Prezi

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in the manual

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Diseño de Un Plan de Auditoria Interna basado en el Enfoque de Riesgo

No description
by Jorge Rojas on 2 December 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Diseño de Un Plan de Auditoria Interna basado en el Enfoque de Riesgo

Diseño de un Plan de Auditoría
Interna Basado en el Enfoque de Riesgo “Bienaventurado el hombre que haya la sabiduría, y que obtiene la inteligencia; porque su ganancia es
mejor que la ganancia de la plata, y sus frutos más que el oro fino.”
PROVERBIOS 3:13-14 Fase 2 de Planificación Fase 3 Presentación y Aprobación del Plan de Auditoría PRESENTACIÓN Y APROBACIÓN
DEL PLAN DE AUDITORÍA INTERNA SEGUIMIENTO AL PLAN DE AUDITORÍA INTER/A Conclusiones y recomendaciones Desarrollo de la estrategia de Auditoría Interna Riesgo Inherente Identificación y Evaluación
del riesgo y factores de Control Ponderación de Riesgo Inherente y factores de control del universo auditable, con base al COSO II ESPECTRUM DEL RIESGO EMPRESARIAL La Fase I de Pre-Planificación, El plan de Auditoría Interna ¿Que es Riesgo? El Espectrum de riesgo, se refiere a la suma de los diversos riesgos a los que las organizaciones están expuestas en el desarrollo de sus negocios. Las empresas deben administrar el riesgo con un punto de vista hacia la maximización de los aciertos en las decisiones estratégicas, asignar recursos de manera proporcional a los riesgos más estratégicos y pertinentes, anticipando y preparando sus respuestas integradas para los riesgos. De acuerdo con la Norma 2010 - Planificación, se debe establecer planes basados en
los riesgos, a fin de determinar las prioridades de la actividad de Auditoría Interna. Dichos
planes deberán ser consistentes con las metas de la organización. Determinación del Universo Auditable Es importante como parte del proceso de Planificación de Auditoría, evaluar el riesgo de cada proceso auditable. Se debe utilizar un enfoque basado en riesgo,
para determinar la importancia relativa de cada proceso y asegurar la asignación eficiente de los recursos de auditoría. El Riesgo Inherente es el riego con el que nace cada actividad o transacción el cual puede ocurrir o materializarse por la ausencia de controles que lo
impidan o detecten. Identificación de Riesgos
Se deben identificar los riesgos (eventos) internos y externos que afectan el logro de los objetivos específicos de cada proceso y/o área (Unidad Organizativa) y en suma de la organización. Por los procesos evaluados (riesgos vrs controles), de acuerdo con los numerales anteriores, Se debe enlistar las auditorias a realizar. Para la programación de las mismas, podría recurrir a sus políticas para la elaboración de papeles de trabajo, considerando indicar para cada proceso a evaluar, un código para su fácil ubicación, así como el nombre correspondiente de la auditoria, además del riesgo que representa, el objetivo y alcance del trabajo e indicar en que trimestre se realizará. Esto le permitirá un adecuado seguimiento. Finalmente, se debe presentar para aprobación el Plan de Auditoría.
Primeramente al Comité de Auditoría para su evaluación. La autorización del
mismo debe estar a cargo de la Alta Gerencia que esté representada por la máxima autoridad de la organización (Junta Directiva, Consejo de Administración) Se debe informar a la máxima autoridad el
desempeño del Plan de Auditoría, previo a la evaluación producto del seguimiento que realice el Comité de Auditoría.Normalmente se realiza cada trimestre y/o, a requerimiento.

Se debe considerar informar situaciones que le impidan el normal desempeño del plan, considerando: Rotación de Personal, actividades no planificadas, recursos
no adquiridos.

