MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA MANUAL PROCEDIMIENTOS PLANIFICACIÓN ESTRATÉGICA OFICIALIZADO AI-1344-07 ACTUALIZADO, REVISADO Y APROBADO PRESENTADO TALLER 06 NOVIEMBRE 2007 SAN JOSE, DIC-2007 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 PRESENTACION A la Auditoría Interna le compete la fiscalización del Ministerio de Gobernación y Policía y sus dependencias: Migración y Extranjería, Dirección Nacional de Desarrollo para la Comunidad, Control de Propaganda, Control Nacional de Radio y la Administración Central Dicha labor debe ser realizada de conformidad con La Ley de Control Interno, los manuales, directrices, disposiciones y pronunciamientos emitidos por la Contraloría General de la República, como ente de Fiscalización Superior. De acuerdo con el Manual de Normas para el Ejercicio de la Auditoría Interna en el Sector Público, el trabajo de la auditoría interna se debe planificar en tres niveles. Planificación estratégica. Planificación anual Planificación del trabajo El presente manual comprende los procedimientos generales para llevar a cabo el proceso de planificación estratégica y el Plan Anual, fundamentados en la valorización del riesgo, con el objeto de optimizar el uso de los recursos disponibles y darle una adecuada cobertura a su gestión para generar un valor agregado al Ministerio de Gobernación y Policía en procesos de dirección, control y administración del riesgo, como lo demanda el bloque de legalidad existente al respecto. Todo el proceso de Planificación, desde la elaboración del Plan Estratégico hasta la elaboración del Plan Anual se establecen en este Manual en los siguientes cuatro capítulos: Capítulo No. 1: Capítulo No. 2: Capítulo No. 3: Capítulo No. 4: Capítulo No. 5: Procedimientos para la Planificación Estratégica Modelo Fiscalización con base en el riesgo Modelo Valorización del Riesgo para la Planificación de la Auditoría Procedimientos para la elaboración del Plan Anual. Disposiciones Finales 2 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 CAPITULO l PROCEDIMIENTO PLANIFICACIÓN ESTRATÉGICA 1. OBJETIVO: Establecer los procedimientos generales para llevar a cabo el proceso de planificación estratégica, como parte de la planificación de la actividad de auditoría en general, cuya finalidad es generar un valor agregado al Ministerio de Gobernación y Policía en procesos de dirección, control y administración del riesgo y que los sistemas de control interno contribuyan a que la administración de los fondos públicos, se efectúe de manera eficiente, eficaz, legal, técnica y económicamente, generando información confiable para la toma de decisiones. 2. ALCANCE: Incluye las actividades a desarrollar por esta Unidad de Fiscalización, para llevar a cabo la planificación estratégica; la cual se orienta a largo plazo, en períodos de 5 años, planteándola anualmente para su ejecución, en la que se establece lo que se hará en cada estudio o actividad de auditoría para cada año. La planeación estratégica de la Auditoría Interna nace en un afán de responder de manera flexible, espontánea, dinámica, y práctica, a los retos del Ministerio de Gobernación y Policía, para atender la administración de los recursos públicos, la evolución en la gestión administrativa, los avances tecnológicos y la demanda de la Sociedad hacia los administradores públicos, con el objetivo de brindar sus servicios adecuadamente. 3. ABREVIATURAS Y DEFINICIONES Amenazas: Cualquier elemento que pueda poner en peligro la relación que se tiene con el usuario, el servicio que se le presta, obstaculice el cumplimiento de objetivos o que, de cualquier otra manera, conspire contra el buen desempeño de la Institución, por ejemplo, un acelerado desarrollo tecnológico, sin los adecuados controles; realización de operaciones sin controles apropiados, cambios en la conducta de los individuos, restricciones gubernamentales, otras complicaciones del entorno. Análisis FODA: Consiste en identificar a lo interno de la auditoría las fortalezas y debilidades, oportunidades y amenazas, en relación con el medio en el que se desenvuelve, con el propósito de obtener un marco de referencia para el cumplimiento de objetivos. Acciones estratégicas: El FODA y las ventajas competitivas originan la formulación de acciones estratégicas para mejorar la probabilidad de supervivencia a largo plazo, fortalecer la posición competitiva, satisfacer más plenamente al usuario, las que pueden tener varios objetivos: aprovechar oportunidades, defenderse de amenazas, subsanar debilidades y aprovechar fortalezas. AI: Auditoría Interna del Ministerio de Gobernación y Policía. Debilidades: Rasgos, caracteres o elementos que obstaculizan y dificultan el desempeño de la empresa como controles escasos, equipo obsoleto, empleados desmotivados, imagen débil, poco alcance geográfico. 3 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Elementos internos: Las instituciones tienen unos rasgos internos que las ayudan y otros que las obstaculizan para desarrollar sus acciones y cumplir sus objetivos. Factores Críticos del éxito: Son condiciones que el entorno exige para el éxito de la estrategia. Rasgos que debe tener la Entidad que son indispensables para tener éxito, como el hecho de que si una empresa está en el negocio de fabricación, el entorno le exige tener un alto conocimiento de la Ingeniería Industrial para tener éxito. Una Auditoría en la Administración pública necesita tener, además de un juicio profesional maduro, amplios conocimientos en distintas disciplinas y en el campo operativo específico de la Organización, que le permitan realizar una evaluación adecuada de todos los procesos institucionales. Fortalezas: Capacidades internas que ayudan al Ministerio a llevar adelante sus planes de acción y cumplir su misión, como por ejemplo, una adecuada estructura, equipo de trabajo capacitado y tecnología actualizada. Misión: Es la razón de ser de una organización, define el beneficio que pretende dar, delimita la competencia y responsabilidad y su campo de especialización. Objetivos estratégicos: Indican la situación o estado que se desea alcanzar en el mediano plazo. Su logro tiene un gran impacto sobre la entidad ya que implica mejorar y avanzar hacia lo que se desea llegar a ser. Estos deben expresarse con claridad, ser realistas, sensatos, razonables, traducibles a acciones concretas y mensurables. Oportunidades: Elementos del entorno, que si se utilizan aumentan la capacidad de la institución para satisfacer mejor su misión, para sobrevivir, para disminuir el riesgo. Plan Anual: Plan de trabajo para un año, en el que se detallan las actividades y estudios que se van a llevar a cabo en dicho lapso, la justificación, el objetivo, el periodo de ejecución, los responsables y los recursos, con el objetivo de optimizar el uso de los recursos disponibles y lograr una adecuada cobertura del universo fiscalizable. Plan Estratégico: Documento con el planteamiento de las acciones que le competen a la Auditoría realizar, distribuido dentro de un horizonte de tiempo definido. Plan Nacional de Desarrollo (PND): Expone las orientaciones fundamentales del Gobierno de la República y establece las políticas que normarán la acción de gobierno para promover el desarrollo del país y la mejora en la calidad de vida de la población. Establece de forma vinculante para los ministerios e instituciones del Estado las prioridades, objetivos y estrategias derivados de esas políticas que han sido fijadas por el Gobierno de la República. Planificación Estratégica: Proceso que permite a la Auditoría Interna establecer su misión, visión, valores y demás ideas rectoras, así como definir sus propósitos y elegir las estrategias para la consecución de sus objetivos, a efecto de satisfacer las necesidades a las cuales se orientan sus servicios. PR: Procedimiento, secuencia de acciones en que se llevarán a cabo las etapas de los distintos procesos de la Auditoría. 4 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Visión: Señalamiento del estado futuro de algo, pretensiones que se quieren obtener. 4. RESPONSABILIDAD: 4.1. El Auditor Interno definirá, pondrá en práctica y liderará el proceso de planificación estratégica de la auditoría interna, el cual culminará con la formulación de un documento formal que deberá ser del conocimiento del señor Ministro de Gobernación y Policía. Participan en este proceso el Auditor y Subauditor Internos, personal que ocupa los puestos de coordinadores de equipo y otros designados, quienes deben dar sus aportes para el fortalecimiento y ejecución de este proceso. 4.2. Es responsabilidad del Auditor y Subauditor Internos, la revisión y actualización periódica de este procedimiento, considerando las aportaciones que suministren los funcionarios de Auditoría Interna. 5. DIRECTRICES 5.1. El plan estratégico debe formularse en términos comprensibles para todos los niveles de la Auditoría Interna, lo que asegure su implementación exitosa. 