consejo de auditoría interna general de gobierno objetivos gubernamentales de auditoría 2011

Consejo de Auditoría Interna General de GobiernoObjetivos Gubernamentales de Auditoría 2011

Consejo de Auditoría Interna General de GobiernoObjetivos Gubernamentales de Auditoría 2011

OBJETIVO OBJETIVO GUBERNAMENTAL DE GUBERNAMENTAL DE AUDITORÍA 2011– AUDITORÍA 2011– NºNº 11

GUÍA TÉCNICAGUÍA TÉCNICA

Nº 50Nº 50

Marzo 2011Marzo 2011

GUÍA TÉCNICANº 50

PROBIDAD ADMINISTRATIVA

GUÍA TÉCNICANº 50

IntroducciónIntroducción

El Presidente de la República, a través del Instructivo Presidencial Nº 006/2010 instruyó como Objetivo Gubernamental de Auditoría N° 1: “Realizar auditorías internas sobre materias asociadas a la probidad administrativa”.

Para la revisión y examen del tema de probidad administrativa se contará con la Guía Técnica Nº 29 versión 02 de 2010. Dicho documento comprende un amplio marco de procesos, subprocesos y etapas y situaciones en que se identifican riesgos asociados a la probidad administrativa.

El Presidente de la República, a través del Instructivo Presidencial Nº 006/2010 instruyó como Objetivo Gubernamental de Auditoría N° 1: “Realizar auditorías internas sobre materias asociadas a la probidad administrativa”.

Para la revisión y examen del tema de probidad administrativa se contará con la Guía Técnica Nº 29 versión 02 de 2010. Dicho documento comprende un amplio marco de procesos, subprocesos y etapas y situaciones en que se identifican riesgos asociados a la probidad administrativa.

Guía TécnicaGuía TécnicaNº 50Nº 50


Metodología/Actividades a RealizarMetodología/Actividades a Realizar

(1) Las actividades de aseguramiento son un examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización. Por ejemplo: trabajos financieros, de desempeño, de cumplimiento, de seguridad de sistemas y de diligencia debida. Definición THEIIA



Objetivo de las Actividades de Aseguramiento (1)

Examinar la adecuación de las acciones, actividades y decisiones del Servicio a lo dispuesto en el conjunto de la normativa que regula la probidad administrativa.



Metodología/Actividades a RealizarMetodología/Actividades a Realizar Guía TécnicaGuía TécnicaNº 50Nº 50


Actividades a realizar por los auditores

Programar la auditoría: Estudiar el Programa Marco entregado por el Consejo de Auditoría y realizar las modificaciones que correspondan al Servicio o entidad.

Ejecutar la auditoría sobre la base del programa de auditoría formulado.

Analizar los resultados de la ejecución de la auditoría (hallazgos, efectos, recomendaciones y compromisos).

Informar al Jefe del Servicio o entidad y al Consejo de Auditoría de los resultados, en las fechas indicadas.

Programar, ejecutar e informar la auditoría de seguimiento (Objetivo Gubernamental 2010 N° 1) con el fin de monitorear si se cumplen las medidas tomadas para la mitigación de los riesgos observados.


Programar la auditoría: Estudiar el Programa Marco entregado por el Consejo de Auditoría y realizar las modificaciones que correspondan al Servicio o entidad.

Ejecutar la auditoría sobre la base del programa de auditoría formulado.

Analizar los resultados de la ejecución de la auditoría (hallazgos, efectos, recomendaciones y compromisos).

Informar al Jefe del Servicio o entidad y al Consejo de Auditoría de los resultados, en las fechas indicadas.

Programar, ejecutar e informar la auditoría de seguimiento (Objetivo Gubernamental 2010 N° 1) con el fin de monitorear si se cumplen las medidas tomadas para la mitigación de los riesgos observados.

Metodología/Actividades a RealizarMetodología/Actividades a Realizar



Instrucciones y Procedimientos para Desarrollar las Actividades de Aseguramiento

Debe usarse como base la Guía Técnica Nº 29 emitida por el Consejo de Auditoría Interna General de Gobierno, el año 2010. De ese documento, se deben utilizar las desagregaciones y principales riesgos relacionados del Proceso de Información Institucional, Proceso de Información Pública y el Proceso de Transferencias a Privados con los subprocesos y etapas genéricas señaladas en el alcance.

Asimismo, se debe contemplar el seguimiento a las observaciones formuladas durante la auditoría de probidad (Objetivo Gubernamental N°1-2010) realizada durante el año 2010, a los procesos de adquisiciones y recursos humanos.


Debe usarse como base la Guía Técnica Nº 29 emitida por el Consejo de Auditoría Interna General de Gobierno, el año 2010. De ese documento, se deben utilizar las desagregaciones y principales riesgos relacionados del Proceso de Información Institucional, Proceso de Información Pública y el Proceso de Transferencias a Privados con los subprocesos y etapas genéricas señaladas en el alcance.

Asimismo, se debe contemplar el seguimiento a las observaciones formuladas durante la auditoría de probidad (Objetivo Gubernamental N°1-2010) realizada durante el año 2010, a los procesos de adquisiciones y recursos humanos.

Alcance GeneralAlcance General



Procesos Subprocesos Etapas

Proceso de Información Institucional

Creación de la Información

Publicación

Uso y Mantención de la Información

Archivo o Almacenamiento Resguardo y Seguridad

Eliminación Destrucción de Documentación en Papel o Soporte Electrónico

Proceso de Información Pública

Acceso a la Información Pública

Publicidad de la Información (Transp. Activa) Solicitud de Información (Transparencia Pasiva) Respuesta a Solicitud de Información.

Proceso de Transferencias a

Privados

Transferencias Corrientes al Sector

Privado

Registro Entidades Receptoras de Fondos.Programas o Proyectos a Través de Transferencias.Suscripción de Convenios con Privados.Traspaso de Recursos a Asignaciones Privadas. Giro de Recursos a Través de Prog. Proy. Privados. Rendiciones de Fondos por Entes Privados Supervisión y Monitoreo.