Cuando suceden cambios en la organización, el Plan de Auditoría Interna debe modificarse hacia las nuevas auditorias a realizar, de manera que es necesario establecer un proceso de seguimiento, para orientar a la alta administración a los nuevos riesgos encontrados y vigilar que la disposición de los resultados sean comunicados. El Riesgo es considerado como la posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad. El Espectrum de riesgo dependerá del tipo de empresa. A continuación, se
detallan algunos de los tipos de riesgos que pueden enfrentar las empresas,
las que dependiendo el giro afrontarán: Riesgo Crediticio Riesgo de Mercado Riesgo de País Riesgo de Conversión Riesgo de Transferencia Riesgo Soberano RESPUESTAS AL RIESGO POR PARTE DE LA ADMINISTRACIÓN Los controles internos son un método habitual para reducir el impacto negativo potencial del riesgo y la incertidumbre.
Una vez identificados los riesgos relacionados con cada uno de los objetivos, una organización puede comenzar a establecer una plataforma que le permita una revisión de toda su estrategia. La administración identifica las opciones de respuesta al riesgo y considera
sus efectos sobre la probabilidad e impacto del evento, en relación a las
tolerancias de riesgos y costos versus beneficios. Las respuestas incluyen:
• Evadir
• Compartir
• Reducir
• Aceptar Una vez identificado las respuestas la administración debe evaluar estas
posibles respuestas en cuanto a:
• Impacto
• Probabilidad
• Costo vs. Beneficio
• Respuestas Innovadoras
La administración puede tomar decisiones con una visión integral después de
haber evaluado las posibles respuestas a nivel de entidad, unidad de negocio
y base inherente residual. Por tanto es necesario que se elabore, desarrolle y aplique un proceso de planificación basado en riesgo para aportar a la administración, opiniones (conclusiones) sobre los
procesos claves (principales) y/o líneas de negocios de la empresa.
El proceso de planificación, está conformado por 4 fases:
I. Pre-planificación
II. Planificación
III. Aprobación del Plan de Auditoria
IV. Seguimiento al Plan de Auditoria La utilidad de determinar el Universo Auditable, es obtener y lograr un conocimiento de la estructura de la organización, comprender los procesos dentro de ésta, su ambiente de control y tener muy claro los objetivos y requerimientos legales que debe cumplir la organización como parte de su negocio en marcha. OBTENCIÓN DE LA INFORMACIÓN RELEVANTE DE LA ORGANIZACIÓN
PARA DEFINIR EL UNIVERSO AUDITABLE OBTENCIÓN DE LA INFORMACIÓN CUSTODIADA Y/O GENERADA POR EL DEPARTAMENTO DE AUDITORÍA INTERNA CAMBIOS SIGNIFICATIVOS EN EL NEGOCIO, OPERACIONES,
PROGRAMAS, SISTEMAS Y CO/TROLES DE LA ORGANIZACIÓN CAMBIOS Y CAPACIDADES DEL PERSONAL DE AUDITORÍA INTERNA Planes Estratégicos
Planes Operativos
Estados Financieros
Plataforma Tecnológica y Sistema de Información Gerencial. Información Generada Información Custodiada Resultados de Años Anteriores
Evaluaciones de riesgo Y control Practicadas
Solicitudes recibidas del consejo de Admón y Alta Dirección Informes de Auditores Externos
Informes de los reguladores:
Hacienda, Superintendencias, Organismos Internacionasles Se debe de indagar con base al Plan Estratégico los cambios significativos que puedan afectar los procesos de control, ya que si hay algún cambio en el sistema contable, de producción, de inventario, de ventas, apertura de nuevos negocios, sucursales, tendría como auditor estar
preparado a contemplar dentro de mi Plan de Auditoría estas nuevas evaluaciones a realizar, o modificar los controles que tenia preparados para
la evaluación de los riesgos. De modo que le permita a la actividad de Auditoría Interna cumplir con sus responsabilidades sin tropiezo alguno. El Departamento de Auditoría Interna debe estar integrado con personal que posea suficiente conocimiento profesional, experiencia técnica y el entrenamiento adecuado para planear, organizar y ejecutar de la manera más eficiente y económica el trabajo de auditoría. Evaluación de los Auditores que conforman la estructura del Dpto. de Auditoría Interna: Competencia, Rotación de Personal, Aprendizaje, Plan de capacitación. Equipo 3
Carolina Torres
Jorge Rojas
Eduardo Yanez • Naturaleza de las actividades de las áreas y operatividad que realiza.
• Antecedentes de recomendaciones significativas de auditorías anteriores.
• Naturaleza de las transacciones y factores de riesgo inherente.
• Variables de alto y bajo riesgo. Factores que ayudan a determinar el grado del riesgo inherente Variables
de Alto y
Bajo Riesgo
Factores de
Riesgo Evaluación del Riesgo
La primera pregunta es ¿Cómo afectan los riesgos el logro de objetivos de la
organización (por área, Unidad Organizativa)? Es necesario contar con
estadísticas para establecer la PROBABILIDAD de los eventos ocurridos
para establecer parámetros de las posibilidades en que ocurrirán los eventos.
Sino, en la medida se implementen se iniciará con el registro de
observaciones. En una organización que haya implementado un Sistema de
Gestión de Calidad se pueden retomar la oportunidad de mejora identificadas
como parte del mismo sistema. Para la determinación, de la evaluación de controles: Para la estimación del riesgo, se deberá realizar lo siguiente: Identificación de riesgos: Paso 1:
Se identifican los procesos claves de la organización
Paso 2:
Identificar los riesgos que afectan los procesos identificados
Paso 3:
Identificar el tipo de riesgo de acuerdo al Espectrum de riesgos de la
organización. Paso 4:
Describir el riesgo identificado
Para la identificación de los riesgos en los procesos claves de la
organización, pueden apoyarse en la siguiente matriz. Tipo de Riesgo: De acuerdo al Espectrum definido.
Riesgo: Eventos que no le permitan alcanzar los objetivos, metas del Proceso.
Descripción del Riesgo: Explicación del evento identificado
Para calificar, analizar y evaluar los riesgos en los procesos claves, posterior
al haber identificado los riesgos importantes en dichos procesos, se deberá
estimar con la combinación de información (suficiente) la probabilidad y
posibles ocurrencias, mereciendo especial atención, en aquellos que
muestren peores consecuencias. PASO 5:
Se debe establecer la POLÍTICA para la calificación del riesgo: bajo,
medio y alto. La siguiente ponderación es un ejemplo: ALTO MAYOR 70
MEDIO ETRE 40 y 70
BAJO MEOR 40 PASO 6:
Para cada riesgo identificado se determinará el riesgo inherente considerando
la probabilidad de ocurrencia y su consecuencia. Como ejemplo se pueden
utilizar las siguientes categorías: Matriz de Valoración del Riesgo: CALCULO DEL RIESGO INHERENTE:
Se calcula para los PROCESOS MAS IMPORTANTES de la organización
Para cada proceso, se consideran los riesgos que van afectar el proceso.
Para cuando un sólo riesgo afecta el proceso:
Fórmula del Riesgo Inherente: Promedio de probabilidad de frecuencia (+)
consecuencia
Cuando varios riesgos afectan al proceso:
Fórmula: Suma de los promedios de todos los riesgos que afectan al proceso.
Para la totalidad (espectrum) de riesgos inherentes de la organización:
Fórmula: Promedio de todos los riesgos inherentes de cada riesgo. Se investigan los controles para cada riesgo identificado como alto y medio. PASO 8: Identificar los riesgos que transfiere la organización (p.e. pólizas de seguro).
Para los riesgos que son aceptados, se indaga que medidas de protección
existen que apoyen a reducir esos riesgos, logrando obtener el riesgo
residual. PASO 7: PASO 9: Los factores de control utilizados como parte del sistema de control en la
organización, el Auditor Interno deberá considerar evaluar los controles para
cada proceso haciendo referencia a los 5 componentes de COSO, esto como
mejor practica. En contrario, si la organización tuviere un modelo de control
interno, entoces ese deberá ser utilizado por el auditor. En el siguiente modelo de Matriz, se deberá representar para cada riesgo medio y alto, los riesgos inherentes y controles, hasta la determinación del riesgo residual. Se estima de acuerdo de una escala del 1 al 100. Por ejemplo: Un valor de 20: Quiere decir que es la administración del control sobre el riesgo que afecta a cada proceso. El máximo puntaje que daremos al control para cada riesgo, será igual al valor del riesgo o dividido entre los diferentes riesgos (Probabilidad + ocurrencia)/2 (si en un riesgo) pero si el control me cubre diferentes riegos lo dividiré entre ese número de riesgos. Si el control mitiga el riesgo, le daré el puntaje igual al riesgo para mitigarlo, caso contrario, sería menor, y la diferencia es el riesgo residual. La estimación del control es una situación de juicio (cualitativa) con base al conocimiento y competencia debida para cada proceso. CONSIDERACIÓN DEL CONTROL PARA CADA RIESGO: Fórmula de control:(Promedio) Sumatoria controles de los riesgos/# de Riesgos
Fórmula del Riesgo Residual del Proceso:Riesgo Inherente – Control
Fórmula del Riesgo Residual del Portafolio:Promedio de los riesgos residuales de todos los procesos PASO 10: Documentar la evaluación del riesgo (por medio de la matriz de colores de
riesgo). Finalmente, posterior a la identificación, medición y control de los
riesgos, podrá mapearse los riesgos, con el objeto de que se visualice de
forma gráfica (a manera de ejemplo) el Espectrum de riesgos de la
organización, base importante para el Plan de Auditoría. El auditor podría
considerar utilizar otro tipo de gráfico para representar el mapa de riesgo. Entre la información a incluir para considerar la estrategia de auditoría:
Descripción del Negocio de la Organización, así como de los procesos más importantes
Evaluación de riesgo de los procesos
Evaluación de controles de los procesos
Debilidades de control previamente identificadas, como
parte de auditorías anteriores tanto de Auditoría Interna,
como de los reguladores
Requerimientos de recursos: Materiales y económicos
Requerimientos de personal (auditores)
Auditorias claves a planear El Plan de Auditoría, debe ser preparado y presentado en un documento formal,
incluyendo como mínimo, lo siguiente:
• Carátula
• Índice
• Introducción
• Visión, Misión de Auditoría Interna
• Metas de Auditoría Interna
• Metodología de Auditoría
• Perfil de la Organización
• Evaluación de Riesgos Clave de la organización
• Plan Anual para proyectos de auditoría de alto riesgo
• Detalle de los compromisos de consultoría acordados con la administración
• Requerimientos de recursos materiales y económicos
• Estrategia de Personal
• Cronograma de Proyectos de Auditoría: Aseguramiento y Consultorías Fase 4 Seguimiento
Al Plan de Auditoría Se sugiere a los Auditores Internos promuevan la implementación de un proceso para la elaboración del Plan de Auditoría, basado en la evaluación de riesgos bajo el enfoque de modelo COSO II – ERM, con el objeto de priorizar las auditorias en aquellos procesos de mayor riesgo operativo.

