guía técnica n°57 2012 evaluación integral de los sistemas de control interno institucionales

AABBRRIILL 22001122

GUÍA TÉCNICA Nº 57

OBJETIVO GUBERNAMENTAL DE AUDITORÍA Nº2 AÑO 2012

EVALUACIÓN INTEGRAL DEL SISTEMA DE CONTROL INTERNO INSTITUCIONAL

Objetivo Gubernamental de Auditoría, Años 2011 a 2014 - Nº 2, Evaluación del Sistema de Control Interno

_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 1

TABLA DE CONTENIDOS

MATERIAS PÁGINA I.- INTRODUCCIÓN 2 II.- OBJETIVOS GENERALES DEL DOCUMENTO 4 III.- ALCANCE 5 IV.- OPORTUNIDAD Y PERIODO 5 V.- ANTECEDENTES GENERALES Y FUENTES DE INFORMACIÓN 5 VI.- EQUIPO DE TRABAJO REQUERIDO 6 VII.- HORAS DE AUDITORÍA ESTIMADAS 6 VIII.- CRONOGRAMA ESPECÍFICO 6 IX.- METODOLOGÍA 6 1.- ACTIVIDADES A REALIZAR 6 2.- OBJETIVO DE LAS ACTIVIDADES DE ASEGURAMIENTO 7 3.- INSTRUCCIONES Y PROCEDIMIENTOS PARA DESARROLLAR LAS ACTIVIDADES DE ASEGURAMIENTO 8 4.- CUESTIONARIOS PARA EVALUAR EL CONTROL INTERNO 9

4.1.- CUESTIONARIO DE CONTROL INTERNO DE AMBIENTE DE CONTROL 9 4.2.- CUESTIONARIO DE CONTROL INTERNO DE EVALUACIÓN DE RIESGOS 15 4.3.- CUESTIONARIO DE CONTROL INTERNO DE ACTIVIDADES DE CONTROL 18 4.4.- CUESTIONARIO DE CONTROL INTERNO DE INFORMACIÓN Y COMUNICACIÓN 21 4.5.- CUESTIONARIO DE CONTROL INTERNO DE SUPERVISIÓN Y MONITOREO 26

5.- PRODUCTOS SOLICITADOS 29 5.1.- INFORME DE AUDITORÍA 29


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 2

I.- INTRODUCCIÓN Se ha definido, por el Presidente de la República, el Objetivo Gubernamental de Auditoría Nº 2 – años 2011 al 2014, que señala que los auditores internos de los Servicios y entidades del Estado deberán realizar una “Evaluación de los Sistemas de Control Interno Institucionales, ponderando para dicho efecto las observaciones y recomendaciones efectuadas por Auditoría Interna y por la Contraloría General de la República”. Este objetivo corresponde a la evaluación del sistema de control interno en la entidad, su estructura y funcionamiento, debiendo darse una especial atención en esta evaluación, a los controles asociados a los riesgos críticos del organismo. Este año 2012, se deberá evaluar la totalidad del Sistema de Control Interno en sus cinco componente, de acuerdo al Marco Integrado de Control Interno, publicado en el año 1992 por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO)1: El Ambiente de Control, Evaluación de los Riesgos, Actividades de Control, Información y Comunicación y Supervisión. 1.- Ambiente de Control En este componente deberán evaluarse, al menos, los siguientes temas: - Integridad y valores éticos de la organización. - Filosofía y estilo operativo de la dirección. - Estructura organizativa. - Misión, objetivos y políticas. - Asignación de responsabilidad y autoridad. - Administración de los recursos humanos. - Competencias profesionales del personal.

2.- Evaluación de los Riesgos En este componente deberán evaluarse, al menos, los siguientes temas: - Definición de Objetivos Globales - Definición de Objetivos asignados a cada actividad - Riesgos

1 www.coso.org


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 3

- Gestión del Cambio 3.- Actividades de Control En este componente deberán evaluarse, al menos, los siguientes temas: - Procedimientos de control - Autorización y aprobación de actividades - Segregación de funciones - Niveles definidos de autorización - Verificaciones y conciliaciones - Controles de acceso a recursos o archivos - Rotación del personal en tareas claves - Control del sistema de información - Existencia de evaluaciones de desempeño - Existencia y adecuación de la rendición de cuentas o responsabilidad - Documentación de los procesos, tareas y actividades - Auditoría interna

4.- Información y Comunicación En este componente deberán evaluarse, al menos, los siguientes temas: En Información: - Obtención de información externa e interna - Suministro de información a personas adecuadas - Desarrollo y/o revisión de los sistemas de información - Apoyo de la dirección al desarrollo de los sistemas de información necesarios para el Servicio


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 4

En Comunicación: - Comunicación eficaz al personal de sus funciones y responsabilidad de control - Líneas de comunicación - Adecuación de la comunicación horizontal - Comunicación y líneas de comunicación con terceras partes

5.- Supervisión Por último, en el componente de Supervisión, deberán revisarse, al menos los temas de: - Hasta qué punto el personal al realizar su actividades obtiene evidencia de que el sistema de control interno está funcionando - En qué media las comunicaciones con terceros corroboran la información del Servicio - Receptividad de las recomendaciones de los auditores internos - Revisión de cumplimiento de las normas de probidad - Eficacia actividades de auditoría interna

Para cumplir con este Objetivo Gubernamental de Auditoría, los auditores internos, deberán aplicar los cuestionarios de control interno, que se entregan en el presente documento, evaluando, a través de ellos, el funcionamiento de los componentes del sistema de control interno en el Servicio, analizado los aspectos deficitarios que se encuentren y haciendo recomendaciones para su mejora y fortalecimiento. II.- OBJETIVOS GENERALES DEL DOCUMENTO Documentar y facilitar la implementación del Objetivo Gubernamental de Auditoría para el año 2012, que establece en el punto N°2, la obligación de realizar acciones de aseguramiento sobre los sistemas de control interno diseñados e implementados en las distintas entidades del Estado, con el propósito de verificar si estos sistemas de control interno permiten asegurar, razonablemente, el cumplimiento de las normas que los regulan y la correcta administración de los bienes y recursos públicos; la implementación de medidas para superar las observaciones y recomendaciones formuladas por la Auditoría Interna del Servicio o entidad gubernamental y por la Contraloría General de la República y la mantención de los principales riesgos críticos para la entidad, dentro de los límites tolerables.


