Está en la página 1de 19

CEMLA: XI Reunin de Auditores Internos de Banca Central

Gua para una metodologa de auditora basada en riesgos

Juan Villanueva Chang Setiembre, 2011

La creatividad e Innovacin
Adelantarse
Una persona creativa es gil y flexible Tiene libertad de pensar, expresar y actuar sin miedo La constante en la vida es el cambio

Capacidad de sntesis

Participando de la curiosidad intelectual Capacidad de tomar las cosas de distintas fuentes Integrarlas en algo coherente

Ver la oportunidad

Desarrollar capacidad de observacin Estar receptivos a las impresiones que nos vienen del interior y exterior

Las ideas no duran mucho. Hay que hacer algo con ellas
Santiago Ramn y Cajal

Objetivo del tema


El presente trabajo da pautas de como elaborar una metodologa de auditora con base en riesgos. Se aplica en la elaboracin del plan anual de auditora y la fase de planeamiento para elaborar una auditora (Risk based audit planning).

La presente gua no es nica ni obedece a un estndar en particular.


La meta consiste en disear un programa de auditora centralizado en los riesgos crticos del negocio. El cambio metodolgico debe ser progresivo en tanto se fortalezca la cultura de gestin de procesos y riesgos en la organizacin.

La auditora moderna
Evaluar y mejorar la eficacia de los procesos de gobierno, riesgos y control

Gobierno Riesgos
Planeamiento de auditora basada en riesgos

Control

Qu es auditora basada en riesgos?


La auditora basada en riesgos es un proceso, un acercamiento, una metodologa y una actitud en torno al tema. La manera ms simple de definir una auditora basada en riesgos consiste en revisar las cosas que realmente importan en su organizacin. Otra manera de trabajar la auditora basada en riesgos es con la ayuda de la teora de proceso
Fuente: Phil Griffiths (2009) en su documento Risk Based Auditing

mbito de aplicacin de la metodologa


Primera Etapa: La entidad se encuentra desarrollando los primeros niveles del proceso de gestin de riesgos (Establecer el contexto, identificacin y anlisis de riesgos).
Segunda Etapa: La entidad ha culminado en desarrollar los niveles del proceso de gestin de riesgos (Establecer el contexto, identificacin, anlisis y evaluacin de riesgos) y ha puesto en prctica el tratamiento al riesgos

Plan Anual de auditora basada en riesgos


Procesos crticos de relevancia segn tamao del impacto de riesgo (Dueos de procesos o Gerencia de Riesgos). Antigedad de ltima auditora. Proceso no auditado segn cadena de valor y nuevo enfoque. Sugeridas por dueos de procesos o por Alta Direccin. Criticidad: Carencia de controles, alta rotacin de personal, cambio de funciones, procedimientos, eventos recientes, denuncias, etc Exposicin a eventos externos e internos de la organizacin. Criterio propio de auditores (resultados de CSA, importancia de resultados de recomendaciones)

Mtricas de Procesos Auditables


Universo de procesos
Proceso 1 Proceso 2 Proceso 3 Proceso 4 Proceso n
1/ Informacin proporcionada por la Gerencia de Riesgos

Unidad Organizacional

Responsables

Gasto Operativo

ltima Auditora

Factor Tamao

Factor Control

Factor CSA

Riesgo Crtico Corporativo 1/

Riesgo tratado

Riesgo residual

XXXX XXXXX

Escala de Factor CSA


(Mnima prioridad de auditora) A = Alto 4.001 - 5.000 B = Medio 3.501 - 4.000 C = Bajo 3.001 - 3.500 D = Inadecuado 0.000 - 3.000

Escala de Factor Control


ESCALA FACTOR TAMAO (Tamao mximo) 5= Ms de 5,0 mill 4= Entre 1,01 y 5,0 mill 3= Entre 101 y 1,0 mill 2= Entre 11 y 100 mil 1= Entre 0 y 10 mil. (Tamao Mnimo) El factor de tamao considera el criterio de relevancia segn el valor de las actividades o tareas del proceso. (Riesgo mximo de control) 5= Alto Ms de 21 4= Superior 16 a 20 3= Medio 11 a 15 2= Mnimo 5 a 10 1= Ninguno 0a 4 (Riesgo mnimo de control) El factor de control es el resultado de la cantidad de debilidades de control detectadas en ltima auditora.

