Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ahora bien:
2
El Instituto de Auditores Internos
• Fundado en 1941
• Sede en Orlando, Florida
• Capítulos e institutos
• 153 capítulos
• USA, Canada & El Caribe
• 96 Institutos
• Rest of the world
• Más de 190,000 asociados
• Auditores Internos Certificados - CIAs
• Más de 100,000 CIAs global.theiia.org
Buenas Noticias
4
Buenas Noticias
THE WHISTLE-BLOWERS:
Cynthia Cooper, WorldCom; (left to right), Coleen Rowley,
the FBI; and Sherron Watkins, Enron
Personajes del Año 2002 en los Estados Unidos
Desarrollo de la Auditoría Interna
Primera Generación Segunda Generación Tercera Generación 4ta Generación (año 2000)
(antes de 1980) (Década 80’s) (Década 90’s)
•Enfocada a Controles Enfocada a la Estructura •Enfocada a Riesgos del Enfocada al Proceso del
de Control Negocio Manejo de Riesgo del
Negocio - BRMP
7
La Fundación de Nuestra Promesa
8
La Auditoría Interna es función crítica
del Buen Gobierno Corporativo (BGC)
Te Te
Very high
veel Mate van weinig
beheersing Management
Internal audit
High action
Risk Level
Moderate
Low
Evaluate Monitor
Very low
1 2 3 4 5
Could do Could do Effort is Should do Should do
much less less just right more much more
Perceived Control
9
Cambiando Nuestra Imagen
Auditoría
Interna
Antes:
10
Definición: Auditoría Interna
11
11
El Nuevo rol de Auditoría Interna
Espectrum de las
Consultor permanente
responsabilidades del Top Management
del auditor
Consejero de las mejores
practicas
Encargado de descubrir
Clarificador
Auditoria orientada al Pasado
Verificador (investigador)
12
Rol de Auditoria Interna: Tipos de Servicios
13
Tipos de Servicios Frecuentes de Auditoría Interna
14
¿Qué más debemos realizar para
ser auditores internos
globalizados?
15
Lograr la certificación
Certified Internal Auditor (CIA)
16
El CIA en el Mundo
La designación de auditor interno certificado es una
distinción de un experto en auditoría interna a nivel
internacional.
Al obtener el CIA, usted incrementa su valor para la
dirección, demuestra su competencia profesional,
mejora su imagen y obtiene la única designación
internacional para auditores internos.
A la fecha existen más de 100,000 CIAS en el
mundo. En Latinoamerica solo existe el 1% de los
Certificados en el Mundo.
17
Vision General del CIA
– Conocimiento
– Entendimiento
– Habilidad
• Las Partes I, II y III son consideradas ahora como el temario central global
para el auditor interno profesional.
18
Certificaciones Especializadas
• Certificación en Auto evaluación de
Control
Discusión Grupal:
20
Cuáles son nuestras circunstancias
21
Auditoría Interna se debe alinear con los riesgos
del negocio
Da Prioridad a los procesos con potencial significativo de impactar
1
los objetivos de negocio para la evaluación posterior del riesgo.
Alto PROCESOS
Da Prioridad a los riesgos con potencial de impactar
2
los objetivos para la evaluación del control.
Bajo Alto
Alto
Probabilidad de
Medio Ocurrencia
Bajo
Bajo Alto
23
Introducción
Líneas de Defensa de las Empresas
Líneas de Defensa de las Empresas
global.theiia.org/Technical Papers
LINEAS DE DEFENSA DE LAS EMPRESAS
COORDINACION DE LAS TRES LINEAS DE DEFENSA
Debido a que cada organización es única y puede variar según
situaciones específicas, no hay una forma "correcta" para coordinar las
Tres Líneas de Defensa. Sin embargo, al asignar las responsabilidades
específicas y de coordinación entre las funciones de gestión de riesgos,
puede ser útil tener en cuenta el papel fundamental de cada grupo
en el proceso de gestión de riesgos.
LINEAS DE DEFENSA DE LAS EMPRESAS
La Auditoría Interna tiene la misión
de mejorar y proteger el valor de la
organización proporcionando
aseguramiento, visión y
asesoramiento objetivos basados
en riesgos (IIA, 2015)
LINEAS DE DEFENSA DE LAS EMPRESAS
31
Marco Internacional
para la Práctica Profesional de Auditoría
Interna
32
Guías obligatorias: MIPPAI
33
01 Cumplimiento con las Normas del IIA
Introducción I
La profesión de auditor tiene un rico e histórico pasado, los primeros datos tienen su
origen en la civilización Mesopotámica, donde se verificaban las transacciones
financieras y las anotaciones de los cargamentos de los barcos. En la antigua Roma
el termino “audit” del Latín “auditus” – oido, se refería a la escucha de la evidencia
oral cuando los oficiales verificaban registros.
