Documente Academic
Documente Profesional
Documente Cultură
Descripcin
Se espera que ocurra en casi todos los casos o ya
est ocurriendo
Probable
Posible
Poco probable
Remoto
b. Magnitud de Impacto
Alias
5
Categora
Catastrfico
Mayor
Moderado
Financiero
% Ventas
1%
0.75%
0.50%
Seguridad
Imagen
Cumplimiento
Amenaza a la vida
humana
Incumplimientos legales o
contractuales con efectos penales
Suspensin de actividades a
nivel de cadena
Se produjo un fraude
Daos significativos en
la imagen
Incumplimiento recurrente de
procedimientos y controles
internos que podran originar
casos de fraude
Daos graves a la
vida humana:
Incapacidad
permanente
Incumplimientos legales o
contractuales con
indemnizaciones o multas
significativas.
Debilidades
operativas que
pueden derivar en
fraudes
Daos a la vida
humana: incapacidad
temporal
Daos serios en la
imagen
Prdida en el valor de la
marca a corto plazo
Daos en la imagen
Menor
Insignificante
0.25%
0.10%
Tratamiento mdico
requerido
Prdida menor en el
valor de la marca
Tratamiento de
primeros auxilios en
tienda
Daos menores en la
imagen
No existe impacto en el
valor de la marca y la
imagen de la Compaa
Incumplimiento de
procedimientos y controles
internos que podran originar
casos de fraude
Notificaciones de incumplimiento
legal con adjudicacin de multas
Continuidad
Participacin en
Plan de Accin
Miembros del
Directorio,
Gerente General
Corporativo
Country Manager
Gerentes
Generales de cada
Pas
Incumplimientos recurrentes de
procedimientos y controles
internos en actividades no crticas
Incumplimiento parcial de
procedimientos y controles
internos en actividades crticas
Incumplimiento parcial de
procedimientos y controles
internos en actividades no crticas
No se genera efecto en la
continuidad del negocio, rea o
tienda
Gerentes
Centrales
Gerencias Medias
y Gerencias de
Tiendas
Jefaturas
Operativas
OcurrenciaProbabilidad de
Catastrfico
Mayor
Moderado
Menor
Insignificante
Insignificante
Menor
Moderado
Mayor
Catastrfico
Magnitud de Impacto
Calificacin de Riesgos Brutos:
Crtico
Alto
Medio
Bajo
Referencia
Descripcin
Orientacin: permite definir si el control descrito reduce la Probabilidad de
Ocurrencia o la Magnitud de Impacto del riesgo, o si acta sobre ambos.
Clase: definir si es un control manual o automtico.
Categora:
o Autorizacin: aprobacin de transacciones y acceso a registros y activos
o Segregacin de funciones: separacin de funciones y responsabilidades
o Reconciliacin: aseguran la integridad y exactitud en la transmisin de la
informacin
o Revisin de la gerencia: revisiones por personas distintas a las que
ejecutan la actividad, incluye revisiones de logs.
o Reportes de excepcin: operaciones que salen de los estndares
o Salvaguarda: generacin de backups
Tipo:
o Preventivo: se encuentra antes que las operaciones normales se ejecuten
o Detectivo: se encuentra despus que las operaciones normales se
ejecuten
o Correctivo: se implementa cuando ha ocurrido un evento negativo en el
proceso por una debilidad de control, posteriormente puede convertirse
en Preventivo o Detectivo.
Ejecutado por: indicar el detalle del cargo responsable del control
Frecuencia: frecuencia con la que se ejecuta el control
Control clave: se considera que un control es clave cuando su no ejecucin
podra generar un efecto adverso significativo en el cumplimiento de los
objetivos de negocio.
En el caso que no se hayan implementado controles para mitigar los riesgos, se deber
generar inmediatamente una observacin de auditora.
EVALUACION DE CONTROLES
Evaluacin del diseo de los controles
Para evaluar el diseo de los controles se recomiendo efectuar la tcnica de
Walkthrough en las operaciones del proceso. Es decir, se seleccionar una operacin
representativa de cada tipo de operaciones y se har el seguimiento a travs de todas sus
actividades en el proceso.
Las calificaciones para evaluar el diseo son:
Adecuado: los controles, tal y como estn diseados, pueden mitigar los riesgos
identificados.
Inadecuado: los controles no mitigan los riesgos diseados
Efectividad
Satisfactorio
Diseo
Calificacin de Controles:
Dbil
Moderado
Fuerte
Todo control calificado como Dbil o Moderado debe originar una observacin de
auditora o recomendacin de oportunidad de mejora.
EVALUACION DEL RIESGO RESIDUAL
Luego de evaluados los controles, el auditor encargado deber evaluar nuevamente los
riesgos identificados a fin de identificar el nivel de riesgo residual existente.
Se denomina Riesgo Residual a todo riesgo que no est siendo cubierto por los
controles implementados por la Gerencia.
La evaluacin de los controles puede generar los Riesgos Brutos sean afectados en la
Probabilidad de Ocurrencia, Magnitud de Impacto o Ambos.
Por ejemplo: Un Riesgo Bruto evaluado como Crtico, luego de evaluados sus controles
relacionados, podra tener una evaluacin de Riesgo Residual:
Crtico: en el caso que los controles hayan sido calificados como Dbiles
Alto / Medio : en el caso que los controles hayan sido calificados como
Moderados
Bajo: en el caso que los controles hayan sido calificados como Fuertes
OcurrenciaProbabilidad de
Catastrfico
R
R
R
R
Mayor
R
B
R
R
Moderado
R
R
R
R
Menor
R
R
Insignificante
Insignificante
Menor
Moderado
Mayor
Magnitud de Impacto
R
B
Riesgo Bruto
R
R
Riesgo Residual
Catastrfico
Slo los Riesgos Residuales evaluados como Bajo y Medio (a juicio del auditor), no
generarn observaciones de auditora y sern considerados como Oportunidades de
Mejora.
OBSERVACIONES DE AUDITORA
Las observaciones de auditora describen las deficiencias o debilidades identificadas en
el proceso evaluado. Estas observaciones deben ser categorizadas considerando su
evaluacin de Riesgo Residual, utilizando para ello las cuatro categoras definidas:
Crtico
Alto
Medio
Bajo
Los componentes de toda observacin de auditora son:
En caso de existir observaciones con riesgo residual crtico o alto y cuya mitigacin
requiere un mayor tiempo por su complejidad o por factores externos, el auditor debe
requerir que se apliquen controles compensatorios mientras se implementa el control
definitivo, que permita actuar en el corto plazo frente al riesgo.
Bueno:
Existe un buen ambiente de control.
Todos los controles crticos en el proceso existen y funcionan
correctamente
Se han identificado observaciones de riesgo Bajo y Medio
Aceptable:
Existe un ambiente de control adecuado.
Algn control crtico funciona con algunas deficiencias.
Se han identificado observaciones de riesgo Medio y hasta dos
observaciones de riesgo Alto.
Insuficiente:
El ambiente de control no es adecuado y en el corto plazo podra exponer
a la Compaa a riesgos importantes.
Uno o ms controles crticos no ha sido implementado o funciona con
deficiencias.
Se ha identificado una observacin de riesgo Crtico ms de dos
observaciones de riesgo Alto, y observaciones de riesgo Medio
Deficiente:
El ambiente de control es malo o no existe, y expone a la Compaa a un
nivel de riesgo inaceptable.
No existen controles crticos implementados o los controles crticos no
se ejecutan.
Se han identificado dos o ms observaciones de riesgo Crtico y
observaciones de riesgo Alto o Medio.