(Mxima prioridad de auditora) El factor de CSA introduce la puntuacin sobre la marcha de los componentes de control interno segn los dueos del proceso, obtenida mediante talleres de autoevaluacin de control.

Mtricas de Procesos Auditables


Universo de procesos Exigencia legal, normativa Alineamiento Estratgico 2/ Objetivos de Control Interno 3/ Componente de Control Interno 4/ Cantidad de debilidades de control segn perfil de riesgos 5/ Pruebas de auditora 6/ Tcnica Integral Tcnica selectiva Muestreo estadstico Muestreo no estadstico

Proceso 1

XXXX

Proceso 2
Proceso 3 Proceso 4 Proceso n

XXXXX

2/ 3/ 4/ 5/ 6/

Vinculacin con el objetivo y actividad estratgica vigente. Priorizar de acuerdo a su naturaleza a que tipo de objetivo de control interno es factible analizarlo. De acuerdo a su naturaleza sobre que tipo de componentes de control interno se debe analizar. Vincular las debilidades de control al perfil de riesgos de la organizacin. Por la caracterstica de los elementos a ser revisados identificar el tipo de muestreo a emplear.

Planeamiento de auditora basada en riesgos


PROGRAMA DE AUDITORIA ENFOCADO EN RIESGOS CRITICOS

TRABAJO DE CAMPO

Contexto interno

FASE DE PLANEAMIENTO

Contexto externo

Alcance por procesos Trabajo en equipo Lluvia de ideas Diagramacin de flujo Teora de procesos Benchmarking Talleres CSA Perfil de riesgos crticos (Unid. Riesgos) Tcnica Delphi Causa efecto Mapeo de controles

Reporte alineado a la cultura de riesgos de la organizacin

INFORME
10

Fases de planeamiento de auditora basada en riesgos


Diseo proceso auditables

Debilidades de control segn autoevaluacin

Planeamiento

Mapa de controles y elaboracin de programa

Trabajo de campo

Elaboracin de informe

Seguimiento

Pruebas de auditora en riesgos sensibles


Inventario de amenazas o causas de riesgos

Resultados de gestin de riesgos dueos procesos

Debilidades de control

11

Diseo del proceso auditable Fase planeamiento


Diseo proceso auditables

Objetivo
Tener conocimiento detallado de funcionamiento de procesos auditable para formular primeras hiptesis de posibles debilidades de control

Actividades
Levantamiento de informacin: Procedimientos, MOF, referencia de benchmark, revisin papeles de trabajo pasados, entrevistas, etc Diagramacin y descomposicin del procesos (Actividades, tareas) Trabajo en equipo para entendimiento conjunto de la materia auditable

Planeamiento

Entregables
Diagramas de Flujo/Jerrquico, matriz de descomposicin de procesos en actividades y tareas

Ejemplo

DIAGRAMACION DE ACTIVIDADES Y TAREAS


CDIGO ACTIVIDAD B: B1 B2 Anlisis de mercados y tasas y precios referenciales B3 Negociacin y Ejecucin en firme de las operaciones B4 Generacin de rdenes de pago

Negociacin y Ejecucin de Operaciones

Determinacin de niveles de liquidez para la inversin

TAREAS:

Conciliar los reportes contables y registros internos para establecer montos a invertir. Establecer mrgenes disponibles a invertir en las entidades del exterior segn lmites disponibles. Fijar niveles de desviacin autorizados por Alta Direccin. -

Obtener informacin oportuna de los mercados, comentarios tcnicos y noticias de los servicios de informacin. Informes peridicos de los principales brokers y bancos de inversin. Anlisis para tomar decisiones con base en la informacin disponible y pautas del Comit de Inversiones. Determinar los montos y perodo de vigencia para las negociaciones.