5.2. El Auditor Interno remitirá el plan estratégico, al señor Ministro de Gobernación, para su conocimiento, en la segunda quincena del mes de noviembre. 6. DESCRIPCIÓN DEL PROCEDIMIENTO El proceso de planificación estratégica comprende las siguientes actividades: 6.1 Definir los objetivos estratégicos y valores fundamentales de la auditoría interna, así como, los factores claves para alcanzarlos dentro del marco estratégico institucional. 6.2 Realizar y mantener actualizado un análisis FODA, que junto a la evaluación de los riesgos a que está sujeta la Auditoría Interna, permita identificar oportunidades de crecimiento, factores de riesgo e instaurar las actividades para solventarlos. 6.3. Definir el universo auditable y fijar criterios y herramientas, con las cuales se pueda determinar, priorizar y abarcar los temas de mayor riesgo, de acuerdo con los recursos disponibles (ciclos de fiscalización). Para esto se desarrolla anualmente: La actualización del Universo Fiscalizable conforme la información disponible La aplicación del Modelo de Fiscalización con Base en Riesgo. A cada coordinador de equipo de trabajo, le compete efectuar y presentar los dos aspectos anteriores para el área que le corresponde y la posterior integración de la Planificación Estratégica Total. 5 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 6.4 Determinar los asuntos que formarán parte de la planificación estratégica y de la operativa (corto plazo), con la correspondiente priorización de las unidades auditables; mediante la aplicación, en la primera semana del mes de noviembre de las siguientes herramientas: Modelo de Fiscalización con Base en Riesgo. Modelo de Riesgo para la Planificación de la Auditoría Interna. El plan estratégico comprenderá objetivos y actividades relacionadas con los siguientes aspectos: Brindar un servicio de asesoría oportuna que agregue valor y coadyuve con la administración del riesgo, los procesos de dirección y el control. Capacitación y formación del recurso humano, Programa de aseguramiento de la calidad. (Norma 1.4 del Manual para el ejercicio de la auditoría interna en el Sector Público (MEAISP) Administración de los recursos asignados a la Auditoría Interna. 6.5. Determinar los factores claves para cumplir la planificación. 6.6. Evaluar los resultados de la planificación de conformidad con los indicadores de gestión previamente definidos. 6.7. Definir metas y responsables y la forma de como se van a tratar las desviaciones significativas, entre lo planeado y lo realizado. Anualmente, se realizará una evaluación del cumplimiento de objetivos y metas, realizando los ajustes correspondientes en la planeación estratégica, si fuera necesario. 6.8. Mantener un archivo permanente actualizado, en forma impresa, digital u otro medio electrónico, con la documentación del Ministerio de Gobernación, el ordenamiento jurídico y técnico que rige los órganos sujetos a su fiscalización, resultados de auditorías y estudios especiales, instrucciones emitidas por el jerarca y titulares subordinados, cumplimiento efectivo de recomendaciones, la información relacionada con solicitudes de fiscalización del jerarca, de órganos de control competentes y denuncias, entre otros. 6.9 Conocer los siguientes elementos de nivel institucional: Los resultados del sistema institucional de valoración del riesgo. La autoevaluación anual de control interno. El planeamiento estratégico y operativo del Ministerio de Gobernación. La evaluación de resultados de la planificación institucional de períodos anteriores, de conformidad con los indicadores de gestión. Implantación efectiva de las recomendaciones de la Auditoría Interna, disposiciones del Órgano Contralor y otros de fiscalización y control. Para tales efectos, en la labor de planificación de la Auditoría Interna, se consultará en el archivo permanente la información relacionada con la Planificación Institucional, la 6 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 autoevaluación anual de control interno, la Comisión de Coordinación del Sistema Específico de Valoración de Riesgos del Ministerio, así como información relacionada recibida del Despacho, para identificar la suficiencia y pertinencia de información sobre esos aspectos y determinar si se requiere información adicional del señor Ministro, de directores de dependencias u otros. 6.10 El proceso de Planificación Estratégica, culminará el 30 de noviembre con un documento titulado Plan Estratégico de la Auditoría Interna, cuya base principal será una matriz con la estructura; columnas de: nivel fiscalizable, área o unidad auditable, nivel de riesgo dado u obtenido por la administración, distribución peso riesgo %, calificación riesgo obtenida por Auditoría, Áreas vistas, proyección de estudios en los cinco años establecidos, restringido el primer año a la capacidad instalada de la Auditoría y el resto dividiéndolo en forma equitativa entre los otros cuatro años, siguiendo el orden de los de mayor calificación de riesgo en el año siguiente (Por ejemplo, si se tienen que cubrir 22 estudios (riesgo alto, medio alto y medio) y sólo se pueden hacer 2 en el primer año, los veinte restantes se dividen entre 4, dando 5 por cada año; ubicando los primeros 5 con calificaciones más altas en el segundo año, los otros 5 en el tercero, los otros 5 en el cuarto y los últimos en el año 5), finalizando la matriz con la totalización de estudios por área y las notas que correspondan, todo conforme se muestra en el Anexo No. 1 y los criterios que se varíen cada año. Antecediendo a la matriz descrita en el párrafo anterior, se deberán incorporar los siguientes apartados: Presentación Introducción Marco estratégico institucional Misión y Visión del Ministerio Relación Institucional con el Plan Nacional de Desarrollo (PND), Objetivos y Políticas Ámbito de acción de la Auditoría Interna Base legal Misión y Visión de la Auditoría Valores y slogan Características y compromisos del equipo de trabajo Estructura Análisis FODA: -fortalezas –debilidades – oportunidades - amenazas Factores de riego inherentes a la función. Objetivos Estratégicos Factores críticos de éxito Valoración de riesgo para la planificación Ciclo de fiscalización Políticas generales Documentos de referencia Matriz de planificación estratégica como se indica en el adjunto 1 citado 6.11 En cuanto a las fechas máximas que deben cumplirse para llevar a cabo las diferentes acciones y actividades referentes a la planeación de la Auditoría y a los procedimientos de rendición de cuentas y de control presupuestario, se deberá consultar el Anexo No. 2. 7 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 6.12 Documentos de consulta a considerar: Directrices y procedimientos sobre política presupuestaria, salarial, empleo y clasificación de puestos de la Autoridad Presupuestaria para un periodo determinado. Directrices Técnicas y Metodológicas para la Formulación del PAO-Presupuesto para el periodo correspondiente. Proyecto de Ley de Presupuesto de La Republica del periodo a planificar. Ley No.8131 “Ley Administración Financiera de la República y Presupuestos Públicos. Plan Nacional de Desarrollo del periodo correspondiente, a disposición en el Sitio Web de MIDEPLAN. 7. NORMATIVA Y DOCUMENTOS RELACIONADOS: Entre la normativa y documentos relacionados con la planificación estratégica están: Ley General de Control Interno No.8292, publicada en La Gaceta No.169, del 04 de setiembre del 2002. Manual de Normas Generales de Control Interno para La Contraloría General de la República y las Entidades y Órganos sujetos a su Fiscalización, M-1-2002-CO-DDCI, publicado en la Gaceta N° 107 del 05 de Junio Del 2002. Normas técnicas para la gestión y el control de las Tecnologías de Información, R-CO-262007, publicadas en la Gaceta Nº 119 del 21 de junio del 2007. Manual de Normas para el Ejercicio de la Auditoría Interna en el Sector Público, M-1-2004CO-DDI, emitido por la Contraloría General de la República, publicado en la Gaceta N° 246, del 16 de diciembre del 2004. Norma 2.1.1.1 Planificación estratégica. Manual de Normas Generales de Auditoría para el Sector Público, R-CO-94-2006, publicadas en la Gaceta Nº 236, del 08 de diciembre del 2006. Procedimiento de formulación del Plan de Auditoría Anual. Modelo de fiscalización con base en riesgo. Modelo de valoración del Riesgo para la Planificación de Auditoría. 8 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 CAPITULO ll MODELO DE FISCALIZACIÓN CON BASE EN RIESGO 1. OBJETIVO Priorizar las unidades que deben ser auditadas, según los asuntos de mayor riesgo institucional y los recursos disponibles, para mantener una cobertura adecuada y sistemática, en el corto, mediano y largo plazo, con un ciclo de fiscalización de tres años. 2. ALCANCE Aplicarse como parte de las actividades del Proceso de Planificación Estratégica de la Auditoría Interna. 