Elaboración de un plan de auditoría interna basado en riesgos€¦ · Identificación del...
Transcript of Elaboración de un plan de auditoría interna basado en riesgos€¦ · Identificación del...
Risk Advisory, Noviembre 2019 Risk Advisory
Elaboración de un plan de auditoría interna basado en riesgos
Agenda
1. Contexto de la gestión de riesgos
2. Potenciales sinergias entre Riesgos y Auditoría Interna
3. Plan de auditoría basado en riesgos
4. Tendencias relevantes para el enfoque de la Auditoría Interna
3
1. Contexto de la gestión de riesgos
…y mayor es la oportunidad para una organización para que mire al futuro; anticipe las amenazas y esté preparado para responder...
Ninguna organización es inmune a las amenazas externas. Cuanto más se interconecta el mundo, las implicaciones de un incidente son mayores…
Incidentes de seguridad
internacional
Clima
Desastres naturales
Sentimiento político
Sentimiento popular
Interferencia del gobierno
Infraestructura
Educación
Hiper-conectividad
Tendencias macroeconómicas
De lo impredecible a la anticipación
El marco del ERM reconoce la naturaleza dual del riesgo y dedica recursos suficientes tanto a la toma de riesgos como a la recompensa y protección de los activos existentes.
Los elementos del marco de ERM incluyen:
Líderes que adoptan una amplia perspectiva y gobierno de riesgos e integran las consideraciones de riesgo en la toma de decisiones estratégicas.
Los procesos, sistemas y personas capacitadas actúan tanto sobre los riesgos como sobre las oportunidades de manera oportuna y coordinada.
Se utiliza un enfoque coherente de evaluación de riesgos en toda la organización para gestionar todos los tipos de riesgos de manera eficaz y eficiente.
Políticas y
procedimientosCapacidad
Información y
reporte
Herramientas
y tecnología
Gobierno de
riesgos
Infraestructura de gestión de riesgos
Identificación de riesgos
Medida de riesgos
Evaluación de riesgos
Respuesta a riesgos
Escalamiento y monitoreo
Proceso de administración de riesgos
Integración con los negocios
Expectativas
de los
Stakeholder
Apetito al
riesgo
Estrategia y
desempeño
Tono de la gerencia
Junta Directiva
Dirección Ejecutiva
Unidades de negocio
y funciones de soporte
Gobierno de Riesgos y Estrategia:
• Mejorar la eficacia de la junta directiva
• Supervisión de la estrategia de riesgos, el programa de ERM, la gestión del cambio y los riesgos clave
• Establece el "tono de la gerencia" e impulsa la consistencia
Infraestructura y gestión de riesgos
• Diseñar, implementar y mantener una infraestructura común de riesgos aprovechando el personal, los procesos y la tecnología.
• Establecer consistencia a través de la organización pero al mismo tiempo abordar diferentes necesidades
Propiedad del riesgo:
• Identificar, medir, monitorear, revisar e informar sobre los riesgos
• Integrar y gestionar eficazmente el riesgo y el cumplimiento de normativas
La nueva visión en la gestión integral de riesgosPara construir una empresa inteligente en cuanto al riesgo, la gerencia debe desarrollar una base sólida en torno a los tres pilares de ERM:
Apetito de riesgo
Capacidad del riesgo
Filosofía del negocio
Objetivos de Negocio
• Enfoque a largo plazo
• Filosofía de negocio de la Compañía que incluye el trade-off entre valor y riesgo.
Planificación Estratégica
• Enfoque a mediano plazo
• El apetito de riesgo es considerado en la planificación estratégica
• Incorpora los resultados de la evaluación de riesgos de la empresa
• Determina que negocios y que productos de la empresa deben crecer
Toma de decisiones y asignaciones de recursos
• Enfoque a corto plazo
• Límites de riesgo se aplica a las decisiones clave / asignación de recursos
Misión - Visión
Objetivos Estratégicos
Objetivos Relacionados
Operacionales Reportes Cumplimiento
EstrategiasRiesgo Aceptado
Tolerancia al Riesgo
Control Interno
Gestión de Riesgos
Gestión de riesgos, Control Interno y Auditoría Interna ¿Cómo se interrelacionan?