Establecer depsitos a plazo en divisas, compra - venta de divisas y valores, depsitos a plazo en oro. Determinar la posicin de las transacciones. Reconocer los intereses, primas, descuentos. Calcular los intereses o primas ganados. Ejecutar los pagos por acuerdos financieros a organismos. Ejecutar los pagos por cuenta de otras reas del Banco. Efectuar transferencias de fondos BCRP-Banca Local por LBTR, ALADI, otros.

Verificar los datos para la confirmacin de las operaciones de las hojas de trabajo de operaciones realizadas en el da. Imprimir los trminos de negociacin en firme por Dealing Systems de Reuters. Recepcin y envo del Trade Ticket- Bloomberg confirmando la operacin de valores. Registrar las operaciones en el Sistema Integral de Registro y ejecucin de pasos de control.

12

Debilidades de control segn autoevaluacin (CSA) Fase planeamiento Objetivo


Identificar las debilidades de control segn percepcin de dueos de procesos auditable
Debilidade s de control segn autoevalu acin Planeamiento

Actividades
Preparar plan de trabajo de sesin CSA
Elaborar presentacin de difusin de control interno Cuestionarios para evaluacin de marcha de componentes de control interno Realizar sesin de taller de CSA Elaborar informe ejecutivo y difundir a cliente

Entregables
Debilidades de control capturadas de resultado de evaluacin de cuestionario CSA relacionadas a perfil de riesgos de la entidad

Ejemplo

C U E S T IO N A R IO D E A U T O E V A L U A C I N D E L C O N T R O L IN T E R N O

F e c h a d e a u to c o n tr o l: 1 4 d e a b r il d e l 2 0 0 5 R e s p o n s a b le :
M a r c a r c o n ( X ) d o n d e c o r r e s p o n d a l a a p r e c i a c i n m s c e r c a n a d e l a u d i t o r . C o n ( 5 ) s e i n d i c a q u e e l s i s t e m a d e c o n t r o l i n t e r n o e s t e x c e l e n t e ( fu e r t e ) o q u e n o e x i s t e n i n g n e l e m e n t o o j u i c i o d e v a l o r q u e p o n g a e n d u d a l a fo r t a l e z a d e l s i s t e m a d e c o n t r o l . C

Ambiente de control 89.62 90


S U P E R IO R A L T O

IN S IG N IF IC A N T E

M IN IM O

M E D IA

85
0

I. A m b ie n te d e c o n tr o l re s p e c to a l d e s a rro llo d e s u s a c tiv id a d e s .


1 2 3 4 5 6 7 8 S e p e rc ib e que e l p e r s o n a l i n v o lu c r a d o e n la s o p e r a c i o n e s

10%

E l a m b ie n te d e c o n tro l s e re fie re a l e s ta b le c im ie n to d e u n e n to rn o q u e e s tim u le e in flu e n c ie la s ta re a s d e l p e rs o n a l

80 Monitoreo 88 75 70 65 Evaluacin de riesgos 89.33

d e v e n ta s 1 1 1 1 1 0 0 0 0 0 0 0 0
0

a c t u a n e n u n m a r c o d e i n t e g r i d a d y v a lo r e s t i c o s ? E n e l p e r s o n a l e n c a r g a d o d e la s v e n t a s s e p e r c i b e q u e e x i s t e u n a a c t i t u d p o s i t i v a s o b r e la n a t u r a le z a d e l c o n t r o l i n t e r n o ? S e o b s e r v a q u e e n t r e lo s e m p le a d o s d e la s r e a s v i n c u la d a s a l a s v e n t a s e x i s t e u n a r e la c i n i n t e r p e r s o n a l a r m o n i o s a ? S e d i s t i n g u e q u e e s t n v i n c u la d o s lo s o b je t i v o s d e l p r o c e s o d e v e n t a s c o n lo s o b je t i v o s e s t r a t g i c o s d e l N e g o c i o ? S e o b s e r v a q u e e l p e r s o n a l d e v e n t a s e x i s t e c o n f li c t o d e i n t e r e s e s ?

