Función de Auditoría Interna 2014 Noviembre 2014

Modelo Institucional Estrategia Proceso Gente Sistemas PLAN DE DESARROLLO Largo Plazo (6 años) Planeación Estratégica. El ejercicio periódico que facilita la identificación de fortalezas, oportunidades, debilidades y amenazas, a través del cual se integra un programa de trabajo que permite establecer las palancas o acciones estratégicas o prioritarias, en virtud de que son las que derivan el mayor impacto en resultados, satisfacción y confianza de la sociedad. PLAN ANUALINSTITUCIONAL Estrategia Proceso 1 Establecer Objetivos Gente Sistemas 6 Monitoreo 2 Identificar Eventos ADMINISTRACION DE RIESGOS Productos / Servicios 5 Actividades de Control (SCI) 3 Evaluar Riesgos 4 Respuesta al Riesgo Procesos Primarios OBRAS EN PROCESO COMERCIALIZACION FINANCIAMIENTO Apoyo TESORERIA – CONTABILIDAD, SISTEMAS, RRHH, INVENTARIO DE TERRENOS Gente Áreas de Negocio Middle Office Áreas de Operación Infraestructura Sistemas

Co-sourcing / Out-sourcing Administración de Riesgos Órgano Interno de Control VISION – MISION - VALORES UNIVERSO DE AUDITORIA PLAN DE DESARROLLO Largo Plazo (6 años) PRODUCTOS / SERVICIOS PROCESOS GENTE SISTEMAS PLAN DE DESARROLLO Corto Plazo (1 año) PLAN INSTITUCIONAL PRESUPUESTO DE EGRESOS (Ingresos Propios y Gastos) PLAN ANUAL DE AUDITORIA Objetivos área 1 AREA 1 Objetivos área 2 AREA 2 Aseguramiento Consulta Objetivos área n AREA n Recursos Internos / Co-sourcing / Out-sourcing 1 Establecer Objetivos 6 Monitoreo 2 Identificar Eventos Coordinación ADMINISTRACION DE RIESGOS 5 Actividades de Control (SCI) 3 Evaluar Riesgos AUDITORÍA EXTERNA 4 Respuesta al Riesgo

Proceso de Administración de Riesgos PLAN DE DESARROLLO Largo Plazo (6 años) PRODUCTOS / SERVICIOS PROCESOS GENTE SISTEMAS 1 2 3 4 5 6 7 8 9 n… Objetivos Riesgos Controles ALINEACION

Proceso de Administración de Riesgos Matriz de Riesgos y Controles 1 2 3 4 5 6 7 8 9 n… EXPERTOS DEL PROCESO Conocimiento del Proceso Diagrama de Flujo 1 2 3 Matriz de Riesgos y Controles - Estructura Orgánica - Perfiles de Puesto - Políticas y Procedimientos 4 Manual

OBJETIVO DE AUDITORIA INTERNA La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. 6

PERCEPCION DE VALOR DE AUDITORÍA INTERNA Comité de Auditoría Estatuto de Auditoría Manual de Auditoría / Metodología Evaluación de Riesgos Evaluación de Gobierno Corporativo Informes de Riesgos y Control Proceso de Auditoría Plan Anual de Auditoría Interna (Basado en la Evaluación de Riesgos Generales) Evaluación de Controles que Operan a Nivel Entidad Planeación Evaluación de Riesgos Específica y Ejecución de Auditoría Informe de Auditoría Seguimiento Informe de Avance y Evaluación del Control Interno de la Organización Proyectos Especiales Aseguramiento Consulta Here you can add key information about your firm. Mejora Continúa de la Función de Auditoría Interna Evaluación de calidad de los trabajos Cuestionario de evaluación del usuario Evaluación de calidad de auditoría interna Administración de Recursos (financeros y Humanos) Capacitación (Técnica – Productos – Procesos – Habilidades – TI)

