Ponencia "Plan de auditoría interna con base a riesgos".
1. Ponencia: Plan de Auditoría en base a riesgos.
Ponente: Jesús Aisa Díez. Medellín, 6 de Noviembre de 2014
SEMINARIO INTERNACIONAL DE LUCHA CONTRA LA CORRUPCIÓN
3. 1ª) Las entidades existen con el fin último de generar valor para sus grupos de interés.
2ª) Todas se enfrentan a la ausencia
de certeza. El reto de la dirección es
determinar cuánta incertidumbre
puede aceptar mientras se esfuerzan
en incrementar el valor para sus grupos
de interés.
3ª) La incertidumbre implica riesgos
y oportunidades y posee el potencial
de erosionar o aumentar el valor.
EL RIESO EMPRESARIAL.
4. EL RIESGO EMPRESARIAL, ALGO INEVITABLE
“El riesgo en sí mismo no es malo; lo que es malo es que el riesgo esté mal administrado, mal interpretado, mal calculado, o lo que es lo mismo, que no esté bien comprendido”
(Suzanne Lagarbe. Jefa de Riesgos del Royal Bank of Canadá)
5. Riesgo inherente. El que existe en ausencia de acciones para alterar o reducir su probabilidad de ocurrencia o impacto.
Apetito al riesgo. Cuantía que se está dispuesto a asumir para realizar la misión, al ser compatible con los objetivos.
Riesgo residual. Remanente después de se hayan llevado a cabo acciones para modificar la probabilidad y/o el impacto de un riesgo.
Tolerancia al riesgo. El margen asumido como válido entre el Riesgo Residual y el Apetito al Riesgo.
Controles. Medidas adoptadas para mitigar el impacto y/o reducir la probabilidad de ocurrencia de los riesgo.
Mapa de riesgos: Representación de la importancia de los riesgos
CONCEPTOS BÁSICOS
6. 6
Riesgo inherente
Impacto
Probabilidad
Riesgo residu
Apetito al Riesgo
Cuando la desviación no afecte significativamente a los objetivos.
TOLERANCIA AL RIESGO
Riesgo Residual
7. La gestión de riesgos consiste en la identificación, evaluación y control de los acontecimientos que, potencialmente, pueden poner en peligro los objetivos y metas.
GESTIÓN DE RIESGOS
8. Las respuestas a los riesgos han de estar alineadas con el apetito al riesgo. Pero también con el coste de implantarlos. Cuatro modalidades:
FORMAS DE RESPONDER A LOS RIESGOS:
9. Los controles han de estar equilibrados con los riesgos a mitigar. (los controles excesivos y desproporcionados son a su vez factores de riesgo, pues reducen la productividad).
¿Quienes los deben llevar a cabo?. Toda la organización durante el proceso de gestión, procurando:
Prevenir su ocurrencia.
Reducir el impacto de sus consecuencias.
Procurar restablecer el proceso en el menor tiempo.
CONTROLES vs RIESGOS
10. Entrada
Proceso
ACTUACIONES Salida
?
PUNTO DE CONTROL
Entrada
Proceso
ACTUCIONES Salida
?
PUNTO DE CONTROL
Entrada
Proceso
ACTUACIONES Salida
?
PUNTO DE CONTROLL
CORRECTIVOS
DETECTIVOS PREVENTIVOS
TIPOS DE CONTROLES
11. PREVENTIVO DETECTIVO CORRECTIVO
COSTO
UBICACIÓN EN EL FLUJO DEL PROCESO UTILIDAD- EFICIENCIA Entrada
Proceso
Salida
Mayor
Menor
EL TIPO DE CONTROL DETERMINARÁ SU EFICIENCIA
14. Rod Winters, exPresidente del IIA Global, llegó a la conclusión de que “Auditoría Interna debe hacer menos, lo más importante, con menos recursos. Centrarnos en lo que sea significativo y apoyándonos en la tecnología como herramienta de trabajo, pues si bien ésta comporta riesgos, es incuestionable que también es una oportunidad con la que mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos”.
Hacer más cosas, no es sinónimo de hacerlo mejor
OTRO PLANTEAMIENTO
15. Objetivo de Auditoría Interna: Ayudar a las organizaciones a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.
N. 2010. El DAI debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización.
N . 2600. Si el DAI considera que la A.D. ha aceptado un nivel de riesgo que pudiera ser inaceptable para los objetivos de la organización, debe tratar el asunto con la propia gerencia y con el Directorio. …/…
LAS NORMAS DEL IIA Y LA GESTIÓN DE RIESGOS
16. CP. 2010-2. Desarrolla pormenorizadamente la forma en como el Plan Anual debe estar basado en riesgos:
Auditoría Interna debe identificar áreas de alto riesgo inherente, alto riesgo residual y los sistemas de control claves en los que se sustenta la organización.