0 0 0 0 0 0 0 0
0

0 0 0 0 0 0 0 0
0

0 0 0 0 0 0 0 0
0

S e h a n d e t e c t a d o s i t u a c i o n e s d e u s o n o c o o r d i n a d o d e a lg u n a s v e n t a s ? 1 E s t n c la r a m e n t e e s t a b le c i d o s lo s n i v e le s d e r e s p o n s a b i li d a d y a u t o r i d a d e n a lg u n a n o r m a t i v i d a d ? E s t n v i g e n t e s y a c t u a li z a d o s ? L a s t a r e a s e n e l r e a d e v e n t a s s e d e s e m p e a n d e a c u e r d o a la a u t o r i d a d y r e s p o n s a b i li d a d a s i g n a d a s ? 1 20%
3

II. E v a lu a c i n d e r ie s g o s La e v a lu a c i n de de rie s g o s in v o lu c ra la d e s e n v o lv im ie n to m a n e ja d o s .
9 10 11

id e n tific a c i n la base p a ra

a n lis is

de

rie s g o s fo rm a en

re le v a n te s que ta le s

p a ra rie s g o s

el

n o rm a l ser

la s v e n ta s , a s c o m o

d e te rm in a r la

deben

E x i s t e e v i d e n c i a d e q u e s e i d e n t i f i c a n y e v a lu a n c o n f r e c u e n c i a lo s r i e s g o s d e la s a c t i v i d a d e s c o m p r e n d i d a s e n la s o p e r a c i o n e s d e v e n t a s ? A l d e t e c t a r p r o b a b le s a m e n a z a s d e a lg n r i e s g o s e t o m a n 1 a c c io n e s 1 1 0 0 0 0 0 0 0 0 0 0 0 0

r p i d a m e n t e p a r a m i t i g a r lo s ? L o s r i e s g o s d e t e c t a d o s c u e n t a n c o n p la n e s d e c o n t i n u i d a d s u f i c i e n t e ?

III. A c tiv id a d e s d e c o n tr o l La a c tiv id a d e s de c o n tro l s e re fie re n a la s re s p o n s a b ilid a d .


12 14 15 16 17

30%

a c c io n e s q u e

re a liz a

e l p e rs o n a l p a ra

m i ti g a r l o s r i e s g o s b a jo s u

S e p e r c i b e q u e lo s c o n t r o le s d i s p u e s t o s e n lo s p r o c e d i m i e n t o s s e v i e n e n c u m p li e n d o ? E x is te u n a a p r o p ia d a s e g r e g a c i n d e fu n c io n e s ? E x i s t e n p la n e s d e c o n t i n g e n c i a s y e s t n f u n c i o n a n d o ? 1 S e m a n tie n e n a c t u a li z a d a s la s p o lt i c a s y p r o c e d im ie n to s ? E s t n por 1 1
IN S IG N IF IC A N T E M IN IM O

1 1

0 0 0 0 0
M E D IA

0 0 0 0 0
S U P E R IO R

0 0 0 0 0
A L T O

0 0 0 0 0

e s c r ito ? E x i s t e n s u f i c i e n t e s c o n t r o le s q u e a s e g u r e n e l x i t o d e la s a c t i v i d a d e s u o p e ra c io n e s ?

Informacin y comunicacin

87

Actividades de control 89.2

14.10.2005 11.04.2006

13

Inventario de amenazas o causas de riesgos Fase planeamiento Objetivo Actividades

Identificar amenazas o causas de riesgos para priorizar pruebas de acuerdo a mapa frecuencia e impacto
Planeamiento

Diagramacin de causa efecto para identificar universo de amenazas o causas de riesgo Construir escalas de tablas para medicin en mapas de frecuencia e impacto Codificar universo de amenazas y seleccionar aquellas de mayor preocupacin Referenciar amenazas segn perfil de riesgos de la entidad

Inventari o de amenaza so causas de riesgos

Entregables
Inventario y seleccin de las amenazas o causas de riesgo donde focalizar las pruebas de auditora