PERCEPCION DE VALOR DE AUDITORÍA INTERNA Comité de Auditoría Estatuto de Auditoría Manual de Auditoría / Metodología Evaluación de Riesgos Evaluación de Gobierno Corporativo Informes de Riesgos y Control Proceso de Auditoría Plan Anual de Auditoría Interna (Basado en la Evaluación de Riesgos Generales) Evaluación de Controles que Operan a Nivel Entidad Planeación Evaluación de Riesgos Específica y Ejecución de Auditoría Informe de Auditoría Seguimiento Informe de Avance y Evaluación del Control Interno de la Organización Riesgo de Auditoría No Agregar Valor Proyectos Especiales Aseguramiento Consulta Here you can add key information about your firm. Mejora Continúa de la Función de Auditoría Interna Evaluación de calidad de los trabajos Cuestionario de evaluación del usuario Evaluación de calidad de auditoría interna Administración de Recursos ($$$ y Humanos) Capacitación (Técnica – Productos – Procesos – Habilidades – TI)

PERCEPCION DE VALOR DE AUDITORÍA INTERNA Comité de Auditoría Integración del Comité de Auditoría Que el comité de auditoría no se integre según las mejores prácticas. Que el comité de auditoría no integre a los consejeros correctos. Manual de funcionamiento del Comité de Auditoría Que el manual de funcionamiento del comité no permita cumplir con todas sus responsabilidades; en especial si existen regulaciones al respecto por cumplir. Sesiones del Comité de Auditoría Que el manual de funcionamiento del comité no permita cumplir con todas sus responsabilidades; en especial si existen regulaciones al respecto por cumplir. Estatuto de Auditoría Estatuto de Auditoría Interna El Estatuto de la función de auditoría interna no defina correctamente el objetivo, autoridad y responsabilidad de la actividad de auditoría interna. Comunicación del Estatuto Que el Estatuto de la función de auditoría interna este bien definido pero no se de a conocer a los auditores y a los miembros de la Administración. Coordinación con Otros Evaluadores El estatuto no considera que auditoría interna se coordine con auditoría externa y cualquier otra área de la organización que haga evaluaciones de control interno. Independencia de Auditoría Interna Que la auditoría interna no se le haya garantizado completa independencia de la Administración a nivel de área y a nivel de cada auditor del equipo.

PERCEPCION DE VALOR DE AUDITORÍA INTERNA Manual de Auditoría / Metodología Definición de Estrategias Que el manual de auditoría no defina correctamente todos los aspectos metodológicos para todos los tipos de auditoría. Modelo de Riesgos Que el manual de auditoría adopte conceptos de gestión de riesgos distinto a los definidos por la Administración. Que el manual de auditoría establezca conceptos de gestión de riesgos sin tomar en consideración a la Administración. Elaboración y Alcance del Plan Que el Plan Anual de Auditoría no asegure evaluar los riesgos más significativos de la organización. Procesos de Gobierno Corp. No considerar evaluar los procesos de gobierno corporativo. Plan Anual de Auditoría Interna (Basado en la Evaluación de Riesgos Generales) Perfil de Auditores Que el equipo de auditoría interna no tenga los conocimientos técnicos necesarios para realizar los trabajos de evaluación. Capacidad de Evaluación Que el equipo de auditoría no sea suficiente para sacar adelante el plan de auditoría del año. Recursos $$$ Que el área no tenga el presupuesto de gastos necesarios para ejecutar de manera adecuada el trabajo de evaluación (ubicaciones). Interesados en el Plan de Auditoría Plan de Auditoría no haya considerado peticiones y sugerencias del Comité de Auditoría, Dirección General, Consejo de Administración. Comunicación del Plan de Auditoría Plan de Auditoría Interna no se haya comunicado adecuadamente a los interesados (Consejo, Comité de auditoría, Auditores y Usuarios). Trabajos Especiales Integrar al Plan de Auditoría trabajos especiales que no se justifiquen por su importancia.

