Los objetivos de control en la auditoría operativa y basada en riesgos.

Transcripción

1 Los objetivos de control en la auditoría operativa y basada en riesgos. Norman Arturo Gutiérrez Niz Líder de Auditoría Interna y Control Interno EY - Advisory Services

2 Agenda Marco profesional para la práctica de auditoría interna Auditoría interna basada en riesgos Objetivos de control en la auditoría operativa Conclusiones Page 2

3 Agenda Marco profesional para la práctica de auditoría interna Auditoría interna basada en riesgos Objetivos de control de la auditoría operativa Conclusiones Page 3

4 Marco profesional para la práctica de AI Requerimientos de cumplimiento obligatorio Propósito fundamental de la función. Principios y expectativas que rigen la conducta de las personas y las organizaciones. Declaración de IIA para ayudar a comprender los problemas significativos relacionados con gobierno,riesgos controles. Temas de enfoque, metodología y recomendaciones. Guía detallada para realizar las actividades de auditoría. Page 4

5 Roles del Auditor Interno Aseguramiento Cumplimiento normativo Aplicación de políticas y procedimientos Evaluación de procesos Presentación de hallazgos y recomendaciones Revisión del manejo de los riesgos claves Consultoría Apoyo de los proceso de gestión de riesgos Facilitación, identificación y evaluación de riesgos Desarrollo de estrategias de gestión de riesgos para aprobación de la alta dirección Alineación con la estrategia Page 5

6 Estamos logrando generar el valor esperado por los grupos de interés.? Page 6

7 Oportunidades a trabajar Page 7

8 Hacia donde deberíamos ir.. No negociable Aseguramiento confiable Aseguramiento confiable Cubrir el espectro de gobierno, gestión de riesgos y control interno. Ofrecer una evaluación confiable de la gestión de riesgos y controles en tiempo real. Cumplimiento normativo. Altamente efectiva Rápida respuesta Flexible y adaptativa Fácil escalabilidad y mejoramiento Costo - Efectividad Altamente Efectiva Gap de valor El Gap de Valor representa la oportunidad de mejoramiento a largo plazo. Orientación al mejoramiento Orientación al mejoramiento Facilitar la gestión del riesgo, control y gobierno a través de la empresa Apoyar el diagnóstico de problemas Anticipar problemas: menos sorpresas" Apoyar la solución de problemas conocidos - y si no, por qué no? Intercambio de buenas prácticas Page 8

9 Agenda Marco profesional para la practica de auditoría Auditoría interna basada en riesgos Objetivos de control de la auditoría operativa Conclusiones Page 9

10 Gestión de riesgos Estrategias de respuesta al riesgo Probabillidad RiesgoC RiesgoA RiesgoB Riesgo Inherente Evaluación Actividades de Gestión Y Control Riesgo Residual Plan de Auditoría Medidas de Tratamiento Velocidad Criterios de Calificación 5 Esperada 4 Alta 3 Probable 2 Baja 1 Leve 5 Significante 4 Alto 3 Moderado 2 Bajo 1 Leve 5 Muy Alta 4 Alta 3 Moderad a 2 Baja 1 Muy Baja Exposición al Riesgo (Impacto y Probabilidad) Alt 25.0 o 20.0 B aj o R Baj Alt o o Gestión / Nivel de Control Page 10

11 Priorización de los riesgos Alto Exposición al Riesgo Dimensiones Bajo Mejorar 7 11 Monitorear Riesgos Bajo Gestión / Nivel de Control Monitorear Controles 12 Aceptar Riesgo Residua lno Riesgos RESIDUALES Legado de Cultura Organizacional Liquidez Efectivo/ Gestión de Deuda Restaurar la Integridad de la Información Financiera Exposición Crediticia del Cliente Infraestructura de IT Ineficiente Exposición Creditica al Por Mayor Incapacidad para cumplir con los requisitos de impuestos de auditoría Dependencia en relaciones claves con proveedores Planeación y Previsión Financiera Ineficiente La Compañía como una adquisición objetivo 11 Enfoque y Alineación de Adquisiciones 12 Obligaciones de cuidado de la Salud Page 11

12 Estamos alineados con la estrategia de la entidad.? Page 12

13 Estrategia de AI y de la entidad Aproximación basada en el riesgo Ineficiente, no priorizado Captura el nivel de riesgo pero no es posible priorizar estratégicamente Función de AI óptima Estratégicamente alineado y basado en la evaluación de riesgos Aproximación racional Función de AI rota Identificación de problemas por coincidencia y no por planeación Alineado pero no objetivo Estratégicamente alineado pero carece de evaluación de riesgos No hay estrategia Alineado estratégicamente Page 13

14 Aprovechamiento de recursos Entradas Priorización de Procesos desde la evaluación de riesgos Expectativas de los reguladores Cumplimiento Legislación de seguridad social / Impuestos / normas contables / normas de calidad Rotación Y Seguimiento Priorización de riesgos y procesos Disponibilidad de Recursos Aprobación del Plan General de Auditoria Definición de procesos del plan de auditoría Proyectos especiales o auditorías no planeadas No todos los riesgos son cubiertos en el plan Page 14

15 Agenda Marco profesional para la practica de auditoría 2Auditoría interna basada en riesgos Objetivos de control en la auditoría operativa Conclusiones Page 15

16 Enfoque del Sistema de Control Interno Ambiente de control 5 Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Monitoreo Unidad A Unidad B Actividad 1 Actividad 2 Evaluación de Riesgos Actividades de control Información y comunicación Principios Actividades de monitoreo 2 Page 16