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 5

III.- ALCANCE El alcance considera la evaluación de los sistemas de control actuales en relación a los cinco componentes del Control Interno, de acuerdo al Marco Integrado de Control Interno, esto es Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación, y Supervisión o Monitoreo. Dentro de este análisis tiene especial importancia la identificación y manejo de los riesgos críticos para el cumplimiento de los objetivos del Servicio y cómo los elementos del sistema de control se alinean con las directrices del Proceso de Gestión de Riesgos. IV.- OPORTUNIDAD Y PERIODO En el transcurso del año 2012 deberá ejecutarse este Objetivo Gubernamental de Auditoría, mediante la revisión y evaluación de los sistemas de control existentes en los cinco componentes del Control Interno ya citados, con corte al 30 de agosto 2012 y deberá informarse al 16 de noviembre de 2012 a este Consejo de Auditoría. V.- PRINCIPALES ANTECEDENTES Y FUENTES DE INFORMACIÓN - Observaciones recurrentes contenidas en los informes de la Contraloría General de la República y de las Unidades de

Auditoría Interna, años 2009 y 2010, sobre Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación y Supervisión en el Servicio.

- Riesgos sobre temas asociados a los cinco componentes del Control Interno obtenidos producto del Proceso de Gestión de Riesgos en los Servicios o entidades y del trabajo habitual en estas materias de las Unidades de Auditoría interna.

- Riesgos y deficiencias asociados a los cinco componentes del Control Interno obtenidas de informes de auditoría y consultorías realizadas por empresas consultoras.

- Instrucciones para la Ejecución de la Ley de Presupuestos del Sector Público 2012 (Dirección de Presupuestos). - Ley Nº 19.886, de Bases sobre Contratos. - Resolución Nº 520, de 1996, de la Contraloría General de la República, y sus modificaciones posteriores. - Ley 18.834 Estatuto Administrativo. - Ley 18.575 Orgánica General de Bases de la Administración del Estado. - Ley 19.628 de Protección de la Vida Privada. - Ley 19.880 sobre Procedimiento Administrativo. - Ley 20.285 sobre Transparencia y Acceso a la Información Pública. - Recomendaciones del Consejo para la Transparencia. - Marco Integrado de Control Interno COSO I: versión 1992 y borrador para comentarios públicos, versión 2012.


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 6

VI.- EQUIPO DE TRABAJO REQUERIDO Esta variable de trabajo depende de cada Servicio o entidad. VII.- HORAS DE AUDITORÍA ESTIMADAS Esta variable depende de cada Servicio o entidad. Sin perjuicio de lo anterior, deberán considerarse los plazos dispuestos en este documento para la entrega del informe y los demás antecedentes de la auditoría. VIII.- CRONOGRAMA ESPECÍFICO Dependerá de cada Servicio, siendo necesario que los cronogramas contemplen, como fecha de entrega del informe de aplicación de los cuestionarios, el 16 de noviembre de 2012. IX.- METODOLOGÍA 1.- ACTIVIDADES A REALIZAR Los auditores internos, para cumplir con el Objetivo Gubernamental de Auditoría Nº 2 - 2012, deberán: - Programar la evaluación a los sistemas de control interno: Estudiar estos Cuestionarios de Control Interno entregados por el

Consejo de Auditoría para su aplicación. - Ejecutar la evaluación de los sistemas de control interno sobre la base de los cuestionarios. - Analizar los resultados de la ejecución de la evaluación (hallazgos, efectos, recomendaciones y compromisos). - Examinar los resultados de la evaluación a la luz de los riesgos críticos del Servicio o entidad. - Informar al Jefe del Servicio y al Consejo de Auditoría de los resultados, en las fechas indicadas. - Programar auditorías de seguimiento con el fin de monitorear si se cumplen las medidas comprometidas por la dirección para

la mitigación de los riesgos observados.


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 7

2.- OBJETIVO DE LAS ACTIVIDADES DE ASEGURAMIENTO La revisión y análisis que se realice en base a este documento tendrá como objetivos generales: - Examinar el ambiente de control interno al interior del Servicio o entidad, de manera de evaluar sus fortalezas y debilidades,

sugiriendo acciones para su mejoramiento continuo. - Examinar la evaluación de riesgos al interior del Servicio o entidad, de manera de evaluar su adecuación a los lineamientos

impartidos por el CAIGG y sugiriendo, cuando corresponda, acciones para su fortalecimiento. - Examinar las actividades de control en los procesos relevantes del Servicio o entidad, para determinar si éstas cumplen con

los principios generales de buena administración, en temas como segregación de funcionales, responsabilidad y formalidad, entre otros.

- Examinar la información y comunicación en el Servicio, para determinar si se recoge la información necesaria para el logro de los objetivos del Servicio, si ésta se comunica a las personas adecuadas y si se transmite un mensaje claro al personal acerca de las responsabilidades.

- Examinar la supervisión, evaluando la calidad de su rendimiento, el alcance y la frecuencia de las evaluaciones y si las deficiencias se ponen en conocimiento en forma oportuna a quien corresponde.

El Ambiente de Control, que será revisado y examinado por los auditores internos, debe ser entendido como el clima de control que se gesta o surge en la conciencia individual y grupal de los integrantes de un Servicio u organización, por la influencia de la historia y cultura de la entidad y por las pautas dadas por la alta dirección en referencia a la integridad y valores éticos. Otros factores relevantes que ejercen su influencia en el Ambiente de Control son: el compromiso de competencia profesional, la filosofía de dirección y el estilo de gestión, la estructura organizacional, la asignación de autoridad y responsabilidad, las políticas y prácticas de recursos humanos y la Dirección. Hay que tener presente que este ambiente de control, debe orientarse a mantener controlados y monitoreados los riesgos críticos del Servicio o entidad. La Evaluación de Riesgos que será revisada debe entenderse como la identificación y análisis de factores que podrían afectar la consecuencia de los objetivos y, en base a ese análisis, determinar la forma de gestionar los riesgos. Debe también entenderse que como tema previo, el Servicio debe definir los objetivos a nivel estratégico y operativo. Por último, hay que tener presente que las entidades deben comprender que en el escenario cambiante en el que se desenvuelven, debe desarrollar mecanismos que permitan la gestión del cambio y los riesgos asociados con ese cambio.