34
01 Cumplimiento con las Normas del IIA
Introducción II
Distinción entre Auditoría Interna y otras funciones de revisión
– Cumplimiento: - El trabajo se dirige estrictamente a verificar si una organización cumple
con leyes, regulaciones, normas, políticas o procedimientos. Los resultados son reportados
como tal, sin considerar la eficacia o eficiencia del proceso de negocio. Esta función
dependiendo del tipo de organización, puede estar junta o separada de la unidad de
auditoría interna.
Ejemplos: unidad de calidad, Sarbanes – Oxley, etc.
–Reguladores: - Estos auditores trabajan para organismos reguladores, por ejemplo U.S.
Securities and Exchange (SEC) y revisan el cumplimiento con especificas regulaciones.
35
01 Cumplimiento con las Normas del IIA
El auditor interno es, cada vez más, uno de los profesionales mejor
cualificados dentro de la organización, y es dentro de este entorno,
donde el Instituto de Auditores Internos busca homogeneizar la
profesión a través del establecimiento del Marco y de la certificación de
sus profesionales.
36
01 Cumplimiento con las Normas del IIA
37
01 Cumplimiento con las Normas del IIA
2013 2017
38
01 Cumplimiento con las Normas del IIA
• Introducción y Glosario 5
• Normas 24
• Guías de implementación 50
39
1. Cumplimiento con las Normas del IIA
Guías obligatorias
La Misión de Auditoría Interna articula los objetivos que ésta aspira a alcanzar en la
organización. Engloba todo el Marco, para demostrar cómo los profesionales de Auditoría Interna
deberían apoyarse en su conjunto para tratar de cumplir con la misión.
El propósito del Código de Ética es promover una cultura ética en la profesión de Auditoría
Interna. Un código de ética es necesario en nuestra profesión, cuyos pilares se asientan en
la confianza en el aseguramiento objetivo de la gestión de riesgos, control y gobierno de
las empresas.
Los Principios Fundamentales describen la eficacia de Auditoría Interna. Para que ésta sea
considerada eficaz, los principios deben estar presentes y funcionando de forma eficaz. La
forma de cumplir con los Principios puede ser muy diferente de una organización a otra,
pero no cumplir con alguno de ellos implica que una actividad de Auditoría Interna no es
tan eficaz como debiera para cumplir la misión de Auditoría Interna.
Las Normas constituyen los criterios mediante los cuales el desempeño de un departamento
de Auditoría Interna es calificado. Representan cómo debe ser la práctica de la profesión.
Están diseñadas para aplicarse en todo tipo de organizaciones donde se pueda encontrar
un auditor interno.
40
1. Cumplimiento con las Normas del IIA
Guías recomendadas
A partir del lanzamiento del nuevo Marco, todas las guías para la práctica, guías
globales de auditoría de tecnología (GTAGs) y guías para la evaluación de riesgos
de tecnologías de información (GAITs), automáticamente pasan a formar parte de
las Guías Complementarias.
41
1. Cumplimiento con las Normas del IIA
OBLIGATORIO:
– Misión: 1-1-2016
42
A – Misión / Definición de Auditoría Interna
A - Misión:
43
A – Principios Fundamentales
La Auditoría Interna:
· Demuestra integridad
· Demuestra competencia y diligencia profesional
· Es objetiva y se encuentra libre de influencias (Independiente)
· Se alinea con las estrategias, los objetivos y los riesgos de la organización
· Está posicionada de forma apropiada y cuenta con los recursos adecuados
· Demuestra compromiso con la calidad y la mejora continua de su trabajo
· Se comunica de forma efectiva
· Proporciona aseguramiento en base a riesgos
· Hace análisis profundos, es proactiva y está orientada al futuro
· Promueve la mejora de la organización
44
B- Código de Ética: Principios-IOCC
1- Cumpliendo con el Código de Ética del IAI
El Código de Ética se aplica tanto a los individuos como a las entidades que realizan servicios de
auditoría interna. El hecho que una conducta particular no se halle contenida en las Reglas de
Conducta no impide que sea considerada inaceptable o como un descrédito. La profesión de auditoría
Interna se basa en la confianza que se deposita en su trabajo, por lo que es importante contar con un
Código de Ética.
Objetividad:- Los auditores internos exhiben el más alto nivel de objetividad profesional al reunir,
evaluar y comunicar información sobre la actividad o proceso a ser examinado. Los auditores internos
hacen una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin
dejarse influir indebidamente por sus propios intereses o por otras personas.
