Elaboración de un plan de auditoría interna basado en riesgos€¦ · Identificación del...

Risk Advisory, Noviembre 2019 Risk Advisory

Elaboración de un plan de auditoría interna basado en riesgos

Agenda

1. Contexto de la gestión de riesgos

2. Potenciales sinergias entre Riesgos y Auditoría Interna

3. Plan de auditoría basado en riesgos

4. Tendencias relevantes para el enfoque de la Auditoría Interna

3

1. Contexto de la gestión de riesgos

…y mayor es la oportunidad para una organización para que mire al futuro; anticipe las amenazas y esté preparado para responder...

Ninguna organización es inmune a las amenazas externas. Cuanto más se interconecta el mundo, las implicaciones de un incidente son mayores…

Incidentes de seguridad

internacional

Clima

Desastres naturales

Sentimiento político

Sentimiento popular

Interferencia del gobierno

Infraestructura

Educación

Hiper-conectividad

Tendencias macroeconómicas

De lo impredecible a la anticipación

El marco del ERM reconoce la naturaleza dual del riesgo y dedica recursos suficientes tanto a la toma de riesgos como a la recompensa y protección de los activos existentes.

Los elementos del marco de ERM incluyen:

Líderes que adoptan una amplia perspectiva y gobierno de riesgos e integran las consideraciones de riesgo en la toma de decisiones estratégicas.

Los procesos, sistemas y personas capacitadas actúan tanto sobre los riesgos como sobre las oportunidades de manera oportuna y coordinada.

Se utiliza un enfoque coherente de evaluación de riesgos en toda la organización para gestionar todos los tipos de riesgos de manera eficaz y eficiente.

Políticas y

procedimientosCapacidad

Información y

reporte

Herramientas

y tecnología

Gobierno de

riesgos

Infraestructura de gestión de riesgos

Identificación de riesgos

Medida de riesgos

Evaluación de riesgos

Respuesta a riesgos

Escalamiento y monitoreo

Proceso de administración de riesgos

Integración con los negocios

Expectativas

de los

Stakeholder

Apetito al

riesgo

Estrategia y

desempeño

Tono de la gerencia

Junta Directiva

Dirección Ejecutiva

Unidades de negocio

y funciones de soporte

Gobierno de Riesgos y Estrategia:

• Mejorar la eficacia de la junta directiva

• Supervisión de la estrategia de riesgos, el programa de ERM, la gestión del cambio y los riesgos clave

• Establece el "tono de la gerencia" e impulsa la consistencia

Infraestructura y gestión de riesgos

• Diseñar, implementar y mantener una infraestructura común de riesgos aprovechando el personal, los procesos y la tecnología.

• Establecer consistencia a través de la organización pero al mismo tiempo abordar diferentes necesidades

Propiedad del riesgo:

• Identificar, medir, monitorear, revisar e informar sobre los riesgos

• Integrar y gestionar eficazmente el riesgo y el cumplimiento de normativas

La nueva visión en la gestión integral de riesgosPara construir una empresa inteligente en cuanto al riesgo, la gerencia debe desarrollar una base sólida en torno a los tres pilares de ERM:

Apetito de riesgo

Capacidad del riesgo

Filosofía del negocio

Objetivos de Negocio

• Enfoque a largo plazo

• Filosofía de negocio de la Compañía que incluye el trade-off entre valor y riesgo.

Planificación Estratégica

• Enfoque a mediano plazo

• El apetito de riesgo es considerado en la planificación estratégica

• Incorpora los resultados de la evaluación de riesgos de la empresa

• Determina que negocios y que productos de la empresa deben crecer

Toma de decisiones y asignaciones de recursos

• Enfoque a corto plazo

• Límites de riesgo se aplica a las decisiones clave / asignación de recursos

Misión - Visión

Objetivos Estratégicos

Objetivos Relacionados

Operacionales Reportes Cumplimiento

EstrategiasRiesgo Aceptado

Tolerancia al Riesgo

Control Interno

Gestión de Riesgos

Gestión de riesgos, Control Interno y Auditoría Interna ¿Cómo se interrelacionan?

La nueva visión en la gestión integral de riesgos

Generación de Valor

Auditoría interna

¿Cuál es el rol del auditor interno ante estos desafíos?