17 Coso MECI 2014 Módulo de evaluación y seguimiento Módulo de planeación y gestión Componente auditoría interna Componente planes de mejoramiento 5 Actividades de monitoreo 1 Ambiente de control Componente del talento humano Direccionamiento estratégico 4 COSO 2 Eje trasversal Información y comunicación Evaluación de riesgos Módulo de planeación y gestión 3 Información y comunicación interna Información y comunicación externa Actividades de control Componente administración del riesgo Sistemas de información y comunicación Módulo de evaluación y seguimiento Componente autoevaluación institucional Page 17

18 Qué se espera de la auditoría interna? Page 18

19 Cómo lograrlo.? Page 19

20 Objetivos de control - COSO Ambiente de control Se demuestra compromiso con la integridad y los valores éticos. 2. La Junta Directiva demuestra su independencia de la Administración y ejerce funciones de supervisión. 3. La Administración, con supervisión de la Junta, establece la estructura, líneas de reporte, autoridad y las responsabilidades. 4. La Organización demuestra compromiso para atraer, desarrollar, y retener personas competentes. 5. La Organización establece y refuerza la responsabilidad y rendición de cuentas (accountability) Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Monitoreo Unidad A Unidad B Actividad 1 Actividad 2 Evaluación de Riesgos Actividades de control 2 3 Información y comunicación Se especifican los objetivos para facilitar la identificación de los riesgos. 7. La Organización identifica y evalúa los riesgos. 8. La Organización gestiona el riesgo de fraude. 9. Se identifican y evalúan cambios importantes que podrían impactar el sistema de control interno. 10. Se seleccionan y desarrollan actividades de control. 11. Se seleccionan y desarrollan controles generales de TI 12. Se implementan y ejecutan las actividades de control a través de políticas y procedimientos. 13. Se genera información relevante para respaldar el funcionamiento de los otros componentes de Control Interno (CI) 14. La Organización comparte internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar los otros componente de CI. 15. La Organización comunica externamente aspectos que afecten el funcionamiento de los otros componentes de Control Interno. 5 Actividades de monitoreo 16. Periódicamente se lleva a cabo evaluaciones independientes para evaluar los componentes de CI 17. Se evalúa y comunica las deficiencias Page 20

21 Objetivos de control - COSO Ambiente de control Se demuestra compromiso con la integridad y los valores éticos. 2. La Junta Directiva demuestra su independencia de la Administración y ejerce funciones de supervisión. 3. La Administración, con supervisión de la Junta, establece la estructura, líneas de reporte, autoridad y las responsabilidades. 4. La Organización demuestra compromiso para atraer, desarrollar, y retener personas competentes. 5. La Organización establece y refuerza la responsabilidad y rendición de cuentas (accountability) Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Monitoreo Unidad A Unidad B Actividad 1 Actividad 2 Evaluación de Riesgos Actividades de control 2 3 Información y comunicación Se especifican los objetivos para facilitar la identificación de los riesgos. 7. La Organización identifica y evalúa los riesgos. 8. La Organización gestiona el riesgo de fraude. 9. Se identifican y evalúan cambios importantes que podrían impactar el sistema de control interno. 10. Se seleccionan y desarrollan actividades de control. 11. Se seleccionan y desarrollan controles generales de TI 12. Se implementan y ejecutan las actividades de control a través de políticas y procedimientos. 13. Se genera información relevante para respaldar el funcionamiento de los otros componentes de Control Interno (CI) 14. La Organización comparte internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar los otros componente de CI. 15. La Organización comunica externamente aspectos que afecten el funcionamiento de los otros componentes de Control Interno. 5 Actividades de monitoreo 16. Periódicamente se lleva a cabo evaluaciones independientes para evaluar los componentes de CI 17. Se evalúa y comunica las deficiencias Page 21

22 El camino a seguir sugerido 1. Organice equipos de internos para que se familiaricen con el marco COSO-MECI y comprendan los cambios claves e implicaciones para el sistema de control interno de su entidad. 2. Revise y establezca un proceso para relacionar controles existentes con los cinco componentes y 17 principios del marco. Identifique y evalúe si los cambios en los controles y documentación son necesarios. 3. Actualice la documentación del control interno, incluyendo el plan de evaluación y pruebas. Evalúe las deficiencias identificadas. Dado el papel integral de la gestión el Comité de Auditoría, Comité de Riesgos y otras funciones de gestión de riesgos. Lograr una participación en un acercamiento coordinado para enfrentar los cambios clave a partir de nuevo modelo. Page 22

23 Agenda 1Marco profesional para la practica de auditoría Auditoría interna basada en riesgos Objetivos de control de la auditoría operativa 2 3 Conclusiones 4 4 Page 23

24 Conclusiones #1 #2 #3 Evaluar el nivel de madurez actual de la función auditoría y definir al plan de ruta para llegar al siguiente nivel. Utilizar la evaluación y gestión de riesgos para apalancar y mejorar permanentemente la función de auditoría. Apoyar a la entidad en su propósito de lograr un balance entre control, gestión y generación de valor. Optimización de controles #4 Establecer un proceso para relacionar controles existentes con los cinco componentes y 17 principios del marco coso. #5 Identificar, sugerir y promover mecanismos para mejorar la gestión de riesgos, control y gobierno en la entidad. Page 24

25 Agenda 1Marco profesional para la práctica de auditoría Auditoría interna basada en riesgos Objetivos de control de la auditoría operativa Conclusiones Gracias! Page 25