Ejemplo del Programa Marco a aplicar (Guía Técnica Nº 29/2010)Ejemplo del Programa Marco a aplicar (Guía Técnica Nº 29/2010)

a.- ETAPA GENÉRICA: PUBLICIDAD DE LA INFORMACIÓN (O TRANSPARENCIA ACTIVA)

Objetivo de gestión de la

etapa

Riesgos directos asociados a la gestión

Riesgos de cumplimiento asociados a la

probidad

Ejemplo: “Controles Teóricos Mitigantes”

Objetivos específicos de

auditoría

Pruebas de auditoría generales sugeridas (La lista no es taxativa)

Los órganos del Estado posibilitan que la ciudadanía tome conocimiento de los actos de la Administración del Estado y de la documentación que sustenta tales actos.

Imposibilidad de acceder a información, actos y documentos. Información parcial, restringida o no actualizada del registro de actos a disposición del público. Complejidad en identificar y acceder a la información.

No incorporación de la información en sitios electrónicos. Incorporación incompleta y no actualizada.

Existe un responsable y un procedimiento aprobado formalmente para definir la información a ser publicada. Existe un responsable de la accesibilidad y disponibilidad del sitio. Existen revisiones segregadas de la integridad de los datos que se publican.

Verificar que toda la información pública del Servicio, se encuentre disponible, accesible y actualizada para los ciudadanos que deseen conocerla o consultarla.

El auditor deberá: Revisar si existe responsable de publicar en el sitio

del Servicio, la información que se exige el artículo 7° de la Ley 20.285, y el art. 51 de su reglamento.

Revisar si existen un responsable de los contenidos que se publican.

Revisar integridad y confiabilidad de los contenidos que se publican

Revisar accesibilidad y disponibilidad del sitio web del Servicio.

Tomar una muestra de actos o personal cuyos antecedentes aparecen publicados y compararlos con los documentos de respaldo, investigar diferencias.

Examinar la consistencia de los procedimientos en esta materia.

Productos SolicitadosProductos Solicitados

Programa de Auditoría

Debe acompañarse el programa, elaborado en base al marco presentado en la Guía Técnica Nº 29/2010, ajustándolo a la realidad del Servicio o entidad, según los controles que se identifiquen y cumpliendo los requisitos de esta Guía. El programa debe entregarse junto al informe al 31 de mayo de 2011.

Informe de Auditoría

La revisión debe realizarse con corte al 30 de agosto de 2011 e informarse al 30 de septiembre de 2011. El informe de auditoría debe contener los resultados de la evaluación de los temas relevantes señalados con todos los riesgos reales y potenciales asociados y cumplir los requisitos esta Guía Técnica.


Debe acompañarse el programa, elaborado en base al marco presentado en la Guía Técnica Nº 29/2010, ajustándolo a la realidad del Servicio o entidad, según los controles que se identifiquen y cumpliendo los requisitos de esta Guía. El programa debe entregarse junto al informe al 31 de mayo de 2011.


La revisión debe realizarse con corte al 30 de agosto de 2011 e informarse al 30 de septiembre de 2011. El informe de auditoría debe contener los resultados de la evaluación de los temas relevantes señalados con todos los riesgos reales y potenciales asociados y cumplir los requisitos esta Guía Técnica.



Capacitación y Roles de los A. MinisterialesCapacitación y Roles de los A. Ministeriales



Mecanismos de Coordinación y Capacitación

Principales mecanismos:

• Capacitación por el Consejo de Auditoría a los Auditores Internos, en los casos que sea necesario.

• Preguntas frecuentes en la página web del CAIGG.• Resolución de dudas y situaciones especiales por parte de la unidad de

estudios del Consejo de Auditoría.

Rol del Auditor Ministerial en el Objetivo Gubernamental

El Auditor Ministerial deberá apoyar y coordinar el trabajo de los auditores internos de los Servicios.

Mecanismos de Coordinación y Capacitación

Principales mecanismos:

• Capacitación por el Consejo de Auditoría a los Auditores Internos, en los casos que sea necesario.

• Preguntas frecuentes en la página web del CAIGG.• Resolución de dudas y situaciones especiales por parte de la unidad de

estudios del Consejo de Auditoría.

Rol del Auditor Ministerial en el Objetivo Gubernamental

El Auditor Ministerial deberá apoyar y coordinar el trabajo de los auditores internos de los Servicios.

Resumen productos / fechasResumen productos / fechas Guía TécnicaGuía TécnicaNº 50Nº 50


Guía Técnica 29/2010

Informes de Auditoría sobre Probidad Administrativa (Actividades de Aseguramiento)

Programa de trabajo utilizado por la unidad de auditoría interna en base a los criterios de control del presente documento debe enviarse al Consejo de Auditoría el 31.05.2011

Informe de auditoría con los resultados de la actividad con corte al 30.08.2011, debe enviarse al Consejo de Auditoría el 30.09.2011

OBJETIVO OBJETIVO GUBERNAMENTAL DE GUBERNAMENTAL DE AUDITORÍA 2011 – AUDITORÍA 2011 – NºNº 22

GUÍA TÉCNICA Nº 51GUÍA TÉCNICA Nº 51


EVALUACIÓN DE LOS SISTEMAS DE CONTROL INTERNO

INSTITUCIONALES

IntroducciónIntroducción Guía Técnica Guía Técnica Nº 51Nº 51

Guía Técnica Guía Técnica Nº 51Nº 51

El Presidente de la República, a través del Instructivo Presidencial Nº 001/2011 instruyó como Objetivo Gubernamental de Auditoría N° 2 – años 2011 al 2014:que señala que los auditores internos de los Servicios y entidades del Estado deberán realizar una “Evaluación de los Sistemas de Control Interno Institucionales, ponderando para dicho efecto las observaciones y recomendaciones efectuadas por Auditoría Interna y por la Contraloría General de la República”.

