Metodología de La Auditoría

Gestión de la Auditoría
Metodología de la Auditoría - Fase 4

DELOITTE - UDP
2017
Contenidos
• Metodología de Auditoría Interna

• Fase 4: Desarrollar el programa de trabajo
 Determinar Objetivos y Alcance del Trabajo
 Identificación de Riesgos de Negocio
 Determinación de la Muestra de Auditoría
 Consideraciones de Programas de Auditoría
© Propiedad intelectual para uso exclusivo de Deloitte Touche Tohmatsu Limited.

Fase 4: Desarrollo del Programa de
Trabajo
3
Metodología de Auditoría
Enfoque Basado en Riesgo y Orientado

Desarrollo de a Resultados
Expectativas
Identificar y obtener los beneficios tangibles e
intangibles de las actividades de auditoría
interna.
Administración de Proyectos
Metodología Integrar y gestionar el proyecto para cumplir

con las expectativas dentro del alcance,
de Auditoría presupuesto y calendario previsto.
Industria y Especialización
Desarrollo de Llevar el equipo adecuado, en el momento

un Programa correcto, con la perspectiva correcta , para
de Auditoría entregar lo mejor de auditoría interna a la
organización,
4
Determinar Objetivos y Alcance del Trabajo
Para la planificación de cada proyecto es necesario llevar a cabo las

siguientes actividades:
 Formalizar los objetivos y alcance del trabajo de la auditoría con el cliente.
 Entender “porqué” el área fue seleccionada para la auditoría.
 Confirmar el Calendario de Auditoría
 Considerar apropiadamente los plazos del proyecto.
 Preparar una carta con términos de referencia.
 Preparar Presupuesto.
5
Determinar Objetivos y Alcance del Trabajo
 Los recursos deben ser suficientes y

apropiadamente asignados para alcanzar los
objetivos del proyecto.
 Se deben considerar los protocolos de la

oficina/localidad a revisar, ya sea en términos de
documentación solicitada, como también los
aspectos logísticos que demande la auditoría.
6
Reunión de Planificación con Cliente
Las reuniones de planificación de cliente son una oportunidad para

resolver:
 Alcance y objetivo de la auditoría.
 Responsabilidades y roles del cliente y del equipo de auditoría.
 Expectaciones, preocupaciones, y problemas del cliente.
 Plazos del proyecto.
 Contactos clave del cliente.
 Cambios recientes en el negocio en la organización del cliente.
7
Entrevistas
8
¿Cuál es el objetivo de la entrevista?
Algunos ejemplos de los objetivos que se deben tener en cuenta en
una entrevista son:
.
 Conocer el proceso
 Identificar los riesgos claves del proceso
 Identificar si los controles son apropiados.
 Ayudar al cliente a entender porqué la auditoría es importante y cómo

las excepciones que se encuentren van a impactar al negocio.
Es esencial mantener el
objetivo en la mente!

Entrevista efectiva
Cuatro etapas para una entrevista efectiva:
Cierre
Conducción
Apertura
Planeación/
Preparación
10
Consideraciones para una entrevista efectiva
o Consultar al líder del equipo sobre las entrevistas a realizar.

o Obtener información generada en las reuniones que se sostuvieron en la
etapa de planificación.
o Agendar las entrevistas.
o Definir el propósito de la entrevista.
o Determinar el nivel de detalle requerido.
o Ten tus preguntas preparadas antes de realizar la entrevista.
o Toma notas en la entrevista al menos que puedas recordar los detalles
con un 100% de exactitud.
o Ser profesional
o Desarrollar un vínculo
o Explicar el objeto de la entrevista y el proceso
11
Consejos
A continuación se detallan algunos consejos para realizar entrevistas

efectivas
• Considerar la información existente (descripción del proceso, políticas,

procedimientos).
• Considerar en asistir a entrevistas con más de un entrevistador.
• Considerar hacer preguntas abiertas para obtener más detalles.
• En una entrevista con el cliente, NO asumir que sabe todo.
• El personal del cliente conoce mejor el proceso.
• Clarificar los términos específicos de la industria.
• Desarrollar un entendimiento básico de la industria y de procesos esperados
antes de la entrevista.
12
Riesgos
13
Identificación de Riesgos de Negocio
Recordemos: Definición del Riesgo
Tradicionalmente el “riesgo” es visto como algo negativo, en

general las definiciones dicen que el riesgo es la exposición al
peligro.
El símbolo Chino del riesgo nos brinda una definición mejor del
término:
El primer símbolo significa peligro mientras que el segundo