Asegurar Asesorar

Anticipar

Procesos clave de

negocio

Riesgos realmente

críticos

Decisiones de

gobierno

Conductas

Tres líneas de

defensa

Tecnologías digitales

Mejora en la articulación de las tres

líneas de defensa

Asesoramiento siguiendo un

diseño

Asesoramiento para la efectividad

de controles

Asesoramiento durante los

cambios

Herramientas digitales

Habilidades y

capacidades

Expertos

Equipo

miltidisciplinario

SMEs

Equipo

multigeneracional

Gestión de

relaciones

Habilitadores

Automatización de

procesos clave

Auditoría

Interna ágil

Reportes de alto

impacto

Equipos de

respuesta

Catalizadores del

cambioAutomatización

RobóticaHerramientas de análisis de datos

InteligenciaArtificial

QA automatizado

Detección temprana de riesgos – Risk Sensing

Aprendizaje de riesgo

Dashboards

Aseguramiento Inteligente

8

2. Potenciales sinergias entre Riesgos y Auditoría Interna

“El todo es más que las partes”

9

Algunas sinergias identificadas

El valor de la colaboración

Vincular el plan de

auditoría y la evaluación de

riesgos

Compartir recursos

disponibles para ser más

efectivos

Apalancar las competencias, habilidades y roles de las

funciones

Evaluar y monitorear los riesgos

estratégicos

Teniendo en cuenta los diferentes roles históricos yperspectivas sobre la gestión de riesgos, no essorpresa que se presenten confusiones y preguntascomo:

• ¿Quién debe liderar ERM?

• ¿Cómo interactúan las dos funciones (Riesgos – AI)?

• ¿Cómo encajan en la ecuación?

• ¿Cómo puede la auditoría interna tanto ayudar,como evaluar de forma independiente lasactividades de gestión de riesgos?

10

Apalancamiento en el ERM para la planeación de AI

Risk Management Focus

PuntosComunes

Enfoque de Aseguramiento

Identificar objetivoscorporativos y drivers de Valor

Establecer tolerancias y apetitoal riesgo

Desarrollo de marco de riesgos, identificación riesgo –

objetivos – drivers de valor

Identificar cuentasrelacionadas, procesos, y ciclos

de negocio

Priorizar riesgos y desarrollar respuesta a los

riesgos

Evaluar impacto, vulnerabilidad, probabilidad y velocidad de materialización

Entendimiento de la Compañía

Desarrollar el modelo de riesgos

Desarrollar Universo de auditoría y alinear con mapas

de procesos

Evaluar el riesgo por proceso

Ejecutar auditorías y proveer aseguramiento

Ejecutar entrevistas de recolección de info.

Desarrollar perfiles de riesgoasociados adrivers de valor y

objetivos

Planeación de AI –basada en Riesgos

Enterprise Risk Management (ERM)

Desarrollar mapas de procesose identificar dueños

Sugerir un plan de auditoríabasado en riesgos

11

3. Plan de auditoría basado en riesgos

12

Identificación del universo de auditoría

Examinación de factores de riesgo

Priorización de trabajos de auditoría

La metodología para la elaboración de un Plan de Auditoría Basado en Riesgos tiene como objetivoenfocar los trabajos de auditoría en los riesgos más significativos que pueden comprometer elcumplimiento de los objetivos de la organización.

Metodología de elaboración de un plan de auditoría basado en riesgos

13




Metodología de elaboración de un plan de auditoría basado en riesgosIdentificación del universo de auditoría

Procesos de Negocio

Procesos Financieros

Procesos Administrativos

Procesos TI

Canales Distribución

Proveedores

Puntos de Atención

Componentes TI

Soluciones

Tipos de ComponentesOrganizacionales

Normas Legales

Procesos de Negocio

Procesos Financieros

Procesos Administrativos

Procesos TI

Normas Legales

Canales Distribución

Provedores

Componentes TI

Entes Auditables

UNIVERSO AUDITABLE

VALORACIÓN BASADA EN RIESGOS - ABR

Puntos de Atención

Soluciones

Entes AuditablesAgregados

Proyectos

Procesos Estratégicos

Proyectos

TRABAJOS DE AUDITORIA

Principales retos

Falta de un universo de procesos formalizado

Falta de actualización del universo de procesos

Falta de un mapa de sistemas de información en la organización

No se tiene un inventariocentralizado de requisitosde cumplimiento regulatorio

14

Elementos de fraude

Evaluación de riesgos

Observacionesanteriores

Expectativas de la Alta Dirección

III

IIIIV




Se realiza la evaluación de los

riesgos desde el punto de vista

del impacto de dichos riesgos

sobre los objetivos y metas de

la organización, se identifican

las expectativas del Directorio

y la Alta Gerencia, y se

analizan los elementos de

fraude relacionados a cada

proceso.