Si se identifican áreas de riesgo residuales inaceptables, el DAI debe notificarlo.
Auditoría Interna analizará la adecuación y eficacia de los sistemas de control y ofrecerá seguridad razonable de que los controles funcionan y los riesgos son gestionados de manera efectiva. …/…
PERO TAMBIEN EN SUS CONSEJOS (I/II)
17. CP.2120-1. Evaluar la adecuación de los procesos de Gestión de Riesgos.
Los objetivos de la organización han de estar alineados con la misión de la empresa.
Los riesgos significativos deben ser identificados y evaluados.
Seleccionando respuestas apropiadas a los riesgos de forma que estén en un entorno de aceptación.
Obtener oportuna información significativa sobre los riesgos críticos.
PERO TAMBIEN EN SUS CONSEJOS (II/II)
18. La volatilidad y el dinamismo de los entornos profesionales requieren que las organizaciones avancen en sus prácticas de evaluación y gestión de riesgos, pero teniendo en consideración algunos aspectos importantes:
Reforzar el plan de auditoría interna poniendo también el foco en los riesgos emergentes (Seguridad laboral, medioambiente,…)
Flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditoría con la mayor frecuencia posible.
Proporcionar aseguramiento sobre la función del SGR de la Compañía.
POR ÚLTIMO:
19. SOLICITUDES ALTA DIRECCIÓN Y GERENCIAS
MAPA DE RIESGOS DE
AUDITORÍA
Requerimientos Comisión de Auditoría
PLAN DE TRABAJO ANUAL DE
AUDITORIA INTERNA
Coordinación con Auditores
Externos y otros
Proveedores de
aseguramiento
ANALISIS DE AUDITORIA INTERNA: SELECCIÓN PROCESOS PRIORITARIOS EVALUACIONES DE RIESGOS IDENTIFICACIÓN CONTROLES RESULTADOS AUDITORIAS PREVIAS DATOS DE LOS INDICADORES
REQUISITOS REGULADOR
OTROS STAKEHOLDERS
A
B
B
B
B
PRESENCIAL / DISTANCIA
DETERMINACIÓN DEL PLAN AUDITOR
20. NI SON TODOS LOS QUE ESTÁN, NI ESTÁN TODOS LOS QUE SON:
21. Deben planificar su actividad en base a:
Los objetivos estratégicos y los riesgos del negocio.
Los requerimientos y exigencias de los reguladores o supervisores.
Las exigencias normativas aplicables.
Procurando obtener la máxima eficiencia a su función.
Sin olvidar dos ideas básicas:
Incidir en lo importante
Hacerlo con el mínimo coste
EN ESTE CONTEXTO, LAS UNIDADES DE AUDITORÍA INTERNA:
22. Para conseguir su necesaria eficacia:
a)Actualizar los inputs con la máxima frecuencia posible.
b)Si un ente auditable no comporta riesgos significativos o apreciables, no debería incluirse en el Plan.
c)Olvidémonos de Planes plurianuales.
d)Partir del mapa de riesgos existente en cada momento. Pero sobre todo: ¡¡Que no debemos jugar a acertar, sino a no equivocarnos.
PERO TAMPOCO SU DINAMISMO Y ACTUALIZACIÓN
23. HASTA AHORA QUE DEBERÍAMOS TENER CLARO.
1º) Que los entornos empresariales son cambiantes y que debemos evaluarlos con frecuencia.
2º) Que los Planes de Auditoría son dinámicos, y por tanto deben ser flexibles, no inamovibles.
3º) Que los recursos son siempre escasos, optimizar su empleo exige ser muy selectivo incidiendo en lo que se considere más importante en cada momento.
4º) Que la importancia vendrá decidida por la criticidad de los procesos en la consecución de los objetivos empresariales.
25. Gestión de Tesorería Aprovisionamiento de bienes y servicios Nóminas Política de descuentos Etcétera
No, un mismo riesgo puede estar presente
en varios procesos simultáneamente.
RIESGOS vs PROCESOS, ¿RELACIÓN UNÍVOCA?