La nueva visión en la gestión integral de riesgos
Generación de Valor
Auditoría interna
¿Cuál es el rol del auditor interno ante estos desafíos?
Asegurar Asesorar
Anticipar
Procesos clave de
negocio
Riesgos realmente
críticos
Decisiones de
gobierno
Conductas
Tres líneas de
defensa
Tecnologías digitales
Mejora en la articulación de las tres
líneas de defensa
Asesoramiento siguiendo un
diseño
Asesoramiento para la efectividad
de controles
Asesoramiento durante los
cambios
Herramientas digitales
Habilidades y
capacidades
Expertos
Equipo
miltidisciplinario
SMEs
Equipo
multigeneracional
Gestión de
relaciones
Habilitadores
Automatización de
procesos clave
Auditoría
Interna ágil
Reportes de alto
impacto
Equipos de
respuesta
Catalizadores del
cambioAutomatización
RobóticaHerramientas de análisis de datos
InteligenciaArtificial
QA automatizado
Detección temprana de riesgos – Risk Sensing
Aprendizaje de riesgo
Dashboards
Aseguramiento Inteligente
8
2. Potenciales sinergias entre Riesgos y Auditoría Interna
“El todo es más que las partes”
9
Algunas sinergias identificadas
El valor de la colaboración
Vincular el plan de
auditoría y la evaluación de
riesgos
Compartir recursos
disponibles para ser más
efectivos
Apalancar las competencias, habilidades y roles de las
funciones
Evaluar y monitorear los riesgos
estratégicos
Teniendo en cuenta los diferentes roles históricos yperspectivas sobre la gestión de riesgos, no essorpresa que se presenten confusiones y preguntascomo:
• ¿Quién debe liderar ERM?
• ¿Cómo interactúan las dos funciones (Riesgos – AI)?
• ¿Cómo encajan en la ecuación?
• ¿Cómo puede la auditoría interna tanto ayudar,como evaluar de forma independiente lasactividades de gestión de riesgos?
10
Apalancamiento en el ERM para la planeación de AI
Risk Management Focus
PuntosComunes
Enfoque de Aseguramiento
Identificar objetivoscorporativos y drivers de Valor
Establecer tolerancias y apetitoal riesgo
Desarrollo de marco de riesgos, identificación riesgo –
objetivos – drivers de valor
Identificar cuentasrelacionadas, procesos, y ciclos
de negocio
Priorizar riesgos y desarrollar respuesta a los
riesgos
Evaluar impacto, vulnerabilidad, probabilidad y velocidad de materialización
Entendimiento de la Compañía
Desarrollar el modelo de riesgos
Desarrollar Universo de auditoría y alinear con mapas
de procesos
Evaluar el riesgo por proceso
Ejecutar auditorías y proveer aseguramiento
Ejecutar entrevistas de recolección de info.
Desarrollar perfiles de riesgoasociados adrivers de valor y
objetivos
Planeación de AI –basada en Riesgos
Enterprise Risk Management (ERM)
Desarrollar mapas de procesose identificar dueños
Sugerir un plan de auditoríabasado en riesgos
11
3. Plan de auditoría basado en riesgos
12
Identificación del universo de auditoría
Examinación de factores de riesgo
Priorización de trabajos de auditoría
La metodología para la elaboración de un Plan de Auditoría Basado en Riesgos tiene como objetivoenfocar los trabajos de auditoría en los riesgos más significativos que pueden comprometer elcumplimiento de los objetivos de la organización.
