las actividades de competentes
control clave.
Determinar los objetivos y alcance
del trabajo.
Elaborar programa de auditora,
define las pruebas para evaluar la
eficacia de los controles
El programa de auditora debe
permitir hacer trazabilidad de la
auditora, debe ser el enlace entre
riesgos asociados, controles,
pruebas y hallazgos.
7. Evaluacin de Controles

Como un mtodo para medir efectividad de los controles en

cuanto a su diseo y operacin, se proponen los siguientes
atributos

Control Calificacin
1. Frecuencia de ejecucin 1 5
2. Cumplimiento de aplicacin 1 3 5
3. Documentacin 1 5
4. Asignacin de responsable 1 5
5. Responsable idneo 1 3 5
7. Evaluacin de Controles

Descripcin Variables
Frecuencia de ejecucin: El control se aplica con la frecuencia
establecida?
(1) No
(5) Si
Cumplimiento de aplicacin: El control se est aplicando
completamente?
(1) Hasta el 40%
(3) Del 40% al 80%
(5) Mayor al 80%
Documentacin: La forma de aplicacin del control se encuentra
completamente documentada y actualizada?
(1) No documentado o desactualizado
(5) Documentado
7. Evaluacin de Controles

Descripcin Variables

Asignacin de responsable: La responsabilidad de la

ejecucin del control est asignada y formalizada
(documentada)?

(1) No
(5) Si

Responsable idneo: El responsable del control tiene

conocimiento y experiencia para su aplicacin?

(1) No tiene experiencia ni conocimiento.

(3) Tiene experiencia o conocimiento parcial.
(5) Tiene conocimiento y experiencia para su
aplicacin.
Muchas Gracias
Jorge Ivan Palacio Quintero
Asesor en Gestin
Metro de Medellin Ltda