3. ABREVIATURAS Y DEFINICIONES AI: Auditoría Interna Área Funcional: Partes en las se ha dividido el Ministerio, primer nivel del Universo Auditable . Criterio de riesgo: Conjunto de factores de riesgo utilizados para juzgar una unidad o actividad objeto de auditoría, dentro de una categoría de riesgo determinada. Escala de riesgo: Sucesión de categorías dentro del valor de riesgo asignado a cada factor, según la importancia mayor o menor, en relación con el riesgo. Estrategia de auditoría: Prioridad y periodicidad con que se va a auditar cada una de las unidades, procesos o actividades, considerando las valoraciones de riesgo de: Riesgo bajo Riesgo medio bajo Riesgo medio Riesgo medio alto Riesgo alto. Factor de riesgo: Elemento que podría incidir en la probabilidad de que condiciones o eventos ocurran y afecten negativamente a la organización. PE: Planificación Estratégica del Proceso de Gestión de la AI PG: Proceso de Gestión de la AI. PR: Procedimiento Riesgo: Probabilidad de que un evento, hecho o acción afecte adversamente el cumplimiento de los objetivos de la organización o tenga una repercusión negativa a sus intereses. También se refiere a aquel evento que pueda afectar positivamente los objetivos. Unidad Auditable: Cualquier unidad administrativa, dirección, departamento, proyecto, proceso, actividad, operaciones o transacciones, sujeto de auditar en el Ministerio, conforme a lo establecido en el artículo 22 de la Ley No.8292-Ley General de Control Interno. 9 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Unidad fiscalizable: Unidad auditable del nivel 2 del universo fiscalizable del Ministerio, que puede ser una Dirección, proyecto o actividad, según la estructura organizativa de la dependencia a la que pertenezca. Universo fiscalizable: La totalidad de unidades auditables del Ministerio, que en el caso del Ministerio se ha dividido en tres niveles: nivel 1, áreas funcionales (Migración, DINADECO, Administración Central y Área de Tecnología de la Información); nivel 2, unidades fiscalizables (Direcciones, Departamentos, procesos u oficinas) y nivel 3, unidades auditables (cualquier unidad o actividad administrativa, financiera u operativa del Ministerio). Valor de riesgo: Valoración que se le asigna a los factores de riesgo, según su importancia relativa en la unidad auditable a evaluar. 4. RESPONSABILIDAD El cumplimiento de este instrumento en el proceso de planificación estratégica es responsabilidad de: Auditor Interno, Subauditor Interno, Coordinadores de Área (Migración, DINADECO, Administración Central, Tecnología de Información) y cualquier otro funcionario designado. 5. DIRECTRICES Este procedimiento debe revisarse y actualizarse cada año, previamente a la preparación del Plan Anual de Auditoría, para incorporarle los elementos identificados en los estudios de auditoría realizados en el año recién pasado y se pueda priorizar las acciones a corto, mediano y largo plazo. 6. DESCRIPCIÓN DEL MODELO Este Procedimiento, se define como un instrumento de planificación cuyo objetivo es impulsar la gestión de la AI al cumplimiento de su Misión-Visión y a la administración eficiente y eficaz de los recursos que le son asignados, al considerar en la frecuencia y prioridad de los estudios, la importancia relativa de la actividad en el ámbito institucional y el grado de riesgo inmerso en la dirección; permitiendo dirigir los servicios preventivos y de auditoría en aquellas áreas que requieren mayor atención. 6.1 Distribución porcentual del riesgo entre el Universo Fiscalizable Para efectos prácticos, se ha identificado en el Ministerio 3 áreas funcionales y una de Tecnología de Información, con sus respectivas unidades fiscalizables y unidades auditables, este último nivel, sujeto a la disposición de información detallada para cada unidad al momento de realizar el proceso de planificación. Considerando la relación de estas áreas con la Misión-Visión del Ministerio y sus aportes al logro de los objetivos institucionales, se define la siguiente relación porcentual: el Área de Migración y Tecnología de Información un 30% para cada una, el otro 40%, se distribuye por porcentajes iguales entre las dos Áreas restantes. Dentro de cada área, se deberá prorratear en igual proporción el porcentaje de riesgo asignado, entre las unidades fiscalizables y unidades auditables que tenga cada nivel. De acuerdo a lo anterior, con dos ejemplos hipotéticos, se muestran como quedaría la distribución en el nivel funcional (Tabla 1) y en la tabla 2, os niveles 2 (unidades fiscalizables), dentro del cual quedaría la distribución para el nivel 3 (unidades auditables): 10 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Tabla N°1 Distribución porcentual del Universo Fiscalizable en el nivel 1 por área funcional Nivel 1: Área Funcional 1. ÁREA DE MIGRACION Y EXTRANJERIA 2. ÁREA DE DINADECO 3. ÁREA DE ADMINISTRACION CENTRAL 4. ÁREA DE TECONOLOGÍA DE INFORMACION Total Porcentaje 30 20 20 30 100 % Tabla N° 2 Distribución porcentual del Universo Fiscalizable por área funcional (Nivel 1), unidad fiscalizable (Nivel 2) y auditable (nivel 3) ÁREA FUNCIONAL (nivel 2)/ Unidad Fiscalizable (nivel 2)/Unidad Auditable (nivel 3) 1. MIGRACION Y EXTRANJERIA (nivel 1)–(30% riesgo) 1.1. Gestión de Migraciones (nivel 2) 1.1.1 Departamento de Pasaportes (nivel 3) 1.1.2 XXX (nivel 3) 1.1.3 XXX (nivel 3) 1.1.4 XXX (nivel 3) 1.1.5 XXX (nivel 3) 1.2 .Gestión de Extranjería (nivel 2) 1.3. XXX (nivel 2) 2. DINADECO- (nivel 1)- (20% riesgo) 2.1 Dirección Nacional (nivel 2) 2.1.1. XXX (nivel 3) 2.1.2. XXX (nivel 3) 2.2 Dirección Operativa (nivel 2) 2.3 Dirección Administrativa Financiera (nivel 2) 2.4 Consejo Nacional de Desarrollo (nivel 2) 3. ÁREA DE ADMINISTRACION CENTRAL 20% 3.1 Despacho del Viceministro (nivel 2) 3.1.1. Actividades de apoyo dependencias (nivel 3) 3.1.2. Actividades de gestión (nivel 3) 3.1.3. XXX(nivel 3) 3.1.4. XXX(nivel 3) 3.1.5. XXX(nivel 3) 3.2 Dirección Administrativa (nivel 2) 3.3 Dirección Financiera (nivel 2) 3.4 .XXXX (nivel 2) 4. ÁREA DE TECONOLOGÍA DE INFORMACION 30 % 4.1. Área Sistemas Migración (nivel 2) 4.1.1 XXX(nivel 3) 4.1.2 XXX(nivel 3) 4.2. Área Sistemas DINADECO (nivel 2) 4.3. Área Sistemas Administración Central (nivel 2) Total Porcentaje 10% 2% 2% 2% 2% 2% 10% 10% 5% 2,5% 2,5% 5% 5% 5% 5% 1% 1% 1% 1% 1% 5% 5% 5% 10% 5% 5% 10% 10% 100% 11 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA 6.2 Manual procedimientos Planificación Estratégica AI-1344-2007 Elaboración de Mapas de Riesgo. Aplicando el Procedimiento de Valoración de Riesgo para la Planificación de la Auditoría Interna, de acuerdo con la información disponible, se determina el nivel de riesgo de cada una de las Áreas Funcionales, de las Unidades fiscalizables, así como una valoración específica del nivel de riesgo de las unidades auditables, respecto de los principales unidades administrativas, procesos, actividades, operaciones o tipo de transacciones, con el propósito de establecer en una forma más precisa y detallada los riesgos más importantes en esas áreas o unidades fiscalizables, para su consideración en la selección de los estudios que se realizarán en un periodo determinado. Se definen cinco niveles de riesgo: Riesgo bajo, Riesgo medio bajo, Riesgo medio, Riesgo medio alto y Riesgo alto, luego se construyen los mapas de nivel de riesgo por área funcional, unidades fiscalizables o unidades auditables, para todo el Ministerio y se determina el porcentaje del universo auditable que corresponde a cada nivel de riesgo, obteniendo de esta manera tres mapas, con ejemplos hipotéticos: ÁREA FUNCIONAL 1. ÁREA MIGRACION 4.ÁREA TEC. INFORM. 