Metodología de elaboración de un plan de auditoría basado en riesgosExaminación de factores de riesgo

Alto

Bajo

AltoBajo

IM

PA

CTO

VULNERABILIDAD

TIER 2 TIER 1TIER 3

Archivo de riesgospreviamenteabordados o riesgos de menorprioridad

• Riesgos clave que estensiendo adecuadamentetratados

• Riesgos existentes que se gestionan a nivel departamental, pero que requieren recursos adicionales para reducir la vulnerabilidad y / o exposición de la Compañía.

• Riesgos clave emergentes que estansiendo monitoreado

• Riesgos que deben ser gestionados a nivel de toda la Compañía

• Nuevos riesgos críticos que se han identificado y evaluado, pero aún no se están gestionando

• Riesgo previamente identificado cuyo impacto, vulnerabilidad o probabilidad se han reducido

I. Evaluación de Riesgos

Identificación del universo de auditoría Examinación de factores de riesgo Priorización de trabajos de auditoríaIdentificación del universo de auditoría Examinación de factores de riesgo

II. Elementos de fraude

III. Expectativas de la alta dirección

IV. Observaciones anteriores


La identificación de riesgos relevantes para laorganización se puede llevar a cabo medianteentrevistas / talleres con la alta gerencia ydirectorio.

Principales retos Gestión de riesgos en silos - No se

cuenta con un mapeo de riesgos integral.

Inventario de riesgos existente enfocado a riesgo operacional.

En este escenario es responsabilidad de la AI elaborar un mapa de riesgos para la elaboración del PABR.

Copyright © 2011 Deloitte Development LLC. All rights reserved.

Vulnerabilidad

Im

pacto

Alto

Bajo

Medida de impacto acumulativo

• Confirm management ownership and accountability for resolution

• Audit timetable, progress milestones, and effectiveness

• Validates corrective actions are implemented

• Assess ongoing risk monitoring process

• Determine cualquier daño oculto o consecuente

• Evaluar la frecuencia de ocurrencia y los impactos agregados

• La planificación de la auditoría debe centrarse en el monitoreo de señales de problemas clave y análisis de tendencias

Garantía de preparación

Redespliegue de recursos

• Auditar / inspeccionar / probar las medidas de mitigación de riesgos existentes

• Confirmar la finalización de los planes de acción de mitigación de riesgos

• Comprobar el cumplimiento de los controles de riesgos y el proceso continuo de supervisión de riesgos

Mejore la mitigación del riesgo

Alto

• Confirmar la propiedad de la administración y la responsabilidad por la resolución

• Calendario de auditoría, hitos de progreso y efectividad

• Valida acciones correctivas implementadas

• Evaluar el proceso continuo de monitoreo de riesgos

• La gerencia revisa la eficiencia del enfoque de mitigación de riesgos existente

• Atención de auditoría de menor prioridad

• Apoyo consultivo a la gerencia para racionalizar medidas de control más eficientes

Bajo


18


Número optimo de riesgos a considerar:

El número óptimo de categorías de riesgo que deberían ser consideradas para el análisis del plan de auditoría interna fluctúa entre 08 a 15 riesgos.

Es importante categorizar la familia de riesgos de manera uniforme, se recomienda la definición de una taxonomía de riesgos que permita ordenar todos los riesgos a los cuales se encuentra expuesta una organización.

La taxonomía de riesgos deberá ser creada a medida para cada organización.

Taxonomía de riesgos

GobiernoRiesgo

estratégicoRiesgo

financieroRiesgo

operacional

Cumplimiento Reporte





Principales retos Falta de una taxonomía de riesgos definida. Falta de alineamiento en la taxonomía para diferentes

tipos de riesgos gestionados.


19


¿Por qué los trabajadores cometen fraudes?

¿Por qué las organizaciones son vulnerables al fraude?

¿Por qué fuera de un hecho aislado, se presentan eventos de fraude repetitivos?

El Triángulo del Fraude

OportunidadPresión

Racionalización

Riesgo de fraude

CorrupciónFraude en los Estados

Financieros

Apropiación ilegal

Asociación de examinadores de fraude certificados (ACFE)

Norma IAI 2120 – Gestión de riesgos:

A2. La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la organización gestiona el riesgo de fraude.

Asociación de examinadores de fraude certificados (ACFE)






20


Un paso importante para el alineamiento con la estrategia de la organización es la identificación de expectativas; para esto es importante considerar las opiniones del Directorio y la Alta Dirección. Algunos temas que deberán ser discutidos son:

• Principales preocupaciones de control.

• Expectativas sobre la función de auditoría interna.

• Cambios drásticos en el proceso o sistemas.

