Dirección de Auditoría Interna Marzo 2014 Informe de Auditoría 2014 Proceso Actuación Comercial

Calificación de la Gestión del Proceso 2 Carta de Presentación0 Lista de Distribución0 Introducción, Objetivos, Alcance y Metodología0 Hallazgos Relevantes0 Administración de riesgos0 Conclusión0 Informe detallado0 Anexos0 Contenido 0 EJEMPLO DE INDICE

Carta de Presentación Lic. Dirección Sistemas, Servicio y Operaciones Act. Dirección Seguros Corporativos Ing. Dirección Sector Público Estimados Funcionarios: Como resultado de la auditoría que se llevó a cabo al proceso de Actuación Comercial, hemos preparado el presente informe ejecutivo, el cual, junto con el informe detallado en el que se incluyen los planes de acción diseñados por la administración, ha sido comentado previamente con el personal responsable. Aprovecho la oportunidad para agradecer su apoyo, así como la atención que nos ha brindado el personal de las distintas áreas participantes para el desarrollo de nuestro trabajo Quedo a sus órdenes para cualquier aclaración o comentario. A T E N T A M E N T E Abril 00, LAMINA DE EJEMPLO

Lista de Distribución Act. Dirección Ing. Dirección 4 LAMINA DE EJEMPLO

Introducción, Objetivos, Alcance y Metodología Con base en nuestra auditoría, presentamos una conclusión de la madurez del proceso de Actuación Comercial, que en sus componentes de cumplimiento y segregación de funciones se encontraron en el nivel de madurez deseado por la Administración; aunque se identificaron por debajo de sus objetivos deseados en cuanto a políticas y procedimientos, errores y fallas y sistemas de información. Respecto a la gestión de riesgos, identificamos que ya se tienen identificados y valorados los riesgos más significativos del proceso y los controles relacionados, se cumplió de manera satisfactoria el plan de pruebas de funcionamiento de control, pero aún no se tiene formalmente definido su objetivo general ni los específicos; no se tiene definido el apetito de riesgo ni los niveles de tolerancia; además que se identificaron algunas deficiencias de diseño de los controles relacionados a riesgos significativos, mismas que se describen en el presente informe. IntroducciónObjetivos de la auditoría I.Evaluar el grado de madurez del proceso Actuación Comercial de acuerdo con el modelo que se presenta más adelante y contrastarlo con los objetivos establecidos por la administración. II.Evaluar el grado de madurez de la gestión de riesgos del proceso de Actuación Comercial, verificar que se tienen identificados los riesgos más significativos y probar la eficiencia y eficacia de los controles establecidos para mitigarlos. 5 TEXTO DE EJEMPLO

Introducción, Objetivos, Alcance y Metodología 1 Ejecutar Actuación Comercial para Negocios Personas 3 Ejecutar Actuación Comercial para Negocios de Canales Alternos 2 Ejecutar Actuación Comercial para Negocios Corporativos 1.1DEFINIR ESTRATEGIA DE VENTAS 1.2ELABORAR PLANEACION COMERCIAL 1.3EJECUTAR Y DAR SEGUIMIENTO COMERCIAL 2.1.2DISEÑAR E IMPLANTAR LOS MODELOS DE CUENTA DEL PRODUCTO 2.1.1CONCENTRAR EL PLAN ANUAL DE INCENTIVOS PARA LOS AGENTES 2.1.3GENERAR LA INFORMACION REQUERIDA PARA LA GESTION 3.1EJECUTAR ACTUACION COMERCIAL PARA NEGOCIOS BANCA SEGUROS 3.2EJECUTAR ACTUACION COMERCIAL PARA NEGOCIOS AFINIDAD 3.3EJECUTAR ACTUACION COMERCIAL PARA NEGOCIOS WORKSITE 1.4ADMINISTRAR EL PRESUPUESTO DE CAMPAÑAS Y EVENTOS SUJETOS A EVALUACIÓNFUERA DEL ALCANCE 6 Alcance Nuestra revisión abarcó el período del _______ al ________de 2014 y se realizó sobre los subprocesos que integran Actuación Comercial, como se presenta en el siguiente cuadro: 2.1DEFINIR Y REFORZAR LAS ESTRATEGIAS DE VENTAS 1.1GENERAR INFORMACION PARA LA GESTION DEL NEGOCIO 1.1DEFINIR ESTRATEGIA DE VENTAS 1.3DISEÑAR E IMPLANTAR LA ESTRATEGIA DE VENTAS DEL PRODUCTO DE NEGOCIOS PERSONAS GMM 1.3DISEÑAR E IMPLANTAR LA ESTRATEGIA DE VENTAS DEL PRODUCTO DE NEGOCIOS PERSONAS VIDA 1.3DISEÑAR E IMPLANTAR LA ESTRATEGIA DE VENTAS DEL PRODUCTO DE NEGOCIOS PERSONAS AUTOS 3.1.2DISEÑAR E IMPLANTAR LOS MODELOS DE CENTA DEL PRODUCTO 3.1.1CONCENTRAR EL PLAN ANUAL DE INCENTIVOS PARA LOS AGENTES 3.1.3GENERAR LA INFORMACION REQUERIDA PARA LA GESTION 3.2.2EJECUTAR Y DAR MANTENIMIENTO A NEGOCIOS AFINIDAD 3.2.1EJECUTAR Y DAR MANTENIMIENTO A NEGOCIOS AFINIDAD 3.2.3DAR SEGUIMIENTO A RESULTADO DE VENTAS NEGOCIOS AFINIDAD 3.3.2EJECUTAR Y DAR MANTENIMIENTO A NEGOCIOS WORKSITE 3.3.1DEFINIR LA ESTRATEGIA DE VENTAS PARA NEGOCIOS WORKSITE 3.3.3DAR SEGUIMIENTO A RESULTADO SDE VENTAS NEGOCIOS WORKSITE EJEMPLO CON INFORMACIÓN DE MODELA