2. ÁREA DINADECO 3. ÁREA ADM. CENTRAL Mapa N° 1 Riesgo del Ministerio en el nivel 1: Área Funcional NIVEL DE RELACION TOTAL ACUMULADO RIESGO PORCENTUAL PORCENTUAL NIVEL DE RIESGO ALTO 30 ALTO MEDIO ALTO MEDIO Total General 30 20 60 20 20 20 100% 100% El mapa se elabora considerando los resultados del nivel de riesgo, iniciando con las áreas funcionales de Riesgo Alto y concluyendo con las de Riesgo Bajo. La relación porcentual de cada Área se toma de la Tabla N°1. El total porcentual de nivel de riesgo es el resultado de la sumatoria de cada uno de los datos de la Relación Porcentual para un determinado nivel de riesgo. (Se suman los porcentajes del nivel de riesgo alto, medio alto y así los de cada nivel de riesgo, colocando el resultado en la columna No. 4 “Total porcentual de nivel de riesgo”) Mapa No. 2 Mapa de Riesgo del Ministerio por Área funcional (Nivel 2) y por unidad fiscalizable (Nivel 3) NIVEL DE RIESGO RELACION PORCENTUAL ALTO 10% GESTION EXTRANJERIA ALTO 10% GESTION MIGRACION ALTO 10% ÁREA FUNCIONAL / UNIDAD FISCALIZABLE MIGRACION PLANIFICACION INSTITUCIONAL TOTAL PORCENTUAL DE NIVEL DE RIESGO 30% 12 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 El Mapa se construye ordenándolo por el nivel de riesgo de mayor a menor en cada Área e igual relación con las unidades fiscalizables dentro de cada Área. Mapa N° 3 Mapa de Riesgo del Ministerio por Área funcional (Nivel 1), por unidad fiscalizable (Nivel 2) y unidad auditable (Nivel 3) NIVEL DE RIESGO RELACION PORCENTUAL ALTO MEDIO ALTO MEDIO ALTO 5% 5% ÁREA FUNCIONAL / UNIDAD FISCALIZABLE/ Unidad auditable MIGRACION GESTIÓN EXTRANJERIA PLATAFORMA SERVICIOS VALORACION TECNICA 6.3 TOTAL PORCENTUAL DE NIVEL RIESGO 10% Cobertura institucional. La cobertura institucional, se logra mediante los Servicios de Auditoría y los Servicios preventivos, en éstos últimos se incluyen las Asesorías, Advertencias y Autorizaciones de Libros, a los que se les dispone tiempo de ejecución en el Plan de trabajo, como actividad de rutina o estudios especiales, dándose así una prioridad 1.. Las prioridades en cuanto a la prestación de los servicios de auditoría o realización de estudios de auditoría, se establece con base en la valoración de riesgo indicada en el punto anterior, aplicando la siguiente estrategia: Un estudio de auditoría el primer año en las áreas funcionales con resultados en los niveles de riesgo: Alto y Medio Alto, en la unidades fiscalizables de riesgo alto de cada una de esas Áreas, seguimiento en el segundo año y si continúa nivel de riesgo alto, un estudio en el tercer año. En las Áreas funcionales de riesgo medio bajo y bajo, aceptar riesgo. De dicha forma, en un ciclo de tres años, se habría realizado al menos un estudio en cada una de las 4 Áreas Funcionales del Ministerio de Gobernación y Policía con riesgos de alto y medio alto. Una vez que se tienen los resultados, se puede establecer la tabla de cobertura Institucional completando los datos del Área Funcional, Nivel de Riesgo, Relación Porcentual en el Ministerio, para los siguientes 3 años. MINISTERIO DE GOBERNACION AUDITORIA INTERNA Ciclo de fiscalización por Área funcional con base en Riesgo Nivel de Área Funcional riesgo 1.ÁREA DE MIGRACION ALTO 4.AREA TECNOLOG INFORM ALTO 2.AREA DE DINADECO 3. AREA DE ADM. CENTRAL Total MEDIO ALTO MEDIO Relación Institución 30% 30% 20% 20% 100% Cobertura Institucional Año 1 Año 2 Año 3 30% 30% 30% 30% 30% 30% 20% 20% 20% 80% 80% 80% 13 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA 6.4 Manual procedimientos Planificación Estratégica AI-1344-2007 Estrategia para distribución de los recursos humanos con base en el porcentaje de riesgo Para la distribución de los recursos humanos, se utilizaran los siguientes parámetros. Área funcional y puntos obtenidos en la valoración de riesgo, cantidad de funcionarios, promedio anual de días por funcionario para dedicar a estudios. Así, si hay 13 funcionarios (4 Coordinadores, 6 Auditores y 3 Informáticos) y cada funcionario aplica un promedio anual de 200 días a realizar estudios, tenemos recursos equivalentes a 2600 días al año, por lo que se realizaría la distribución de la siguiente manera: Área Funcional Puntaje de Riesgo (1) 350 Nivel de Riesgo ALTO % del riesgo total (2) 29% Cantidad de días a Asignar (3) 754 Cantidad Funciona rios (4) 4 4. TECNOL. INFORMACION 2. DINADECO 350 274 29% 22% 754 572 4 3 3. ADM. CENTRAL 249 ALTO MEDIO ALTO RIESGO MEDIO 20% 520 2 TOTALES 1223 100% 2600 13 1. MIGRACION (1) Puntos obtenidos en la valoración de riesgo, ordenados de mayor a menor. (2) Puntos obtenidos divididos entre su sumatoria (3) Total de días a asignar multiplicado por el porcentaje de riesgo total. (4) Cantidad de días a Asignar entre el promedio anual de días a estudios 7. TEMAS RELACIONADOS Procedimiento de formulación del Plan de Auditoría Anual Modelo de fiscalización con base en riesgo Modelo de valoración del Riesgo para la Planificación de Auditoría 14 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 CAPÍTULO lll MODELO VALORIZACIÓN DEL RIESGO PARA LA PLANIFICACION DE LA AUDITORIA 1. OBJETIVO Planificar la función de la auditoría interna orientada al mejor aprovechamiento de sus recursos, basada en una herramienta que permite calificar las unidades fiscalizables y auditables de acuerdo con el riesgo que presenten, en un momento dado y con el objetivo de agregar valor al cumplimiento de los objetivos institucionales. 2. ALCANCE Se aplicará como parte de las actividades de la Planificación Estratégica en la Auditoría Interna, debiendo quedar documentadas las diferentes acciones de este proceso. 3. ABREVIATURAS Y DEFINICIONES Criterio de riesgo: Factores de riesgo que convergen para juzgar una unidad o actividad objeto de auditoría, dentro de una categoría de riesgo determinada. AI: Auditoría Interna. Escala de riesgo: Sucesión de categorías dentro del valor de riesgo asignado a cada criterio de riesgo, según la importancia mayor o menor, en relación con el riesgo. Estrategia de auditoría: Prioridad y periodicidad con que se va a auditar cada una de las unidades, procesos o actividades, considerando la valoración del riesgo relativo: Riesgo bajo, Riesgo medio bajo, Riesgo medio, Riesgo medio alto y Riesgo alto. Factor de riesgo: Elemento que origina las probables condiciones o eventos que puedan afectar adversa o positivamente los objetivos de la organización. Manifestación, característica o variable mensurable u observable que indica la presencia de un riesgo, lo provoca o modifica su nivel. Nivel de riesgo: Grado de exposición al riesgo de una unidad auditable, según la calificación de riesgo obtenida al aplicar la escala de valores para cada criterio. PE: Planificación Estratégica de la Auditoría Interna Peso: Nivel específico de riesgo para cada criterio, dentro de un rango de 1 a 5, asignado a cada unidad auditable. PG: Proceso de Gestión de la AI PR: Procedimiento Principio de Pareto: Técnica para registrar y analizar datos que permite separar los problemas prioritarios de los muchos existentes, conocido como la regla 80/20. El principio de 15 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Pareto dice que el 20% de cualquier cosa producirá el 80% de los efectos, mientras que el 80% de los efectos, sólo cuenta para un 20%, así el 80 % de los costos inútiles de una empresa, probablemente se deben al 20% de sus áreas con problemas. Riesgo: Es la probabilidad de que ocurra un evento interno o externo que tendría consecuencias negativas o positivas en la capacidad organizacional para el alcance legal, eficaz, eficiente y económico de los objetivos planteados. Unidad auditable: Cualquier unidad administrativa, dirección, departamento, proyecto, proceso, actividad, operaciones o transacciones, sujeto de ser auditadas en el Ministerio, de acuerdo con las competencias establecidas en el artículo 22 de la Ley No. 8292 Ley General de Control Interno. Unidad fiscalizable: Corresponde a una unidad auditable del nivel 2 del universo fiscalizable del Ministerio que puede ser dirección, unidad o proyecto. Universo fiscalizable: La totalidad de unidades auditables del Ministerio, que se ha dividido en tres niveles: nivel 1 áreas funcionales (Migración, DINADECO, Administración Central y Área de Tecnología de Información); nivel 2 unidades fiscalizables (Direcciones, departamentos, oficinas y procesos) y nivel 3, unidades auditables (Unidades, departamentos, subprocesos o actividades), según la organización que se de en cada dependencia. Valor de riesgo: Valoración que se le asigna a cada factor de riesgo, según su importancia relativa en la unidad auditable a evaluar. Valor del criterio de riesgo: Es el valor numérico asignado a cada criterio de riesgo, de acuerdo a su incidencia dentro del Ministerio o el área funcional a evaluar, utilizándose una escala de 1 a 10. 4. RESPONSABILIDAD. El cumplimiento de estos procedimientos será responsabilidad del Auditor Interno, Subauditor Interno y Coordinadores de los Equipos de trabajo de las áreas funcionales u otro funcionario que se designe. 5. DIRECTRICES. Este procedimiento debe revisarse y actualizarse anualmente, de previo a la elaboración del Plan Anual de Auditoría, para incorporarle los elementos identificados a través de los estudios de auditoría realizados durante el año recién pasado para priorizar las acciones en el año y proyectar las de mediano plazo, 6. DESCRIPCIÓN DEL MODELO. Los pasos a seguir para la valoración del riesgo serán los siguientes: Paso N° Paso N°1: Paso N°2 Actividad Identificar, revisar y ajusta el universo fiscalizable Revisar y definir los criterios de riesgo y asignarles valor. 