lineamientos ejecución auditoría

8/18/2019 Lineamientos ejecución auditoría

1/9

MATRIZ DE RIESGOS

La descripción de los riesgos brutos identificados será registrada en el sistema Paws, bajo las siguientes consideraciones:

Estos riesgos deben ser valorizados en el sistema Paws en función a la probabilidad

de ocurrencia y magnitud del impacto asociado, considerando los siguientes

criterios:

a. Probabilidad de Ocurrencia

Alias Significado Descripción5 asi ierto !e espera "ue ocurra en casi todos los casos o ya

está ocurriendo

# Probable !e espera "ue ocurra regularmente

$ Posible Puede ocurrir en alg%n momento pero no a menudo

& Poco probable Podr'a ocurrir en raras circunstancias, pero no seespera en el corto plazo

( )emoto Podr'a ocurrir sólo en circunstancias e*cepcionales


2/9

b. Magnitud de Impacto

Alias Categoría Financiero+ entas

Seguridad Iagen Cupliiento Continuidad !articipación en!lan de Acción

" Catastrófico (+ -menaza a la vida.umana

!e produjo un fraude

P/rdida significativa del

valor de la marca

0a1os significativos enla imagen

2ncumplimientos legales o

contractuales con efectos penales

2ncumplimiento recurrente de procedimientos y controles

internos "ue podr'an originar

casos de fraude

!uspensión de actividades a

nivel de cadena

P/rdida seria y sostenida de másdel 53+ de la participación

actual del mercado

P/rdida de alianzas claves

4iembros del

0irectorio,erente eneral

orporativo óountry 4anager

# Ma$or 3675+ 0a1os graves a lavida .umana:

2ncapacidad permanente

0ebilidades

operativas "ue

pueden derivar enfraudes

P/rdida importante del

valor de la marca

0a1os serios en la

imagen

2ncumplimientos legales o

contractuales con

indemnizaciones o multassignificativas6

2ncumplimiento de

procedimientos y controles

internos "ue podr'an originarcasos de fraude

!uspensión de actividades de

alguna unidad de negocio o

tienda por más de dos d'as

P/rdida no mayor del $3+ de participación actual del mercado

-menazas en alianzas claves

erentes

enerales de cada

Pa's

% Moderado 3653+ 0a1os a la vida.umana: incapacidad

temporal

P/rdida en el valor de la

marca a corto plazo

0a1os en la imagen

8otificaciones de incumplimiento

legal con adjudicación de multas

2ncumplimientos recurrentes de

procedimientos y controlesinternos en actividades no cr'ticas

!uspensión de actividades en

áreas operativas o tiendas por (

d'a o menos6

P/rdida no mayor del(3+ de participación actual de mercado

erentes

entrales

& Menor 36&5+ 9ratamiento m/dicore"uerido

P/rdida menor en elvalor de la marca

0a1os menores en la

imagen

2ncumplimiento parcial de procedimientos y controles

internos en actividades cr'ticas

2nterrupción parcial de lasactividades en las áreas

operativas o tiendas

erencias 4ediasy erencias de

9iendas

' Insignificante 36(3+ 9ratamiento de primeros au*ilios en

tienda

8o e*iste impacto en el

valor de la marca y la

imagen de la ompa1'a

2ncumplimiento parcial de

procedimientos y controles

internos en actividades no cr'ticas

8o se genera efecto en la

continuidad del negocio, área o

tienda

efaturas

;perativas


3/9

Producto de esta valoración de riesgos se identificará la categor'a de severidad en la "ue

se encuentra el riesgo bruto, de acuerdo a la siguiente matriz:

P r o b a b i l i d a d d e

; c u

r r e n c i a

atastrófico

4ayor

4oderado

4enor

2nsignificante

2nsignificante 4enor 4oderado 4ayor atastrófico

Magnitud de Ipactoalificación de )iesgos


4/9

-l registrar los controles en el sistema Paws, considerar lo siguiente:

• )eferencia

• 0escripción

• ;rientación: permite definir si el control descrito reduce la Probabilidad de

;currencia o la 4agnitud de 2mpacto del riesgo, o si act%a sobre ambos6

• lase: definir si es un control manual o automático6

• ategor'a:

o -utorización: aprobación de transacciones y acceso a registros y activos

o !egregación de funciones: separación de funciones y responsabilidades

o )econciliación: aseguran la integridad y e*actitud en la transmisión de la

información

o )evisión de la gerencia: revisiones por personas distintas a las "ue

ejecutan la actividad, incluye revisiones de logs6

o )eportes de e*cepción: operaciones "ue salen de los estándares

o !alvaguarda: generación de bac?ups

• 9ipo:

o Preventivo: se encuentra antes "ue las operaciones normales se ejecuten

o 0etectivo: se encuentra despu/s "ue las operaciones normales se

ejecuten

o orrectivo: se implementa cuando .a ocurrido un evento negativo en el

proceso por una debilidad de control, posteriormente puede convertirse

en Preventivo o 0etectivo6

• Ejecutado por: indicar el detalle del cargo responsable del control

• @recuencia: frecuencia con la "ue se ejecuta el control

• ontrol clave: se considera "ue un control es clave cuando su no ejecución podr'a generar un efecto adverso significativo en el cumplimiento de los

objetivos de negocio6

En el caso "ue no se .ayan implementado controles para mitigar los riesgos, se deberá

generar inmediatamente una observación de auditor'a*

E+A),ACIO( DE CO(TRO)ES

Evaluación del diseño de los controles

Para evaluar el dise1o de los controles se recomiendo efectuar la t/cnica de

=Aal?t.roug.> en las operaciones del proceso6 Es decir, se seleccionará una operación

representativa de cada tipo de operaciones y se .ará el seguimiento a trav/s de todas sus

actividades en el proceso6

Las calificaciones para evaluar el dise1o son:

• -decuado: los controles, tal y como están dise1ados, pueden mitigar los riesgos

identificados6

• 2nadecuado: los controles no mitigan los riesgos dise1ados


5/9

!i producto de la evaluación del dise1o de los controles, se concluye "ue el mismo es

2nadecuado, no se ejecutarán procedimientos adicionales de auditor'a y se emitirá la

observación de auditor'a6

Evaluación de la efectividad de los controles

Posterior a la evaluación del dise1o, el auditor encargado procede a evaluar la

efectividad de los controles, es decir, verificar si el control se ejecuta tal y como está

dise1ado en las operaciones del proceso en evaluación6

Para ello, es necesario seleccionar un grupo de operaciones representativas del proceso

BmuestraC y auditar el cumplimiento del control6 !e denomina muestra representativa a

a"uella "ue puede llegar a representar de manera razonable el universo de las

operaciones en revisión6

Las calificaciones para evaluar la efectividad de los controles son:

• -lto: Los controles funcionan completamente o sólo muestran un error de (3+

de la muestra

• 4edio:

o Los controles funcionan pero con ciertas dificultades

o !e presentan más del (3+ de errores en la muestra revisada6

•


6/9

9odo control calificado como 0/bil o 4oderado debe originar una observación de

auditor'a o recomendación de oportunidad de mejora6

E+A),ACIO( DE) RIESGO RESID,A)

Luego de evaluados los controles, el auditor encargado deberá evaluar nuevamente los

riesgos identificados a fin de identificar el nivel de riesgo residual e*istente6

!e denomina )iesgo )esidual a todo riesgo "ue no está siendo cubierto por los

controles implementados por la erencia6

La evaluación de los controles puede generar los )iesgos


7/9

!ólo los )iesgos )esiduales evaluados como


8/9

O/SER+ACIO(ES DE A,DITOR0A

Las observaciones de auditor'a describen las deficiencias o debilidades identificadas en

el proceso evaluado6 Estas observaciones deben ser categorizadas considerando suevaluación de )iesgo )esidual, utilizando para ello las cuatro categor'as definidas:

• r'tico

• -lto

• 4edio

•


9/9

CA)IFICACIO( DE) I(FORME

Por cada trabajo de auditor'a el auditor encargado debe preparar un informe, el cual

debe presentar la alificación de auditor'a a su ambiente de control6 La calificación es

asignada sobre la base de una evaluación objetiva y con base en el juicio del -uditor

Encargado, -uditor eneral yo erente ontralor6 Para ello, se utilizarán lassiguientes descripciones como gu'a de calificación:

• /ueno: E*iste un buen ambiente de control6

9odos los controles cr'ticos en el proceso e*isten y funcionan

correctamente

!e .an identificado observaciones de riesgo

lineamientos ejecución auditoría

Documents