Post on 03-Aug-2018
Los objetivos de control enla auditoría operativa ybasada en riesgos.
Norman Arturo Gutiérrez NizLíder de Auditoría Interna y Control InternoEY - Advisory Services
Page 2
Agenda
01 02 03
Marco profesionalpara la práctica deauditoría interna
Auditoría internabasada en riesgos
Objetivos decontrol en la
auditoría operativa
04
Conclusiones
Page 3
Agenda
Marco profesionalpara la práctica deauditoría interna
1 3 4
Con
clus
ione
s
Obj
etiv
osde
cont
rold
ela
audi
toría
oper
ativ
a
2
Aud
itoría
inte
rna
basa
daen
riesg
os
Page 4
Marco profesional para la práctica de AI
Propósitofundamentalde la función.
Requerimientos de cumplimiento obligatorio
Principios yexpectativas querigen la conductade las personas ylas organizaciones.
Guía detalladapara realizar lasactividades deauditoría.
Temas de enfoque, metodología y recomendaciones.
Declaración deIIA para ayudara comprenderlos problemassignificativosrelacionados congobierno,riesgoscontroles.
Page 5
Roles del Auditor Interno
► Cumplimiento normativo► Aplicación de políticas y procedimientos► Evaluación de procesos► Presentación de hallazgos y recomendaciones► Revisión del manejo de los riesgos claves
► Apoyo de los proceso de gestión de riesgos► Facilitación, identificación y evaluación de
riesgos► Desarrollo de estrategias de gestión de
riesgos para aprobación de la alta dirección► Alineación con la estrategia
Aseguramiento
Consultoría
Page 6
Estamos logrando generar el valoresperado por los grupos de interés….?
Page 7
Oportunidades a trabajar…
Page 8
Hacia donde deberíamos ir…..
No negociable
Gap de valor
AltamenteEfectiva
Orientación almejoramiento
Aseguramiento confiable
El “Gap de Valor” representa laoportunidad de mejoramiento a
largo plazo.
Aseguramiento confiable► Cubrir el espectro de gobierno, gestión de
riesgos y control interno.► Ofrecer una evaluación confiable de la gestión
de riesgos y controles en tiempo real.► Cumplimiento normativo.
Altamente efectiva► Rápida respuesta► Flexible y adaptativa► Fácil escalabilidad y mejoramiento► Costo - Efectividad
Orientación al mejoramiento► Facilitar la gestión del riesgo, control y gobierno
a través de la empresa► Apoyar el diagnóstico de problemas► Anticipar problemas: menos “sorpresas"► Apoyar la solución de problemas conocidos - y
si no, ¿por qué no?► Intercambio de buenas prácticas
Page 9
AgendaM
arco
prof
esio
nalp
ara
lapr
actic
ade
audi
toría
1 3 4
Con
clus
ione
s
Obj
etiv
osde
cont
rold
ela
audi
toría
oper
ativ
a
Auditoría internabasada en riesgos
2
Page 10
RiesgoResidual
Gestión de riesgos
Criterios de Calificación
RiesgoInherente
EvaluaciónActividadesde GestiónY Control
Estrategias derespuesta al riesgo
Plan de Auditoría
Medidas deTratamiento
0.0
5.0
10.0
15.0
20.0
25.0
1.0 2.0 3.0 4.0 5.0
Gestión / Nivel de ControlExpo
sici
ónal
Rie
sgo
(Impa
cto
yPr
obab
ilida
d)
Alto
Bajo
Bajo Alt
o
R
5 Esperada
4 Alta
3 Probable
2 Baja
1 Leve
5 Significante
4 Alto
3 Moderado
2 Bajo
1 Leve
5 Muy Alta
4 Alta
3 Moderada
2 Baja
1 Muy Baja
Riesgo A
Riesgo B
Velocidad
Prob
abill
idad
Riesgo C
Page 11
Priorización de los riesgos
0.0
5.0
10.0
15.0
20.0
25.0
1.0 2.0 3.0 4.0 5.0
Gestión / Nivel de Control
Expo
sici
ónal
Rie
sgo
Dim
ensi
ones
Alto
Bajo
Bajo
10
2
4
6
9
7
1
5
3
8
11
12
MonitorearControles
AceptarMonitorearRiesgos
Mejorar
RiesgoResidua
lNo.Riesgos RESIDUALES
1 Legado de CulturaOrganizacional
2 Liquidez – Efectivo/Gestión de Deuda
3Restaurar la Integridadde la InformaciónFinanciera
4 Exposición Crediticia delCliente
5 Infraestructura de ITIneficiente
6 Exposición Creditica alPor Mayor
7Incapacidad paracumplir con losrequisitos de impuestosde auditoría
8Dependencia enrelaciones claves conproveedores
9 Planeación y PrevisiónFinanciera Ineficiente
10 La Compañía como unaadquisición objetivo
11 Enfoque y Alineación deAdquisiciones
12 Obligaciones decuidado de la Salud
Page 12
Estamos alineados con la estrategia de laentidad….?