26. La Gestión de Riesgos es una actividad corporativa, en el que Auditoría Interna no debe ser ajena, debiendo tener opinión formulada respecto a su grado de utilidad para la Organización y, sobre todo, de su bondad.
Por ello, si existe, podremos, en su caso, apalancarnos en él.
1ª Fase Valoración del Sistema de Gestión de Riesgos existente
APLICACIÓN PRÁCTICA DE LA DETERMINACIÓN DEL PAA. (I de V)
27. 2ªFase Correlación Riesgos Residuales vs Procesos
APLICACIÓN PRÁCTICA DE LA DETERMINACIÓN DEL PAA. (II de V)
28. Los procesos donde se ubique los riesgos rojos, son considerados candidatos a incluirse en los planes de auditoría. ¿Seguro?
(Abramos un pequeño paréntesis)
29. (Abramos un pequeño paréntesis)
¿No deberíamos actuar según nos indica Deming?. Entendemos que sí
Pidamos, pues, el plan asumido por el propietario del proceso y actuemos en consecuencia.
30. 3ª Fase Identificación y ordenación de los procesos s/ su criticidad estratégica
Procesos operativos
Mecanización y deslocalización.
Domiciliaciones bancarias.
Comercialización y ventas
Marketing directo y mejorar las prestaciones ofertadas.
Desempeño de la actividad
Certificación ISO 9001.
Logística distribución
APLICACIÓN PRÁCTICA PARA LA DETERMINCIÓN DEL PAA (III de V)
31. Riesgos - Factores de riesgo y Controles.
APLICACIÓN PRÁCTICA PARA LA DETERMINCIÓN DEL PAA (IV de V)
3ª Fase Identificación y ordenación de los procesos s/ su criticidad estratégica
32. APLICACIÓN PRÁCTICA PARA LA DETERMINCIÓN DEL PAA (V de V)
Un riesgo siempre tiene una o más causas.
FACTORES DE RIESGO
33. 4ª Fase Ponderación de los demás items. El PAA se debe determinar en base a riesgos, pero no solo por la información que se derive del mapa de riesgos. ¿Cuáles podrían ser estos otros factores a considerar ?: 1º) Si el proceso ha sido auditado recientemente. 2º) Se hay auditorías anteriores, valoración otorgada al último informe. 3º) Grado de cumplimiento de las recomendaciones. 4º) Existencia de regulación que afecte al proceso. 5º) Características financieras del proceso. 6º) Opinión profesional de los auditores internos.
PERO CONSIDERANDO OTRAS FORMAS DE MEDIRLOS
34. Valoración de los Riesgos. Peso 25 puntos
Variable 1
Riesgo Extremo………….. 25
Riesgo Alto………………….20
Riesgo Moderado………. 15
Riesgo Bajo………………….. 5
Valoración asignada a la auditoría. Peso 15
Variable 3
Deficiente……………………15
Mejorable …………………..10
Buena con excepciones….5
Buena……………………………0
Tiempo transcurrido desde la anterior auditoría. Peso 15 puntos. Variable 2 No analizado………………………………………15 Hace más de dos ejercicios……………….. 10 Analizado en los dos últimos años…………5 Grado de cumplimiento de las recomendaciones emitidas. Peso 25. Variable 4 Implementadas…………………………………….0 En curso………………………………………………15 Pospuestas………………………………………….25 Rechazadas…………………………………………25 Opinión profesional del auditor. Peso 20. Variable 5
PONDERACIONES. EJEMPLO
35. Variable 1.
Peso 25
Variable 2.
Peso 15
Variable 3.
Peso 15
Variable 4.
Peso 25
Variable 5.