El Presidente de la República, a través del Instructivo Presidencial Nº 001/2011 instruyó como Objetivo Gubernamental de Auditoría N° 2 – años 2011 al 2014:que señala que los auditores internos de los Servicios y entidades del Estado deberán realizar una “Evaluación de los Sistemas de Control Interno Institucionales, ponderando para dicho efecto las observaciones y recomendaciones efectuadas por Auditoría Interna y por la Contraloría General de la República”.

Metodología/Actividades a RealizarMetodología/Actividades a Realizar Guía Técnica Guía Técnica Nº 51Nº 51






(1) Las actividades de aseguramiento son un examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización. Por ejemplo: trabajos financieros, de desempeño, de cumplimiento, de seguridad de sistemas y de diligencia debida. Definición THEIIA




Programar la evaluación a los sistemas de control: Estudiar el Programa Marco entregado por el Consejo de Auditoría para su ejecución y realizar las modificaciones y ajustes que correspondan al Servicio o entidad.

Ejecutar la evaluación de los sistemas de control interno sobre la base del programa de auditoría formulado.

Analizar los resultados de la ejecución de la evaluación (hallazgos, efectos, recomendaciones y compromisos).

Examinar los resultados de la evaluación considerando los riesgos críticos del Servicio.

Informar al Jefe del Servicio y al Consejo de Auditoría de los resultados, en las fechas indicadas.

Programar auditorías de seguimiento con el fin de monitorear si se cumplen las medidas comprometidas por la dirección.


Programar la evaluación a los sistemas de control: Estudiar el Programa Marco entregado por el Consejo de Auditoría para su ejecución y realizar las modificaciones y ajustes que correspondan al Servicio o entidad.

Ejecutar la evaluación de los sistemas de control interno sobre la base del programa de auditoría formulado.

Analizar los resultados de la ejecución de la evaluación (hallazgos, efectos, recomendaciones y compromisos).

Examinar los resultados de la evaluación considerando los riesgos críticos del Servicio.

Informar al Jefe del Servicio y al Consejo de Auditoría de los resultados, en las fechas indicadas.

Programar auditorías de seguimiento con el fin de monitorear si se cumplen las medidas comprometidas por la dirección.




En los tópicos de Ambiente de Control y de Actividades de Control, se han identificado los principales riesgos que deben ser relevados y se han identificado controles potenciales que podrían existir en el Servicio para mitigar la materialización de los riesgos.

Es importante considerar que los procedimientos de auditoría presentados en este documento se relacionan con los controles teóricos que se han identificado como potenciales en un Servicio o entidad, por lo cual el auditor interno, deberá tener presentes los controles reales que existen en su propio Servicio para definir las pruebas de auditoría en el programa.


En los tópicos de Ambiente de Control y de Actividades de Control, se han identificado los principales riesgos que deben ser relevados y se han identificado controles potenciales que podrían existir en el Servicio para mitigar la materialización de los riesgos.

Es importante considerar que los procedimientos de auditoría presentados en este documento se relacionan con los controles teóricos que se han identificado como potenciales en un Servicio o entidad, por lo cual el auditor interno, deberá tener presentes los controles reales que existen en su propio Servicio para definir las pruebas de auditoría en el programa.




Elementos del sistema de control interno

Revisión de aspectos mínimos

Ambiente de Control

Integridad y valores éticos de la organización. Filosofía y estilo operativo de la dirección. Estructura organizativa. Misión, objetivos y políticas. Asignación de responsabilidad y autoridad. Administración de los recursos humanos. Competencias profesionales del personal.

Actividades de Control

Procedimientos de control Autorización y aprobación de actividades Segregación de funciones Niveles definidos de autorización Verificaciones y conciliaciones Controles de acceso a recursos o archivos Rotación del personal en tareas claves Control del sistema de información Existencia de evaluaciones de desempeño Existencia y adecuación de la rendición de cuentas o responsabilidad Documentación de los procesos, tareas y actividades Auditoría interna




Ejemplo del Programa Marco a aplicar (Guía Técnica Nº 51/2011)Ejemplo del Programa Marco a aplicar (Guía Técnica Nº 51/2011)Principales

Riesgos Controles Posibles Pruebas de Auditoría

Falta de integridad y valores éticos

Manuales de Ética difundidos entre el personal

Capacitación permanente en ética y valores institucionales

Comportamiento ético de la alta dirección.

Procedimiento para perseguir comportamiento irregular

Sanciones oportunas y justas

El auditor debe examinar y verificar:

- Si existen manuales o instrucciones acerca de temas valóricos y comportamiento ético del personal, complementarios a la Ley de Probidad.

- Si estos manuales o instrucciones, o en su caso, los contenidos de la Ley de Probidad, son difundidos permanentemente entre el personal.

- Si existen capacitaciones acerca de temas asociados a la probidad y la ética, que se programan en forma periódica por el Servicio.

- Existen documentos, formularios, cuadernillos o cualquier otra forma de documentación simple de los temas de probidad, que esté al alcance de todos los funcionarios del Servicio o entidad.

- Si existen declaraciones de valores que sean conocidas por el personal (por ejemplo que la misión, la visión o las políticas de la entidad contemplen temas asociados a la probidad y los valores).

- Si existen sumarios administrativos de la Contraloría General que se hayan realizado contra directivos de la entidad y verificar si estos son hechos aislados o se dan en forma reiterativa en el Servicio.

- Si existen canales de comunicación o vías a través de los cuales los funcionarios puedan dirigir denuncias o sospechas de situaciones irregulares, analizando si esos canales son adecuados, si son de fácil acceso, si son administrados por personal idóneo, entre otros temas.

