EN BUSCA DE LAS MEJORES PRÁCTICAS DE AUDITORIA

Transcripción

1 EN BUSCA DE LAS MEJORES PRÁCTICAS DE AUDITORIA Mejores Prácticas en Evaluación de Riesgos en una Empresa de Telecomunicaciones Katia Ortiz - MAI, MAG, CPA Vicepresidente Auditoría a Interna Del 4 al 7 de Agosto del 2011 Hard Rock Hotel, Bávaro, República Dominicana

2 Agenda 1. Objetivo 2. Algunos Conceptos sobre Riesgo 3. Fases de Implantación 4. Sistema de Evaluación n de Riesgos en Tricom 5. Lecciones Aprendidas y Conclusión

3 Objetivo Compartir con ustedes nuestra experiencia en la implantación del modelo de evaluación de riesgos en la empresa de telecomunicaciones y entretenimiento Tricom.

5

6

7

8 Algunos Conceptos Riesgo Empresarial: futuros eventos inciertos, los cuales pueden influir en el cumplimiento de los objetivos de las organizaciones, incluyendo sus estrategias financieras y operacionales. Proceso de Gestión de Riesgos: Es un proceso estructurado, consistente y continuo que permite identificar, evaluar, medir y reportar riesgos y oportunidades que pueden afectar el logro de los objetivos de la organización. * ERM: Enterprise Risk Management Apetito por el Riesgo Apetito por el Riesgo: Es el máximo nivel de riesgo que los accionistas están dispuestos a aceptar. a. Sirve para definir la estrategia. b. Direcciona la asignación de recursos. c. Alinea personal, procesos e infraestructura.

9 Algunos Conceptos Riesgo Operativo: se define como el riesgo de pérdidas derivadas de fallas en los procesos internos, en los sistemas, en la actuación del personal, por eventos externos, o por procesos internos no adecuados. Gente: Incumplimiento por desconocimiento o intencional de políticas internas. Procesos: Deficiencias en los procesos o la ausencia de estos. Sistemas: Caída o violación de los sistemas o de las informaciones que manejan. Externos: Fuerzas naturales o humanas o de la acción directa de terceros.

10 Algunos Conceptos Evolución de la Gestión de Riesgos

11 Algunos Conceptos

12 Algunos Conceptos Ernst & Young Radar de Riesgos por Sector

17 Ernst & Young Radar de Riesgos por Sector

18 Agenda 1. Objetivo 2. Algunos Conceptos sobre Riesgo 3. Fases de Implantación 4. Sistema de Evaluación de Riesgos en Tricom 5. Lecciones Aprendidas y Conclusión

19 Fases de Implantación Sistema Evaluación de Riesgos Fase 1 Fase 2 Fase 3 Fase 4 Definición Definición Alcance y Alcance y Planificación Planificación Evaluación Evaluación Identificación Identificación Document. Document. Controles Controles Remediación Remediación y y Prueba Prueba Gerencia, Comité de Auditoría Auditores Internos Fase 5 Monitoreo Monitoreo Continuo Continuo

20 Fase 1/5: Definir Alcance y Planificar Sistema Evaluación de Riesgos 1. Planificar Proyecto 3. Identificar Herramientas 5. Identificar los Procesos TEXT 2. Organizar Equipo 4. Identificar Cuentas Materiales 6. Identificar los Sistemas

21 Fase 1/5: Definir Alcance y Planificar 1.1 Planificar Proyecto

22 Fase 1/5: Definir Alcance y Planificar 1.2 Organizar el Equipo Finanzas Informática Sistemas y Procedimientos Junta de Directores Operaciones Presidencia Auditoría Interna Equipo de revisión: 10 integrantes

23 Fase 1/5: Definir Alcance y Planificar 1.3 Identificar Marco de Referencia y Herramientas COSO - ERM

24 Modelo abierto de riesgos en base a eventos (Modelo de Identificación). Identificación de Riesgos por Gestores. Evaluación según impacto / severidad y probabilidad de ocurrencia / frecuencia. Cuantificación económica de los Riesgos. Tolerancia al riesgo definida conjuntamente con los Gestores. Seguimiento continuo.