Introducción, Objetivos, Alcance y Metodología Metodología Nuestro examen fue realizado sobre la base de pruebas selectivas, considerando las condiciones existentes a la fecha en que se realizan las pruebas o por el período, de acuerdo con las Normas para la Práctica Profesional de la Auditoría Interna del Instituto de Auditores Internos. Tales normas requieren que cumplamos con requerimientos éticos y planifiquemos y realicemos nuestro examen para obtener evidencia suficiente para sustentar nuestra opinión. El modelo de madurez de los procesos que se incluye en este informe, así como los resultados obtenidos al hacer nuestra evaluación fueron plenamente comentados con la administración, misma que determinó los objetivos a alcanzar en cada uno de los componentes de dicho modelo. Con el fin de garantizar que las funciones de Auditoría Interna se llevaron a cabo de forma objetiva e independiente, se declara por parte del equipo de auditoría que, en los procesos sujetos a evaluación, no tuvo autoridad ni responsabilidad; no participó directamente en la operación; no diseñó, implantó, ni dio mantenimiento al control interno relacionado y no desarrolló procedimientos de la operación. Además que no fueron y no son los responsables de implantar las recomendaciones derivadas de las auditorias. 7 TEXTO SUGERIDO

Calificación de la Gestión del Proceso Madurez del Proceso = Inicial 2 = Funcional 3 = Administrado 4 = Mejorado 5 = Óptimo Políticas y Procedimientos Cumplimiento Segregación de Funciones Supervisión Controles Clave Sistemas de Información Año ActualObjetivo de la Administración Gestión de los Riesgos del Proceso = Inicial 2 = Insuficiente 3 = Administrado 4 = Suficiente 5 = Optimizado Año ActualObjetivo de la Administración Objetivos y Apetito de riesgo Identificación y Evaluación de Riesgos Diseño de los Controles Funcionamiento de los Controles Mejora Continua / Sustentabilidad La auditoría se desarrolló con base en una metodología que contempla evaluar cinco componentes del proceso (políticas y procedimientos, cumplimiento, segregación de funciones, errores y fallas y sistemas de información) para determinar su nivel de madurez actual comparado contra el deseado (inicial, funcional, administrado, mejorado y óptimo). Ver anexo “X” para conocer las características de cada componente por nivel. Derivado de nuestra auditoría, concluimos que la madurez del proceso de Actuación Comercial, en los componentes de cumplimiento y segregación de funciones se encuentran en el nivel de madurez deseado por la Administración; sin embargo, en cuanto a políticas y procedimientos, errores y fallas y sistemas de información, el nivel alcanzado se encuentra por debajo de sus objetivos deseados, conforme a lo siguiente: TEXTO DE EJEMPLO NIVELES DE MADUREZ (Alineado a Riesgo Operativo)

Calificación de la Gestión del Proceso -Las políticas y procedimientos no se encuentran actualizados en los aspectos xxxx -Durante el período de revisión, el GRO identificó errores por arriba de los niveles de tolerancia en la ejecución de las operaciones yyyyy -El sistema XX aún no está incorporado el plan de recuperación de desastres que… Respecto a la gestión de los riesgos del proceso, concluimos que ya se tienen identificados y valorados los riesgos más significativos del proceso y los controles relacionados, y durante el período se cumplió de manera satisfactoria el plan de pruebas de funcionamiento de control; esto conforme a los niveles de madurez definidos por la Administración. Sin embargo, el proceso aún no tiene formalmente definido su objetivo general ni los específicos; no se tiene definido el apetito de riesgo ni los niveles de tolerancia; se identificaron algunas deficiencias de diseño de los controles relacionados a riesgos significativos, mismas que se describen en el presente informe; el proceso tiene definido un plan de continuidad del negocio para las actividades clave, pero este está definido de manera parcial porque aún no se tiene el plan de recuperación del sistema principal del proceso. TEXTO DE EJEMPLO