- Analizar las sanciones de los sumarios de los últimos años examinando: o ¿Existen sanciones como resultado de los sumarios? o ¿Son congruentes con la gravedad de los hechos investigados? o ¿Existen sanciones igualitarias sin importar el grado del sancionado? o ¿Los procesos sumariales son rápidos y las sanciones son

aprobadas por la Contraloría General de la República? o ¿Existe entre el personal la percepción que los sumarios son justos y

equitativos? o la transparencia en el proceso sumarial?

Productos SolicitadosProductos Solicitados


Debe acompañarse el programa, elaborado en base al marco presentado en la Guía Técnica Nº 51/2011, ajustándolo a la realidad del Servicio o entidad, según los controles que se identifiquen y cumpliendo los requisitos de esta Guía. El programa debe entregarse junto al informe al 29 de abril de 2011.


La revisión debe realizarse con corte al 29 de julio de 2011 e informarse al 30 de agosto de 2011. El informe de auditoría debe contener los resultados de la evaluación de todos los riesgos definidos para los dos ámbitos contenidos en la señalada guía.


Debe acompañarse el programa, elaborado en base al marco presentado en la Guía Técnica Nº 51/2011, ajustándolo a la realidad del Servicio o entidad, según los controles que se identifiquen y cumpliendo los requisitos de esta Guía. El programa debe entregarse junto al informe al 29 de abril de 2011.


La revisión debe realizarse con corte al 29 de julio de 2011 e informarse al 30 de agosto de 2011. El informe de auditoría debe contener los resultados de la evaluación de todos los riesgos definidos para los dos ámbitos contenidos en la señalada guía.



Resumen productos / fechasResumen productos / fechas Guía Técnica Guía Técnica Nº 51Nº 51


Informe de Revisión (Actividades de Aseguramiento)

Programa de trabajo utilizado por la unidad de auditoría interna en base a los criterios de control del presente documento se debe informar al Consejo de Auditoría el 29.04.2011

Informe auditoría sobre evaluación al Ambiente de control y Actividades de Control con corte al 29.07.2011, se debe informar al Consejo de Auditoría el 30.08.2011

OBJETIVO OBJETIVO GUBERNAMENTAL DE GUBERNAMENTAL DE

AUDITORÍA 2011 – Nº 3AUDITORÍA 2011 – Nº 3



ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS



El Presidente de la República, a través del Instructivo Presidencial Nº 001/2011 instruyó como Objetivo Gubernamental de Auditoría N° 3, 2011 a 2014: mantener y mejorar el Proceso de Gestión de Riesgos en las entidades de la Administración del Estado. Para ello, todas las entidades del Estado deben cumplir, al menos, lo siguiente:

Para ello, los Jefes de Servicio deberán:

• Dar cumplimiento a las directrices que sobre la materia formule el Consejo de Auditoría Interna.

• Asumir la responsabilidad de la adopción de medidas tendientes a la gestión efectiva de los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al Consejo de Auditoría Interna General de Gobierno.

• Disponer de los recursos necesarios para la correcta implementación y funcionamiento del Proceso de Gestión de Riesgos en la entidad.

El Presidente de la República, a través del Instructivo Presidencial Nº 001/2011 instruyó como Objetivo Gubernamental de Auditoría N° 3, 2011 a 2014: mantener y mejorar el Proceso de Gestión de Riesgos en las entidades de la Administración del Estado. Para ello, todas las entidades del Estado deben cumplir, al menos, lo siguiente:

Para ello, los Jefes de Servicio deberán:

• Dar cumplimiento a las directrices que sobre la materia formule el Consejo de Auditoría Interna.

• Asumir la responsabilidad de la adopción de medidas tendientes a la gestión efectiva de los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al Consejo de Auditoría Interna General de Gobierno.

• Disponer de los recursos necesarios para la correcta implementación y funcionamiento del Proceso de Gestión de Riesgos en la entidad.

Auditoría de AseguramientoAuditoría de Aseguramiento Guía Técnica Guía Técnica Nº 52Nº 52


¿Qué hace el auditor en el marco del Proceso de Gestión de Riesgos? ¿Qué hace el auditor en el marco del Proceso de Gestión de Riesgos?

De acuerdo a las Normas Internacionales de Auditoría Interna, el auditor puede cumplir diversos roles en relación al proceso de Gestión de Riesgos, otros que puede realizar salvaguardando su independencia y objetividad y otros roles que por norma tiene prohibido realizar.

De acuerdo a las Normas Internacionales de Auditoría Interna, el auditor puede cumplir diversos roles en relación al proceso de Gestión de Riesgos, otros que puede realizar salvaguardando su independencia y objetividad y otros roles que por norma tiene prohibido realizar.

De acuerdo a las Normas Internacionales de Auditoría Interna, el auditor puede cumplir diversos roles en relación al proceso de Gestión de Riesgos, otros que puede realizar salvaguardando su independencia y objetividad y roles que por norma tiene prohibido realizar.

De acuerdo a las Normas Internacionales de Auditoría Interna, el auditor puede cumplir diversos roles en relación al proceso de Gestión de Riesgos, otros que puede realizar salvaguardando su independencia y objetividad y roles que por norma tiene prohibido realizar.

Roles que pueden desempeñar

Roles que pueden desempeñar

Como puede observarse, dentro de los roles que los auditores pueden desempeñar, surge el fundamento para realizar el aseguramiento al Proceso de Gestión de Riesgos y la revisión de la evaluación de riesgos, controles y demás reportes asociados a dicho proceso.

Auditoría de AseguramientoAuditoría de Aseguramiento Guía Técnica Guía Técnica Nº 52Nº 52


• Facilitación, identificación y evaluación de riesgos.• Entrenamiento a la Dirección sobre respuesta a riesgos.• Coordinación actividades del proceso gestión de riesgos.• Mantenimiento del marco del proceso gestión de riesgos.• Defender establecimiento del proceso gestión de riesgos.

• Facilitación, identificación y evaluación de riesgos.• Entrenamiento a la Dirección sobre respuesta a riesgos.• Coordinación actividades del proceso gestión de riesgos.• Mantenimiento del marco del proceso gestión de riesgos.• Defender establecimiento del proceso gestión de riesgos.