Ejemplo

DIAGRAMA CAUSA - EFECTO


1. RIESGO OPERACIONAL PERSONAS
Hiptesis preliminar: En la custodia y vigencia de los trminos y condiciones del contrato habran deficiencias de cumplmiento.
Amenazas o causas de riesgo Legal Desconocimiento de poderes de firmas autorizadas Efectos

FACTOR: 1.1 COMPETENCIA / ADECUACION / CONOCIMIENTO

Desconocimiento del entorno jurdico

a
Inoperatividad del contrato

Inadecuada disponibilidad de recursos humanos para ejecutar los procesos. Falta de conocimientos, habilidades o actitudes de personalidad. Falta de disponibilidad o alejamiento del personal clave. Insuficiente conocimiento de la organizacin. Falta de un apropiado entrenamiento del personal. Conocimiento inadecuado de clientes, productos y prcticas de negociacin.

b c

Imprecisin organizativa Procesos

Desinformacin de archivos

Negligencia

Desconocimiento

Desinters Personas

d e

14

Mapa de controles y elaboracin del programa

Fase planeamiento

Objetivo
Mediante el empleo de mapas de frecuencia x impacto seleccionar debilidades de control para centralizar pruebas de auditora

Actividades
Construir mapas de frecuencia e impacto con amenazas o causas de riesgo seleccionadas Tomar en consideracin estado de la evaluacin de riesgos por dueos de proceso Dar prioridad en la identificacin de las pruebas de auditora a las amenazas ubicadas en zona sensible de anlisis frecuencia e impacto Continuar elaborando pruebas de auditora de acuerdo a capacidad operativa

Planeamiento

Mapa de controles y elaboraci n de programa

Entregables
Programa para efectuar pruebas de auditora alineado y focalizado en los riesgos sensibles
8 7 6 5 4 3 2 1 Constante Habitual Frecuente Moderado Ocasional Espordico Remoto Improbable Insignif. Marginal Grave 1 Aceptable 2 Tolerable 5

Ejemplo
Anexo n 2

PROGRAMA DE AUDITORIA
Objetivo General
Evaluar el funcionamiento de la estructura del control interno en el manejo de las operaciones de inversiones internacionales, verificando que funcione continuamente y de acuerdo a los lineamientos establecidos

Objetivos especficos
A X B X C X D E X COD OBJ 1 DESCRIPCIN DE LOS OBJETIVOS A CUBRIR Comprobar que las operaciones de inversiones internacionales se hayan efectuado de acuerdo a las polticas y lineamientos aprobados por el Directorio para la administracin de la Reservas Internacionales. Comprobar que las medidas de control para mitigar los riesgos han operado efectivamente durante el perodo bajo examen. Comprobar que el rea de inversiones cuente con adecuado soporte para el monitoreo, negociacin y registro de las operaciones y que se cumplan los procedimientos establecidos. Comprobar la documentacin del sustento contable de los resultados de las operaciones de acuerdo a los usos y costumbre y procedimientos establecidos en el manual de inversiones. Examinar la vigencia y custodia de los contratos o estados de control de los instrumentos financieros en favor del Banco. Evaluar el estado e implementacin de las recomendaciones formuladas por Auditora Interna y/o los rganos de control externo.

X X

X X

2 3

5 X 6

Crtico Desastro. Catastr. 10 Inaceptable 20 50 Inadmisible

De conformidad con la NAGU 3.10 Estudio y Evaluacin del control interno y el Manual de Auditora Gubernamental MAGU; los objetivos del control interno son los siguientes: A) B) C) D) E) Promover la efectividad, eficiencia y economa en las operaciones y la calidad en los servicios; Proteger y conservar los recursos pblicos contra cualquier prdida, despilfarro, uso indebido, irregularidad o acto ilegal; Cumplir las leyes, reglamentos y otras normas gubernamentales. Elaborar informacin financiera vlida y confiable, presentada con oportunidad. Promover una Cultura de Integridad, Transparencia y Respondabilidad en la funcin Pblica, cautelando el correcto desempeo de los servidores.