Metodología de elaboración de un plan de auditoría basado en riesgos
13
Identificación del universo de auditoría
Examinación de factores de riesgo
Priorización de trabajos de auditoría
Metodología de elaboración de un plan de auditoría basado en riesgosIdentificación del universo de auditoría
Procesos de Negocio
Procesos Financieros
Procesos Administrativos
Procesos TI
Canales Distribución
Proveedores
Puntos de Atención
Componentes TI
Soluciones
Tipos de ComponentesOrganizacionales
Normas Legales
Procesos de Negocio
Procesos Financieros
Procesos Administrativos
Procesos TI
Normas Legales
Canales Distribución
Provedores
Componentes TI
Entes Auditables
UNIVERSO AUDITABLE
VALORACIÓN BASADA EN RIESGOS - ABR
Puntos de Atención
Soluciones
Entes AuditablesAgregados
Proyectos
Procesos Estratégicos
Proyectos
TRABAJOS DE AUDITORIA
Principales retos
Falta de un universo de procesos formalizado
Falta de actualización del universo de procesos
Falta de un mapa de sistemas de información en la organización
No se tiene un inventariocentralizado de requisitosde cumplimiento regulatorio
14
Elementos de fraude
Evaluación de riesgos
Observacionesanteriores
Expectativas de la Alta Dirección
III
IIIIV
Identificación del universo de auditoría
Examinación de factores de riesgo
Priorización de trabajos de auditoría
Se realiza la evaluación de los
riesgos desde el punto de vista
del impacto de dichos riesgos
sobre los objetivos y metas de
la organización, se identifican
las expectativas del Directorio
y la Alta Gerencia, y se
analizan los elementos de
fraude relacionados a cada
proceso.
Metodología de elaboración de un plan de auditoría basado en riesgosExaminación de factores de riesgo
Alto
Bajo
AltoBajo
IM
PA
CTO
VULNERABILIDAD
TIER 2 TIER 1TIER 3
Archivo de riesgospreviamenteabordados o riesgos de menorprioridad
• Riesgos clave que estensiendo adecuadamentetratados
• Riesgos existentes que se gestionan a nivel departamental, pero que requieren recursos adicionales para reducir la vulnerabilidad y / o exposición de la Compañía.
• Riesgos clave emergentes que estansiendo monitoreado
• Riesgos que deben ser gestionados a nivel de toda la Compañía
• Nuevos riesgos críticos que se han identificado y evaluado, pero aún no se están gestionando
• Riesgo previamente identificado cuyo impacto, vulnerabilidad o probabilidad se han reducido
I. Evaluación de Riesgos
Identificación del universo de auditoría Examinación de factores de riesgo Priorización de trabajos de auditoríaIdentificación del universo de auditoría Examinación de factores de riesgo
II. Elementos de fraude
III. Expectativas de la alta dirección
IV. Observaciones anteriores
Metodología de elaboración de un plan de auditoría basado en riesgosExaminación de factores de riesgo
La identificación de riesgos relevantes para laorganización se puede llevar a cabo medianteentrevistas / talleres con la alta gerencia ydirectorio.
Principales retos Gestión de riesgos en silos - No se
cuenta con un mapeo de riesgos integral.
Inventario de riesgos existente enfocado a riesgo operacional.
En este escenario es responsabilidad de la AI elaborar un mapa de riesgos para la elaboración del PABR.
Copyright © 2011 Deloitte Development LLC. All rights reserved.
Vulnerabilidad
Im
pacto
Alto
Bajo
Medida de impacto acumulativo
• Confirm management ownership and accountability for resolution
• Audit timetable, progress milestones, and effectiveness
• Validates corrective actions are implemented
• Assess ongoing risk monitoring process
• Determine cualquier daño oculto o consecuente
• Evaluar la frecuencia de ocurrencia y los impactos agregados
• La planificación de la auditoría debe centrarse en el monitoreo de señales de problemas clave y análisis de tendencias
Garantía de preparación
Redespliegue de recursos
• Auditar / inspeccionar / probar las medidas de mitigación de riesgos existentes
• Confirmar la finalización de los planes de acción de mitigación de riesgos
• Comprobar el cumplimiento de los controles de riesgos y el proceso continuo de supervisión de riesgos
Mejore la mitigación del riesgo
Alto
• Confirmar la propiedad de la administración y la responsabilidad por la resolución
• Calendario de auditoría, hitos de progreso y efectividad
• Valida acciones correctivas implementadas
• Evaluar el proceso continuo de monitoreo de riesgos
• La gerencia revisa la eficiencia del enfoque de mitigación de riesgos existente
• Atención de auditoría de menor prioridad
• Apoyo consultivo a la gerencia para racionalizar medidas de control más eficientes
Bajo
Metodología de elaboración de un plan de auditoría basado en riesgosExaminación de factores de riesgo
18
Identificación del universo de auditoría Examinación de factores de riesgo Priorización de trabajos de auditoríaIdentificación del universo de auditoría Examinación de factores de riesgo
Número optimo de riesgos a considerar:
El número óptimo de categorías de riesgo que deberían ser consideradas para el análisis del plan de auditoría interna fluctúa entre 08 a 15 riesgos.