Peso 20 Total Inclusión PAI
Procesos Riesgos
Conf. Grupo y Perím. Societario Regulación 25 15 40
Entorno Político y Económico 25 15 40
Definición estrategia del negocio Incumplimiento de compromisos 25 15 10 50
Disponibilidad de RRHH 15 15 10 40
Regulación 25 15 10 50
Entorno Político y Económico 25 15 10 50
Evolución de los mercados financieros 20 15 10 45
Flexibilidad al cambio 20 15 10 45
Diversidad del Negocio 20 15 10 45
Capacidad productiva 15 15 10 40
Control obj. E indic. Gestión Autoridad- Segregación 15 0 10 0 25
Gestión de la mejora continua Incumplimiento de compromisos 25 10 0 15 50
Análisis del entorno y gestión relaciones externas Regulación 25 15 5 25 15 85 SI
Entorno Político y Económico 25 15 5 25 15 85 SI
Estrategia comercialización y ventas Incumplimiento de compromisos 25 5 10 15 20 70 SI
Disponibilidad de recursos financieros 25 5 10 15 20 75 SI
Capacidad productiva 15 5 10 15 20 75 SI
Desarrollo, prueba y mejora prod, y serv. Regulación 25 10 15 0 50
Evolución de los mercados financieros 20 10 15 0 45
Flexibilidad al cambio 20 10 15 0 45
Diversidad del Negocio 20 10 15 0 45
Campañas promocionales Incumplimiento de compromisos 25 0 10 0 10 45
Disponibilidad recursos financieros 25 0 10 0 10 45
Duración del proceso productivo 15 0 10 0 10 35
Política de descuentos Fraude externo 25 10 0 0 35
Disponibilidadrecursos financieros 25 10 0 0 35
Entorno Político y Económico 25 10 0 0 35
Evolución de los mercados financieros 20 10 0 0 30
Venta de bienes y servicios Incumplimiento de compromisos 25 0 10 15 15 65 SI
Fraude externo 25 0 10 15 15 65 SI
Entorno Político y Económico 25 0 10 15 15 65 SI
Evolución de los mercados financieros 20 0 10 15 15 60
Capacidad productiva 15 0 10 15 15 55
Gestión comisiones Fraude externo 25 10 35
Proceso Post-venta Fraude externo 25 15 20 60
Aprovisonamientos de prod. Y servicios Disponibilidad de recursos financieros 25 5 5 0 35
Procesos y Riesgos auditables
RESULTADO FINAL
36. SIN IGNORAR A LOS OTROS “PROVEEDORES” DE ASEGURAMIENTO
37. i.Las auditorías a realizar por requisitos regulatorios y/o de cumplimiento normativo.
ii.Trabajos solicitados por el Comité de Auditoría. iii. Auditorías/apoyos solicitadas por la Dirección. iv. Los planes de formación.
v.El seguimiento de las recomendaciones. vi. El Programa de aseguramiento y mejora de la calidad. vii. Los reportes sobre la actividad auditora a la alta dirección y al Comité de Auditoría
NI TAMPOCO A:
38. 5ª Fase . Ordenación trabajos y cuantificación recursos
Identificados los trabajos a realizar, hay que cuantificar las horas necesarias para realizarlos, así como las horas de formación necesarias, las de atención a las consultorías solicitadas, las precisas para la supervisión de los planes de remediación asumidos, etc, vs con las disponibles. Situación que debe sancionar la alta dirección y el Directorio.
AHORA SÍ
39. 1º) Los recursos los determina el alcance del Plan, no al contrario. 2º) La responsabilidad de asumir un Plan ajustado a las necesidades verdaderas es compartida: UAI, AD y Directorio. 3º La secuencia de presentación del Plan a su aprobación es. Primero la AD, después Directorio/Comité de Auditoría. 4º) Las circunstancias y comentarios sobre el debate de la aprobación del Plan, deben recogerse en Acta.
APROBACIÓN FINAL: ALTA DIRECCIÓN Y DIRECTORIO.
40.
41. DAFP (Departamento Administrativo de la Función Pública) “Es el mal uso público del poder, para conseguir una ventaja ilegítima, generalmente secreta y privada que conlleva inmersos los siguientes elementos en conjunto:
Es un tipo de comportamiento activo o pasivo de un servidor público.
Es emanada del ejercicio de la función pública en cuanto configura un abuso de ésta o de la legitimidad que inspira el Estado.
TI (Transparencia Internacional) “El mal uso del poder encomendado para obtener beneficios privados, Esta definición incluye tres elementos:
El mal uso del poder
Un poder encomendado, es decir, puede estar en el sector público o privado
Un beneficio privado, que no necesariamente se limita a beneficios personales para quien hace mal uso del poder, sino que puede incluir a miembros de su familia o amigos”.
42. El Ministerio del Interior estima su fortuna
en más de ¡¡ 1.800 millones de euros !!
43. Diagnóstico puntual de los riesgos de corrupción más significativos
Prevención: Implementar mecanismos de control (código de conducta, capacitación y comunicación organizacional, filtros de investigación de debida diligencia para contratar, retener o promover empleados o proveedores)
Detección: Implementar líneas éticas y programas de monitoreo y análisis de datos sensibles para la operación y administración de la entidad
Acción: Implementar protocolos de investigaciones internas y protocolos de sanciones y correcciones
RESPUESTA