Roles que pueden desempeñarse con salvaguarda

Roles que pueden desempeñarse con salvaguarda

Como puede observarse, los auditores pueden desempeñar, sin comprometer su independencia y objetividad, roles de asesoría a la Dirección en la identificación y evaluación de riesgos, como en la respuesta al mismo. Lo que el auditor interno no puede hacer es tomar la responsabilidad directa del riesgo, participando en la línea, manejando riesgos y tomando decisiones.

Roles que no deben desarrollarse

Roles que no deben desarrollarse

• Establecer la relevancia de los procesos o subprocesos.• Imponer Procesos de Gestión de Riesgo.• Manejar el aseguramiento sobre los riesgos.• Tomar decisiones en respuesta a los riesgos.• Implementar respuestas a riesgos.• Tener roles y responsabilidad de la gestión de los riesgos.

• Establecer la relevancia de los procesos o subprocesos.• Imponer Procesos de Gestión de Riesgo.• Manejar el aseguramiento sobre los riesgos.• Tomar decisiones en respuesta a los riesgos.• Implementar respuestas a riesgos.• Tener roles y responsabilidad de la gestión de los riesgos.

AlcanceAlcance Guía Técnica Guía Técnica Nº 52Nº 52


El aseguramiento incluye todas las fases del Proceso de Gestión de Riesgos, sin perjuicio que deban informase al Consejo de Auditoría, sólo algunos aspectos establecidos en forma específica en la presente Guía . Esta Guía trata sobre todas las fases del Proceso de Gestión de Riesgos que deben ejecutarse. En este contexto, durante el año 2011, el trabajo del auditor estará orientado a tres aspectos específicos: •Nivel de Cumplimiento del Plan de Tratamiento de Riesgos Críticos 2010.•Matriz de Riesgos del Servicio o entidad Abreviada del Primer Semestre 2011, remitida al Consejo de Auditoría el 30.06.2011.•Plan de Tratamiento de Riesgos del Primer Semestre 2011, presentado al Consejo de Auditoría al 30.06.2011. Por otra parte, hay que destacar que el aseguramiento al Proceso de Gestión de Riesgos debe ser constante y que cada auditoría del Plan Anual 2011.

El aseguramiento incluye todas las fases del Proceso de Gestión de Riesgos, sin perjuicio que deban informase al Consejo de Auditoría, sólo algunos aspectos establecidos en forma específica en la presente Guía . Esta Guía trata sobre todas las fases del Proceso de Gestión de Riesgos que deben ejecutarse. En este contexto, durante el año 2011, el trabajo del auditor estará orientado a tres aspectos específicos: •Nivel de Cumplimiento del Plan de Tratamiento de Riesgos Críticos 2010.•Matriz de Riesgos del Servicio o entidad Abreviada del Primer Semestre 2011, remitida al Consejo de Auditoría el 30.06.2011.•Plan de Tratamiento de Riesgos del Primer Semestre 2011, presentado al Consejo de Auditoría al 30.06.2011. Por otra parte, hay que destacar que el aseguramiento al Proceso de Gestión de Riesgos debe ser constante y que cada auditoría del Plan Anual 2011.

Oportunidad de la AuditoríaOportunidad de la Auditoría Guía Técnica Guía Técnica Nº 52Nº 52


En el transcurso del año 2011 deberán realizarse dos (2) auditorías de aseguramiento:

•Una primera auditoría de aseguramiento debe realizarse al Plan de Tratamiento de Riesgos presentado al Consejo de Auditoría al 30.12.2010, en la que deberá verificarse el nivel de cumplimiento de las medidas y acciones definidas en el Plan de Tratamiento de Riesgos Críticos 2010. Los resultados de esta auditoría deberán ser informados al 29 de julio de 2011 al Consejo de Auditoría.

•Una segunda auditoría debe realizarse a la Matriz de Riesgos Abreviada entregada al 30.06.2011 (al menos 20). Además, debe hacerse auditoría de aseguramiento al Plan de Tratamiento de Riesgos presentado durante el primer semestre 2011 (30.06.2011), en relación a la adecuación de las estrategias, acciones definidas, indicadores, y formas de medición.

En el transcurso del año 2011 deberán realizarse dos (2) auditorías de aseguramiento:

•Una primera auditoría de aseguramiento debe realizarse al Plan de Tratamiento de Riesgos presentado al Consejo de Auditoría al 30.12.2010, en la que deberá verificarse el nivel de cumplimiento de las medidas y acciones definidas en el Plan de Tratamiento de Riesgos Críticos 2010. Los resultados de esta auditoría deberán ser informados al 29 de julio de 2011 al Consejo de Auditoría.

•Una segunda auditoría debe realizarse a la Matriz de Riesgos Abreviada entregada al 30.06.2011 (al menos 20). Además, debe hacerse auditoría de aseguramiento al Plan de Tratamiento de Riesgos presentado durante el primer semestre 2011 (30.06.2011), en relación a la adecuación de las estrategias, acciones definidas, indicadores, y formas de medición.

Actividades a realizarActividades a realizar Guía Técnica Guía Técnica Nº 52Nº 52


• Programar las auditorías: Estudiar el Programa Marco entregado por el Consejo de Auditoría. En el caso que se adicionen objetivos y pruebas de auditoría, deberán agregarse al programa. El programa para la primera auditoría de aseguramiento, debe hacerse llegar al Consejo de Auditoría como máximo el 15 de junio de 2011 y el programa para la segunda auditoría de aseguramiento, deberá remitirse al 16 de agosto 2011, ambas para su validación metodológica.

• Ejecutar las actividades de auditoría sobre la base del programa.

• Analizar los resultados de la ejecución de las auditorías (hallazgos, efectos, recomendaciones y compromisos).

• Completar las planillas que se entregan en los anexos de este documento.

