Los objetivos de control en la auditoría operativa y basada en riesgos.

Norman Arturo Gutiérrez Niz Líder de Auditoría Interna y Control Interno EY - Advisory Services

Agenda Marco profesional para la práctica de auditoría interna

01 Page 2

Auditoría interna basada en riesgos

02

Objetivos de control en la auditoría operativa

Conclusiones

03

04

Marco profesional para la práctica de auditoría interna

1

Page 3

Conclusiones

Objetivos de control de la auditoría operativa

Auditoría interna basada en riesgos

Agenda

2 3 4

Marco profesional para la práctica de AI Requerimientos de cumplimiento obligatorio

Principios y expectativas que rigen la conducta de las personas y las organizaciones.

Propósito fundamental de la función.

Declaración de IIA para ayudar a comprender los problemas significativos relacionados con gobierno,riesgos controles.

Guía detallada para realizar las actividades de auditoría.

Temas de enfoque, metodología y recomendaciones. Page 4

Roles del Auditor Interno

Aseguramiento

► ► ► ► ►

► ►

Consultoría

► ►

Page 5

Cumplimiento normativo Aplicación de políticas y procedimientos Evaluación de procesos Presentación de hallazgos y recomendaciones Revisión del manejo de los riesgos claves

Apoyo de los proceso de gestión de riesgos Facilitación, identificación y evaluación de riesgos Desarrollo de estrategias de gestión de riesgos para aprobación de la alta dirección Alineación con la estrategia

Estamos logrando generar el valor esperado por los grupos de interés….?

Page 6

Oportunidades a trabajar…

Page 7

Hacia donde deberíamos ir…..

Aseguramiento confiable No negociable

Aseguramiento confiable ► Cubrir el espectro de gobierno, gestión de riesgos y control interno. ► Ofrecer una evaluación confiable de la gestión de riesgos y controles en tiempo real. ► Cumplimiento normativo. Altamente efectiva ► Rápida respuesta ► Flexible y adaptativa ► Fácil escalabilidad y mejoramiento ► Costo - Efectividad

Gap de valor

Altamente Efectiva

Page 8

El “Gap de Valor” representa la oportunidad de mejoramiento a largo plazo.

Orientación al mejoramiento ► Facilitar la gestión del riesgo, control y gobierno a través de la empresa ► Apoyar el diagnóstico de problemas ► Anticipar problemas: menos “sorpresas" Orientación al ► Apoyar la solución de problemas conocidos - y mejoramiento si no, ¿por qué no? ► Intercambio de buenas prácticas

Marco profesional para la practica de auditoría

1 2

Page 9

Auditoría interna basada en riesgos

Conclusiones

Objetivos de control de la auditoría operativa

Agenda

3 4

Gestión de riesgos

Probabillidad

Estrategias de respuesta al riesgo

Riesgo B

Riesgo Inherente

Riesgo C Riesgo A

Evaluación Actividades de Gestión Y Control

Plan de Auditoría Riesgo Residual

Medidas de Tratamiento

Velocidad

5 4

Esperada

3 2

Probable

1

Page 10

Alta

Baja Leve

5 4

Significante

5

Muy Alta

Alto

4

Alta

3 2

Moderado

3

Moderad a

2

Baja

1

Bajo Leve

1

Muy Baja

Exposición al Riesgo (Impacto y Probabilidad)

Criterios de Calificación

Alt 25.0 o 20.0

R

15.0 10.0

B aj o

5.0 0.0 1.0 Baj o

2.0

3.0

4.0

5.0 Alt

o Gestión / Nivel de Control

Priorización de los riesgos Alto 25.0 4

Exposición al Riesgo Dimensiones

20.0

Mejorar

Monitorear

2 3

Controles 12

15.0 9

10

10.0

7 11

5

Monitorear

5.0

Riesgos RESIDUALES

1

Legado de Cultura Organizacional

2

Liquidez – Efectivo/ Gestión de Deuda

3

Restaurar la Integridad de la Información Financiera

4

Exposición Crediticia del Cliente

5

Infraestructura de IT Ineficiente

6

Exposición Creditica al Por Mayor

7

Incapacidad para cumplir con los requisitos de impuestos de auditoría

8

Dependencia en relaciones claves con proveedores

9

Planeación y Previsión Financiera Ineficiente

10

La Compañía como una adquisición objetivo

11

Enfoque y Alineación de Adquisiciones

12

Obligaciones de cuidado de la Salud

6

1 8

Riesgo Residua lNo.