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 8

Las Actividades de Control que van a ser examinadas por el auditor interno se refieren a las acciones que realiza la dirección y el restante personal del Servicio o entidad para cumplir en forma permanente con las funciones asignadas. Son importantes porque en si mismas implican la forma correcta de hacer las cosas, así como también porque el dictado de políticas y procedimientos y la evaluación de su cumplimiento, constituyen el medio más idóneo para asegurar el logro de objetivos de la entidad. Las actividades de control pueden dividirse en tres categorías: controles de operación, controles de información financiera y controles de cumplimiento. Comprenden también las actividades de protección y conservación de los activos, así como los controles de acceso a programas computarizados y archivos de datos. Las actividades de control deben orientarse especialmente al control y monitoreo permanente de los riesgos que han sido identificados cómo críticos para la entidad o Servicio. La Información y Comunicación que será examinada debe considerar que para las entidades es necesario recoger y comunicar información relevante que permita a cada funcionario el debido cumplimiento de sus responsabilidades. Para la toma de decisiones, los sistemas de información contemplan datos internos de la entidad, pero también datos externos.. Por otra parte, es necesario comunicar información relevante al personal en un sentido amplio. También los interesados, como usuarios y proveedores, deben tener acceso a la información relevante del Servicio y deben tomarse las medidas para conjugar el derecho al acceso a la información y la protección de datos personales. Por último, la Supervisión que será examinada, considera un monitoreo de los sistemas de control interno, que tomarán la forma de supervisión continuada y evaluaciones periódicas o una combinación de ambas. Las deficiencias en el sistema de control interno que se detecten, deben ser puestas en el conocimiento de la dirección, en forma completa y oportuna para que se tomen las medidas adecuadas para el mejoramiento y fortalecimiento de los componentes del Control Interno. 3.- INSTRUCCIONES Y PROCEDIMIENTOS PARA DESARROLLAR LAS ACTIVIDADES DE ASEGURAMIENTO Con el propósito de facilitar el desarrollo de esta actividad de aseguramiento, el Consejo de Auditoría, ha desarrollado cinco cuestionarios de control interno, que abarcan los cinco componentes del Marco Integrado de Control Interno. Estos cuestionarios, que representan los tópicos mínimos a ser evaluados, deberán ser aplicados por los auditores internos.


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 9

4.- CUESTIONARIOS PARA EVALUAR EL SISTEMA DE CONTROL INTERNO DE LA ENTIDAD 4.1.- COMPONENTE DEL SISTEMA DE CONTROL INTERNO: AMBIENTE DE CONTROL El entorno de control marca las pautas de comportamiento en una organización y tiene una influencia directa en el nivel de concientización del personal respecto del control. Constituye la base de todos los demás elementos del control interno, aportando disciplina y estructura. Entre los factores que generan el entorno de control se encuentran la honradez, los valores éticos y la capacidad del personal; la filosofía de la dirección y la forma de actuar; la manera en que la dirección distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados; así como la atención y orientación que proporciona la Dirección del Servicio o entidad. Integridad, Valores Éticos, y Comportamiento de los Ejecutivos Claves

Muestra la Dirección interés por la integridad y los valores éticos. La cultura de la dirección enfatiza la importancia de la integridad y el comportamiento ético. ❏Sí ❏No Descripción

Comentarios:

Se ha comunicado eficazmente el compromiso de la dirección con la integridad y el comportamiento ético a toda la organización, tanto en palabras como en hechos. La Dirección lidera dando el ejemplo. Considerar si los funcionarios sienten la presión de “hacer lo correcto” y si la dirección trata adecuadamente las situaciones donde se detectan problemas asociados a la integridad, la ética y la probidad.

❏Sí ❏No

Descripción Comentarios:

Se le pide al personal de la alta Dirección que ha sido contratado fuera del Servicio que se familiarice con sus valores éticos y controles, así como con los aspectos relevantes de la Ley N° 18.575, Ley N° 18.834 y en general, de toda la normativa asociada a la probidad funcionaria.

❏Sí ❏No


Trata la Dirección de eliminar o reducir situaciones que pueden propiciar que el personal se involucre en actos fraudulentos, ilegales o no éticos (incluidos los considerados en la Ley N° 18.575, entre otras).

❏Sí ❏No Descripción

Comentarios:


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 10

Las relaciones con los funcionarios, proveedores, interesados y el ciudadano tienen una consideración ética, orientada a la honestidad, al buen servicio y a la transparencia. ❏Sí ❏No


Hay un código de conducta y/o una política de ética, que incluyen las conductas prohibidas y la prevención de delitos o actos irregulares. ❏Sí ❏No


El Código es lo suficientemente amplio y se refiere a conflictos de intereses, pagos ilegales, pagos indebidos, mal uso de la información privilegiada, resguardo de los datos personales, comportamiento íntegro y honesto, entre otros temas.


Comentarios:

Existen procesos de difusión y comunicación del código de ética o las políticas en forma periódica y se evalúa el conocimiento y comprensión de los funcionarios del tema. ❏Sí ❏No


El Código o política de ética contiene sanciones claras contra las conductas que infringen los principios y directrices de ética o integridad del Servicio y estas sanciones son adecuadas a la gravedad o importancia de los hechos que configuran la transgresión.


Comentarios:

Toma la Dirección acciones disciplinarias apropiadas en respuesta a las desviaciones de políticas y procedimientos aprobados o frente a violaciones del código de conducta. Están considerados en ellos los incumplimientos relacionados con la Ley N° 18.575 y otras acciones asociadas a la corrupción.

❏Sí ❏No


Existen medios de denuncia o canales de comunicación que permitan a los funcionarios, proveedores o interesados hacer una denuncia, considerando que haya un responsable que recibe y canaliza las denuncias para su investigación y solución.


Comentarios:

Conciencia de Control de la Dirección y Estilo Operativo

La dirección analiza los riesgos internos y externos del Servicio para la toma de decisiones ❏Sí ❏No Descripción

Comentarios:

Presta la Dirección la apropiada atención al control interno, incluyendo los efectos del procesamiento de sistemas de información. ❏Sí ❏No


Existe preocupación por parte de la Dirección hacia el proceso de datos, la función presupuestaria y contable y la confiabilidad de la información financiera y no financiera del Servicio. El Servicio apoya la función financiera contable y existen instancias de supervisión de la misma. Se protege la información del acceso y uso no autorizado.

❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 11

Existe un mecanismo establecido para educar y comunicar regularmente a la Dirección y a los funcionarios la importancia de los controles internos, y elevar el nivel de entendimiento de los controles.


Comentarios:

Corrige la Dirección oportunamente las deficiencias identificadas en el control interno ❏Sí ❏No Descripción Comentarios:

Existe rotación de la plantilla en las funciones claves, considerando si ha existido rotación excesiva que indique que no se retienen a los ejecutivos clave o si no hay recambio de ejecutivos, si han renunciado inesperadamente empleados claves, entre otros.