Se sugiere, considerar para la elaboración del Plan de Auditoria, el Marco para la Práctica Profesional emitido por el IIA. Considerando la realización de servicios de aseguramiento y consultoría. Este permitirá desempeñar la función de auditoría con un enfoque sistematizado y disciplinado que permita mejorar la eficacia de los procesos de gestión de riesgos, control interno y gobierno corporativo en toda la organización. Se sugiere que la Alta Gerencia, considere la creación de un Comité de Auditoría, que apoye a la función de Auditoría Interna, principalmente para la aprobación y seguimiento del Plan de Auditoría Interna, así como para incitar hacia la practicidad de evaluaciones de la calidad sobre el trabajo que
desempeñan los auditores internos.

En busca de mejorar la profesión de Auditoría Interna es necesario que los profesionales programen, de una forma táctica, seminarios que ayuden a fortalecer las debilidades del departamento de Auditoría Interna. La mayoría de las empresas cuentan con un sistema de evaluación de riesgo en su planeación estratégica y el enfoque más común de control interno entre las organizaciones es COSO, sin embargo no es retomado por la mayoría de Auditores Internos para la evaluación del control. Falta comunicación entre la Auditoría Interna y la Alta Gerencia en el proceso de planificación del trabajo de Auditoría Interna, llevando de manera separada el desarrollo de su trabajo, lo que conlleva a que el trabajo de los auditores
presente deficiencia y sea considerado más correctivo que preventivo, enfocándose más en supervisar controles internos implementados por la administración más que apoyar a mejorar los sistemas de control que permitan alinear su trabajo a los objetivos de la organización.

El personal de Auditoría Interna es considerado altamente calificado por su experiencia en el campo, pero a pesar de ello, la Alta Gerencia expresa que no cumplen sus expectativas al sentir que no representan un apoyo para la consecución de las metas de la organización y sugieren que deben mejorar en ciertos aspectos como: involucrarse más en los proyectos estratégicos de la organización, dando su opinión desde el diseño de los mismos y no hasta que ya se han ejecutado además de aplicar todos los componentes de COSO.
See the full transcript