16 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Paso N° Paso N°3 Paso N°4 Paso N°5 Paso N°6 Paso N°7 Paso N°8 Paso N°9 Manual procedimientos Planificación Estratégica AI-1344-2007 Actividad Obtener el puntaje máximo (PM) Asignar el peso a cada unidad fiscalizable o auditable Valorar cada unidad auditable Obtenga puntaje total (PT) Construya la tabla calificación del riesgo por estrato Identifique el nivel de riesgo Obtenga la matriz de riesgo por área valorada Para la valoración del riesgo se utiliza el Método Delphy, valorando las unidades auditables, de acuerdo con la opinión de un equipo de expertos, quienes por votación de cada uno de sus miembros, obtienen una nota promedio para valorar cada criterio de riesgo y asignar el peso de cada criterio dentro del Área funcional, unidad fiscalizable o unidad auditable a valorar, según sea el nivel ministerial que se está realizando la valoración. El método Delphy consiste en una técnica de previsión cualitativa donde se combina la opinión de los expertos en una serie de iteraciones. El equipo de expertos para este proceso lo conforman: El Auditor Interno, Subauditor Interno y Coordinadores de Auditoría Interna o sustitutos asignados, cuando alguno de estos no este disponible. Paso 1 6.1. Identificar, revisar y ajustar el universo fiscalizable Para efectos prácticos, el universo fiscalizable del Ministerio de Gobernación se ha estructurado en tres niveles: A. Nivel 1, Área funcional El universo fiscalizable, está clasificado en 4 áreas funcionales: B. ÁREA MIGRACION Y EXTRANJERÍA ÁREA DINADECO ÁREA ADMINISTRACION CENTRAL ÁREA TECNOLOGÍA DE INFORMACIÓN Nivel 2, Unidad fiscalizable Lo componen las unidades auditables a nivel de direcciones, departamentos, oficinas, procesos u otros elementos que conforman una Área funcional del nivel 1, conforme a la organización de cada dependencia. C. Nivel 3 por unidad auditable Comprende los subprocesos, actividades, proyectos, operaciones, transacciones o elementos 17 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 que conforman una unidad fiscalizable del nivel 2, de acuerdo con la organización de cada dependencia. El nivel de detalle de este Universo Fiscalizable está en función de la información disponible en la AI, el cual debe revisarse y ajustarse al menos una vez al año al efectuarse el Plan Anual de Auditoría o cuando las circunstancias lo requieran. El Universo fiscalizable identificado a octubre del 2007, puede revisarse en las tablas de planificación estratégica obtenidas para el periodo 2008-2012. La valoración del riesgo se realiza en los niveles 1, 2, y 3, para este último, los expertos deben considerar y analizar la información detallada disponible sobre los riesgos determinados o definidos por los responsables administrativos de las unidades o procesos y el conocimiento que se tiene de las unidades auditables correspondientes. Paso 2 6.2-Revisar y definir los criterios de riesgo y asignarles valor. Los cálculos a partir de este paso, se realizan en cuadros que deben contener los datos, que se muestran seguidamente: SECTOR A VALORAR 1 2 3 4 CRITERIO DE RIESGO 5 6 7 8 9 10 Puntaje total (PT) Nivel de riesgo Valor del criterio de riesgo Puntaje máximo (PM): Unidad Auditable Los criterios de riesgo institucionales aplicables a todo el universo fiscalizable, con una escala de valoración de 1 a 10, según su grado de criticidad en el nivel que se esté valorando, son los siguientes: N° Criterio de Riesgo 1 2 3 4 5 6 7 8 9 10 Calidad Control Interno Toma de decisiones Cambios recientes Recursos presupuestarios Manejo de fondos Cumplimiento de normativa Tecnología de información Políticas de gobierno Imagen e impacto: Fraude y error 18 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 La descripción de los criterios se muestra en el Anexo No. 3 Paso 3 6.3-Obtener el puntaje máximo (PM). El puntaje máximo (PM), se obtiene de la sumatoria de los valores asignados a cada criterio de riesgo en el sector objeto de valoración, multiplicada por el peso máximo 5. Paso 4 6.4- Asignar el peso a cada unidad auditable. Para cada criterio de riesgo y por cada una de las unidades auditables, se debe establecer cuánto pesa dentro de esa unidad auditable cada criterio de riesgo: es decir, se debe determinar qué tan importante es el criterio de riesgo, asignándole, por ejemplo un 1 al criterio de riesgo de menor importancia y un 5 al que tenga mayor relevancia. Paso 5 6.5- Valorar cada unidad El siguiente paso consiste en multiplicar cada valor del criterio de riesgo por el peso asignado dentro de la unidad auditable, para obtener la calificación por criterio de riesgo. Paso 6 6.6- Obtener el puntaje total (PT). El puntaje total (PT) de la unidad auditable, se obtiene sumando las calificaciones de cada criterio de riesgo. Paso 7 6.7-Construir la tabla de calificación del riesgo por estrato Para construir la tabla de calificación del riesgo, se utiliza el principio de Pareto, conocido como la regla 80/20, por lo que se definen los siguientes 5 niveles de riesgo. % 0 – 20% 20 – 40% 40 – 60% 60 – 80% 80 - 100% Nivel de riesgo Riesgo bajo Riesgo medio bajo Riesgo medio Riesgo medio alto Riesgo alto 19 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Para construir la tabla de calificación del riesgo, debe realizar lo siguiente: Identificar el puntaje máximo (PM), según paso 3. Determinar el intervalo para cada estrato, tomando el puntaje máximo posible (PM), menos el puntaje total (PT) y su resultado se divide entre 5 (estratos). El resultado será el intervalo a utilizar por estrato. Definir los estratos para la calificación del nivel de riesgo a partir de cada intervalo, considerando que el primer estrato inicia a partir del puntaje total. Ejemplo: Puntaje Total (PT): 74 Puntaje Máximo (PM): 370 Intervalo para cada estrato: (320-74) / 5=59.20 Tabla de Calificación de Riesgo % Estrato Nivel de riesgo 1 – 20% 74 – 133.2 Riesgo bajo 20 – 40% 133.3 – 192.50 Riesgo medio bajo 40 – 60% 192.6 – 251.8 Riesgo medio 60 – 80% 251.9 – 311.1 Riesgo medio alto 80 - 100% 311.1 – 370 Riesgo alto Paso 8 6.8. Identificar el nivel de riesgo Con base en el puntaje total de cada unidad auditable y el estrato en que se ubique en la tabla de calificación del riesgo, identifique el nivel de riesgo en que se encuentra cada unidad auditable. Paso 9 6.9. Obtener la matriz de riesgos para cada uno de los niveles o sectores Con la información anterior, elaborar la matriz de riesgos, considerando la siguiente información: Sector o nivel valorado Unidad Auditable Puntaje total Nivel de Riesgo A continuación se presenta un ejemplo de la matriz de riesgo para el primer nivel del Universo fiscalizable. 20 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 SECTOR VALORADO: Ministerio de Gobernación Área funcional: Puntaje Total (PT) 350 274 249 350 1. Área de Migración y Extranjería 2. Área de DINADECO 3.Área de ADMINISTRACION CENTRAL 4. Área de TECNOLOGÍA DE INFORMAC. Nivel de Riesgo ALTO MEDIO ALTO MEDIO ALTO Con el resultado de los pasos anteriores se construye, el siguiente cuadro como ejemplo de valoración del riesgo, para el Ministerio de Gobernación, donde las unidades auditables corresponden a cada una de las Áreas funcionales (Primer nivel) que componen el Universo Fiscalizable. Para la valoración de las áreas auditables del segundo y tercer nivel, ver Anexo 4-Tabla Valorización de riesgo, aclarándose que en la aplicación del procedimiento se le incorporaron filas para la votación de los expertos, seguidamente pueden ver otro ejemplo: MATRIZ DE RIESGOS PARA EL PRIMER NIVEL Criterio de Riesgo Sector a Valorar: Ministerio de Gobernación 1 10 riesgo1 Valor del criterio de Puntaje Máximo (PM): 370 Unidad Auditable MIGRACION 2peso 3valor 2 9 3 4 4 6 5 5 6 10 7 8 8 5 Puntaje Nivel de Total Riesgo 9 10 (PT) 10 7 74 5 5 5 5 3 5 5 3 5 5 50 45 20 30 15 50 40 15 50 35 350 ALTO 274 MEDIO ALTO peso 5 4 1 5 valor 50 36 12 24 5 50 16 20 40 21 peso 5 3 2 3 1 5 valor 50 27 8 18 5 50 32 15 30 14 249 RIESGO MEDIO peso valor 5 5 5 5 3 5 5 3 5 5 50 45 20 30 15 50 40 15 50 35 350 ALTO 4 3 2 4 4 3 DINADECO 4 3 3 2 ADMINISTRACION CENT. AREA DE TEC. DE INF. 1El valor de los criterios para cada área, se obtiene del promedio simple del resultado por votación de los valores dados por el auditor, subauditor y coordinador del área correspondiente. Ver Anexo 5-Tabla de votaciones. 2El valor del peso se obtiene del promedio simple del valor dado por votación del auditor, subauditor y coordinador. 21 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA 3Este Manual procedimientos Planificación Estratégica AI-1344-2007 valor se obtiene como resultado de multiplicar el valor del criterio por el valor del peso. Los estratos para calificar los riesgos se obtienen restando al Puntaje máximo del puntaje total y el resultado se divide entre 5. (370-74=296/5=59.20) N° 1 2 3 4 5 6 7 8 9 10 CRITERIO DE RIESGO Calidad Control Interno Toma de decisiones Cambios recientes Recursos presupuestarios Manejo de fondos Cumplimiento de regulaciones Tecnología de información Políticas de gobierno Imagen e impacto: Fraude y error TABLA DE CALIFICACIÓN DEL RIESGO % Estrato Nivel de riesgo 0 - 20% 74 – 133.2 20 - 40% 133.3 – 192.50 40 - 60% 192.6 – 251.8 60 - 80% 251.9 – 311.1 80 - 100% 311.1 – 370 Riesgo bajo Riesgo medio bajo Riesgo medio Riesgo medio alto Riesgo alto 7. NORMATIVA Y DOCUMENTOS RELACIONADOS Procedimiento del Proceso de Planificación Estratégica. Modelo de fiscalización con base en riesgo. Procedimiento de formulación del Plan de Auditoría Anual 22 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 CAPITULO lV PROCEDIMIENTO DE FORMULACION DEL PLAN DE AUDITORIA ANUAL 1. OBJETIVO Definir las actividades relacionadas con la formulación del plan de auditoría anual para orientarlo hacia las unidades auditables de mayor riesgo, optimizar el uso de los recursos asignados a la Auditoría Interna y lograr una adecuada cobertura del universo fiscalizable del Ministerio de Gobernación como instrumento para generar valor al cumplimiento de los objetivos institucionales. 