❏Sí ❏No


Establece la Dirección objetivos tácticos operativos y expectativas reales y adecuadas para el personal operativo, de manera que los funcionarios y ejecutivos no enfrentan presiones exageradas para el cumplimiento de las metas.


Comentarios:

Compromiso de la Dirección Respecto de la Competencia Profesional

Es apropiado el conocimiento y experiencia de la Dirección y los niveles supervisores. ❏Sí ❏No Descripción Comentarios:

Demuestra la Dirección un compromiso para proveer suficiente personal para mantener y enfrentar el ritmo de crecimiento y la complejidad del negocio. ❏Sí ❏No


Cuenta el personal con la capacidad y el entrenamiento necesarios para su nivel de responsabilidad asignado, considerando la naturaleza, tamaño y complejidad del negocio. ❏Sí ❏No


Existen perfiles para los cargos o se ha especificado los requisitos de conocimientos, habilidades y destrezas que requieren los principales cargos. ❏Sí ❏No


Muestra la Dirección voluntad de consultar con los auditores y tratar asuntos significativos que se relacionan con el control interno y otros temas relevantes.

❏Sí ❏No Descripción Comentarios:

Aspectos de Gobierno Corporativo

Las divisiones de asesoría del Servicio, como la auditoría interna, dependen directamente del Jefe de Servicio y tiene acceso directo a esa jefatura.

❏Sí

❏No


El Auditor interno comunica el resultado de su trabajo directamente al Jefe de Servicio, sin perjuicio que posteriormente se comunique a los auditados las observaciones.

❏Sí

❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 12

Estructura Organizacional y Asignación de Autoridad y Responsabilidades

Existe un organigrama del Servicio actualizado ❏Sí

❏No


Define el organigrama claramente las líneas de autoridad, responsabilidad y dependencia. (define la jerarquía, las funciones y obligaciones y a quien reporta y depende)

❏Sí

❏No


Es la estructura organizacional del Servicio adecuada para:

- El tamaño; ❏Sí ❏No Descripción Comentarios: - Las actividades operacionales; ❏Sí ❏No

- La ubicación (y dispersión), y ❏Sí ❏No - La complejidad. ❏Sí ❏No

Se asigna responsabilidad y se delega autoridad para tratar objetivos organizacionales y funciones institucionales. Es clara la asignación de responsabilidades. ❏Sí ❏No


Existe una estructura apropiada para asignar la propiedad de la información, incluso quiénes están autorizados para iniciar y/o modificar transacciones corporativas. Se asigna la propiedad para cada aplicación y base de datos dentro de la infraestructura de TI.


Comentarios:

Hay políticas apropiadas y procedimientos para aquellos asuntos como aceptaciones de nuevos negocios, conflictos de interés, prácticas de seguridad, políticas de prevención de la corrupción. Son ellas comunicadas adecuadamente a toda la organización.


Comentarios:

Hay políticas y procedimientos apropiados para la autorización y aprobación de transacciones al nivel adecuado. ❏Sí ❏No


Revisa y modifica la Dirección la estructura organizacional de la empresa de acuerdo a los cambios de condiciones y requerimientos legales. ❏Sí ❏No


Hay una adecuada supervisión y monitoreo de las operaciones descentralizadas del Servicio. ❏Sí ❏No


Hay una apropiada segregación de actividades incompatibles (separación entre la autorización, ejecución, registro, recepción, custodia y el control de las operaciones). ❏Sí ❏No


Las normas de control son idóneas y las descripciones de funciones de los directores de división o departamento y supervisores son claras y hacen referencia específica a las responsabilidades de control de dichos cargos.


Comentarios:


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 13

Las delegaciones de facultades cumplen la normativa formal, pero además son adecuadas en relación con la responsabilidades asignadas a los delegatarios ❏Sí ❏No


Políticas y Prácticas de Recursos Humanos

Existen normas y procedimientos para la contratación, adiestramiento, motivación, evaluación, promoción, remuneración, traslados y terminación de personal que sean aplicables a todas las áreas funcionales.


Comentarios:

Existen procedimientos de investigación para la selección de solicitantes de empleo, particularmente para personal con acceso a activos susceptibles de sustracción.


Son claros los procedimientos y las políticas de recursos humanos y se emiten, actualizan y modifican oportunamente. Se comunican eficazmente al personal en localidades descentralizadas y/o extranjeras.


Hay descripciones de funciones, manuales de referencia u otras formas de comunicación que informen al personal de sus obligaciones.


El desempeño de cada empleado es evaluado y revisado periódicamente. ❏Sí ❏No Descripción Comentarios:

Existen políticas de formación, autoformación y capacitación continua para los funcionarios del Servicio

❏Sí

❏No


Existen políticas de rotación de personal, de manera que los cargos tengan una rotación periódica que impida la formación de clientelismo y amistades, en especial en los cargos que se relacionan con los proveedores del Servicio (ej.: asignación de contratos, de adquisiciones, subsidios e incentivos, etc.).

❏Sí

❏No


Las acciones disciplinarias que se aplican a los funcionarios en los casos de falta de probidad y conductas irregulares tienen una difusión adecuada, de manera de ser un ejemplo para el personal y que éste tenga claro las sanciones a que pueden exponerse.

❏Sí

❏No


El Servicio presenta iniciativas asociadas a la calidad, ya sea a nivel de los procesos de “negocio” de la entidad o en sus procesos de soporte, y estas son desarrolladas en forma permanente, y evaluadas en forma periódica.

❏Sí

❏No


Hay personas que trabajan a honorarios en el Servicio ❏Sí

❏No


Algunas de estas personas realizan labores rutinarias de administración o tienen responsabilidades equivalentes a jefes de división, departamento o unidad. Estas personas realizan labores como administrar fondos, ejecutar fiscalizaciones o manejar vehículos fiscales

❏Sí

❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 14

Las contrataciones de las personas a honorarios se respaldan en convenios o decretos ❏Sí

❏No


Existen sistemas de control de la jornada de trabajo, ¿de qué tipo? ❏Sí

❏No


Los controles horarios con iguales para todos los funcionarios. Describa de ser negativo ❏Sí

❏No


En el caso de existir autorización para docencia, existe resolución que señala forma de recuperar horas

❏Sí

❏No


En el Servicio se pagan horas extraordinarias ❏Sí

❏No


Las horas extras se fundamentan por el jefe directo y se autorizan formalmente en forma previa a su ejecución

❏Sí

❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 15

4.2.- COMPONENTE DEL SISTEMA DE CONTROL INTERNO: EVALUACIÓN DE RIESGOS La evaluación de riesgos es la identificación y análisis de riesgos relevantes (tanto internos como externos) que podrían afectar el logro de los objetivos, determinando una base para determinar cómo los riesgos deben ser gestionados. Debido a que las condiciones se modifican de forma continua, se necesitan mecanismos para identificar y hacer frente a los riesgos asociados con el cambio. Se han establecido y comunicado objetivos a nivel de Servicio. Incluyen apoyo y complemento al proceso de gestión de riesgos. Los objetivos incluyen apoyo por planes estratégicos, complementados a nivel de proceso/aplicación. Se ha establecido un proceso de evaluación de riesgos, incluyendo la estimación de la importancia de los riesgos, la evaluación de la probabilidad de su ocurrencia, y la determinación de las acciones necesarias al respecto, a través de un plan de tratamiento de riesgos. Son establecidos, comunicados y monitoreados los objetivos del negocio o misión institucional del Servicio.