• Informar al Jefe del Servicio y al Consejo de Auditoría de los resultados, en las fechas indicadas.

• Programar las auditorías: Estudiar el Programa Marco entregado por el Consejo de Auditoría. En el caso que se adicionen objetivos y pruebas de auditoría, deberán agregarse al programa. El programa para la primera auditoría de aseguramiento, debe hacerse llegar al Consejo de Auditoría como máximo el 15 de junio de 2011 y el programa para la segunda auditoría de aseguramiento, deberá remitirse al 16 de agosto 2011, ambas para su validación metodológica.

• Ejecutar las actividades de auditoría sobre la base del programa.

• Analizar los resultados de la ejecución de las auditorías (hallazgos, efectos, recomendaciones y compromisos).

• Completar las planillas que se entregan en los anexos de este documento.

• Informar al Jefe del Servicio y al Consejo de Auditoría de los resultados, en las fechas indicadas.

Objetivos de auditoría generales auditoría aseguramiento

Objetivos de auditoría generales auditoría aseguramiento



La primera auditoría de aseguramiento que se realice en base a este documento tendrá como objetivo general el siguiente:

•Examinar el Plan de Tratamiento de Riesgos 2010, verificando que las medidas y acciones que se definen en éste, hayan sido cumplidas de acuerdo a los plazos calendarizados.

La segunda auditoría de aseguramiento tendrá como objetivos generales los siguientes:

•Examinar la identificación y análisis de riesgos críticos informados en la Matriz de Riesgos Abreviada del Servicio.•Examinar la identificación y análisis de los controles en la Matriz de Riesgos Abreviada del Servicio.•Verificar que los resultados asociados a los riesgos residuales en la Matriz de Riesgos Abreviada del Servicio o entidad son consistentes con la realidad del Servicio.•Examinar y analizar el Plan de Tratamiento de Riesgos del Primer Semestre 2011, verificando que las estrategias y las acciones se orienten a mitigar los riesgos identificados.

La primera auditoría de aseguramiento que se realice en base a este documento tendrá como objetivo general el siguiente:

•Examinar el Plan de Tratamiento de Riesgos 2010, verificando que las medidas y acciones que se definen en éste, hayan sido cumplidas de acuerdo a los plazos calendarizados.

La segunda auditoría de aseguramiento tendrá como objetivos generales los siguientes:

•Examinar la identificación y análisis de riesgos críticos informados en la Matriz de Riesgos Abreviada del Servicio.•Examinar la identificación y análisis de los controles en la Matriz de Riesgos Abreviada del Servicio.•Verificar que los resultados asociados a los riesgos residuales en la Matriz de Riesgos Abreviada del Servicio o entidad son consistentes con la realidad del Servicio.•Examinar y analizar el Plan de Tratamiento de Riesgos del Primer Semestre 2011, verificando que las estrategias y las acciones se orienten a mitigar los riesgos identificados.

Procedimientos de Auditoría mínimos Procedimientos de Auditoría mínimos Guía Técnica Guía Técnica Nº 52Nº 52


Se presentan en detalle para cada fase del Proceso de Gestión de Riesgos los riesgos potenciales que se han identificado en dicha actividad, los objetivos específicos de la auditoría de aseguramiento que deberá realizarse en base a este documento, y por último, los procedimientos de auditoría mínimos que deberían aplicarse

Se presentan en detalle para cada fase del Proceso de Gestión de Riesgos los riesgos potenciales que se han identificado en dicha actividad, los objetivos específicos de la auditoría de aseguramiento que deberá realizarse en base a este documento, y por último, los procedimientos de auditoría mínimos que deberían aplicarse

Productos Solicitados Productos Solicitados Guía Técnica Guía Técnica Nº 52Nº 52


Sin perjuicio que el aseguramiento del Proceso de Gestión de Riesgos debería considerar todos los elementos o fases del dicho proceso y que en el punto 3 se ha entregado un programa marco para revisar y evaluar en forma integral el citado proceso, en consideración a la metodología simplificada que se aplicó el año 2010 para la gestión de riesgos, para el año 2011, el aseguramiento será exigible en tres ámbitos específicos: •El nivel de cumplimiento del Plan de Tratamiento de Riesgos presentado el año 2010•La Matriz de Riesgos Abreviada del Primer Semestre de 2011, remitida el 30.06.2011 •La adecuación de las acciones definidas en el Plan de Tratamiento del Primer Semestre 2011, remitida al CAIGG al 30.06.2011

Sin perjuicio que el aseguramiento del Proceso de Gestión de Riesgos debería considerar todos los elementos o fases del dicho proceso y que en el punto 3 se ha entregado un programa marco para revisar y evaluar en forma integral el citado proceso, en consideración a la metodología simplificada que se aplicó el año 2010 para la gestión de riesgos, para el año 2011, el aseguramiento será exigible en tres ámbitos específicos: •El nivel de cumplimiento del Plan de Tratamiento de Riesgos presentado el año 2010•La Matriz de Riesgos Abreviada del Primer Semestre de 2011, remitida el 30.06.2011 •La adecuación de las acciones definidas en el Plan de Tratamiento del Primer Semestre 2011, remitida al CAIGG al 30.06.2011



Primera Auditoría: Segunda Auditoría:

Auditoría de aseguramiento al nivel de implementación acciones Plan Tratamiento de Riesgos 2010

Auditoría de aseguramiento a Matriz Abreviada de Riesgos Primes Semestre y a la adecuación de las acciones del Plan de Tratamiento de Riesgos (1° Semestre 2011)

Programa de la auditoría del Servicio o informa que utilizó el programa marco sin modificaciones

Informar al Consejo de Auditoría al 29.07.2011

Planilla Nº 1. Resumen informe según escala cualitativa

Informe de aseguramiento emitido por la unidad de auditoría interna

Programa de la auditoría del Servicio o informa que utilizó el programa marco sin modificaciones Informe de aseguramiento emitido por la unidad de auditoría interna