2. ALCANCE Las actividades definidas a través de este documento, son de aplicación obligatoria por parte de todos los funcionarios de la Auditoría Interna, en lo que les corresponda. Este procedimiento forma parte de la documentación de la Planificación Anual del Proceso de Gestión de la AI. 3. ABREVIATURAS Y DEFINICIONES AG: Proceso Archivo de Gestión AI: Auditoría Interna Método Delphy: Técnica de previsión cualitativa que combina la opinión de expertos en una serie de iteraciones. PA: Planificación Anual de la AI. PG: Proceso de Gestión de la AI PR: Procedimiento 4. RESPONSABILIDAD 4.1 La responsabilidad del cumplimiento de los lineamientos que se establecen en este instrumento corresponde a la Auditoria Interna y al personal en general, según su competencia. 4.2 Es responsabilidad del Auditor y Subauditor Internos, la revisión y actualización periódica de este procedimiento, con los aportes que suministren los funcionarios de la Auditoria Interna para su mejoramiento. 5. DIRECTRICES 5.1 La formulación del plan de auditoría anual debe ser congruente con la planificación estratégica y la normativa reglamentaria y técnica pertinente, para asegurar el desarrollo de sus procesos con calidad y basados en el conocimiento y la comprensión del ambiente interno y el entorno en que se desarrolla el Ministerio. 23 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 5.2 En el proceso de formulación de la planificación anual participan en forma directa el Auditor, Subauditor, los Coordinadores de Auditoría y los funcionarios asignados; será liderado por el primero y en todas sus partes documentado. 5.3 El plan de auditoría anual, debe estar basado en criterios razonables y fundamentados, especialmente en la valoración del riesgo que se realizó en el Proceso de Planificación Estratégica, para determinar las prioridades de la actividad de Auditoría Interna y ser consistente con los objetivos del Ministerio. 5.4 En la planificación estratégica, se agregará una columna con la calificación de riesgo obtenida o emitida por la Administración, la cual se usará para medir la percepción del riesgo de la administración contra la calculada por la AI, analizando si fuera necesario los casos en que la misma sea muy diferente. 5.5 En el proceso de elaboración del plan, se deben considerar las normas técnicas de auditoría interna, como escoger al personal que realizará los estudios, conforme su entrenamiento técnico, capacitación profesional, actitud y otros o buscando o contratando a personal especializado, cuando no se cuente con funcionarios con las calidades requeridas. 5.6 Se deberán tener en cuenta los lineamientos generales que sobre el tema ha emitido la Contraloría General de la República. 5.7 Si en el desarrollo de un estudio o en el transcurso del año anterior, se determina una actividad o aspecto que es necesario incluirse en el plan de trabajo o ha sido sujeto de denuncia o solicitud, el coordinador oficialmente lo comunicará al Auditor y guardara una copia de lo enviado en un ampo denominado solicitudes de estudios a cubrir, existente en cada oficina, custodiado y administrado por el coordinador de cada área. 5.8 El plan de auditoría anual, tendrá la estructura y contenido que se ha venido usando, sin embargo, cada año se revisará, ajustará y remitirá el formato a usar, si es necesario, sin embargo, como criterio mínimo debe incluir tiempos para: Atención de la Jefatura y Subjefatura de actividades relacionadas con Informes de labores y aquellas concernientes a labores administrativas propias de la gestión, como la planeación, dirección, organización, control, regulación y evaluación de las actividades de la AI. Supervisión de la Jefatura y Subjefatura de los servicios de fiscalización que se prestan a las diferentes dependencias del Ministerio. Reuniones de supervisión, coordinación, administración, elaboración y evaluación del plan anual de trabajo. Trabajos pendientes año anterior Rutinas de control anuales. Proceso de autorización de libros Seguimiento anual y permanente de recomendaciones emitidas por la AI, Auditorías Externas u otros órganos de fiscalización y control. Servicios preventivos de asesoría y advertencia y estudios especiales o denuncias Otros como entrenamiento de personal nuevo, preparación universo auditable, ejecución labores oficina, proceso autoevaluación calidad AI, imprevistos, capacitación y vacaciones. 24 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 5.9 El plan deberá ser flexible, para posibilitar su modificación, en atención a solicitudes del señor Ministro de Gobernación, de la Contraloría General de la República, denuncias recibidas, que sobrepasen el tiempo estimado en la versión vigente del plan de trabajo y a la retroalimentación obtenida como resultado de sus evaluaciones. 5.10 El plan de auditoría se mantendrá actualizado y las modificaciones deberán comunicarse conforme se presenten, al señor Ministro y a la Contraloría General de la República. 5.11 La formulación del plan anual, culminará con la emisión de un documento formal que se presentará a la Contraloría General de la República a más tardar el 15 de noviembre de cada año y se hará de conocimiento al señor Ministro, en esa misma fecha, de conformidad con la normativa legal y técnica, indicándole la cobertura e impacto que sobre la fiscalización y el control correspondientes, produce la limitación de recursos. 5.12 En el mes de diciembre, el plan de auditoría anual, se hará del conocimiento del personal de la AI, el que será comentado en reunión general y quedará a disposición en los ampos de cada oficina en forma impresa y digitalmente en manos de todos los miembros de los distintos equipos de trabajo de la AI. 5.13 Este procedimiento deberá ser objeto de revisión y actualización en forma anual, con los aportes y mejoramientos propuestos por el personal de la AI o la Contraloría General de la República. 5.14. Anteproyecto de presupuesto. En la formulación del Plan de Auditoría Anual debe tenerse en cuenta la información contenida en el anteproyecto de presupuesto del periodo correspondiente. 5.15 Contenidos del Plan de Auditoría. El plan anual de Auditoría debe incluir al menos: A. Aspectos generales, con el siguiente contenido Ámbito de Acción Base legal Misión Visión Valores Características del equipo de trabajo Compromisos para consolidar el equipo de trabajo B. Periodo de ejecución del plan C. Aspectos considerados en la preparación del plan D. Objetivos y metas para el periodo E. Personal disponible F. Distribución de días funcionario G. Actividades y estudios a realizar. H. Anexos 5.16. Recurso humano asignado a cada área: La Auditora Interna o la Subauditora, con base en los recursos humanos disponibles y los riesgos de cada área, indicará a cada uno de los coordinadores, los recursos humanos disponibles para su equipo y para el periodo. 25 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 5.17. Días hábiles del período: La Auditora o Subauditora Interna, calculará y determinará la cantidad de días hábiles totales del periodo y los suministrará a los coordinadores. 5.18. Días auditor disponibles por Área: Los coordinadores calcularán por mes, los días auditor disponibles en su área, sumando los días disponibles de los auditores que le han sido asignados. 5.19. Tiempo para la gestión y dirección de la AI: El Auditor y Subauditor Interno, una vez restadas sus vacaciones, dividirá en igual proporción su tiempo disponible, entre las actividades de gestión y de supervisión de los trabajos. 