Aceptar

Riesgos Bajo

0.0 1.0 Bajo

Page 11

2.0

3.0

4.0

5.0

Gestión / Nivel de Control

Estamos alineados con la estrategia de la entidad….?

Page 12

Estrategia de AI y de la entidad

Aproximación basada en el riesgo

Aproximación racional

“Ineficiente, no priorizado”

“Función de AI óptima”

Captura el nivel de riesgo pero no es posible priorizar estratégicamente

Estratégicamente alineado y basado en la evaluación de riesgos

“Función de AI rota”

“Alineado pero no objetivo”

Identificación de problemas por coincidencia y no por planeación

Estratégicamente alineado pero carece de evaluación de riesgos

No hay estrategia

Page 13

Alineado estratégicamente

Aprovechamiento de recursos Definición de procesos del plan de auditoría

Entradas

Expectativas de los reguladores

Cumplimiento Legislación de seguridad social / Impuestos / normas contables / normas de calidad

Rotación Y Seguimiento

Priorización de riesgos y procesos

Disponibilidad de Recursos

Aprobación del Plan General de Auditoria

Priorización de Procesos desde la evaluación de riesgos

Proyectos especiales o auditorías no planeadas No todos los riesgos son cubiertos en el plan

Page 14

Page 15

1 2 3 Conclusiones

Auditoría interna basada en riesgos

Marco profesional para la practica de auditoría

Agenda

Objetivos de control en la auditoría operativa

4

Enfoque del Sistema de Control Interno Ambiente de control

Actividades de control Información y comunicación

Actividad 2

Actividad 1

Unidad B

Evaluación de riesgos

Unidad A

Ambiente de control

Actividades de control

Información y comunicación

4 3 3

Monitoreo

Actividades de monitoreo

Page 16

2

Principios

Evaluación de Riesgos

5

Coso 2013 - MECI 2014

Módulo de evaluación y seguimiento

Módulo de planeación y gestión 5

►

Componente auditoría interna

►

Componente planes de mejoramiento

Ambiente de control

Actividades de monitoreo

COSO

4

Eje trasversal

1

►

Componente del talento humano

►

Direccionamiento estratégico

2

Evaluación de riesgos

Información y comunicación

Módulo de planeación y gestión 3

►

Información y comunicación interna

►

Información y comunicación externa

►

Sistemas de información y comunicación

Actividades de control

Módulo de evaluación y seguimiento ►

Page 17

Componente autoevaluación institucional

►

Componente administración del riesgo

Qué se espera de la auditoría interna?

Page 18

Cómo lograrlo….?

Page 19

Objetivos de control - COSO 1

1

1. Se demuestra compromiso con la integridad y los valores éticos. 2. La Junta Directiva demuestra su independencia de la Administración y ejerce funciones de supervisión. 3. La Administración, con supervisión de la Junta, establece la estructura, líneas de reporte, autoridad y las responsabilidades. 4. La Organización demuestra compromiso para atraer, desarrollar, y retener personas competentes. 5. La Organización establece y refuerza la responsabilidad y rendición de cuentas (accountability)

2

Evaluación de riesgos

3

Actividades de control

4

Información y comunicación

Actividad 1 Actividad 2

Ambiente de control

Unidad B

1

Unidad A

Ambiente de control

2

6. Se especifican los objetivos para facilitar la identificación de los riesgos.

7. La Organización identifica y evalúa los riesgos. 8. La Organización gestiona el riesgo de fraude. 9. Se identifican y evalúan cambios importantes que podrían impactar el sistema de control interno.