Planilla Nº 2 Matriz de Riesgos Abreviada y Planilla N° 3 Nivel de implementación acciones del Plan de Tratamiento




ANEXOSANEXOS Guía Técnica Guía Técnica Nº 52Nº 52


Planilla Nº 1 (En formato Excel enviado por este Consejo de Auditoría) Planilla Nº 1 (En formato Excel enviado por este Consejo de Auditoría)

Planilla N° 2 (En formato Excel enviado por este Consejo de Auditoría) Planilla N° 2 (En formato Excel enviado por este Consejo de Auditoría)

NOMBRE DEL SERVICIO Otro

Objetivos del Proceso de Gestión de Riesgo De acuerdo a lo observado en su auditoría, cual es el nivel de cumplimiento del objetivo

Observaciones

ADECUACIÓN Y VIGENCIA DE LAS MEDIDAS Y ACCIONES DEL PLAN Los riesgos escogidos para tratar no son los más críticos del Servicio o entidad.

Alto/ Medio/Bajo

NOMBRE DEL SERVICIO Otro

Objetivos del Proceso de Gestión de Riesgo

De acuerdo a lo observado en su auditoría, cual es el nivel de cumplimiento del objetivo

Observaciones

IDENTIFICACIÓN DE RIESGOS ANALISIS DE LOS RIESGOS Se ha evaluado en forma razonable la probabilidad de ocurrencia y el impacto de los riesgos, de acuerdo a las auditorías, a información histórica, conocimientos que posea en auditor o a la muestra que se haya tomado.

Alto/ Medio/Bajo

OBJETIVO OBJETIVO GUBERNAMENTAL DE GUBERNAMENTAL DE

AUDITORÍA 2011 – Nº 3AUDITORÍA 2011 – Nº 3



PROCESO DE GESTIÓN DE RIESGOS



El Presidente de la República, a través del Instructivo Presidencial Nº 001/2011 instruyó como Objetivo Gubernamental de Auditoría N° 3 para los años 2011 a 2014, la implementación de un Proceso de Gestión de Riesgos que considere la elaboración de un levantamiento de procesos, identificando y describiendo los objetivos, riesgos y controles y, en especial, la formulación de las medidas de tratamiento de los riesgos.

El Presidente de la República, a través del Instructivo Presidencial Nº 001/2011 instruyó como Objetivo Gubernamental de Auditoría N° 3 para los años 2011 a 2014, la implementación de un Proceso de Gestión de Riesgos que considere la elaboración de un levantamiento de procesos, identificando y describiendo los objetivos, riesgos y controles y, en especial, la formulación de las medidas de tratamiento de los riesgos.

Consideraciones GeneralesConsideraciones Generales Guía Técnica Guía Técnica Nº 53Nº 53


A partir del año 2007, los Servicios de la Administración del Estado, implantaron el Proceso de Gestión de Riesgos. Durante los años 2008 - 2009, se mejoraron y mantuvieron dichos procesos.

En la lógica de mejoramiento continuo, el año 2011, se orienta a que los Servicios perfeccionen y mejoren su Proceso de Gestión de Riesgos, sobre todo en lo que respecta a la adecuación de su Matriz de Riesgo Estratégica a la realidad de la entidad, y al fortalecimiento de sus Planes de Tratamiento de Riesgos.

A partir del año 2007, los Servicios de la Administración del Estado, implantaron el Proceso de Gestión de Riesgos. Durante los años 2008 - 2009, se mejoraron y mantuvieron dichos procesos.

En la lógica de mejoramiento continuo, el año 2011, se orienta a que los Servicios perfeccionen y mejoren su Proceso de Gestión de Riesgos, sobre todo en lo que respecta a la adecuación de su Matriz de Riesgo Estratégica a la realidad de la entidad, y al fortalecimiento de sus Planes de Tratamiento de Riesgos.

Beneficios del proceso de gestión de riesgosBeneficios del proceso de gestión de riesgos Guía Técnica Guía Técnica Nº 53Nº 53


•Mejora las posibilidades de alcanzar los objetivos en la organización.•Incrementa el entendimiento de riesgos claves y sus implicaciones en la organización.•Se identifica y comparte la responsabilidad de la administración de los riesgos del negocio.•Genera y fortalece el enfoque en asuntos que realmente importan a la organización.•Contribuye a disminuir las sorpresas y crisis en la organización.•Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados en mejor forma.•Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y económicas.•Genera mayor información y con más transparencia sobre los riesgos identificados, tomados y las decisiones realizadas.

•Mejora las posibilidades de alcanzar los objetivos en la organización.•Incrementa el entendimiento de riesgos claves y sus implicaciones en la organización.•Se identifica y comparte la responsabilidad de la administración de los riesgos del negocio.•Genera y fortalece el enfoque en asuntos que realmente importan a la organización.•Contribuye a disminuir las sorpresas y crisis en la organización.•Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados en mejor forma.•Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y económicas.•Genera mayor información y con más transparencia sobre los riesgos identificados, tomados y las decisiones realizadas.

Mejoramiento ContinuoMejoramiento Continuo Guía Técnica Guía Técnica Nº 53Nº 53


El mejoramiento continuo del Proceso de Gestión de Riesgo, se logrará en base a la revisión y examen del proceso por parte del Servicio, identificando debilidades y estableciendo planes para superarlas. Para este análisis contará con tres actores que lo apoyarán:

•El Asesor de Riesgos del Consejo de Auditoría Interna de Gobierno.

•El Auditor Interno del Servicio que realiza el aseguramiento del Proceso de Gestión de Riesgos y su correspondiente seguimiento.

•El Encargado de Riesgos del Servicio, encargado de coordinar a las diversas instancias involucradas.

El mejoramiento continuo del Proceso de Gestión de Riesgo, se logrará en base a la revisión y examen del proceso por parte del Servicio, identificando debilidades y estableciendo planes para superarlas. Para este análisis contará con tres actores que lo apoyarán:

•El Asesor de Riesgos del Consejo de Auditoría Interna de Gobierno.