simboliza oportunidad.
14
Identificación de Riesgos de Negocio
• Identificar donde, cuando y como situaciones podrían prevenir, degradar,

atrasar o mejorar el logro de los objetivos del negocio.
• El enfoque utilizado dependerá de la naturaleza de las actividades y del

contexto organizacional.
• Herramientas:
• Mapa de inteligencia de riesgos
• RACK
15
Conceptos de Riesgo
“Es el nivel de exposición a incertidumbres que la organización debe identificar y

efectivamente administrar para alcanzar sus objetivos, ejecutar sus estrategias
exitosamente y crear valor”
Corresponde a un evento que de materializarse afectaría

la capacidad de la organización para lograr los objetivos
empresariales y/o llevar a cabo sus estrategias en forma
exitosa
“Los riesgos de negocio surgen tanto de la amenaza

de que algo malo ocurra, como de la probabilidad de
que algo bueno no ocurra.”
16
Conceptos de Riesgo
Tipos de Riesgo
Riesgo de reporte financiero

Cualquier circunstancia que pueda impedir o dificultar la obtención,
tratamiento y difusión de información de forma fiable y oportuna en el
tiempo.
Riesgo operativo
Aquel que resulta en pérdida directa o indirecta como resultado de
procesos internos, personas o sistemas inadecuados o fallidos así como
por eventos externos.
Riesgo de cumplimiento
Riesgo relacionado con no cumplir los requerimientos regulatorios y
legales.
17
Evaluación de Riesgos
Mecanismos establecidos para

identificar, analizar y administrar riesgos
relacionados con varias actividades en
las que la entidad está involucrada y que
pueden impedir el logro de los objetivos
18
Evaluación de Riesgos
Riesgos Inherentes y Residuales:
• Riesgo inherente: es el riesgo para una entidad en la ausencia de cualquier acción que
la administración pueda tomar para alterar la probabilidad o impacto del riesgo.
• Riesgo residual: es el riesgo que permanece después de la respuesta al riesgo de la

administración.
• La evaluación de riesgos es aplicada primeramente para los riesgos inherentes.

Después del desarrollo de las respuestas a los riesgos, la administración considera los
riesgos residuales
19
Estimando Impacto y Probabilidades
Categorías de Probabilidad
Categoría Valor Descripción

Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene la plena
Casi Certeza 5
seguridad que este se presente, tiende al 100%
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre un 75% a
4
Probable 95% de seguridad que este se presente.
Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre un 51% a
3
Moderado 74% de seguridad que este se presente.
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre un 26% a
2
Improbabble 50% de seguridad que este se presente.
Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre un 1%
1
Muy improbable a 25% de seguridad que este se presente.

Estimando Impacto y Probabilidades
Categorías de Impacto
Categoría Valor Descripción

Riesgo cuyo cumplimiento influye directamente en el cumplimiento de la misión, pérdida
Catastróficas 5 patrimonial o deterioro de la imagen, dejando además sin funcionar totalmente o por un
período importante de tiempo, los programas o servicios que entrega la institució
Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logro de
4 los objetivos sociales. Además se requeriría de una cantidad importante de tiempo de la
Mayores alta dirección en investigar y corregir los daños
Riesgo cuya materialización causaría ya asea una pérdida importante en el patrimonio o
3 un deterioro significativo en la imagen. Además se requeriría de una cantidad importante
de tiempo de la alta dirección en investigar y corregir los daños
Moderadas
Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en el corto
2 tiempo y que no afecta el cumplimiento de losobjetivos estratégicos.
Menores
1 Riesgo que puede tener un pequeño o nulo efecto en la institución
Insignificantes

Ejemplo:
Matriz de Riesgo y Controles
22
Objetivos del control
Un "Objetivo de Control", es una definición del resultado o propósito que se
desea alcanzar implementando procedimientos de control específicos dentro de
una actividad en la organización
Los objetivos de control muestran una relación clara y distintiva con los objetivos
de negocio con el fin de apoyar su uso dentro de toda la organización y más allá
del uso exclusivo de los auditores. Los Objetivos de Control están definidos
con una orientación a los procesos, siguiendo el principio de reingeniería de
negocios
COSO proporciona orientación sobre los objetivos de control, los cuales se

detallan a continuación:
 Operacional
 Cumplimiento
 Financiero
- Autorización
- Registro
- Salvaguarda
- Reconciliación
23
Evaluación de controles
Un control es diseñado efectivamente si provee un aseguramiento

razonable con respecto al logro de objetivos en las siguientes
categorías.
 Efectividad y eficiencia de la operaciones.
 Fiabilidad en la información financiera.
 Cumplimiento con las leyes y regulaciones aplicables.
24
Evaluación de controles
Un control es implementado si está en operación durante un lapso