Evaluación de Riesgos

3

Actividades de control 3 4

5

Monitoreo

4

Información y comunicación

5 5

Actividades de monitoreo Page 20

10. Se seleccionan y desarrollan actividades de control. 11. Se seleccionan y desarrollan controles generales de TI 12. Se implementan y ejecutan las actividades de control a través de políticas y procedimientos. 13. Se genera información relevante para respaldar el funcionamiento de los otros componentes de Control Interno (CI) 14. La Organización comparte internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar los otros componente de CI. 15. La Organización comunica externamente aspectos que afecten el funcionamiento de los otros componentes de Control Interno. 16. Periódicamente se lleva a cabo evaluaciones independientes para evaluar los componentes de CI 17. Se evalúa y comunica las deficiencias

Objetivos de control - COSO 1

1

1. Se demuestra compromiso con la integridad y los valores éticos. 2. La Junta Directiva demuestra su independencia de la Administración y ejerce funciones de supervisión. 3. La Administración, con supervisión de la Junta, establece la estructura, líneas de reporte, autoridad y las responsabilidades. 4. La Organización demuestra compromiso para atraer, desarrollar, y retener personas competentes. 5. La Organización establece y refuerza la responsabilidad y rendición de cuentas (accountability)

2

Evaluación de riesgos

3

Actividades de control

4

Información y comunicación

Actividad 1 Actividad 2

Ambiente de control

Unidad B

1

Unidad A

Ambiente de control

2

6. Se especifican los objetivos para facilitar la identificación de los riesgos.

7. La Organización identifica y evalúa los riesgos. 8. La Organización gestiona el riesgo de fraude. 9. Se identifican y evalúan cambios importantes que podrían impactar el sistema de control interno.

Evaluación de Riesgos

3

Actividades de control 3 4

5

Monitoreo

4

Información y comunicación

5 5

Actividades de monitoreo Page 21

10. Se seleccionan y desarrollan actividades de control. 11. Se seleccionan y desarrollan controles generales de TI 12. Se implementan y ejecutan las actividades de control a través de políticas y procedimientos. 13. Se genera información relevante para respaldar el funcionamiento de los otros componentes de Control Interno (CI) 14. La Organización comparte internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar los otros componente de CI. 15. La Organización comunica externamente aspectos que afecten el funcionamiento de los otros componentes de Control Interno. 16. Periódicamente se lleva a cabo evaluaciones independientes para evaluar los componentes de CI 17. Se evalúa y comunica las deficiencias

El camino a seguir sugerido

1. Organice equipos de internos para que se familiaricen con el marco COSO-MECI y comprendan los cambios claves e implicaciones para el sistema de control interno de su entidad.

2. Revise y establezca un proceso para relacionar controles existentes con los cinco componentes y 17 principios del marco. Identifique y evalúe si los cambios en los controles y documentación son necesarios.

3. Actualice la documentación del control interno, incluyendo el plan de evaluación y pruebas. Evalúe las deficiencias identificadas.

Dado el papel integral de la gestión el Comité de Auditoría, Comité de Riesgos y otras funciones de gestión de riesgos. Lograr una participación en un acercamiento coordinado para enfrentar los cambios clave a partir de nuevo modelo.

Page 22

Page 23

Objetivos de control de la auditoría operativa

Auditoría interna basada en riesgos

Marco profesional para la practica de auditoría

Agenda

1 2 3 Conclusiones

4 4

Conclusiones

Page 24

#1

Evaluar el nivel de madurez actual de la función auditoría y definir al plan de ruta para llegar al siguiente nivel.

#2

Utilizar la evaluación y gestión de riesgos para apalancar y mejorar permanentemente la función de auditoría.

#3

Apoyar a la entidad en su propósito de lograr un balance entre control, gestión y generación de valor. Optimización de controles

#4

Establecer un proceso para relacionar controles existentes con los cinco componentes y 17 principios del marco coso.

#5

Identificar, sugerir y promover mecanismos para mejorar la gestión de riesgos, control y gobierno en la entidad.

Page 25

Conclusiones

Objetivos de control de la auditoría operativa

Auditoría interna basada en riesgos

Marco profesional para la práctica de auditoría

Agenda

Gracias!

[email protected]

1 2 3 4 4