15

Producto final: Satisfaccin para cliente


SNTESIS DE LA ACCION DE CONTROL Macroproceso: Gestin de Recursos Humanos
Materialidad: Valor expuesto a riesgos (miles S/): 137 746 CSA: Percepcin previa del control interno segn dueos del proceso: (4.13 puntos) 21.05.2008

Diseo proceso auditables

CSA: Resultados de la Evaluacin segn dueos del Proceso


(Ante s de la Auditora) INADECUADO Puntaje Final BAJO M EDIO 3.501 - 4.000 ALTO 4.001 - 5.000 PESO 40% 5% 20% 5% 10% 10% 10%
1 5

Componentes de control interno


Ambiente de control Evaluacin de riesgos Actividades de control gerencial Actividades de prevencin y monitoreo Sistemas de informacin y comunicacin Seguimiento de resultados Compromisos de mejoramiento

0.000 - 3.000 3.001 - 3.500

Debilidades de control segn autoevaluacin

Planeamiento

Mapa de controles y elaboracin de programa

Trabajo de campo

Elaboracin de informe
1 2 3 4 5 6 7 8 9

Resultado de la Auditora
Fecha de trmino de la Accin de Control: 15.01.2009 Oportunidades de Mejora (Amenazas) Precisar el cumplimiento de las retenciones por mandato judicial Formalizar el tipo de descuentos en la liquidacin por cese de trabajadores * Actualizar los expedientes de personal * Mejorar la informacin en las reseas laborales * Elaborar una poltica integral de gestin del Plan Anual de Capacitacin * Actualizar el registro de la capacitacin * Definir el plazo para prcticas pre - profesionales * Desarrollar controles de acceso a los aplicativos informticos * Establecer perfiles de acceso a los aplicativos segn funciones del puesto * Categora de Riesgo Operacional: Legal Operacional: Legal Operacional: Personas Operacional: Personas Operacional: Procesos Operacional: Personas Operacional: Personas Operacional: TI Operacional: TI Operacional: Personas Operacional: Personas Operacional: Personas Operacional: Personas

Inventario de amenazas o causas de riesgos

10 Efectuar peridicamente inventario de medicinas * 11 Actualizar la confirmacin de grados y/o ttulos de personal ingresante 12 Formalizar el periodo de prueba del personal ingresante 13 Demoras en las liquidaciones del Personal */ Pendientes de solucin

Mapa de debilidades de Control Interno


Componentes de Control Interno
Ambiente de Control Evaluacin de Riesgos Actividades de Control Gerencial Actividades de Prevencin y Monitoreo Sistemas de Informacin y Comunicacin Seguimiento de Resultados Compromiso de Mejoramiento

Objetivos de Control Interno Nuevo Peso Recursos Confiabilidad Impulsar Rendicin de despus de la Auditora Operaciones Pblicos Cumplimiento Financiera Valores Cuentas

3, 4, 5, 7, 12 1, 2, 8, 9, 13 10 6, 11

25% 5% 40% 10% 5% 10% 5%

16

Mapa de debilidades de control por tipo de riesgos


Componente de Control interno Tipo de riesgos

Estratgicos Ambiente de control Evaluacin de riesgos Actividades de control

Financieros

Operativos

Informacin y comunicacin

Seguimiento

ESCALA DE MEDICION ALTO MEDIO BAJO 11 - Ms 6 - 10 15

17

Conclusiones
Este enfoque pone nfasis a la gestin estratgica, de riesgos y de procesos. Evoluciona de acuerdo al avance de la gestin de riesgos.

Evita realizar o sustituir formalmente actividades que le competen a la gestin de riesgos.


Fortalece el marketing del auditor ante sus clientes. La metodologa evoluciona dependiendo del tamao y complejidad de la entidad, perfil de conocimiento y apertura al cambio de paradigma de los auditores. El avance hacia una auditora basada en riesgos debe cuidar que los gestores de riesgos y auditores reconozcan que sus mtodos de trabajo no interfieren, por el contrario, fortalece sus actividades.

18

GRACIAS......

19

También podría gustarte