Administración de Riesgos Nuestra evaluación de los controles asociados a los riesgos más significativos del proceso de Actuación Comercial, es como se muestra a continuación: ANTES DE LA AUDITORIA (Evaluación de la Administración)DESPUES DE LA AUDITORIA 10 R1 R2 R3 R4 R1 R2 R3 R4 C4 C1 C2 C3 R5 C5 B1 BX CX EJEMPLO DE COMPARATIVO DE RIESGOS ANTES Y DESPUES DE LA AUDITORIA. Controles Eficientes y Efectivos Controles Mal Diseñados Controles Mal Ejecutado Brecha de Control LAS ESCALAS DE FRECUENCIA E IMPACTO (Alineado a Riesgo Operativo) Pendiente las escalas de riesgo residual…

Administración de Riesgos En la evaluación de los controles asociados a los XX riesgos significativos, se identificaron XX controles con un buen diseño y buen funcionamiento, XX presentan un área de oportunidad en su diseño, XX no se ejecutan conforme están diseñados y se identificaron XX brechas de control, como lo presenta el cuadro siguiente: 11 EJEMPLO DE EVALUACION DE LOS RIESGOS SIGNIFICATIVOS Y SUS CONTROLES RELACIONADOS

Conclusión Con base en la revisión que realizamos del proceso De la Compra al Pago y al alcance descrito previamente: I.Consideramos que las políticas y procedimientos, así como los sistemas de información relativos a dicho proceso se encuentran en una etapa de madurez inicial, los cuales están por debajo de los objetivos definidos por la administración. II.Se identificaron algunas debilidades específicas en los controles evaluados; sin embargo, de manera general, los controles evaluados son adecuados, apropiados y efectivos para proveer una seguridad razonable de que los riesgos están bien administrados para ayudar al cumplimiento de los objetivos de la compañía. De acuerdo con los resultados descritos en los párrafos anteriores, a continuación se mencionan los controles que recomendamos establecer o fortalecer, así como las principales áreas de oportunidad que se identificaron: ESPACIO PARA UNA REDACCIÓN EJECUTIVA DE CONTROLES A FORTALECER Y RECOMENDACIONES 12

Hallazgos Relevantes A continuación se presentan las principales observaciones identificadas en nuestra evaluación, con la referencia al riesgo que está relacionado y los compromisos que la Administración se compromete realizar: 13 Alto Riesgo Relacionado 1. Pago de siniestros con endosos en pólizas. Se detectaron siniestros por importe total de $4,708 sustentados a través de formatos de “Endosos”, “Endosos de condiciones especiales” y “Condiciones Especiales” cargados en sistema INFO Producción en documentos que no cuentan con una formalidad en su elaboración y autorización, sin que presenten algún tipo de seguridad para su modificación en su contenido y que son cargados posterior a la fecha de inicio de vigencia de la póliza sin que se observe un cobro adicional en la prima. Hallazgo Relevante Se evaluará… Acciones MedioQue las…Se… MedioQue…Se… R1 R2 R3 EJEMPLO CON LA DESCRIPCION EJECUTIVA DE LOS HALLAZGOS RELEVANTES (QUE COINCIDA EN LO POSIBLE CON LAS OBSERVACIONES PRESENTADAS AL CAPS).

Dirección de Auditoría Interna Informe Detallado Proceso de Actuación Comercial

O1 O2 O3 O4 Resumen de los Hallazgos 15 R1 R2 R3 PROPUESTA DE GRAFICA DE NIVEL DE ESFUERZO EN LA MEJORAS A LOS PROCESOS (Alineado a Riesgo Operativo)

Se identificaron XXX operaciones que… Descripción Hallazgos y Plan de Acción Diseño Porque las autorizaciones… Causa En la evaluación… Efecto 16 RiesgoR1. Registro de operaciones por personal no facultado. A ObservaciónO1. Falta de definición de… EJEMPLO DE CEDULA DE OBSERVACIONES.

Hallazgos y Plan de Acción Esfuerzo Autorizaciones… Recomendación Que… Plan de Acción / Comentarios Gerente de Sistemas y Operaciones/ Dic Responsable/ Fh Compromiso 17 A M B RiesgoR1. Registro de operaciones por personal no facultado. A ObservaciónO1. Falta de definición de… EJEMPLO DE CEDULA DE OBSERVACIONES.

Anexo III. CUADRO DE RESPONSABILIDADES… 18 EJEMPLO DE CUADRO PARA PRESENTAR INFORMACIÓN ADICIONAL EN ANEXOS