Son comunicados a todo el Servicio los elementos clave de la planificación estratégica, de manera que los funcionarios tengan un entendimiento básico de la estrategia general del Servicio para cumplir su misión y objetivos institucionales.


El plan estratégico del Servicio y los objetivos estratégicos que ha definido se complementan entre sí.


Existe un proceso para revisar y actualizar periódicamente los planes estratégicos de todo el Servicio. El plan estratégico es revisado y aprobado por el Jefe de Servicio.


El plan estratégico del Servicio incluye TI o existe un plan estratégico separado de TI que trate las necesidades tecnológicas de la empresa para cumplir con su plan estratégico, eficaz y eficientemente.


Cada actividad o proceso que desarrolla el Servicio tiene definidos sus objetivos específicos como metas a lograr en plazos determinados ❏Sí ❏No


Los objetivos específicos de las actividades que desarrolla el Servicio (o procesos) son coherentes entre sí y con los objetivos estratégicos de la entidad ❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 16

Existen grupos o individuos responsables de anticipar e identificar cambios que pudieran tener un efecto significativo en el Servicio. Existen procesos para informar a niveles apropiados de la gerencia acerca de cambios con posibles efectos significativos en la entidad.

❏Sí ❏No


Para los objetivos específicos de cada actividad, se han definido los recursos que se requieren y/o los plazos necesarios para su concreción. ¿Existen formas de medir su logro? ❏Sí ❏No


Existe participación en la fijación de los objetivos específicos, los directivos de cada área o departamento tienen claros los objetivos y saben qué hacer para cumplirlos y qué fallos evitar para un adecuado logro de los objetivos


Comentarios:

Se hacen revisiones periódicas o existen otros procedimientos para que, entre otras cosas, se anticipen e identifiquen eventos o actividades rutinarios que puedan afectar la capacidad de la entidad para cumplir con sus objetivos y puedan ser tratados.


Comentarios:

Existen procedimientos para anticipar situaciones de cambio que puedan afectar el normal desenvolvimiento de la entidad. Estos procedimientos son formales, conocidos y aplicados por todos.

Descripción

Comentarios:

Existen mecanismos adecuados para identificar riesgos de fuentes externas. Se consideran criterios como fuentes de suministro, cambios tecnológicos, requerimientos de usuarios, condiciones económicas, condiciones políticas, normas aplicables, acontecimientos naturales, etc.

❏Sí ❏No


Existen mecanismos adecuados para identificar riesgos de fuente interna. Se consideran criterios como, recursos humanos, presupuesto, sistemas de información, diseño de los procesos, entre otros.


Comentarios:

Existe un mecanismo adecuado que identifique riesgos de negocios para el Servicio, incluyendo aquellos que resulten de:

- Infracción a las norma de probidad y transparencia; ❏Sí ❏No Descripción

Comentarios:

- Ofrecimiento de nuevos productos y servicios; ❏Sí ❏No Descripción

Comentarios:

- Cumplimiento de requerimientos de privacidad y protección de información, y ❏Sí ❏No Descripción

Comentarios:

- Otros cambios en el negocio, la economía y el entorno regulador. ❏Sí ❏No Descripción

Comentarios:


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 17

Realiza un grupo específico dentro de la empresa evaluaciones periódicas de riesgos, al menos en forma anual. Si la respuesta es sí, revisa la alta Gerencia las evaluaciones de riesgos y considera acciones para mitigar los riesgos significativos identificados.


La Dirección considera cuánto riesgo está dispuesto a aceptar cuando fija la orientación estratégica o la realización de nuevas actividades, y se esfuerza por mantener los riesgos bajo de esos niveles.


Comentarios:

Supervisa y monitorea el jefe de Servicio o Consejo Directivo el proceso de evaluación de riesgo y toma acciones para tratar los riesgos significativos identificados. ❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 18

4.3.- COMPONENTE DEL SISTEMA DE CONTROL INTERNO: ACTIVIDADES DE CONTROL

Las actividades de control consisten en las políticas y procedimientos que tienden a asegurar que las directrices de la Dirección sean cumplidas. También tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecución de los objetivos de la unidad. Existen políticas y procedimientos necesarios para controlar cada una de las actividades del Servicio, y ellos son aplicados en forma adecuada. Existe manuales, instrucciones o normas escritas acerca de cómo se deben desarrollar las diversas actividades y/o procesos del Servicio. ❏Sí ❏No


Tiene el Servicio manuales que abarque temas como contabilidad, presupuesto, compras y contrataciones, entre otros. ❏Sí ❏No


Los responsables de cada unidad diseñan controles relacionados con los planes y programas de la actividad que desarrollan. Asimismo, se diseñan políticas y controles para controlar que las actividades cumplan sus objetivos específicos.


Comentarios:

El servicio revisa sus políticas y procedimientos periódicamente para determinar si continúan siendo apropiados para ella. ❏Sí ❏No


Existen actividades de control que aseguren el cumplimiento de las políticas establecidas y la realización de acciones que traten los riesgos correspondientes ❏Sí ❏No


Hay documentación oportuna y apropiada para las transacciones. ❏Sí ❏No Descripción Comentarios:

Tienen los miembros de la Alta Dirección (Comité Directivo) responsabilidad sobre las políticas y los procedimientos. ❏Sí ❏No


La responsabilidad incluye asegurarse que las políticas y los procedimientos sean apropiadas para las actividades de la empresa. ❏Sí ❏No


Se han implementado medidas de control interno con la finalidad de combatir el fraude y la corrupción ❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 19

Los deberes son lógicamente divididos o segregados (manualmente o a través de la implementación de aplicaciones de tecnología de información apropiadas) entre diferentes personas para reducir el riesgo de fraude o de acciones que vulneren la legalidad vigente.