específico en el tiempo.
La pregunta a e responder es:
¿Está el control en lugar y es usado por la entidad?
25
Consideraciones para el
Diseño del Programa de
Trabajo
26
Consideraciones para el Diseño del Programa de
Trabajo
Desarrollo del
Aprobación
programa de
del programa
auditoría
de auditoría
interna
Borrador del
Programa de
programa de
auditoría
auditoría
(Aprobado)
interna
27
©Propiedad intelectual para uso exclusivo de Deloitte Touche Tohmatsu Limited.
Ejercicio
Requerimientos clave para el programa de auditoría
Pregunta
Para facilitar el testeo. ¿Qué requerimientos deberían estar incluidos en el programa de
auditoría?
28
Ejercicio
Requerimientos clave para el programa de auditoría
• Tamaño de la muestra.
• Criterio de selección.
• Período de tiempo sometido a prueba.
• Universo de donde obtendremos la muestra.
• Nombre de los reportes documentos que se revisaron para
testear.
• Atributos específicos para que sean testeados.
• Columnas que permitan hacer referencias.
• Hacer seguimiento de las conclusiones de auditorías
anteriores.

Determinación de la Muestra de Auditoría
Ejemplo de Tabla de Muestras
30
Ejemplos:
Programa de Auditoría
PROGRAMA DE AUDITORIA
Proceso de Ingresos por Prestaciones Medicas Hospitalarias y Ambulatorias
Auditoría a los Procesos Ingresos por prestaciones Medicas

Auditoría
Ambulatorias y Hospitalarias
Entidad Hospital Clínico XZY
Fecha Agosto 2012
En Programa Sí
Auditores Deloitte
Tiempo auditoría 360 hrs
Fecha de Inicio 6 de Septiembre de 2012
Fecha de Término 9 de Noviembre de 2012
Objetivo
- Verificar la existencia, calidad y aplicación de los procedimientos definidos por

Hospital Clínico XZY en las siguientes actividades que forman parte del proceso
de Ingresos por Prestaciones Medicas y Hospitalarias:
- Determinar las funciones, responsabilidades y Obligaciones del personal

integrante del departamento.
- Contabilización de transacciones.
- Correcta Segregación de Funciones.
- Aplicación de descuentos.
- Control de Garantías recibidas.
- Generación de Notas de Crédito
- Determinación de Ingresos devengados
- Identificar las principales actividades realizadas y los controles claves

implementados.
- Efectuar recomendaciones relevantes al proceso auditado de modo tal que

agreguen valor a la gestión de administración del proceso de Ingresos por
Prestaciones Médicas y Hospitalarias revisada.
- Comprobar que el sistema operativo utilizado por la el HCF cuente con suficientes
validadores que aseguren el correcto ingreso de datos de la operación.
31 - Validar la Integridad, Valorización y Corte de los Ingresos.

Ejemplos:
Alcance de la revisión
 El período de revisión cubre desde el 01 de agosto de 2011 al 31 de Julio 2012

 Para probar la existencia de documentación, autorizaciones y efectividad de
controles claves del proceso auditado, se tomarán muestras según la metodología
definida para tales efectos por auditoría interna.
Riesgos
Nº Riesgos Categoría
1 Hospitalización de pacientes sin garantía (letra ó pagare). Alto
2 Omisión de carga de exámenes, procedimientos e insumos en cta. cte. paciente. Alto
3 Ingreso de bonos médicos de forma incorrecta, duplicados o faltantes Alto
4 El paciente de las isapres sin convenio no retire las cuentas para obtener los bonos
respectivos.
Alto
5 No registro de los bonos de los pacientes de isapre sin convenio.
No registro de la totalidad de los servicios prestados.
Alto
6 Pérdidas monetarias, ocasionadas por la incobrabilidad en cuentas de paciente que no
fueron emitidas oportunamente.
Alto
7 Ingreso de bonos médicos de forma incorrecta o duplicados. Alto
8 Inadecuada salvaguarda de la documentación de las atenciones o servicios (bonos). Alto
9 Los montos de los ingresos recaudados son registrados contablemente en forma errónea
incompleta o en un período que no corresponde.
Alto
10 Ingresos registrados no cuentan con el sustento de la prestación realizada Alto
11 No depósito o depósito de montos incorrectos de las recaudaciones. Alto
13 Cálculo y registro de ajustes incorrectos o autorizados por personal que no corresponde. Alto
14 Emisión incorrecta, incompleta o invalida de la Facturación (Facturas / Notas de Crédito). Alto
15 Omisión o no facturación de servicios prestados. Alto
16 Las Facturas / Notas de Crédito son registradas contablemente en forma errónea,
incompleta o en un período que no corresponde.
Alto
17 Ausencia de información sobre márgenes y/o precios de venta Alto
18 Contratación de funcionarios que no cuentan con la capacidad y experiencia necesaria
para cubrir un cargo.
Alto
19 Inapropiada segregación de funciones /acceso a sistemas por personal no autorizado Alto
(Aplicaciones, bases de datos,etc.)
20 Perdida de Documentación relevante en el proceso Alto
21 Aplicación de descuentos no autorizados Alto
22 Daños económicos debido a modificaciones en archivos planos de Sistemas Operativos Alto
con interfaces al Contable -Financiero ya que son susceptibles de modificar
23 Debilidades en los accesos de los sistemas permitiendo manipulación de la información Alto
32
Ejemplos:
Detalle Tamaño muestra Firma N° de Firma
Auditor riesgos
1.- Reunión de Apertura
1. Envío de carta de inicio
1.2 Realizar la reunión de inicio de la auditoría con