Page 13
“Ineficiente, no priorizado”
Captura el nivel de riesgo pero no es posiblepriorizar estratégicamente
“Función de AI rota”
Identificación de problemas por coincidencia y nopor planeación
“Alineado pero no objetivo”
Estratégicamente alineado pero carece deevaluación de riesgos
“Función de AI óptima”
Estratégicamente alineado y basado en laevaluación de riesgos
No hay estrategia Alineado estratégicamente
Aproximaciónbasada en elriesgo
Aproximaciónracional
Estrategia de AI y de la entidad
Page 14
Aprovechamiento de recursos
Priorización deProcesos desde la
evaluación de riesgos
CumplimientoLegislación de seguridad
social / Impuestos / normascontables / normas de
calidad
Expectativas de losreguladores
RotaciónY
Seguimiento
Proyectos especiales oauditorías no planeadas
Aprobación
delPlanG
eneraldeA
uditoriaDisponibilidad de
Recursos
Definición deprocesos del plan
de auditoría
Priorización deriesgos y procesos
Entradas
No todos los riesgosson cubiertos en el plan
Page 15
AgendaM
arco
prof
esio
nalp
ara
lapr
actic
ade
audi
toría
1 4
Con
clus
ione
s
Aud
itoría
inte
rna
basa
daen
riesg
os
2
Objetivos de controlen la auditoría
operativa
3
Page 16
Evaluación deRiesgos
Actividades decontrol
Información ycomunicación
Actividades demonitoreo
Enfoque del Sistema de Control Interno
Ambiente decontrol 5
4
3
3
2
Principios
Monitoreo
Información ycomunicación
Actividades de control
Evaluación de riesgos
Ambiente de controlU
nida
dA
Uni
dad
B
Act
ivid
ad1
Act
ivid
ad2
Page 17
Coso 2013 - MECI 2014
Módulo de planeación y gestión
Ambiente decontrol
COSOEvaluaciónde riesgos
Actividades demonitoreo
Información ycomunicación
Actividades de control
1
2
3
4
5
Módulo de evaluación y seguimiento
► Componente del talentohumano
► Direccionamientoestratégico
► Componenteautoevaluación institucional
Eje trasversal
► Información y comunicacióninterna
► Información y comunicaciónexterna
► Sistemas de información ycomunicación
Módulo de evaluación y seguimiento
► Componente auditoríainterna
► Componente planes demejoramiento
Módulo de planeación y gestión
► Componenteadministración delriesgo
Page 18
Qué se espera de la auditoría interna?
Page 19
Cómo lograrlo….?
Page 20
Objetivos de control - COSO
3
4
5
1. Se demuestra compromiso con la integridad y los valores éticos.2. La Junta Directiva demuestra su independencia de la Administración y ejercefunciones de supervisión.3. La Administración, con supervisión de la Junta, establece la estructura, líneasde reporte, autoridad y las responsabilidades.4. La Organización demuestra compromiso para atraer, desarrollar, y retenerpersonas competentes.5. La Organización establece y refuerza la responsabilidad y rendición decuentas (accountability)
6. Se especifican los objetivos para facilitar la identificación de los riesgos.7. La Organización identifica y evalúa los riesgos.8. La Organización gestiona el riesgo de fraude.9. Se identifican y evalúan cambios importantes que podrían impactar el sistemade control interno.
10. Se seleccionan y desarrollan actividades de control.11. Se seleccionan y desarrollan controles generales de TI12. Se implementan y ejecutan las actividades de control a través de políticas y
procedimientos.
13. Se genera información relevante para respaldar el funcionamiento de losotros componentes de Control Interno (CI)
14. La Organización comparte internamente la información, incluyendo losobjetivos y responsabilidades para el control interno, necesaria pararespaldar los otros componente de CI.
15. La Organización comunica externamente aspectos que afecten elfuncionamiento de los otros componentes de Control Interno.