•El Auditor Interno del Servicio que realiza el aseguramiento del Proceso de Gestión de Riesgos y su correspondiente seguimiento.

•El Encargado de Riesgos del Servicio, encargado de coordinar a las diversas instancias involucradas.

Fases del proceso de gestión de riesgosFases del proceso de gestión de riesgos Guía Técnica Guía Técnica Nº 53Nº 53


Requerimientos proceso de gestión de riesgosRequerimientos proceso de gestión de riesgos Guía Técnica Guía Técnica Nº 53Nº 53


Requerimientos para el año 2011 en cada Fase del Proceso de Gestión de Riesgos

Requerimientos para el año 2011 en cada Fase del Proceso de Gestión de Riesgos



Fase establecimiento del contexto = ¿Qué se pide?Fase establecimiento del contexto = ¿Qué se pide?

Revisar para determinar su consistencia con las políticas y objetivos estratégicos del Servicio

Política de Riesgos

Definir roles

Metodología Guía Técnica Nº 53

Revisar, si los roles responden a los requerimientos del Proceso

Contexto interno - externo

Contexto gestión de riesgos

Donde: Oficio que señala que no hay modificaciones o resolución que modifica la anterior

Fecha: 30. 05.2011



Fase Análisis de riesgos = ¿Qué se pide?Fase Análisis de riesgos = ¿Qué se pide?

Actualización de la identificación de riesgosActualización de la identificación de riesgos

Mejorar análisis de controles, considerando los riesgos relevantes o claves para mitigar el riesgo específico

Mejorar análisis de controles, considerando los riesgos relevantes o claves para mitigar el riesgo específico

Matriz de Riesgos del Servicio Abreviada, firmada y aprobada por el Jefe de Servicio, (al menos 20 riesgos críticos) 50% financieros y 50 % estratégicos.

1° Semestre entrega al 30.06.2011 - 2° Semestre entrega al 30.12.2011



Fase Tratamiento de riesgos = ¿Qué se pide?Fase Tratamiento de riesgos = ¿Qué se pide?

•Se deben tratar los 20 riesgos críticos declarados por el Servicio.•La Dirección puede optar por estas cuatro estrategias genéricas: reducir, aceptar, compartir o evitar.•Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian. No sirven definiciones genéricas como “se mejorarán los controles”.•Los indicadores deben ser de resultado y señalar qué es lo que se quiere medir. •La meta debe ser el valor deseado del indicador que se espera alcanzar.•La evidencia debe ser suficiente para asegurar de que se implemento la estrategia.

•Se deben tratar los 20 riesgos críticos declarados por el Servicio.•La Dirección puede optar por estas cuatro estrategias genéricas: reducir, aceptar, compartir o evitar.•Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian. No sirven definiciones genéricas como “se mejorarán los controles”.•Los indicadores deben ser de resultado y señalar qué es lo que se quiere medir. •La meta debe ser el valor deseado del indicador que se espera alcanzar.•La evidencia debe ser suficiente para asegurar de que se implemento la estrategia.

1° Plan de Tratamiento debe presentarse al 30 de junio de 2011

2° Plan de Tratamiento debe presentarse al 30 de diciembre del 2011

Formato requerido: cuadro Nº 16



Fase Monitoreo y Revisión = ¿Qué se pide?Fase Monitoreo y Revisión = ¿Qué se pide?

De acuerdo Plan de Tratamiento presentado al Consejo de Auditoría el año 2011, se deben monitorear y revisar aquellos compromisos contenidos en dicho Plan, que tenían fecha de cumplimiento durante el año 2011 - 2012.

•Indicar Periodo en de evaluación de implementación de la estrategia.•Resultados de la medición de la metas.•Evidencia del cumplimiento•Proyecciones de cumplimiento•Recomendaciones

De acuerdo Plan de Tratamiento presentado al Consejo de Auditoría el año 2011, se deben monitorear y revisar aquellos compromisos contenidos en dicho Plan, que tenían fecha de cumplimiento durante el año 2011 - 2012.

•Indicar Periodo en de evaluación de implementación de la estrategia.•Resultados de la medición de la metas.•Evidencia del cumplimiento•Proyecciones de cumplimiento•Recomendaciones

1° Reporte de monitoreo debe presentarse al 30 de diciembre de 2011

2° Reporte de monitoreo debe presentarse al 30 de mayo de 2012

Formato requerido: cuadro Nº 17



Fase Establecimiento contexto

Fase Identificación de Riesgos y Oportunidades

Fase Análisis de Riesgo

Fase Evaluación de Riesgos

Fase Tratamiento de Riesgos

Fase Monitoreo y Revisión Reporte monitoreo para compromisos con fecha de revisión el año 2011 - 2012.

Plan Semestral de Tratamiento de Riesgos, con medidas, plazos, responsables e indicadores de logro.

Matriz de Riesgos del Servicio o entidad aplicando:

- Clasificación en procesos transversales. - Ponderación por proceso y subproceso. - Tipología de riesgos. - Justificación de ponderación estratégica,

etc.

Levantamiento de 100% de los procesos del Servicio y sus riesgos. Identificación de riesgos según tipología. Identificación oportunidades a nivel de procesos.

Ranking por proceso y por subproceso.

Resolución de Política de Riesgos y de Roles y Responsabilidades.

Entrega al 30.05.11

1° Semestre Entrega al 30.06.11


Fase Comunicación y Consulta Proyecto de reporte de análisis de la Matriz de Riesgos.

Matriz Semestral de Riesgos Abreviada (al menos 20 riesgos) 50% financieros y 50% estratégicos. 2° Semestre

Entrega al 30.12.11


Reporte Plan 2010

30.06.11

Reporte 1° Plan 2011 30.12.11

Reporte 2° Plan 2011 30.05.12

consejo de auditoría interna general de gobierno objetivos gubernamentales de auditoría 2011

Documents