Es importante categorizar la familia de riesgos de manera uniforme, se recomienda la definición de una taxonomía de riesgos que permita ordenar todos los riesgos a los cuales se encuentra expuesta una organización.
La taxonomía de riesgos deberá ser creada a medida para cada organización.
Taxonomía de riesgos
GobiernoRiesgo
estratégicoRiesgo
financieroRiesgo
operacional
Cumplimiento Reporte
I. Evaluación de Riesgos
II. Elementos de fraude
III. Expectativas de la alta dirección
IV. Observaciones anteriores
Principales retos Falta de una taxonomía de riesgos definida. Falta de alineamiento en la taxonomía para diferentes
tipos de riesgos gestionados.
Metodología de elaboración de un plan de auditoría basado en riesgosExaminación de factores de riesgo
19
Identificación del universo de auditoría Examinación de factores de riesgo Priorización de trabajos de auditoríaIdentificación del universo de auditoría Examinación de factores de riesgo
¿Por qué los trabajadores cometen fraudes?
¿Por qué las organizaciones son vulnerables al fraude?
¿Por qué fuera de un hecho aislado, se presentan eventos de fraude repetitivos?
El Triángulo del Fraude
OportunidadPresión
Racionalización
Riesgo de fraude
CorrupciónFraude en los Estados
Financieros
Apropiación ilegal
Asociación de examinadores de fraude certificados (ACFE)
Norma IAI 2120 – Gestión de riesgos:
A2. La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la organización gestiona el riesgo de fraude.
Asociación de examinadores de fraude certificados (ACFE)
I. Evaluación de Riesgos
II. Elementos de fraude
III. Expectativas de la alta dirección
IV. Observaciones anteriores
Metodología de elaboración de un plan de auditoría basado en riesgosExaminación de factores de riesgo
20
Identificación del universo de auditoría Examinación de factores de riesgo Priorización de trabajos de auditoríaIdentificación del universo de auditoría Examinación de factores de riesgo
Un paso importante para el alineamiento con la estrategia de la organización es la identificación de expectativas; para esto es importante considerar las opiniones del Directorio y la Alta Dirección. Algunos temas que deberán ser discutidos son:
• Principales preocupaciones de control.
• Expectativas sobre la función de auditoría interna.
• Cambios drásticos en el proceso o sistemas.
Norma IAI 2010 – Planificación
A2. El director ejecutivo de auditoría debe identificar y considerar las expectativas de la alta dirección, el Consejo y otras partes interesadas de cara a emitir opiniones de auditoría interna y otras conclusiones.
I. Evaluación de Riesgos
II. Elementos de fraude
III. Expectativas de la alta dirección
IV. Observaciones anteriores
Metodología de elaboración de un plan de auditoría basado en riesgosExaminación de factores de riesgo
21
Identificación del universo de auditoría Examinación de factores de riesgo Priorización de trabajos de auditoríaIdentificación del universo de auditoría Examinación de factores de riesgo
Como mejor práctica, el PABR deberá tomar en considerar las observaciones resultantes de otros entes de aseguramiento al momento de su planificación. Las fuentes de aseguramiento pueden ser:
• Externas: SBS, Auditoría Externa, clasificadoras de riesgo.
• Internas: Cumplimiento normativo, OCI, Inspectoría, etc.
I. Evaluación de Riesgos
II. Elementos de fraude
III. Expectativas de la alta dirección
IV. Observaciones anteriores
Principales retos Falta de un inventario consolidado de observaciones de
auditorías externas / internas. Falta de actualización del estatus de implementación de
las observaciones.
