Auditoria Basada en Riesgos

Transcripción

1 Auditoria Basada en Riesgos Justo Hernández Véliz Subgerente de Auditoria Grupo Security

2 Justo Hernández Véliz Es Ingeniero en Información y Control de Gestión, Contador Auditor, Licenciado en Información y Control de Gestión, cuenta con un M.B.A. de la Facultad de Ciencias Económicas de la Universidad de Chile. Posee más de 14 años de experiencia en Auditoria Interna. Actualmente es Subgerente de Auditoria de Grupo Security y Profesor del Diplomado en Gestión de Riesgos de Negocios de la Facultad de Ciencias Económicas de la Universidad de Chile. Ex Auditor de la Superintendencia de Bancos e Instituciones Financieras. Subgerente de Auditoria Grupo Security

3 Agenda Conociendo el Modelo Responsabilidad de la Auditoria en un Modelo de Administración Integral de Riesgos Plan Anual de Auditoria con enfoque de riesgos, Cómo priorizar los recursos de auditoria? Desarrollo de las Auditorias con enfoque de riesgos Observaciones e Informes de Auditoria en un Enfoque de Riesgos Determinación del Ratings de Auditoria Actualizaciones de los mapas de riesgos (mapas de procesos, riesgos, controles) Seguimientos de Auditoria con enfoque de riesgos (Cumplimiento de planes de acción)

4 Conociendo el Modelo La Gestión Integral de Riesgos responde a la necesidad de conocer y gestionar los riesgos de los procesos críticos de las Empresas, utilizando un lenguaje común. Ambito de Control de Riesgos Inversionistas Calificadoras de Riesgos Accionistas SVS Supervisión Basado en Riesgos Mejoras en la cultura de los Gobiernos Corporativos, e imagen y confianza de los inversionistas y supervisores SBIF Organismo Supervisor de Bancos Coso Basilea II MODELO DE GESTION, CONTROL Y SEGUIMIENTO INTERNO INTEGRAL Modelo de Procesos Modelo de Riesgos Modelo de Controles Empleados

5 Administración centralizada de los Riesgos por Empresa apoyados con la herramienta de software ERA (Enterprise Risk Assessor). Riesgo Empresa RIESGOS Empresas Auditoría Interna Consolidación Riesgo Grupo RIESGOS Área Control de Riesgos

6 Auditoría Obtención de Información Empresas Auditoría Revisa y evalúa en terreno del nivel de cumplimiento de los planes de acción reportados. Mapas de Procesos Flujos de Procesos Riesgos de la Empresa y de sus Procesos Detalles de Riesgos/ Controles / Deficiencias / Planes de Acción Planificación y programación de Auditorias de las Empresas Software ERA Methodware BD

7 Responsabilidad de la Auditoria Interna La Auditoria Interna es un área de apoyo independiente que reporta al Directorio. Su misión es colaborar en el cumplimiento de las metas y objetivos que la Alta Dirección ha trazado, anticipando riesgos y asegurando el establecimiento y funcionamiento de un adecuado ambiente de control interno.

8 Plan Anual de Auditoria Cómo priorizar los recursos de auditoria? Aspectos a considerar 1. - Cobertura de las auditorías Disponibilidad de días/auditor Matriz de riesgo, cuya ponderación determina un índice de riesgo, que indica las prioridades, en la definición de las áreas a auditar. - Rating o calificación obtenida en la última auditoria - Tiempo transcurrido desde la última auditoria - Volumen del Negocio - Riesgo Inherente del negocio. - Grado de implementación de las recomendaciones de la auditoria anterior - Riesgo residual del Negocio.

9 Plan Anual de Auditoria Ejemplo Ejemplo de factores definidos en matriz de riesgo Rating (25%) Tiempo desde Ultima Auditoria (10%) A 1 mas de 730 días 5 B 2 entre 546 y 730 días 4 C 3 entre 366 y 545 días 3 D 4 entre 181 y 365 días 2 E 5 < 180 días 1 Volumen de Negocio (10%) Implantación Recomendaciones (20%) Mas de MM$ Mas de un 90% 1 Entre MM$ y MM$ Entre un 80%y un 90% 2 Entre MM$ ymm$ Entre un 65% y un 79% 3 Entre MM$ y MM$ Entre un 50% y un 64% 4 < MM$ <50% Implantación 5 Riesgo Inherente ERA (10%) Riesgo Residual ERA (25%) Mas de 12 5 Mas de 12 5 Entre un 9,1 y 12 4 Entre un 9,1 y 12 4 Entre un 6,1 y 9 3 Entre un 6,1 y 9 3 Entre un 3,1 y 6 2 Entre un 3,1 y 6 2 < 3 Deficiencias 1 < 3 Deficiencias 1

10 Desarrollo de la Auditoria 1. Programas de Trabajo de Auditoria Nombre del proceso a auditar Equipo de trabajo Antecedentes Descripción General del Proceso Marco legal y normativo Riesgos asociados (genéricos y específicos) Áreas funcionales y sistemas involucrados Consideraciones especiales Estrategia Objetivo de la revisión Alcance Limitaciones

11 Desarrollo de la Auditoria 2. Pruebas de auditoria Proceso Objetivo de las pruebas Nombre de la Prueba Detalle Riesgos involucrados Auditor a cargo Tiempos Resultado de la prueba

12 Observaciones e Informes 1. Observaciones Identifique el riesgo Nombre observación Prioridad Descripción y efecto Recomendación Plan de acción comprometido Como se solucionará Quien lo va efectuar Fecha comprometida Quién efectuará el seguimiento

