3er Congreso Nacional de Auditoría Interna CONAI Mayo 29, 2014 Las Tres Líneas de Defensa: Quién tiene que hacer qué? 3er Congreso Nacional de Auditoría Interna CONAI 2014
Agenda Introducción Elementos a considerar en el Plan Anual de Auditoría Medición del desempeño de Auditoría Interna 3er Congreso Nacional de Auditoría Interna CONAI 2014
Plan Anual de Auditoría Luis Felipe Encina K-P Socio Risk Consulting KPMG 3er Congreso Nacional de Auditoría Interna CONAI 2014
Introducción El desarrollo del Plan Anual de Auditoría es la fase que direcciona todo el trabajo del Auditor Interno. Una adecuada planificación implica dar cobertura a los riesgos relevantes del negocio, las expectativas de los equipos directivos y las necesidades de la organización para el logro de sus objetivos. 4
Introducción Dependiendo del nivel de madurez de las funciones de aseguramiento organizacional, nos podemos encontrar con distintos escenarios, tales como: a a 1. La función de Riesgos existe y ha identificado y evaluado los riesgos de negocio 2. La función de Riesgos no existe y es Auditoría Interna quien debe asumir el rol en primera instancia 3. El Directorio o CDA da directamente los focos que deben ser abordados por Auditoría Interna 4. Auditoría Interna basa su evaluación en pruebas sobre los controles de las líneas operacionales 5. Otros 5
Introducción Mencionados estados de evolución de la función de Auditoría Interna son claves para la realización del Plan Anual de Auditoría, dado que al intervenir otras funciones de aseguramiento las responsabilidades sobre la identificación, evaluación y estrategias de gestión de riesgos presenta cambios significativos. 6
Elementos a considerar en el Plan Anual de Auditoría 7
Elementos básicos a considerar en el Plan Anual de Auditoría 1. Objetivos Estratégicos 2. Expectativas de la Dirección 3. Cambios potenciales en la organización y su entorno 4. Resultado de Auditorías Anteriores 5. Consideraciones de trabajos de Consultoría 6. Historial de requerimientos especiales 7. Sinergias con otras funciones de aseguramiento 8
Expectativas de la Dirección Expectativas del Directorio / CDA El máximo exponente de Auditoría Interna debe reunirse con miembros del Directorio y entender de primera fuente las expectativas y focos de preocupación que mencionados miembros tienen, en relación al desarrollo del negocio. La información recopilada debe ser formalizada en una minuta, la cual deberá ser parte de las evidencias que sustentan la confección del Plan Anual de Auditoría. 9
Expectativas de la Dirección Expectativas de la Alta Administración El responsable de Auditoría Interna debe reunirse con la Alta Administración y entender sus expectativas, necesidades y focos de preocupación en relación al negocio y el cumplimiento de los Objetivos Estratégicos. En esta instancia se deben identificar potenciales requerimientos de labores de consultoría por parte del área de Auditoría Interna. La información recopilada debe ser formalizada en una minuta, la cual deberá ser parte de las evidencias que sustentan la confección del Plan Anual de Auditoría. 10
Cambios potenciales en la organización y su entorno Cambios Organizacionales / Proyectos En las reuniones sostenidas con el equipo Directivo se deben identificar potenciales cambios relevantes en ámbitos de gestión, procesos de negocio, tecnología y estructura organizacional, que puedan requerir de asistencia en la identificación y evaluación de riesgos, diseño del modelo de controles o cualquier colaboración donde sea requerida la visión y experiencia del Auditor Interno. 11
Cambios potenciales en la organización y su entorno Cambios del Entorno / Regulatorios El equipo de Auditoría Interna debe realizar un profundo análisis del entorno y sus regulaciones tanto actuales como futuras. El análisis debe extenderse a situaciones externas que puedan afectar al país, su economía y específicamente la industria o modelo de negocio en el cual participa la organización. 12
Resultado de Auditorías Anteriores Resultados de Auditorías Internas Anteriores Producto de la aplicación del Plan Anual de Auditoría del período anterior, se pueden haber obtenido antecedentes de situaciones que ameritan ser foco de atención del actual ciclo de Auditorías, en tanto no fueron abordadas en su totalidad; quedaron acciones comprometidas que deben ser analizadas nuevamente o se identificaron antecedentes que ameritan un mayor análisis. 13
Resultado de Auditorías Anteriores Comentarios de los Auditores Externos Antecedentes indicados por el Auditor Externo tanto en la carta de control interno como cualquier otro foco de preocupación relacionado. El auditor interno debería sostener una reunión con la entidad externa. 14
Consideraciones de trabajos de Consultoría Necesidades de consultoría/participación en proyectos Habiendo identificado las necesidades de potenciales labores de Consultoría con la plana Gerencial de la organización, el Auditor Interno debe evaluar y proponer ámbitos de consultoría donde, acorde a su parecer, pueda aportar valor a la organización en ámbitos de Riesgo, Control y Gobierno Corporativo. 15