Metodología de elaboración de un plan de auditoría basado en riesgosExaminación de factores de riesgo
22
Evaluación de los
factores de riesgo
Requerimientos
regulatorios e
internos
Recursos
Mejores prácticas
Plan de Auditoría Basado en Riesgos
Identificación del universo de auditoría
Examinación de factores de riesgo
Priorización de trabajos de auditoría
Se elabora el Plan de auditoría, para el cual se determina la frecuencia de cada revisión por proceso, así mismo se identifica el alcance de la auditoría basándose en los resultados de la evaluación de los factores de riesgo. Para una explicación detallada sobre la priorización de trabajos de auditoría.
Metodología de elaboración de un plan de auditoría basado en riesgosPriorización de trabajos de auditoría
23
Observaciones
Los factores de riesgo identificados (Riesgos de negocio, Riesgos de fraude, Expectativas y Observaciones Anteriores) deberán ser evaluados con la finalidad de priorizar los procesos por cada uno de los factores y determinar la criticidad final de losprocesos por factores de riesgo.
Expectativas
Riesgos de
fraude
Riesgos de
negocio
Priorización por factores de riesgo
Priorización Riesgos de
Negocio
Priorización Riesgos de
Fraude
Priorización Expectativas
Los procesos son priorizados en función al número y la criticidad de los riesgos y expectativas asociadas.
Priorización Observaciones Los procesos son priorizados en función al número
de observaciones asociadas a ellos.
Identificación del universo de auditoría
Examinación de factores de riesgo
Priorización de trabajos de auditoría
Metodología de elaboración de un plan de auditoría basado en riesgosPriorización de trabajos de auditoría
24
Un Plan de Auditoría basado en una evaluación de riesgos empresarial, se enfoca en lo que preocupa a la Junta y la Alta gerencia.
Ejemplo – Plan de AI basado en riesgos – Nivel de riesgo por proceso
Informática
Seguridad
Soporte de Bases de
Datos
Soporte de Redes
Soporte de Sistemas
Desarrollo y Mantenim.
Operaciones
Recursos Humanos
Procesar la Nómina
Administración Base de Datos y Novedades
Gestión Comercial
Determinación de Precios y
Mantenimiento Registro Clientes
Despacho de Ordenes
Facturar
Administrar Cuentas
Corrientes
Gestión de Cobro
Servicio al Cliente
ProcesarOrdenes Recibidas
Compras y Contrata-
ciones
Mantenimiento Maestro de Proveedores
Comprar Materiales y
Servicios
Recepción de Materiales y
Servicios
Emisión de Ordenes de Pago y Pago
Crear Ordenes de Compra
Políticas Generales de
Compras
Inventarios
Producción y Costeo de
Inventarios
Administración de Inventarios
Proceso de Cierre
Contable
Captura y Proceso de la Información
Realizar el Cierre Contable
del Período
Revisión de los Estados
Contables
Evaluar Eventos No Rutinarios
Proceso de Cierre Contable
Manejo de Disclosures
Gestión de Inversiones
Gestión de Préstamos
Gestión de Instrumentos Financieros
Gestión Financiera
Servicios de Soporte
Seguridad Física
Servicios Legales
Liquidación de Impuestos
Manejo de Riesgo
Medio Ambiente
Activo Fijo
Disposición de Activos Fijos
Administración de Obras en
Curso
Administración de Materiales
Cálculo de Depreciación
Adquirir Activos Fijos
Mantenimiento de Maestro de Activos Fijos
Riesgo Alto
Riesgo Medio
Riesgo Bajo
Formulación de la
Estrategia
Manejo de Gobierno
Corporativo
Selección y Contratación
Desarrollo y capacitación
Manejo de Pronósticos
25
Un Plan de Auditoría basado en una evaluación de riesgos empresarial, se enfoca en lo que preocupa a la Junta y la Alta gerencia.
Ejemplo – Plan de AI basado en riesgos
Adquisición, reciboy transformación de materiales
Adquisición y exploración dematerias primas
Contratación de servicios de terceros
Mantenimiento industrial
Diagnóstico de las contingencias ambientales, salud y seguridad (*)
ENE
Ventas y facturación
Investigación y desarrollo
Administración de stocks e inventarios
Pagos
Administración de recursos humanos y procesamiento dela nómina
FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
Revisión de seguridad SAP
XXX
XXX
XXX
XXX
XXX
XXX
XXX
XXX
XXX
XXX
XXX
SUBTOTAL HORAS: XXXXX
ADMINISTRACIÓN DE LOS TRABAJOS: XXXX
Movimiento interno de materiales XXX
Contratación de fletes XXX
HORAS
EQUIPO A
EQUIPO B
EQUIPO C (Especialista Externo )
26
4. Tendencias relevantes para el enfoque de la Auditoría Interna
27
Sólo el 40% de los Directores
de Auditoria considera que su
actividad tiene un alto impacto e
influencia en su compañía.