25 Fase 1/5: Definir Alcance y Planificar 1.3 Identificar Marco de Referencia y Herramientas COSO - ERM Software ERA Software COBIT ERA Enterprise Risk Assessor Software creado por la Empresa Methoware

26 Fase 1/5: Definir Alcance y Planificar 1.4 Identificar Cuentas Materiales Factores Cuantitativos: Cuentas contables sobre RD$10MM anual Factores Cualitativos: Salvaguarda de Activos Determinación de Provisiones Preparación de Reportes Financieros Naturaleza y composición de la cuenta Volumen de transacciones, complejidad y Homogeneidad Transacciones con partes relacionadas

27 Fase 1/5: Definir Alcance y Planificar 1.5 Identificar los Procesos Proceso de Ventas Proceso de Instalación Proceso de Compras Proceso de Inventario Proceso Revisión Cuentas Contables Proceso de Contabilidad Proceso de Inventario Proceso de Activos Fijos Proceso de Facturación Proceso de Pago Comisiones Proceso de Nómina Entre otros

28 Fase 1/5: Definir Alcance y Planificar 1.6 Identificar los Sistemas Ordenes de Servicios Facturación Rating Comisiones Contabilidad Inventario Activos Fijos Nómina Ordenes de Compra Pagos Entre otros

30 Fase 2/5: Evaluación y Definición Sistema Evaluación de Riesgos 1. Evaluar Riesgo a Nivel de Entidad 3. Relacionar Cuentas con Procesos 5. Evaluar el Entorno TEXT de Control 2. Evaluar Riesgos de las Cuentas 4. Identificar Riesgos de los Procesos 6. Evaluar Tecnología de Información

31 Fase 2/5: Evaluación y Definición Identificar Riesgos de los Procesos (eventos) Técnicas utilizadas: Levantamiento del Mapa de Procesos Entrevistas y Reuniones Análisis Flujos de Procesos Identificación de Indicadores de Riesgos

32 Fase 2/5: Evaluación y Definición Modelo Corporativo de Análisis de Riesgos

33 Fase 2/5: Evaluación y Definición

34 Fase 2/5: Evaluación y Definición

35 Fase 2/5: Evaluación y Definición Categoría de Riesgo Externos Sub-categoría de Riesgo 1 Sub-categoría de Riesgo 2 Desastres y Fallas en Servicios Públicos de Infraestructura Riesgo Regulatorio Riesgo Político / de Gobierno Incendio Inundación Otros de la naturaleza (geológicos / meteorológicos) Desastres civiles Falla de transporte Falla de energía Falla en telecomunicaciones externas Interrupción en el suministro de agua Indisponibilidad del edificio Otro Regulador cambia reglas en la industria / país Guerra Expropiación de activos Negocio bloqueado Cambio en el régimen impositivo Otros cambios en la ley Otro

36 Fase 2/5: Evaluación y Definición Preguntas que nos Ayudarán a Identificar los Riesgos

37

38 Fase 2/5: Evaluación y Definición Evaluamos el impacto de los riesgos identificados usando la siguiente escala:

39 Fase 2/5: Evaluación y Definición Evaluamos la probabilidad de que ocurran los riesgos usando la siguiente escala:

40 Fase 2/5: Evaluación y Definición Matriz de Impacto Vs. Probabilidad Probabilidad de Ocurrencia Casi Certeza Probable Posible Improbable Muy Alto Alto Raro Moderado Bajo 1 Insignificante 2 Menor 3 Moderado 4 Mayor 5 Catastrófico Magnitud del Impacto

41 Fase 2/5: Evaluación y Definición Muy Alto Riesgo Moderado Riesgo Alto I M P A C T O Compartir Aceptarlo Bajo Riesgo Mitigar y Controlar Controlar Riesgo Moderado Bajo (Remota) PROBABILIDAD Alto (Probable)

43 Fase 3: Identificación y Documentación - Software ERA - 1. Identificar Controles de Riesgos 275 Riesgos 590 Controles 2. Evaluar Diseño Control según COSO ERA Enterprise Risk Assessor Software creado por la Empresa Methoware

45 Fase 4: Prueba y Remediación 1. Diseñar Pruebas y Programas de Auditoría 2. Ejecutar las Pruebas de Control 3. Comunicar Resultados 4. Corregir las Deficiencias

47 Fase 5: Monitoreo 1. Desarrollar Sistema de Monitoreo 2. Diseñar Sistema de Consecuencias 3. Monitoreo Continuo

49 ERM en Tricom Junta de Directores / Staff Ejecutivo Aprueba y Distribuye recursos Políticas - Procedimientos Responsables Unidades de Negocio Auto-evaluaciones Implementa Cambios Administra el Riesgo Monitoreo Continuo Planes de Acción de los Informes de Auditoría Vicepresidentes Directores Gerentes Aseguramiento Auditoría Interna Evalúa el proceso Revisa las auto-evaluaciones Prueba los Controles

50 ERM en Tricom Mecanismos de Control Interno 1. Ambiente de Control Manual de Normas de Conducta. Comité de Cumplimiento de Normas de Conducta. Canales de denuncias. Formulario de Declaración Normas de Conducta. Sistema Acciones Significativas. El Staff Ejecutivo fomenta el cumplimiento de normas, políticas y procedimientos y de la administración de riesgo. 2. Evaluación de Riesgo Los riesgos inherentes de los principales procesos de las operaciones de la base financiera de la empresa están documentados en el Software ERA, bajo el marco de referencia de COSO y SOX. Las operaciones de Tecnología de Información (TI) están documentadas en el Software COBIT Advisor.