Hay una apropiada segregación de actividades incompatibles (por ejemplo: separación entre contabilización de activos y acceso a los mismos; la función de operaciones TI separada de los sistemas y de la programación; la función de administración de la base de datos separada de la programación de aplicaciones y de la programación de sistemas).

❏Sí ❏No


Son revisados los organigramas para asegurar que existe una segregación apropiada de deberes. ❏Sí ❏No


Se requieren aprobaciones apropiadas de parte de la Dirección antes de permitir acceso a un individuo a aplicaciones y bases de datos específicas. ❏Sí ❏No


Existe prohibición para que el personal de TI tenga responsabilidades o deberes incompatibles en los departamentos usuarios. ❏Sí ❏No


Hay procesos para revisar periódicamente (por ejemplo: trimestral, semestralmente) los privilegios del sistema y controles de acceso a las diferentes aplicaciones y bases de datos dentro de la infraestructura de TI para determinar si los privilegios del sistema y accesos de control son apropiados.

❏Sí ❏No


Se realizan comparaciones periódicas de montos registrados en el sistema de información con activos físicos. Existen adecuados resguardos para prevenir acceso no autorizado o la destrucción de documentos, registros y activos.

Se ha definido por el Servicio un sistema de control interno contable, coherente, transparente y documentado, que permite que la información contable sea analizada por distintos niveles operativos.


Comentarios:

El sistema de control contable permite localizar y analizar transacciones atípicas y detectar operaciones no registradas ❏Sí ❏No


Ha establecido la Dirección procedimientos para conciliar periódicamente activos físicos (por ejemplo: efectivo, cuentas por cobrar, inventarios, activo fijo) con los registros relacionados. ❏Sí ❏No


Ha establecido la Dirección procedimientos para prevenir acceso no autorizado a, o la destrucción de: documentos, registros (incluyendo programas de computación y archivos de datos) y activos.

❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 20

Está restringido el acceso de procesamiento de datos a los activos que no son de procesamiento de datos (por ejemplo, cheques en blanco). ❏Sí ❏No


Se han establecido políticas para controlar el acceso a programas y archivos de datos. Se usa software de seguridad de acceso, software de sistema operativo, y/o software de aplicaciones para controlar el acceso a programas de datos. Existe una función de seguridad de información y es responsable de monitorear el cumplimiento de las políticas y procedimientos de seguridad de información.

Son usados el software de seguridad de acceso, software de sistemas operativos, y software de aplicaciones para controlar ambos accesos centralizados y descentralizados a:

- Información y datos. ❏Sí ❏No Descripción

Comentarios: - Capacidad funcional de programas (por ejemplo, ejecutar, actualizar, modificar parámetros, solamente leer). ❏Sí ❏No

Es razonable la seguridad física sobre los activos de tecnología de información (tanto el departamento TI y usuarios), dada la naturaleza del negocio de la empresa. ❏Sí ❏No


La información electrónica crítica es respaldada diariamente y guardada fuera de las instalaciones.


Comentarios:

Existen controles para acceso por teléfono a los recursos de computación de la empresa (por ejemplo firewalls; directorios centralizados para guardar y manejar identidades de usuarios y privilegios de recursos; solicitud, aprobación y proceso de cumplimiento para acceso a la empresa automatizado, basado en su política).

❏Sí ❏No


Hay una función dedicada de ejecutivo encargado de seguridad que monitorea las actividades de procesamiento de TI y existen informes periódicos para la Dirección sobre el estado actual de la seguridad de TI en la empresa.


Comentarios:

Existen sistemas para monitorear y responder a interrupciones potenciales del negocio debido a incidentes de intrusión maliciosa, así como para actualizar los protocolos de seguridad para prevenirlos.


Comentarios:

Son las violaciones de seguridad y otros incidentes automáticamente registrados y revisados. ❏Sí ❏No


Realiza la entidad revisiones /auditorías periódicas de la seguridad de TI. Si la respuesta es afirmativa, son los resultados de esta revisión/auditoría reportados a la Dirección. ❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 21

4.4.- COMPONENTE DEL SISTEMA DE CONTROL INTERNO: INFORMACIÓN Y COMUNICACIÓN Los sistemas de información y comunicación contribuyen a la identificación, captura e intercambio de información relevante en una oportunidad y de un modo que permiten a la dirección y a otro personal apropiado, cumplir con sus responsabilidades. INFORMACIÓN

Los sistemas de información proveen a la Dirección de los reportes necesarios sobre el desempeño de la entidad en relación a los objetivos establecidos, incluyendo información interna y externa relevante, y proporcionan la información a las personas apropiadas con el detalle necesario y a tiempo, para permitirles cumplir con sus responsabilidades eficaz y eficientemente.

Es el Servicio capaz de preparar informes exactos y oportunos, incluyendo informes interinos. ❏Sí ❏No


Existen mecanismos para conseguir información externa e interna necesaria para cumplir los objetivos de la entidad ❏Sí ❏No


Se identifica y se presenta con regularidad la información generada en el Servicio, que es importante para el logro de sus objetivos incluyendo la relacionada con factores críticos de éxito


Comentarios:

Se suministra a los directivos y jefes de departamento la información necesaria para cumplir con sus responsabilidades ❏Sí ❏No


Se suministra información pertinente a los funcionarios adecuados con el detalle suficiente y en el momento oportuno para permitirle cumplir con sus obligaciones en forma eficiente y eficaz


Comentarios:

Son definidos y medibles los objetivos estratégicos de la Dirección en términos de presupuestos, logros y otros criterios. ❏Sí ❏No


Son los resultados reales medidos en relación con esos objetivos. ❏Sí ❏No Descripción Comentarios:

Hay un alto nivel de satisfacción de los usuarios con el procesamiento de los sistemas de información, incluyendo aspectos como confiabilidad y oportunidad de los informes. ❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 22

Hay un nivel suficiente de coordinación entre las funciones/departamentos de contabilidad y procesamiento de sistemas de información.


Los sistemas de información son desarrollados o revisados sobre la base del plan estratégico (relacionado a su vez con los sistemas de información generales de la empresa), y responden al logro de los objetivos a nivel de entidad y a nivel de procesos/aplicaciones Existen políticas apropiadas para desarrollar y modificar los sistemas de información del Servicio (incluyendo cambios y uso de programas de computación y/o archivos de computación).


Comentarios:

Son los esfuerzos de la Dirección para desarrollar o revisar los sistemas de información congruentes con sus planes estratégicos.