5.20. Especificar tiempo para atender actividades rutinarias de control y exigidas por el ordenamiento legal, a las que se les estaría dando una prioridad 1 y se planificarían cada año, a saber. Normatización y aseguramiento calidad servicios auditoría: Se determinan dos días por mes por auditor, para labores relacionadas con la participación en reuniones de coordinación de la Auditoría, para la regulación de actividades, evaluaciones de ejecución del plan de auditoría, obtención de normativa en Internet o correos enviados y otras actividades relativas a la normatización y calidad de la labor de auditoría. Terminar estudios pendientes del año anterior: Los coordinadores de las áreas funcionales levantarán una lista con la información y formato que se le requiera cada año, de los estudios iniciados en el período anterior y que por diferentes razones quedaron pendientes, estimando el tiempo que requerirá cada encargado para culminarlos. Procedimientos de auditoria de rutina: Se estima un día por funcionario por mes para dar seguimiento a procesos de la Administración como el SEVRI, Autoevaluación, PAO, Revisión de conciliaciones bancarias, revisión de actas de los órganos colegiados y otras actividades de mejora de la Auditoría. Proceso de legalización de libros: El coordinador que supervise al funcionario que tenga a cargo la ejecución de dicho proceso, estimara los días que se dedicaran a dicha actividad. Seguimiento de recomendaciones. Los coordinadores, dependiendo de los estudios emitidos en el año anterior, destinarán días para darle seguimiento a las recomendaciones pertinentes a su Área de responsabilidad. Servicios Preventivos (Asesoría y Advertencia) y Estudios especiales (Denuncias y solicitudes): El coordinador de cada área determinará la cantidad de días a aplicar en servicios preventivos y estudios especiales o denuncias, lo que proyectará de acuerdo con la experiencia obtenida en años anteriores en esos rubros. 5.21. Estimación de tiempo para el rubro de otros: En la parte final del Plan de trabajo de cada año, se presentará el apartado “otros”, en los que se deberá incluir tiempos administrativos y otros necesarios para el operar de la unidad fiscalizadora, los cuales también tendrían una prioridad 1 dentro del plan y estarían relacionados con: 26 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Entrenamiento de personal: El coordinador que tuviera a cargo funcionarios nuevos durante el año a planificar, estimará tiempo para su inducción y entrenamiento. Preparación del universo auditable: Cada coordinador estimara en los meses de setiembre, octubre y noviembre de cada año, tiempos para él específicamente y para algunos de sus colaboradores, a utilizar en el levantamiento y ejecución del proceso de planificación estratégica. Ejecución de labores Oficina: Se estimara un día por mes para cada funcionario, para efectos de que atienda actividades administrativas relacionadas con el estudio que realiza o la atención de correspondencia y otros de la oficina en la que está. Proceso Autoevaluación calidad Auditoría: Se definen un día por funcionario en los meses de noviembre y diciembre, para que sean utilizados en el proceso de Autoevaluación de calidad de la Auditoría, esto fuera del tiempo que se deberá asignar al responsable de ejecutar el proceso. Imprevistos: Se estimará un día por mes por funcionario, para un total de 12 días por funcionario, para atender situaciones imprevistas como enfermedad, incapacidad y permisos personales de carácter urgente. Capacitación: Se estima un día por mes para efectos de capacitación, para un total de 12 días al año por funcionario. Vacaciones del periodo: Los coordinadores sumarán la totalidad de los días de vacaciones que le corresponden a cada funcionario de su Área y lo dividirán entre los doce meses del año, el resultado se le asignará a cada mes, acumulando cualquier sobrante en el mes de diciembre de cada año. 5.22. Tiempo disponible para la realización de servicios de auditoria (Informes de control de tipo financiero, presupuestario, operativo, Tecnología Información y administrativos): Los coordinadores, según los auditores asignados menos los tiempos definidos con prioridad 1 y otros, sumará el tiempo disponible en su área para la ejecución de estudios de auditoría. 5.23. Selección de estudios de auditoría a realizar en el periodo: Los coordinadores con base en el modelo de valoración del riesgo, la matriz con las áreas con riesgo alto y medio alto y su priorización, la lista de posibles estudios y su asociación con las unidades auditables con mayor prioridad, escogerán los estudios a realizar, considerando los tiempos requeridos para su ejecución, el disponible en su área y la capacidad instalada de la Auditoría. 5.24. Listas de temas posibles de estudio, cuya escogencia dependerá de la valoración de riesgos y la prioridad obtenida en las áreas con riesgo alto y medio alto: Los coordinadores de las áreas, levantarán y mantendrán actualizada una lista con todos los temas de estudios obligatorios, solicitados y determinados; empleando el formato que se le entrega y que preliminarmente sería el mostrado en el Anexo 6, que entre otros datos, indicará los tiempos proyectados de ejecución de cada uno; considerando para dicho efecto: Estudios anuales requeridos en el ordenamiento jurídico (Ley General de Control Interno) Estudios o denuncias pendientes o no incluidos en el Plan de Auditoría del año anterior, por falta de recursos y que continúan siendo una prioridad o están pendientes de atender. 27 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Estudios que solicite la Contraloría General de la República Estudios que haya solicitado el Ministro o los Directores El Mayor rubro presupuestario otorgado a los programas de Administración Central, Migración, Dinadeco y Tecnologías Información, en el periodo presupuestario a planificar. Información obtenida del seguimiento de recomendaciones o de advertencias y asesorías, que reflejan la necesidad de hacer un estudio de auditoría en el área. 5.25. Revisar o estimar la duración de los estudios escogidos de las unidades auditables con riesgo alto y medio alto priorizadas: Con base en la experiencia y el conocimiento del Área, los coordinadores revisaran o determinaran las estimaciones de tiempos de ejecución de los estudios seleccionados. 5.26. Participantes en los estudios seleccionados: Dependiendo del nivel de complejidad de los estudios, se definirá el encargado del o los estudios escogidos, quien trabajará con el coordinador. 5.27. Desarrollo planificación específica de estudios seleccionados en el Plan Anual: Los coordinadores deberán desarrollar para cada estudio seleccionado y para incluir en el Plan de Trabajo, en el apartado del Proceso de Auditoría, la siguiente información: Tipo de auditoría Justificación para llevar a cabo el estudio y su nivel de prioridad según los resultados obtenidos. Descripción del objetivo de cada estudio, que es el enunciado que orienta las actividades por realizar y delimita los alcances del estudio. La secuencia de las actividades más relevantes que se llevarán a cabo para el desarrollo de cada estudio, que permitirán la consecución de los objetivos. El cargo del personal a quien se le asignará cada estudio La especificación del tiempo que ocupa cada estudio, para lo cual se deberá señalar el tiempo de cada actividad y el tiempo total que demanda el estudio. La posible coordinación que deberá establecerse con otras unidades administrativas de la propia institución o externamente. 5.28. Aprobación: El proceso que han llevado a cabo los Coordinadores y los resultados obtenidos, serán presentados y comentados con la Auditora y Subauditora Interna, para la aprobación de los estudios seleccionados para el período. 5.29. Remisión del Plan anual al señor Ministro de Gobernación. La Auditora Interna remitirá el Plan al Ministro, con copia a la Contraloría General de la República. 6. DESCRIPCIÓN DEL MODELO. 6.1. Valoración de Riesgo. Proceso establecido en el Manual de fiscalización con base en el Riesgo, mediante el cual se obtiene el mapa de riesgos del Ministerio, considerando los tres niveles en que se ha organizado el universo fiscalizable: Nivel 1-Área Funcional, Nivel 2Unidad fiscalizable, Nivel 3-Unidad auditable. 6.2. Priorización de las unidades fiscalizables con riesgo alto y medio alto: Lista extraída de las unidades, actividades, procesos u otros cuya calificación del riesgo haya sido riesgo alto 28 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 y medio alto, que serán priorizadas, empleando los criterios que se definen en el Anexo 7 y como referencia el formato para evaluación de prioridad que se aprecia en el Anexo 8, variado en la práctica, porque se le integraron las filas de votaciones de los expertos. Para determinar el nivel de prioridad de las áreas calificadas con riesgo alto y medio alto y además hacer la distribución de las áreas a cubrir en el horizonte auditable, los coordinadores efectuaran las siguientes actividades: Paso N° Paso N°1: Paso N°2 Paso N°3 Paso N°4 Paso N°5 Paso N°6 Paso N°7 Paso N°8 Paso N°9 Paso N°10 Actividad Extraer de las tablas de valoración de riesgo, las unidades auditables con riesgo alto y medio alto. Revisar y definir los criterios de justificación y asignarles valor de 5 Obtener el puntaje máximo (PM) Asignar el peso a cada unidad auditable, usar 0 sino aplica y de 1 a 5 según afectación. Obtener el puntaje total (PT) Construir la tabla calificación de prioridad por estrato Identificar el nivel de prioridad Obtener la matriz de prioridad de unidades fiscalizables a estudiar para el período en planeación. Asociar la lista de posibles estudios, con las unidades auditables calificadas con riesgos altos y medios altos, enlistándolos por nombre de