51 ERM en Tricom Mecanismos de Control Interno 3. Actividades de Control Website en Intranet con las políticas y procedimientos accesible a los Colaboradores. Check List de controles de autoevaluación. Workflow solicitud y autorización de procesos. Infraestructura tecnológica estable y una robusta red interna y externa. Aplicaciones con alarmas de eventos críticos. Logs de Auditoría en Base de Datos de aplicaciones críticas. Sistema de Prevención de Intrusos (IPS). Servidores y switches a la vanguardia de la tecnología. Notificación automática de hallazgos de Auditoría pendientes Control acceso automático a las instalaciones, alarmas y circuito cerrado.

52 ERM en Tricom Mecanismos de Control Interno 4. Información y Com. Sistema de comunicación formal. Programa de Embajadores de Marca. Intranet con informaciones sobre departamentos, procesos, servicios, etc. Plataforma de Extranet para interacción con los Canales y Distribuidores. Protocolo de Comunicación Áreas de Servicios. 5. Supervisión Supervisores disponen de check list de controles para la ejecución del Monitoreo Continuo. Sistemas de Información Gerencial. Evaluación del desempeño anual. Periódicamente Auditoría Interna recibe retroalimentación sobre los resultados de las rutinas de control check list de los principales procesos.

53 Vistas del Sistema de Vista Evaluación Software de Riesgos ERA Áreas de Riesgo ERA Enterprise Risk Assessor Software creado por la Empresa Methoware

54 Vistas del Sistema de Evaluación de Riesgos Cuentas Contables ERA Enterprise Risk Assessor Software creado por la Empresa Methoware

55 Vistas del Sistema de Vista Evaluación Software de Riesgos ERA Pantalla de Riesgos ERA Enterprise Risk Assessor Software creado por la Empresa Methoware

56 Vistas del Sistema de Vista Evaluación Software de Riesgos ERA Pantalla relación Proceso Riesgo - Controles ERA Enterprise Risk Assessor Software creado por la Empresa Methoware

57 Vistas del Sistema de Vista Evaluación Software de Riesgos ERA Pantalla Principal del Sistema ERA Enterprise Risk Assessor Software creado por la Empresa Methoware

58 Vistas del Sistema de Evaluación de Riesgos TI

60 Desafíos del Proyecto Gran alcance Cronograma ajustado Outsourcing en la implementación del proyecto? Definición del Equipo de Trabajo Elección del Software de documentación Cambio cultural (Concienciar sobre Control Interno) Implementación de un Proceso de Auto-evaluación Manual de Normas de Conducta Creación del Comité de Cumplimiento Mantener el Modelo de Control Interno

61 Lecciones Aprendidas Involucramiento de toda la Organización desde la Junta de Directores hasta los niveles básicos Adaptar la Organización a la cultura de Control Interno. El Control Interno es responsabilidad de Todos Proceso Mejora Continua Auto-evaluación de los controles La documentación de los Procedimientos y Políticas es vital para la agilización del Proceso

62 ... Si tomas riesgos, podrías fallar. Pero si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada... Jack Welch Ex - CEO General Electric

63 Gracias por su atención!!! Katia Ortiz, Vicepresidente Auditoría Interna Tricom Tels:

64 Katia Ortiz, Vicepresidente Auditoría Interna Licenciada en Contabilidad, CPA, con Maestría en Auditoría Integral y Control de Gestión de doble titulación en la Universidad APEC y Universidad de Valencia. También posee una Maestría en Alta Gerencia (MAG) concentración en Finanzas en la Universidad Intec. Diplomado en Auditoría Forense e Investigación Legal y Diplomado en Alta Gestión Empresarial. Más de 15 años de experiencia en Auditoría, ha desempeñado diferentes cargos durante su carrera administrativa, desarrollada básicamente en Tricom, importante empresa de telecomunicaciones y entretenimiento de la República Dominicana, donde actualmente ocupa la posición de Vicepresidente de Auditoria Interna & Calidad. Cabe destacar su especialización en auditoría de telecomunicaciones, auditoría bancaria, Auto-evaluación de Control Interno, así como, en la implementación de sistemas de evaluación de riesgo - control ERM (Enterprise Risk Management) basados en los estándares COSO, COBIT, Ley Sarbanes Oxley (SOX), así como implementación de Sistemas de Gestión de Calidad basado en ISO 9001:2008. Ha sido conferencista invitada en diferentes universidades en República Dominicana.