PERCEPCION DE VALOR DE AUDITORÍA INTERNA Planeación Evaluación de Riesgos Específica y Ejecución de Auditoría Informe de Auditoría Seguimiento Proceso de Auditoría Integración de los Equipos de Auditoría No integrar equipos multidisciplinarios de evaluación, mínimo operacional y tecnologías de información. Conocimiento del Proceso No tener claro el objetivo del proceso, área o aspecto evaluado. Identificación de Riesgos Que la metodología no permita identificar todos los riesgos típicos y no típicos de un proceso. No hacer una correcta identificación de riesgos y su calificación. Identificación de Controles No hacer una correcta identificación de controles en operación. Hacer una identificación de riesgos y controles incompleta (I-P-A-R-R). Evaluación de Diseño del Control No hacer una correcta evaluación de diseño del control (O-R-C-A). Selección de Controles para Prueba No hacer una correcta selección de controles para someterlos a prueba.

PERCEPCION DE VALOR DE AUDITORÍA INTERNA Diseño de las Pruebas de Control Diseñar inadecuadamente las pruebas de control (se enfocan en replicar). Selección de Partidas No hacer una adecuada selección de partidas a evaluar para probar el funcionamiento del control. Omitir intencionalmente evaluar controles o evitar profundizar en investigar algún aspecto. Identificación de deficiencias No identificar deficiencias de control evidentes (diseño y funcionamiento) o no soportarlas adecuadamente. No soportar adecuadamente las deficiencias de control. Deficiencias que Implican Fraude No haber identificado debilidades de control que permiten el fraude para realizar procedimientos específicos. Elaboración del Informe Elaborar de manera inadecuada el Informe de Auditoría. Compromisos con el Usuario No obtener compromisos para reparar las debilidades de control o no hacerlo de manera clara. Seguimiento de Observaciones No tener los mecanismos adecuados para dar seguimiento periódicos a los planes de acción correctivos. No tener definida una estrategia de seguimiento según la importancia de las deficiencias por reparar.

PERCEPCION DE VALOR DE AUDITORÍA INTERNA Informe de Avance y Evaluación del Control Interno de la Organización Suficiencia de Información en el Reporte al Comité No reportar de manera adecuada al Comité, estatus del plan de auditoría, observaciones identificadas, seguimiento de los planes de acción y problemática relevante del período. Administración de Recursos ($$$ y Humanos) Administración de Costos Inadecuada administración de los costos de evaluación (proyectos). Administración de Personal Inadecuada administración del personal (enfermedades, incapacidades, ausencias, capacitación) Capacitación (Técnica – Productos – Procesos – Habilidades – TI) Elaboración del Plan de Capacitación Definición inadecuada del plan de capacitación. SUPERVISION DEL TRABAJO

INFORMES Informe Detallado Informe Ejecutivo Informe al CAPS REPORTES PERIODICOS - CAPS - CONSEJO - DG - Directores - Comités Informe Detallado Informe Ejecutivo Informe al CAPS Informe a Presidencia Observaciones Top Consejo Cada Auditoría Cada Auditoría Trimestral Trimestral Anual 14

PERCEPCION DE VALOR DE AUDITORÍA INTERNA A continuación presentamos la secuencia que seguirá la evaluación de los procesos que integran el plan de auditoría: 1 IDENTIFICAR LOS OBJETIVOS DEL PROCESO EVALUADO 2 IDENTIFICAR Y EVALUAR LOS RIESGOS QUE EVITARIAN LOGRAR LOS OBJETIVOS 3 IDENTIFICACIÓN DE LOS CONTROLES QUE ESTÁN EN OPERACIÓN ACTUALMENTE Se Identificaron Situaciones que pudieran ser Indicios de Fraude No Cumple DISEÑO E IMPLEMENTACION DE LOS CONTROLES (Incluye riesgos de fraude) EVALUACION Cumple DISEÑO E IMPLEMENTACION DE LOS CONTROLES PUEDE MEJORAR SEGÚN LAS MEJORES PRACTICAS EVALUACION Si PLAN DE ACCION No 4 PROBAR LA EFECTIVIDAD DE LOS CONTROLES QUE ESTÁN MITIGANDO RIESGOS Here you can add key information about your firm. No Pasa ¿EXISTE DESVIACION EN LA EJECUCION DE LOS CONTROLES? EVALUACION PLAN DE ACCION APLICACIÓN DE PRUEBAS DE AUDITORIA ESPECIFICAS PARA FRAUDE Pasa Se Identificaron Indicios de Fraude INFORME DE AUDITORIA