Norma IAI 2010 – Planificación

A2. El director ejecutivo de auditoría debe identificar y considerar las expectativas de la alta dirección, el Consejo y otras partes interesadas de cara a emitir opiniones de auditoría interna y otras conclusiones.






21


Como mejor práctica, el PABR deberá tomar en considerar las observaciones resultantes de otros entes de aseguramiento al momento de su planificación. Las fuentes de aseguramiento pueden ser:

• Externas: SBS, Auditoría Externa, clasificadoras de riesgo.

• Internas: Cumplimiento normativo, OCI, Inspectoría, etc.





Principales retos Falta de un inventario consolidado de observaciones de

auditorías externas / internas. Falta de actualización del estatus de implementación de

las observaciones.


22

Evaluación de los

factores de riesgo

Requerimientos

regulatorios e

internos

Recursos

Mejores prácticas

Plan de Auditoría Basado en Riesgos




Se elabora el Plan de auditoría, para el cual se determina la frecuencia de cada revisión por proceso, así mismo se identifica el alcance de la auditoría basándose en los resultados de la evaluación de los factores de riesgo. Para una explicación detallada sobre la priorización de trabajos de auditoría.

Metodología de elaboración de un plan de auditoría basado en riesgosPriorización de trabajos de auditoría

23

Observaciones

Los factores de riesgo identificados (Riesgos de negocio, Riesgos de fraude, Expectativas y Observaciones Anteriores) deberán ser evaluados con la finalidad de priorizar los procesos por cada uno de los factores y determinar la criticidad final de losprocesos por factores de riesgo.

Expectativas

Riesgos de

fraude

Riesgos de

negocio

Priorización por factores de riesgo

Priorización Riesgos de

Negocio

Priorización Riesgos de

Fraude

Priorización Expectativas

Los procesos son priorizados en función al número y la criticidad de los riesgos y expectativas asociadas.

Priorización Observaciones Los procesos son priorizados en función al número

de observaciones asociadas a ellos.




Metodología de elaboración de un plan de auditoría basado en riesgosPriorización de trabajos de auditoría

24

Un Plan de Auditoría basado en una evaluación de riesgos empresarial, se enfoca en lo que preocupa a la Junta y la Alta gerencia.

Ejemplo – Plan de AI basado en riesgos – Nivel de riesgo por proceso

Informática

Seguridad

Soporte de Bases de

Datos

Soporte de Redes

Soporte de Sistemas

Desarrollo y Mantenim.

Operaciones

Recursos Humanos

Procesar la Nómina

Administración Base de Datos y Novedades

Gestión Comercial

Determinación de Precios y

Mantenimiento Registro Clientes

Despacho de Ordenes

Facturar

Administrar Cuentas

Corrientes

Gestión de Cobro

Servicio al Cliente

ProcesarOrdenes Recibidas

Compras y Contrata-

ciones

Mantenimiento Maestro de Proveedores

Comprar Materiales y

Servicios

Recepción de Materiales y

Servicios

Emisión de Ordenes de Pago y Pago

Crear Ordenes de Compra

Políticas Generales de

Compras

Inventarios

Producción y Costeo de

Inventarios

Administración de Inventarios

Proceso de Cierre

Contable

Captura y Proceso de la Información

Realizar el Cierre Contable

del Período

Revisión de los Estados

Contables

Evaluar Eventos No Rutinarios

Proceso de Cierre Contable

Manejo de Disclosures

Gestión de Inversiones

Gestión de Préstamos

Gestión de Instrumentos Financieros

Gestión Financiera

Servicios de Soporte

Seguridad Física

Servicios Legales

Liquidación de Impuestos

Manejo de Riesgo

Medio Ambiente

Activo Fijo

Disposición de Activos Fijos

Administración de Obras en

Curso

Administración de Materiales

Cálculo de Depreciación

Adquirir Activos Fijos

Mantenimiento de Maestro de Activos Fijos

Riesgo Alto

Riesgo Medio

Riesgo Bajo

Formulación de la

Estrategia

Manejo de Gobierno

Corporativo

Selección y Contratación

Desarrollo y capacitación

Manejo de Pronósticos

25

Un Plan de Auditoría basado en una evaluación de riesgos empresarial, se enfoca en lo que preocupa a la Junta y la Alta gerencia.

