Qué es la auditoría interna?

Transcripción

1 LA GESTIÓN DEL RIESGO VISIÓN DE LA AUDITORÍA INTERNA Qué es la auditoría interna? Normas Internacionales La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos a través de un enfoque sistemático y disciplinado con el que evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. 1

2 Marco Normativo Responsabilidades de la Auditoría Norma 2010: El Director de Auditoría debe establecer un plan basado en los riesgos.. Norma 1110:.Consejo debe aprobar el plan de auditoría basado en riesgos Norma 2110: La actividad de Auditoría Interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: comunicar la información de riesgo y control a las áreas de la Organización. Norma 1210: los auditores deben tener los conocimientos suficientes para evaluar riesgos. conocimientos suficientes para conocer los riesgos y los controles 2

3 Gestión de Riesgos Toda organización, en el desarrollo diario y continuo de sus actividades, asume riesgos ante los cuales nos podemos comportar de la siguiente manera: Transferir Apetito de Riesgo Evitar Reducir Compartir Aceptar Medidas / Controles Riesgo Inherente Tolerancia al Riesgo Capacidad del Riesgo CONTROLES Riesgo Residual 3

4 Activos Valor de activos Probabilidad de Ocurrencia Amenazas Vulnerabilidades Impacto Riesgo Análisis de Riesgo Históricamente los riesgos se evalúan desde 2 perspectivas. Existen además otras variables (velocidad de aparición) La evolución lógica es ir hacia matrices Multidimensionales 4

5 Mantener y desarrollar el enfoque de gestión de riesgo empresarial Principales roles de la auditoría Interna relacionados con la Gestión de Riesgos Roles legítimos de la auditoría interna pero con limitaciones Roles que la auditoría interna no debe desempeñar La planificación anual de la A.I. necesitará entonces del conocimiento del sistema de gestión de riesgos corporativos. Tras la evaluación de esos riesgos determinaremos las áreas / procesos auditables para incorporar en el plan, dentro del universo auditable. A la hora de desarrollar el plan de auditoría, se debe considerar: Si se han identificado y evaluado todos los riesgos inherentes. Si se han identificado y evaluado todos los riesgos residuales. La bondad del sistema de control interno, las medidas de supervisión y los planes de contingencia. Si todos los riesgos identificados están debidamente documentados, precisamente definidos y son completos. 5

6 El proceso de análisis de riesgos es sistemático y no puede ser estático. El mapa de riesgos de una organización no es trasladable a otro ente (aunque sea desimilar área deactividad). El análisis de riesgos debe considerar la totalidad de riesgos de una empresa, por lo que la existencia de un sistema de riesgos corporativo (de revisión sistemática y periódica) se traduce en una necesidad fundamental de cara al rol de la auditoría interna. Una vez determinadas las áreas más críticas, con mayor exposición para la empresa, se determinará el plan de auditoría correspondiente. A fin de poder desarrollar el plan, se incorpora un nuevo concepto: los controles existentes en la organización. Los riesgos se mitigan mediante Controles eficaces El control interno es un proceso, efectuado por el Consejo de Administración, la Dirección y demás personal de una entidad, diseñado para proporcionar una seguridad razonable respecto al logro de objetivos relacionados a operaciones, reporte y cumplimento. 6

7 Por lo tanto, un plan de auditoría se debe centrar en: Los riesgos existentes El sistema de control Áreas con riesgo muy alto o con diferencial alto (inherente residual) A partir de este momento, podemos determinar el objetivo de los trabajos, el alcance de las revisiones, los recursos necesarios, las capacidades del personal a realizar las revisiones, los tiempos necesarios de trabajo, las posibles necesidades de formación o asistencia de expertos externos, etc. 7

8 EL MODELO COSO EL MODELO COSO El control interno efectivo requiere que: Cada componente y cada principio relevante estén presentes y funcionando Los cinco componentes estén operando juntos de una manera integrada 8

9 EL MODELO COSO La organización específica de los objetivos con suficiente claridad para permitir la identificación y evaluación de riesgos relacionados con los objetivos de la Organización. La organización identifica los riesgos para el logro de sus objetivos a través de toda la organización y analiza los riesgos, como la base para determinar cómo los riesgos deberían ser gestionados. La organización considera la posibilidad de fraude en su evaluación de riesgos para el logro de los objetivos. La organización identifica y evalúa los cambios que podrían afectar significativamente el sistema de control interno. Qué riesgo adicional tenemos hoy en las empresas? 9

10 10

11 I t t l d il t t h i t d Internet y las redes sociales son una potente herramienta de trabajo y marketing PERO puede hundir la reputación de la empresa de manera inmediata. 11

12 Recordar siempre que el análisis de riesgos es un proceso dinámico Muchas gracias 12