Existen aplicaciones o transacciones importantes que sean ejecutadas/ procesadas por organizaciones que prestan servicios. Si la respuesta es sí, tiene la dirección documentados los controles relevantes asociados a la organización de servicios, la empresa o ambos, que mitiguen el riesgo de error.

❏Sí ❏No


Hay políticas para la supervisión periódica de los controles de la entidad y se toman acciones apropiadas para mitigar el potencial de nuevos riesgos. ❏Sí ❏No


El Servicio destina los recursos humanos y financieros apropiados para desarrollar los sistemas de información necesarios, y asegura y supervisa a los usuarios que participan en el desarrollo (incluyendo revisiones) y prueba de los programas

Participa la Dirección y/o Comité Directivo en los proyectos de monitoreo de los sistemas de información y de priorización de recursos. ❏Sí ❏No


Refleja claramente el organigrama de TI las áreas de responsabilidad y las líneas de reporte y comunicación. ❏Sí ❏No


Existen responsabilidades definidas para los responsables de implantar, documentar, probar y aprobar cambios en los programas de computación que son comprados, o desarrollados por el personal de sistemas de información o por los usuarios.


Comentarios:

Son bien controladas las conversiones de los sistemas. Son completadas de acuerdo a procedimientos o planes escritos. ❏Sí ❏No


Existe un alto grado de cooperación e interacción entre los usuarios y el departamento de TI. ❏Sí ❏No Descripción

Comentarios:


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 23

Existen procedimientos adecuados para asegurar el monitoreo continuo por parte del departamento de TI de la satisfacción de los usuarios con el procesamiento y con sus políticas para el desarrollo, modificación y uso de los programas y los archivos de datos.


Comentarios:

La Dirección ha establecido un plan de continuidad del negocio/ recuperación de desastres para todos los centros primarios de información

Son replicados (backed up) regularmente los programas de aplicación y los archivos. ❏Sí ❏No Descripción Comentarios:

Existe un plan actual de recuperación de desastres para componentes importantes de la infraestructura de TI. ❏Sí ❏No


Hay un plan de continuidad de negocios que incorpore el plan de recuperación de desastres y las necesidades de los departamentos usuarios para recuperar oportunamente las funciones críticas, los sistemas, procesos e información del negocio.


Comentarios:

Son los planes de recuperación de desastres y continuidad de negocios probados periódicamente (al menos una vez al año). ❏Sí ❏No


Son los planes de recuperación de desastres y continuidad de negocios actualizados de acuerdo a cambios en las condiciones. ❏Sí ❏No


COMUNICACIÓN

La Dirección comunica los deberes y responsabilidades de control de los empleados en una manera eficaz, y ha establecido canales de comunicación para que se reporten situaciones que se sospeche son impropias

Existen vías y canales de comunicación en el Servicio definidas formal o informalmente ❏Sí ❏No Descripción

Comentarios:

Son claramente definidas y comunicadas las líneas de autoridad y responsabilidad (incluyendo líneas de reportes) dentro de la empresa. ❏Sí ❏No


Existen descripciones de funciones por escrito y manuales de referencia que describen las responsabilidades del personal. ❏Sí ❏No


Son las políticas y procedimientos establecidos y comunicados al personal en las localidades descentralizadas. ❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 24

Hay adiestramiento/orientación para los nuevos empleados, y para quienes comienzan en una nueva posición, discutiéndose la naturaleza y alcance de sus deberes y responsabilidades. El adiestramiento/orientación incluye una discusión de controles internos específicos de los cuales son responsables.

❏Sí ❏No


Hay un proceso para que los empleados comuniquen situaciones impropias. ❏Sí ❏No Descripción Comentarios:

- En caso que lo haya, es el proceso bien comunicado a toda la empresa. ❏Sí ❏No Descripción Comentarios:

- El proceso permite guardar la identidad de quienes reportan posibles situaciones impropias.


- Existe un proceso para reportar situaciones impropias, y acciones tomadas para tratarlas, a la alta Dirección, Comité Directivo u otro.


- Son revisadas, investigadas y resueltas oportunamente todas las posibles situaciones impropias reportadas. ❏Sí ❏No


Existe una adecuada comunicación a través de la organización que permita a las personas cumplir con su responsabilidad eficazmente y la Dirección toma acciones de seguimiento oportuno y apropiadamente sobre las comunicaciones recibidas de clientes, proveedores, reguladores u otras partes externas

Creen los empleados que tienen información adecuada para cumplir con las responsabilidades de su trabajo. ❏Sí ❏No


Hay un proceso para comunicar rápidamente la información crítica a toda la entidad cuando sea necesario. ❏Sí ❏No


Hay un proceso para recopilar la información de los clientes, proveedores, reguladores y otras partes externas. ❏Sí ❏No


Se asigna responsabilidad a un miembro de la Dirección para ayudar a asegurarse que el Servicio responda apropiada, oportuna y correctamente a las comunicaciones de los clientes, proveedores, reguladores y otras partes externas.


Comentarios:

Apertura y eficacia de canales de comunicación con proveedores, usuarios y otras terceras partes Existen mecanismos de información con todos los terceros interesados (usuarios, clientes, proveedores, etc.) ❏Sí ❏No


Existen organizadas OIRS y funcionan adecuadamente con procedimientos y políticas de ❏Sí ❏No Descripción


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 25

atención y respuesta, utilizando y respetando la Ley de Procedimiento Administrativo. Comentarios: Se mantienen los registros, documentos y se cumplen los plazos que define la Ley de Procedimiento Administrativo. ❏Sí ❏No


Se han tomado las acciones necesarias para la protección de datos personales de los terceros que se relacionan con el Servicio, respetando las normas de la Ley 19628, sobre protección de la vida privada o protección de datos de carácter personal.


Comentarios:

Se han tomado las acciones necesarias para cumplir con la normativa de transparencia del Estado, en cuanto acceso a la información de la actividad del Servicio a los interesados, considerando la Ley de Transparencia y las Recomendaciones del Consejo de la Transparencia al efecto.

❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 26

4.5.- COMPONENTE DEL SISTEMA DE CONTROL INTERNO: MONITOREO

Monitoreo es un proceso que evalúa la calidad de desempeño del control interno a través del tiempo en forma continua. Dicha evaluación tomará la forma de actividades de supervisión continuada, de evaluaciones periódicas o una combinación de las anteriores. Las deficiencias en el sistema de control interno y los asuntos de importancia serán comunicados deberán ser puestas en conocimiento de la Dirección. Se realizan evaluaciones periódicas del control interno y el personal, mientras realiza sus deberes regulares, obtiene evidencia de que el sistema de control interno sigue funcionando

Existen procedimientos para que la Dirección revise los procesos de control para asegurarse que se aplican los controles de la forma esperada. ❏Sí ❏No


Existen procedimientos para monitorear cuándo los controles son omitidos y para determinar si la omisión fue apropiada. ❏Sí ❏No


Existen políticas/procedimientos para asegurar que se toman acciones correctivas de forma oportuna cuando ocurren excepciones al nivel de los controles. ❏Sí ❏No


Existen adecuados protocolos de monitoreo e investigación de hechos relacionados con temas de probidad y transparencia. ❏Sí ❏No


La Dirección implementa las recomendaciones de control interno de los auditores internos e independientes, corrige las deficiencias conocidas en forma oportuna, y responde apropiadamente a los informes y las recomendaciones de los auditores y/o reguladores Toma la Dirección acciones adecuadas y oportunas para corregir deficiencias reportadas por la función de auditoría interna. ❏Sí ❏No


Responde la Dirección en forma oportuna y apropiada a las observaciones de los auditores independientes y a sus recomendaciones en relación al control interno, políticas y procedimientos de la empresa.


Comentarios:

Se cuenta con una estructura de reporte adecuada para informar sobre hechos relacionados con incumplimientos a las normas de probidad y transparencia. ❏Sí ❏No


Recibe el Servicio los hallazgos y recomendaciones de la Contraloría General y/u otro entes reguladores y entrega respuestas y trata los hallazgos adecuada y oportunamente. ❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 27

Existen canales de denuncia apropiados y los correspondientes procedimientos de revisión de casos detectados relativos al incumplimiento de las normas de probidad y transparencia. ❏Sí ❏No


La actividad de auditoría interna asiste a la organización en sus actividades de monitoreo

Es adecuado el nivel de personal, adiestramiento y habilidades especializadas dado el entorno (por ejemplo, el uso de auditores de sistemas con experiencia y capacitación en ambientes altamente automatizados y complejos).


Comentarios:

Es independiente la función de auditoría interna (en términos de autoridad y relaciones de reporte) de las actividades que se auditan. ❏Sí ❏No


Se prohíbe a los auditores internos tener responsabilidades operativas que tengan conflictos con su función de monitoreo. ❏Sí ❏No


Los auditores internos tienen acceso directo al Jefe de Servicio y al Comité Directivo. ❏Sí ❏No Descripción Comentarios:

Se adhiere la función de auditoría interna a las normas profesionales, tales como las normas emitidas por el Consejo de Auditoría Interna General de Gobierno ❏Sí ❏No


Ha habido una reciente revisión de calidad de la función de auditoría interna por terceros independientes, debidamente calificados. ❏Sí ❏No


Es apropiado el alcance de las actividades de auditoría interna dada la naturaleza, el tamaño y la estructura del Servicio. ❏Sí ❏No


El alcance de las actividades planificadas de auditoría interna es revisado en forma anticipada con:

- La Dirección. ❏Sí ❏No


- El Comité Directivo. ❏Sí ❏No - El Consejo de Auditoría Interna General de Gobierno. ❏Sí ❏No

Desarrolla el departamento de auditoría interna un plan anual que considera el riesgo en la asignación de recursos. ❏Sí ❏No


Tienen los auditores internos autoridad para examinar cualquier aspecto de las operaciones de la entidad. Esta considerada esta facultad en los estatutos de Auditoria Interna. ❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 28

Son reportados los resultados de las actividades de la auditoría interna a:


- La Alta Dirección. ❏Sí ❏No - El Comité Directivo. ❏Sí ❏No - El Consejo de Auditoría Interna General de Gobierno ❏Sí ❏No

Supervisión del cumplimiento por parte del personal de las normas de conducta que deben cumplir los funcionarios y empleados del sector público

Se requiere periódicamente al personal, el cumplimiento de las normas de probidad administrativa y de conducta que deben observar los empleados públicos ❏Sí ❏No


Se monitorea que los funcionarios no hayan transgredido la normativa de probidad o, en caso contrario, que hayan sido sancionados de acuerdo a la norma y su sanción haya sido difundida al interior del Servicio

❏Sí ❏No


Las deficiencias en el comportamiento de los funcionarios han sido puestas en conocimiento de las autoridades correspondientes dentro del Servicio y se han adoptado medidas adecuadas para su superación.

❏Sí ❏No



_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 29

5.- PRODUCTOS SOLICITADOS 5.1.- INFORME DE AUDITORÍA Durante el año 2012, se deberá ejecutar esta evaluación del Sistema de Control Interna a través de la aplicación de los cuestionarios que en esta Guía se entregan. El informe deberá contener la revisión y examen a los temas ya señalados abarcando la situación del Servicio hasta el 30.08.2012 y considerará la evaluación de todos los riesgos definidos para todos los ámbitos contenidos en este documento. Para la evaluación deberá utilizarse el criterio del auditor y considerarse la naturaleza y características del Servicio. Asimismo, deberá practicarse, cuando corresponda, un seguimiento a las observaciones formuladas durante el año 2011, con el propósito de identificar el nivel de implementación de las acciones de mejora y su eficacia para superar las debilidades identificadas. Los resultados de este examen y análisis deberán ser remitidos en formato Excel al Consejo de Auditoría, a más tardar el 16.11.2012, aplicando la plantilla que se presenta a continuación. Se requiere especial observancia respecto del uso de esta plantilla, ya que facilita la consolidación y posterior análisis de la información remitida por los diferentes Servicios. Adicionalmente al informe de esta auditoría, ya que se va a hacer una revisión sobre todo el sistema de control interno, se deberá considerar el seguimiento de los hallazgos detectados el año 2011, cuando se evaluaron los elementos de control interno, ambiente de control y actividades de control, dando cuenta de la implementación de los compromisos definidos en esa oportunidad, utilizando para ello el formato de informe de seguimiento que se acompaña en la letra b). Ambos informes deben remitirse en la misma fecha, esto es, al 16 de noviembre de 2012. a.- Formato para Informe de Auditoría: El informe de auditoría sobre la evaluación del sistema de control interno debe presentarse en el formato que se indica a continuación. La evaluación de la criticidad del hallazgo, deberá hacerse en base a las instrucciones contenidas en la Guía Técnica N° 25/2012.


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 30


_______________________________________________________________________________________________________________________________

_______________________________________________________________________________________________________________________________ 31

b.- Formato para Informe de Seguimiento:

guía técnica n°57 2012 evaluación integral de los sistemas de control interno institucionales

Documents