13 Observaciones e Informes 2. Informe de Auditoria Carátula Nombre del proceso Auditado Auditores responsables Supervisor Fechas clave Contenido Introducción Objetivos Alcance Antecedentes relevantes Conclusiones Ratings Resumen de conclusiones por riesgo Recomendaciones y calendario de implementación Ordenadas por riesgo y prioridad

14 Determinación del Ratings de Auditoria 1. Evaluación por riesgo 2. Se califica en base a una matriz en la cual para cada riesgo se definen aspectos de evaluación que se califican de 1 a Se define la ponderación de cada riesgo, en cada una de las unidades auditadas. 4. Se incluye además una evaluación del grado de implementación de las recomendaciones de la anterior auditoria 5. Ratings final determinado por el promedio ponderado de cada riesgo A MUY BUENO 91 % al 100% B BUENO 76% al 90% C NECESITA MEJORAR 66% al 75% D INSATISFACTORIO 50% al 65% E DEFICIENTE Menos de un 50% Ejemplo

15 Determinación del Ratings de Auditoria Matriz de Evaluación - Riesgo Contable - Riesgo de Crédito - Riesgo Estructural - Riesgo de Mercado - Riesgo Normativo - Riesgo Operativo - Riesgo Organizativo - Riesgo Tecnológico - Riesgo de Lavado de Activos - Implementación de Recomendaciones Anteriores

16 Determinación del Ratings de Auditoria Matriz de Evaluación RIESGO CONTABLE Correcta imputación y registro de las operaciones.(exactitud, oportunidad) Correcta aplicación de los principios contables Existencia de un adecuado soporte de los registros contables Confección correcta y oportuna de los análisis de cuentas Adecuado control contable (seguimientos de partidas en conciliación, de operaciones pendientes, control independiente, etc). Correctos estados financieros (o saldos) presentados ante los organismos reguladores RIESGO DE CRÉDITO Existencia de una adecuada política de riesgo Cumplimiento de las política vigentes Cumplimiento de límites; aprobación y encaje de excesos Procedimientos de medición y seguimiento de los riesgos Disponibilidad de una adecuada información para el control del riesgo RIESGO ESTRUCTURAL Existencia de una adecuada política de riesgo Cumplimiento de las política vigentes Cumplimiento de límites; aprobación y encaje de excesos Procedimientos de medición y seguimiento de los riesgos Disponibilidad de una adecuada información para el control del riesgo RIESGO DE MERCADO Existencia de una adecuada política de riesgo Cumplimiento de las política vigentes Cumplimiento de límites; aprobación y encaje de excesos Procedimientos de medición y seguimiento de los riesgos Disponibilidad de una adecuada información para el control del riesgo Ejemplo

17 Actualización de los Mapas de Riesgo La Política establece la forma de gestionar los riesgos de negocio, en concordancia con las mejores prácticas de la industria, las regulaciones vigentes y el riesgo aceptable. Así como también, define el marco de referencia para el control y seguimiento de los riesgos en cada una de las empresas. Definiciones: 1. Roles y responsabilidades para el tratamiento de riesgos 2. Agrupa todas las instancias de control y seguimiento de riesgos (Auditoria Interna) 3. Dispone la conformación del Comité de Riesgos. 4. El modelo de operación es aprobado por el Directorio, siendo el último punto de control.

18 Empresas Evaluaciones y auto-evaluaciones de Riesgo Gerentes Responsables de Procesos Software ERA Methodware BD Información de Procesos (flujos documentación, etc) Actualización y confirmación de Estados de avances de planes de acción Revisión de estados de avances (Planes de Acción) Riesgo Empresa Mapa de Riesgo de la empresa Responsable de Riesgos Revisión de Riesgos, actualización de planes de acción

19 Área de Control y Seguimiento de Riesgos Consolidación de la actualización de Información y levantamiento de Riesgos por Empresa Entrega en forma automática a las Empresas Control y Seguimiento de Riesgos, planes de acción y KRI (Indicadores de Riesgo) Mapas de Procesos Flujos de Procesos Riesgos de la Empresa y de sus Procesos Detalles de Riesgos / Controles / Deficiencias Acuerdo, control y seguimiento de Planes de Acción. Software ERA Methodware BD

20 v v A.I. A.E O.F. Seguimiento de Auditoria A.I. desarrolla su trabajo de auditoria en el sistema. AI ingresa observaciones de los A.E y de los Org. Fiscalizadores Los responsables de implementar las recomendacione s reportan directamente en ERA o a través de reportes generados por el sistema, el estado de avance de los planes de acción. Trimestralmente A.I. revisa en terreno la implementación de aquellas recomendaciones reportadas con un 100% de avance y que se encuentran asociadas a un riesgo > 12, según ERA. Temas Críticos 17 ítems 113 ítems 76 ítems Anexo 2 Estado de Avance Planes de Acción Riesgo de Crédito Operaciones Financieras Mesa Procesos Sucursales Nota: Los planes terminados con estado OK corresponden a lo reportado por las áreas responsables Periódicamente se generan reportes de seguimiento que se presentan en el Comité de Auditoría.

21 Conclusiones Una auditoria con enfoque de riesgos, integrada a un modelo de gestión integral de riesgos permite mejoras en: -Alinear la estrategia con el apetito al riesgo. -Incrementar las respuestas al riesgo. -Reducir las pérdidas y sorpresas operacionales. -Identificar y administrar riesgos que cruzan la organización. -Proveer respuestas integradas a múltiples riesgos. -Identificar oportunidades.

22 Información de Contacto

23 Preguntas y Respuestas

24 Muchas Gracias por su atención!