Ejemplo – Plan de AI basado en riesgos

Adquisición, reciboy transformación de materiales

Adquisición y exploración dematerias primas

Contratación de servicios de terceros

Mantenimiento industrial

Diagnóstico de las contingencias ambientales, salud y seguridad (*)

ENE

Ventas y facturación

Investigación y desarrollo

Administración de stocks e inventarios

Pagos

Administración de recursos humanos y procesamiento dela nómina

FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC

Revisión de seguridad SAP

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX

SUBTOTAL HORAS: XXXXX

ADMINISTRACIÓN DE LOS TRABAJOS: XXXX

Movimiento interno de materiales XXX

Contratación de fletes XXX

HORAS

EQUIPO A

EQUIPO B

EQUIPO C (Especialista Externo )

26

4. Tendencias relevantes para el enfoque de la Auditoría Interna

27

Sólo el 40% de los Directores

de Auditoria considera que su

actividad tiene un alto impacto e

influencia en su compañía.

Focos de Alto Impacto 2019 para la Auditoría Interna

¿En que área/proceso podemos

tener una MAYOR influencia?

Deloitte identificó 10 focos de alto

impacto que tiene la Auditoría Interna

para este 2019.

Fuente: Resultados del 2018 Global Chief Audit

Executive Survey

Focos 2019

Auditoría Interna Ágil1

Aseguramiento Integrado2

Evaluando la cultura3

Auditoría Interna de Ciberseguridad5

Fuerza de trabajo del futuro6Evaluación continua de riesgos7Automatización del aseguramiento8Aplicando automatización robótica e inteligencia cognitiva9Auditando los riesgos de tecnologías disruptivas10

GDPR Aseguramiento y consulta4

Focos 2018 que permanecen en 2019

Nuevas tendencias

Automatización robótica e inteligencia cognitiva1

Riesgo digital2

Cyber seguridad3

Aseguramiento automático del CORE de la compañía6

Migración cloud7

Riesgos de terceros8

Riesgo Cultural9Aseguramiento de riesgo operativo10

Gestión de crisis11

Privacidad de datos4

Auditando una compañía “ÁGIL”12

Auditoría Interna “ÁGIL”13

Focos 2018

Analytics aplicado a la AI5

28

Focos de Alto Impacto 2012 - 2020 en AI de TI

29

Inclusión de analíticas como parte de la metodología de auditoría interna

Enfoque tradicional de AI

Confirmar

objetivos de

auditoría y

alcance

Identificar

potenciales

analíticas

Extraer,

transformar

y cargar

data

Analizar,

comparar,

perfilar y

visualizar

Lluvia de

ideas con el

equipo,

desarrollar

pruebas de

hipótesis

Muestreo

de

auditoría,

iteración de

hipótesis

Visualizar y

presentar

resultados

interactivos

Comunicar

resultados

Probar

hipótesis

Iniciar

trabajo de

campo

Desarrollar

alcance de

auditoría

mejorado

Integración con data anlytics Nuevas interacciones críticas en el

proceso

Deloitte se refiere a una o más de las firmas miembro de Deloitte Touche Tohmatsu Limited (“DTTL”), una compañía privada del Reino Unido limitada por garantía ("DTTL"), su red de firmas miembro, y a sus entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente separadas e independientes. DTTL (también denominada “Deloitte Global”) no presta servicios a clientes. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro puede verse en el sitio web www.deloitte.com/about.

Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos, legal, y servicios relacionados a organizaciones públicas y privadas de diversas industrias. Deloitte presta sus servicios a cuatro de cada cinco de las empresas listadas en el ranking Fortune Global 500®, a través de una red global de firmas miembro en más de 150 países, brindando sus capacidades de clase mundial y servicios de alta calidad a clientes, suministrando el conocimiento necesario para que los mismos puedan hacer frente a sus más complejos retos de negocios. Para conocer más acerca de cómo los más de 225.000 profesionales generan un impacto que trasciende, conéctese con nosotros a través de Facebook, LinkedIn o Twitter.

Esta comunicación contiene únicamente información general, ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o sus entidades relacionadas (colectivamente, la "Red Deloitte") están, por medio de la presente comunicación, prestando asesoría o servicios profesionales. Previo a la toma de cualquier decisión o ejecución de acciones que puedan afectar sus finanzas o negocios, usted deberá consultar un asesor profesional cualificado. Ninguna entidad de la Red Deloitte, se hace responsable por pérdidas que pueda sufrir cualquier persona que tome como base el contenido de esta comunicación.

© 2019. Para más información, contacte a Deloitte Touche Tohmatsu Limited.

http://www.deloitte.com/about

Elaboración de un plan de auditoría interna basado en riesgos€¦ · Identificación del...

Documents

Transcript of Elaboración de un plan de auditoría interna basado en riesgos€¦ · Identificación del...