Gerente de Administración y Finanzas. En dicha
reunión dar a conocer los objetivos y alcances del
trabajo, presentar al equipo que realizará el trabajo,
indicar la metodología de trabajo a utilizar y solicitar
la designación de un Coordinador para el desarrollo
de la auditoría.
1.3 Confirmar con el área los riesgos identificados en

este programa y sus calificaciones y realizar los
ajustes que correspondan.
2- Recopilación de la información
1. Solicitar políticas y procedimientos y alcance de

facultades que digan relación al proceso de
Ingresos Ambulatorios y Hospitalarios.
2. Solicitar organigrama de la entidad y áreas que
serán auditadas.
3. Solicitar Diagrama del Proceso
4. Solicitar listado con los nombres de funcionarios
de la Oficina, cargo, V°B° y firma de cada uno de
ellos.
5. Solicitar los perfiles de los usuarios que tienen
acceso al o los Sistemas Utilizados.
6. Solicitar los balances para el periodo auditado y
los auxiliares contables asociados a los ingresos.
7. Solicitar libros de ventas para el periodo
auditado.
8. Solicitar análisis de cuentas asociados a
provisiones de ingresos devengados
9. Solicitar informes de gestión para el periodo
auditado.
10. Solicitar lista de precios de Prestaciones
médicas hospitalarias y ambulatorias.
11. Solicitar lista de precios de paquetes
promocionales de prestaciones.
12. Solicita convenios establecidos con Isapres.
33
Ejemplos:
3.- Levantamiento de procesos
3.1 Efectuar levantamiento del
proceso auditado, estableciendo los
principales riesgos y evaluando el
control sobre éstos.
3.2 Determinar si los controles

existentes están bien diseñados.
Determinar con el DAD los

3.3
controles claves que se van a

auditar
4.- Revisión detallada de procesos
4.0 Aplicar Programa de Transacciones

que describe el flujo determinado del
proceso de Ingresos por
prestaciones médicas Ambulatorias y
Hospitalarias.
4.1 Revisión de Control de Garantías
Recibidas.
4.2 Revisión de la valorización de
cuentas medicas y prestaciones
ambulatorias
4.3 Análisis de aplicación de
descuentos.
34
Ejemplos:
35
Ejemplos:
36
Oficina central
Rosario Norte 407
Las Condes, Santiago
Chile
Fono: (56-2) 2729 7000
Fax: (56-2) 2374 9177
deloittechile@deloitte.com
Regiones
Simón Bolívar 202
Oficina 203
Iquique
Chile
Fono: (56-57) 254 6591
Fax: (56-57) 254 6595
iquique@deloitte.com
Av. Grecia 860
Piso 3
Antofagasta
Chile
Fono: (56-55) 244 9660
Fax: (56-55) 244 9662
antofagasta@deloitte.com
Los Carrera 831
Oficina 501
Copiapó
Chile
Fono: (56-52) 252 4991
Fax: (56-52) 252 4995
copiapo@deloitte.com
Alvares 646
Oficina 906
Viña del Mar
Chile
Fono: (56-32) 288 2026
Fax: (56-32) 297 5625
vregionchile@deloitte.com
O’Higgins 940
www.deloitte.cl Piso 6
Concepción
Chile
Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a organizaciones públicas y privadas de diversas Fono: (56-41) 291 4055
industrias. Con una red global de firmas miembro en cerca de 164 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a Fax: (56-41) 291 4066
que sus clientes alcancen el éxito desde cualquier lugar del mundo en donde operen. Los aproximadamente 200.000 profesionales de la firma están concepcionchile@deloitte.com
comprometidos con la visión de ser el modelo de excelencia.
Quillota 175
Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas Oficina 1107
(en conjunto la “Red Deloitte"), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar Puerto Montt
sus finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte será responsable de alguna pérdida sufrida Chile
por alguna persona que utilice esta publicación. Fono: (56-65) 226 8600
Fax: (56-65) 228 8600
Deloitte © se refiere a Deloitte Touche Tohmatsu Limited, una compañía privada limitada por garantía, de Reino Unido, y a su red de firmas miembro, cada puertomontt@deloitte.com
una de las cuales es una entidad legal separada e independiente. Por favor, vea en www.deloitte.cl/acercade la descripción detallada de la estructura legal
de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte Touche Tohmatsu Limited es una compañía privada limitada por garantía constituida en Inglaterra & Gales bajo el número 07271800,
y su domicilio registrado: Hill House, 1 Little New Street, London, EC4A 3TR, Reino Unido.
© 2015 Deloitte