estudio en estricto orden descendente de calificación de riesgo (mayor puntaje de primeros), agregándoseles la prioridad obtenida en cada caso. Escoger y marcar con fondo amarillo en la lista obtenida en el paso 9, los estudios que conforme a la prioridad mayor, la capacidad instalada, los funcionarios asignados y los tiempos de ejecución de cada estudio, podría realizar cada equipo de trabajo de la Auditoría para el año en planificación (Año 1). Paso N°11 Desarrollar e integrar la planificación específica de cada estudio escogido, en el Plan de Trabajo Anual (Año 1), con el formato y los datos que se le indiquen cada año. Paso N°.12 Trasladar, introducir y distribuir en la Planificación Estratégica, las unidades auditables no escogidas para el Año 1, de riesgo alto o medio alto, junto con las unidades que obtuvieron riesgos medios, lo que se hará conforme se explica en el Capítulo 1-Planificación Estratégica de este Manual. Para la calificación de la prioridad se utiliza el Método Delphy, valorando los criterios de justificación, por un equipo de expertos, conformado por el Auditor, Subauditor, coordinadores de cada área funcional o personal sustituto designado; quienes por votación 29 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 obtienen una nota promedio para valorar cada criterio de justificación y asignar el peso de cada criterio por área. PROCEDIMIENTO Paso 1: Extraer de las tablas de valoración de riesgo, las unidades fiscalizables que obtuvieron una categoría de riesgo alto y medio alto. Los coordinadores de Migración, DINADECO, Administración Central y Tecnología de la Información, luego de aplicar el proceso de valoración de riesgos al universo auditable de las áreas a su cargo, procederán a extraer todas las unidades auditables que alcanzaron riesgos altos y medios altos. Paso 2: Revise y defina los criterios de justificación para priorizar y asígneles máximo valor. Los cálculos de este proceso, a partir de este paso, se realizan en una hoja de Excel que contendrá los datos, mostrados en la tabla siguiente, con la modificación de que se incluyen tres filas para la votación de los expertos y una para obtener el promedio por criterio: PERIODO A VALORAR: _____ Área de……...….. Unidad……………. (Valor máximo del criterio justificación) Puntaje máximo (PM): 60 CRITERIOS DE JUSTIFICACION 1 2 3 4 5 6 7 8 9 10 11 12 5 5 5 5 5 5 5 5 5 5 5 5 Puntaje total (PT) Nivel de prioridad Se definen los criterios de justificación a aplicar, con un peso máximo de 5 cada uno y un mínimo de uno, usándose cero en caso de que no aplique. Paso 3: Obtenga el puntaje máximo (PM). El puntaje máximo (PM), se obtiene de la sumatoria de los valores máximos asignados a cada criterio de justificación en el periodo objeto de valoración, como se muestra en la tabla anterior. Paso 4: Asigne el peso a cada área. Para cada criterio de justificación y por cada una de las unidades auditables extraídas con riesgo alto y medio alto, se debe establecer cuánto pesa dentro de esa unidad cada criterio de justificación; es decir, determinar qué tan importante es el criterio de justificación, asignándole un 1 al criterio de justificación de menor importancia y un 5 al que tenga mayor relevancia y cero cuando no aplica en su totalidad. Paso 5: Obtenga el puntaje total (PT). 30 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Para obtener el puntaje total (PT) de la unidad auditable, sume las calificaciones obtenidas de cada criterio de justificación. Paso 6: Construya la tabla calificación de prioridad por estrato La tabla de calificación de prioridad se construye utilizando el principio de Pareto conocido como la regla 80/20, por lo que se definen los siguientes 5 niveles de prioridad: % 0 – 20% 20 - 40% 40 - 60% 60 – 80% 80 – 100% Nivel de prioridad Prioridad-5 Prioridad-4 Prioridad-3 Prioridad-2 Prioridad-1 Para construir la tabla de calificación de prioridad se realizará lo siguiente: A Identifique el puntaje máximo (PM), según paso 3. B Determine el intervalo para cada estrato, el cual se calcula, considerando el puntaje máximo posible (PM), divídalo entre 5 (estratos). El resultado será el intervalo a utilizar por estrato. C Defina los estratos para la calificación del nivel de prioridad a partir de cada intervalo Ejemplo: Puntaje Máximo:60 Intervalo para cada estrato: 60/5=12 Tabla de Calificación de Prioridad % Estrato Nivel de prioridad 0 - 20% 0 – 12 Prioridad-5 20 - 40% 13 – 24 Prioridad-4 40 - 60% 25 – 36 Prioridad-3 60 - 80% 37– 48 Prioridad-2 80 - 100% 49- 60 Prioridad-1 Paso 7: Identifique el nivel de prioridad Con base en el puntaje total de cada unidad fiscalizable y el estrato en que se ubique en la tabla de calificación de prioridad, identifique el nivel de prioridad en que se encuentra cada unidad. Paso 8: Obtenga la matriz de prioridades del periodo. Con la información anterior obtiene la matriz de prioridades de las diferentes unidades auditables con riesgo alto y medio alto. Paso 9: Asociar unidades priorizadas con riesgo altos y medios altos con la lista levantada por los coordinadores que reflejan los posibles estudios a realizar. 31 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Tome la lista de las unidades auditables priorizadas con riesgos altos y medios altos, asóciela y extraiga de la lista de posibles estudios o del conocimiento del coordinador sino tiene temas registrados de alguna de las unidades determinadas, los nombres de los estudios a realizar; vuelva a enlistar ahora por estudio y ordenados en forma descendente por la calificación de riesgo (mayor puntaje de primeros), agregándoles la prioridad, lo cual determinaría dentro de cada categoría de riesgo, cuales estudios se harían primero que otros. Paso 10: Marque los estudios a realizar en el periodo de planificación. Escoger y marcar con fondo amarillo en la lista obtenida en el paso 9, los estudios que estando con mayor riesgo dentro de la tabla, también obtuvieron la mayor prioridad y que contando la capacidad instalada, la cantidad e idoneidad de los funcionarios asignados y los tiempos de ejecución estimados para cada estudio, podrían incluirse en el Plan de trabajo del año 1. Paso 11: Planificación específica de estudios escogidos. Desarrollar e integrar la planificación específica de cada estudio escogido en el paso anterior, al Plan Anual de Trabajo, usando el formato y los datos que requieren la Directriz emitida por la Contraloría General de la República y según se le indique cada año. Paso 12: Trasladar datos a matriz Planificación estratégica. Para finalizar el proceso de planificación estratégica, coloque en el primer año los estudios marcados como escogidos y distribuya de forma equitativa los no seleccionados de riesgo alto y medio alto, así como los de riesgo medio, en los restantes cuatro años, siguiendo un estricto orden descendente de la calificación de riesgo obtenida en el proceso. 7. NORMATIVA Y DOCUMENTOS RELACIONADOS La normativa relacionada con el presente procedimiento es la siguiente: Anteproyecto presupuesto del periodo aprobado por el señor Ministro de Gobernación. Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública, N° 8422, Gaceta N°99, del 24-5-05 y su Reglamento (Decreto Ejecutivo N° 32333-MP-J, Gaceta N° 82, Alcance N° 11, del 29 de abril del 2005. Ley General Control Interno N° 8292, Gaceta N° 169, del 04 de setiembre del 2002. Lineamientos Generales que deben observar las Auditorías Internas de las entidades y órganos sujetos a la fiscalización de la Contraloría General de la República en la preparación de sus planes de trabajo, emitidos por la Dirección General de Planificación Interna y Evaluación de Sistemas, Gaceta N°. 226, del 28 de noviembre de 1994. Manual Normas Generales Control Interno para la Contraloría General Republica y Entidades y Órganos sujetos a Fiscalización(M-1-2002-CO-DDCI), Gaceta 107, 05-06-02. Manual Normas para el Ejercicio de la Auditoría Interna en el Sector Público, M-1-2004CO-DDI, emitido por la Contraloría General de la República, publicado en la Gaceta N° 246 del 16 de diciembre del 2004. Manual de Normas Generales de Auditoría para el Sector Público, emitido por la Contraloría General de la República, Gaceta N°236 del 08 de diciembre del 2006. 32 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 Matrices y demás formularios Plan Anual Operativo del Ministerio. Procedimiento del proceso de Planificación Estratégica Modelo de fiscalización con base en riesgo Modelo de valoración del Riesgo para la Planificación de Auditoría 33 MINISTERIO GOBERNACION Y POLICIA AUDITORÍA INTERNA Manual procedimientos Planificación Estratégica AI-1344-2007 CAPÍTULO V DISPOSICIONES FINALES COMUNICACION Este Manual será comunicado al personal de la AI cada año, dejándose evidencia de su comunicación y se realizará el taller de capacitación respectivo. VIGENCIA A partir del 31 de octubre 2007 APROBACIÓN Licda. María Eugenia Barquero Paniagua AUDITORA INTERNA 34