Focos de Alto Impacto 2019 para la Auditoría Interna
¿En que área/proceso podemos
tener una MAYOR influencia?
Deloitte identificó 10 focos de alto
impacto que tiene la Auditoría Interna
para este 2019.
Fuente: Resultados del 2018 Global Chief Audit
Executive Survey
Focos 2019
Auditoría Interna Ágil1
Aseguramiento Integrado2
Evaluando la cultura3
Auditoría Interna de Ciberseguridad5
Fuerza de trabajo del futuro6Evaluación continua de riesgos7Automatización del aseguramiento8Aplicando automatización robótica e inteligencia cognitiva9Auditando los riesgos de tecnologías disruptivas10
GDPR Aseguramiento y consulta4
Focos 2018 que permanecen en 2019
Nuevas tendencias
Automatización robótica e inteligencia cognitiva1
Riesgo digital2
Cyber seguridad3
Aseguramiento automático del CORE de la compañía6
Migración cloud7
Riesgos de terceros8
Riesgo Cultural9Aseguramiento de riesgo operativo10
Gestión de crisis11
Privacidad de datos4
Auditando una compañía “ÁGIL”12
Auditoría Interna “ÁGIL”13
Focos 2018
Analytics aplicado a la AI5
28
Focos de Alto Impacto 2012 - 2020 en AI de TI
29
Inclusión de analíticas como parte de la metodología de auditoría interna
Enfoque tradicional de AI
Confirmar
objetivos de
auditoría y
alcance
Identificar
potenciales
analíticas
Extraer,
transformar
y cargar
data
Analizar,
comparar,
perfilar y
visualizar
Lluvia de
ideas con el
equipo,
desarrollar
pruebas de
hipótesis
Muestreo
de
auditoría,
iteración de
hipótesis
Visualizar y
presentar
resultados
interactivos
Comunicar
resultados
Probar
hipótesis
Iniciar
trabajo de
campo
Desarrollar
alcance de
auditoría
mejorado
Integración con data anlytics Nuevas interacciones críticas en el
proceso
Deloitte se refiere a una o más de las firmas miembro de Deloitte Touche Tohmatsu Limited (“DTTL”), una compañía privada del Reino Unido limitada por garantía ("DTTL"), su red de firmas miembro, y a sus entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente separadas e independientes. DTTL (también denominada “Deloitte Global”) no presta servicios a clientes. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro puede verse en el sitio web www.deloitte.com/about.
Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos, legal, y servicios relacionados a organizaciones públicas y privadas de diversas industrias. Deloitte presta sus servicios a cuatro de cada cinco de las empresas listadas en el ranking Fortune Global 500®, a través de una red global de firmas miembro en más de 150 países, brindando sus capacidades de clase mundial y servicios de alta calidad a clientes, suministrando el conocimiento necesario para que los mismos puedan hacer frente a sus más complejos retos de negocios. Para conocer más acerca de cómo los más de 225.000 profesionales generan un impacto que trasciende, conéctese con nosotros a través de Facebook, LinkedIn o Twitter.
Esta comunicación contiene únicamente información general, ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o sus entidades relacionadas (colectivamente, la "Red Deloitte") están, por medio de la presente comunicación, prestando asesoría o servicios profesionales. Previo a la toma de cualquier decisión o ejecución de acciones que puedan afectar sus finanzas o negocios, usted deberá consultar un asesor profesional cualificado. Ninguna entidad de la Red Deloitte, se hace responsable por pérdidas que pueda sufrir cualquier persona que tome como base el contenido de esta comunicación.
© 2019. Para más información, contacte a Deloitte Touche Tohmatsu Limited.