Metodología de La Auditoría

Cargado por

Copyright:

Formatos disponibles

Metodología de La Auditoría

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Metodología de La Auditoría

Cargado por

Copyright:

Formatos disponibles

Gestión de la Auditoría

Metodología de la Auditoría - Fase 4

• Metodología de Auditoría Interna

© Propiedad intelectual para uso exclusivo de Deloitte Touche Tohmatsu Limited.

Enfoque Basado en Riesgo y Orientado

Metodología Integrar y gestionar el proyecto para cumplir

Desarrollo de Llevar el equipo adecuado, en el momento

Para la planificación de cada proyecto es necesario llevar a cabo las

 Formalizar los objetivos y alcance del trabajo de la auditoría con el cliente.

 Entender “porqué” el área fue seleccionada para la auditoría.

 Confirmar el Calendario de Auditoría

 Considerar apropiadamente los plazos del proyecto.

 Preparar una carta con términos de referencia.

 Los recursos deben ser suficientes y

 Se deben considerar los protocolos de la

Las reuniones de planificación de cliente son una oportunidad para

 Alcance y objetivo de la auditoría.

 Responsabilidades y roles del cliente y del equipo de auditoría.

 Expectaciones, preocupaciones, y problemas del cliente.

 Plazos del proyecto.

 Contactos clave del cliente.

 Cambios recientes en el negocio en la organización del cliente.

 Identificar los riesgos claves del proceso

 Identificar si los controles son apropiados.

 Ayudar al cliente a entender porqué la auditoría es importante y cómo

© Propiedad intelectual para uso exclusivo de Deloitte Touche Tohmatsu Limited.

Cuatro etapas para una entrevista efectiva:

o Consultar al líder del equipo sobre las entrevistas a realizar.

A continuación se detallan algunos consejos para realizar entrevistas

• Considerar la información existente (descripción del proceso, políticas,

Tradicionalmente el “riesgo” es visto como algo negativo, en

El primer símbolo significa peligro mientras que el segundo

• Identificar donde, cuando y como situaciones podrían prevenir, degradar,

• El enfoque utilizado dependerá de la naturaleza de las actividades y del

“Es el nivel de exposición a incertidumbres que la organización debe identificar y

Corresponde a un evento que de materializarse afectaría

“Los riesgos de negocio surgen tanto de la amenaza

Riesgo de reporte financiero

Mecanismos establecidos para

• Riesgo residual: es el riesgo que permanece después de la respuesta al riesgo de la

• La evaluación de riesgos es aplicada primeramente para los riesgos inherentes.

Categoría Valor Descripción

© Propiedad intelectual para uso exclusivo de Deloitte Touche Tohmatsu Limited.

Categoría Valor Descripción

© Propiedad intelectual para uso exclusivo de Deloitte Touche Tohmatsu Limited.

COSO proporciona orientación sobre los objetivos de control, los cuales se

Un control es diseñado efectivamente si provee un aseguramiento

 Efectividad y eficiencia de la operaciones.

 Fiabilidad en la información financiera.

 Cumplimiento con las leyes y regulaciones aplicables.

Un control es implementado si está en operación durante un lapso

La pregunta a e responder es:

¿Está el control en lugar y es usado por la entidad?

© Propiedad intelectual para uso exclusivo de Deloitte Touche Tohmatsu Limited.

Auditoría a los Procesos Ingresos por prestaciones Medicas

Fecha Agosto 2012

Tiempo auditoría 360 hrs

Fecha de Inicio 6 de Septiembre de 2012

Fecha de Término 9 de Noviembre de 2012