Identificar Sinergias con Funciones de Aseguramiento Sinergias con Gestión de Riesgo/Cumplimiento/Mejoramiento De existir otras funciones de Aseguramiento en la organización, tales como Gestión de Riesgo, Cumplimiento, Seguridad, normalización de procesos, entre otras, el Auditor Interno debe analizar posibles sinergias que permitan optimizar el trabajo de Auditoría y/o complementar la información requerida para la etapa de Planificación, Ejecución y/o Reporte de las Auditorías Internas ha ser desarrolladas. 16
Objetivos Estratégicos Focos Estratégicos del Negocio Uno de los elementos fundamentales a considerar desde el punto de vista de Riesgos, son los objetivos estratégicos del negocio. Nuestro Rol como Auditores Internos es procurar que mencionados objetivos se logren acorde a las expectativas de los accionistas e informar cualquier situación que a nuestro parecer atente contra el logro de éstos. 17
Objetivos Estratégicos Como realizar el nexo entre los objetivos estratégicos y el Plan Anual de Auditoría? Realizando un análisis lógico que nos permita identificar las bases sobre la cual se cimenta el objetivo estratégico. Ejemplo práctico 18
Objetivos Estratégicos La organización XYZ a declarado los siguientes objetivos estratégicos de mediano y largo plazo: Objetivo 1: Mejorar la calidad del Servicio a nuestros clientes (Diferenciación) Objetivo 2: Reducir costos en un 15% (Eficiencia) Objetivo 3: Incrementar la cartera de clientes en un15% (Participación) 19
Objetivos Estratégicos La organización XYZ a declarado los siguientes objetivos estratégicos de mediano y largo plazo: Objetivo 1: Mejorar la calidad del Servicio a nuestros clientes Objetivo 2: Reducir costos en un 15% Objetivo 3: Incrementar la cartera de clientes en 15% 20
Objetivos Estratégicos Identificamos las aseveraciones bases del objetivo estratégico Objetivo 1: Mejorar la calidad del Servicio a nuestros clientes Objetivo 2: Reducir costos en un 15% Objetivo 3: Incrementar la cartera de clientes en 15% 21
Objetivos Estratégicos Identificamos los procesos necesarios para cumplir con las aseveraciones bases Mejorar Medir Evaluar Cambiar Proceso de Servicio a clientes? Proceso específico de mejoramiento? 22
Objetivos Estratégicos Identificamos los procesos necesarios para cumplir con las aseveraciones bases Mejorar Medir Evaluar Cambiar Proceso de Servicio a clientes? Proceso específico de mejoramiento 23
Objetivos Estratégicos Teniendo las bases del objetivo, podemos lograr establecer un nexo entre la declaración y lo que necesita la compañía para lograrlo. OE Riesgo Estratégico Descripción Mejorar calidad del Servicio 1. No contar con un proceso de mejoramiento continuo de nuestro servicio a clientes No tener identificado los KPI s necesarios para medir que: o Contamos con personal idóneo o Contamos con la infraestructura y la tecnología adecuada o Contamos con un proceso formal que puede fluir independiente a las personas que lo ejecutan o Contamos con un canal efectivo que permita identificar el nivel de satisfacción de nuestros clientes internos y externos No analizar de manera adecuada la información de los KPI s No tomar acciones concretas sobre las conclusiones derivadas del proceso de mejoramiento continuo 24
Objetivos Estratégicos Por último, realizamos el nexo entre la declaración y los procesos de negocio: Identificación de aseveraciones Mejorar Aseveración A Aseveración B Actividad clave para lograr la aseveración Contar con procesos o instancias de mejora continua. Realizar una adecuada administración del conocimiento. Desarrollo permanente de profesionales Actividades claves para aseveración A Actividades claves aseveración B Focalización de procesos claves Procesos-Subprocesos clave para lograr la aseveración Ingeniería de procesos Sub-proceso A Sub-proceso B Entrenamiento Profesional Sub-proceso C Control y Gestión de Información 25
Objetivos Estratégicos De esta forma estructuramos una matriz de priorización de procesos / subprocesos de negocio, basado en riesgos 26
Objetivos Estratégicos De esta forma estructuramos una matriz de priorización de procesos / subprocesos de negocio, basado en riesgos 27
Estimación de recursos necesarios 28
Estrategia de cobertura de Riesgos Recursos Disponibles 29
Estrategia de cobertura de Riesgos Recursos Internos y Externos 30
Preparar propuesta para aprobación del CDA 31
Aprobación del Plan Anual de Auditoría Presentar Propuesta del Plan Revisar, priorizar y aprobar CDA Ejecutar Acotar nuevas expectativas y presentar riesgos no cubiertos 32
Medir el desempeño de Auditoría Interna KPI s Claves En general observamos que la función de Auditoría Interna es medida considerando el cumplimiento del Plan Anual de Auditoría en términos de la cantidad de auditorías realizadas o la cobertura de las horas planificadas. Deberíamos considerar elementos distintos o adicionales? 33
Medir el desempeño de Auditoría Interna Rol de la Función de Auditoría Interna y KPI s relacionados Favorecer al cumplimiento de los objetivos de la organización y orientarse al logro de los resultados. Apoyar la identificación y mitigación de los riesgos críticos. Monitorear la efectividad de la administración de riesgos y los controles del negocio. Agregar valor a la organización Generar conciencia y cultura de Control Interno dentro de la organización. Apoyar los Comités de Gobierno (Comité de Directores, Comité de Auditoría, etc.) 34
3er Congreso Nacional de Auditoría Interna CONAI Mayo 29, 2014 Las Tres Líneas de Defensa: Quién tiene que hacer qué? 3er Congreso Nacional de Auditoría Interna CONAI 2014