16. Periódicamente se lleva a cabo evaluaciones independientes para evaluar loscomponentes de CI
17. Se evalúa y comunica las deficiencias
Evaluaciónde Riesgos
Actividadesde control
Información ycomunicación
Actividadesde monitoreo
1
2
Ambientede control
1
3
4
5
Monitoreo
Información ycomunicación
Actividades de control
Evaluación de riesgos
Ambiente de control
Uni
dad
A
Uni
dad
B
Act
ivid
ad1
Act
ivid
ad2
1
2
3
4
5
Page 21
Objetivos de control - COSO
3
4
5
1. Se demuestra compromiso con la integridad y los valores éticos.2. La Junta Directiva demuestra su independencia de la Administración y ejercefunciones de supervisión.3. La Administración, con supervisión de la Junta, establece la estructura,líneas de reporte, autoridad y las responsabilidades.4. La Organización demuestra compromiso para atraer, desarrollar, y retenerpersonas competentes.5. La Organización establece y refuerza la responsabilidad y rendición decuentas (accountability)
6. Se especifican los objetivos para facilitar la identificación de los riesgos.7. La Organización identifica y evalúa los riesgos.8. La Organización gestiona el riesgo de fraude.9. Se identifican y evalúan cambios importantes que podrían impactar elsistema de control interno.
10. Se seleccionan y desarrollan actividades de control.11. Se seleccionan y desarrollan controles generales de TI12. Se implementan y ejecutan las actividades de control a través de
políticas y procedimientos.
13. Se genera información relevante para respaldar el funcionamiento delos otros componentes de Control Interno (CI)
14. La Organización comparte internamente la información, incluyendo losobjetivos y responsabilidades para el control interno, necesaria pararespaldar los otros componente de CI.
15. La Organización comunica externamente aspectos que afecten elfuncionamiento de los otros componentes de Control Interno.
16. Periódicamente se lleva a cabo evaluaciones independientes paraevaluar los componentes de CI
17. Se evalúa y comunica las deficiencias
Evaluaciónde Riesgos
Actividadesde control
Información ycomunicación
Actividadesde monitoreo
1
2
Ambientede control
1
3
4
5
Monitoreo
Información ycomunicación
Actividades de control
Evaluación de riesgos
Ambiente de control
Uni
dad
A
Uni
dad
B
Act
ivid
ad1
Act
ivid
ad2
1
2
3
4
5
Page 22
Dado el papel integral de la gestión el Comité de Auditoría, Comité de Riesgos y otrasfunciones de gestión de riesgos. Lograr una participación en un acercamientocoordinado para enfrentar los cambios clave a partir de nuevo modelo.
El camino a seguir sugerido
1.Organice equipos deinternos para que sefamiliaricen con el marcoCOSO-MECI ycomprendan los cambiosclaves e implicacionespara el sistema de controlinterno de su entidad.
2.Revise y establezca unproceso para relacionarcontroles existentes conlos cinco componentes y17 principios del marco.Identifique y evalúe si loscambios en los controles ydocumentación sonnecesarios.
3.Actualice ladocumentación del controlinterno, incluyendo el plande evaluación y pruebas.Evalúe las deficienciasidentificadas.
Page 23
AgendaM
arco
prof
esio
nalp
ara
lapr
actic
ade
audi
toría
1
Obj
etiv
osde
cont
rold
ela
audi
toría
oper
ativ
a
Aud
itoría
inte
rna
basa
daen
riesg
os
2 3
Conclusiones
4 4
Page 24
Conclusiones
#1 Evaluar el nivel de madurez actual de la función auditoría y definir alplan de ruta para llegar al siguiente nivel.
#5 Identificar, sugerir y promover mecanismos para mejorar la gestiónde riesgos, control y gobierno en la entidad.
#3 Apoyar a la entidad en su propósito de lograr un balance entrecontrol, gestión y generación de valor. Optimización de controles
Establecer un proceso para relacionar controles existentes con loscinco componentes y 17 principios del marco coso.#4
#2 Utilizar la evaluación y gestión de riesgos para apalancar y mejorarpermanentemente la función de auditoría.
Page 25
AgendaM
arco
prof
esio
nalp
ara
lapr
áctic
ade
audi
toría
1
Obj
etiv
osde
cont
rold
ela
audi
toría
oper
ativ
a
Aud
itoría
inte
rna
basa
daen
riesg
os
2 3 44
Con
clus
ione
s
norman.gutierrez@co.ey.com
Gracias!