45
B -Código de Ética: Reglas de Conducta
1. Integridad
46
B -Código de Ética: Reglas de Conducta
2. Objetividad
47
B -Código de Ética: Reglas de Conducta
3. Confidencialidad
3.2 No utilizarán información para lucro personal o de alguna manera que fuera contraria a la
ley o en detrimento de los objetivos legítimos y éticos de la organización.
48
B -Código de Ética: Reglas de Conducta
4. Competencia
49
C – Normas Internacionales
1- Cumpliendo con las Normas Internacionales
1. Normas de Atributos (Serie 1000), características de las entidades e individuos que prestan servicios de
AI.
2. Normas de Desempeño (Serie 2000), actividades de AI y los criterios para medir su desempeño.
3. Normas de Implantación (Serie 1000 o 2000. Xn) desarrollan las anteriores normas aplicándolas a las
actividades de Aseguramiento (A) y Consultoría (C). Por ejemplo 1000.A1
El Glosario: Terminología utilizada en las Normas, se presenta como apéndice de las NORMAS. Necesario
junto con las Interpretaciones para entender y aplicar correctamente las Normas.
50
Normas de Implantación.- (Serie nnnn.Xn)
Actividades de Aseguramiento (A) y Consultoría (C)
51
C – Normas Internacionales
1- Cumpliendo con las Normas Internacionales de “ATRIBUTOS”
52
Normas sobre Atributos (II)
Interpretación:
El estatuto de auditoría interna es un documento formal que define el propósito, la
autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría
interna establece la posición de la actividad de auditoría interna dentro de la organización,
incluyendo la naturaleza de la relación funcional del Director ejecutivo de auditoría
con el Consejo; autoriza su acceso a los registros, al personal y a los bienes relevantes
para el desempeño de los trabajos; y define el alcance de las actividades de auditoría
interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo.
53
Normas sobre Atributos (III)
54
Normas sobre Atributos (IV)
Interpretación:
55
Normas sobre Atributos (V)
Interpretación:
1110.A1 La actividad de auditoría interna debe estar libre de injerencias al determinar el alcance
de auditoría interna, al desempeñar su trabajo y al comunicar sus resultados. El Director de
Auditoría Interna debe declarar esas injerencias al Consejo, si las hubiese, y tratar sus
implicaciones.
56
Normas sobre Atributos (VI)
Cuando el Director de Auditoría Interna asuma o se espera que asuma un papel y/o
responsabilidades aparte de Auditoría Interna, debe aplicar salvaguardas para limitar impedimentos
a la independencia y objetividad.
Interpretación:
Puede darse la situación en que se solicite al Director de Auditoría Interna que asuma un papel y
responsabilidades aparte de Auditoría Interna, tales como responsabilidades sobre actividades de
cumplimiento o gestión de riesgos. Este papel y responsabiidad puede causar impedimentos, o
parecer que los causa, a la independencia organizacional de la actividad de Auditoría Interna o a la
objetividad individual del auditor interno. Las salvaguardas a tomar son actividades de supervisión,
a menudo asumidas por el Consejo, destinadas a afrontar esos impedimentos potenciales, que
pueden incluir actividades tales como evaluar periódicamente las líneas de dependencia y
responsabilidades, y desarrollar procesos alternativos para obtener aseguramiento sobre las
áreas de responsabilidad adicional a Auditoría Interna.
57
Normas sobre Atributos (VII)
El conflicto de intereses es una situación en la cual un auditor interno, que ocupa un puesto
de confianza, tiene un interés personal o profesional en competencia con otros intereses. Tales
intereses en competencia pueden hacerle difícil el cumplimiento imparcial de sus tareas. Puede
existir un conflicto de intereses aún cuando no se produzcan actos inadecuados o no éticos.
Un conflicto de intereses puede crear una apariencia de deshonestidad que puede
socavar la confianza en el auditor interno, la actividad de auditoría interna y la profesión.
Un conflicto de intereses podría menoscabar la capacidad de un individuo de desempeñar sus
tareas y responsabilidades con objetividad.
58
Normas sobre Atributos (VIII)
Interpretación:
El impedimento o menoscabo a la independencia de la organización y a la objetividad
individual puede incluir, entre otros, a los conflictos de intereses, limitaciones al alcance,
restricciones al acceso a los registros, al personal y a los bienes, y limitaciones de recursos
tales como el financiero.
La determinación de las partes apropiadas a quienes deben exponerse los detalles de un
impedimento a la independencia u objetividad depende de la expectativas sobre las
responsabilidades de la actividad de auditoría interna y del director ejecutivo de auditoría ante
la alta dirección y el Consejo según se describe en el estatuto de auditoría interna, así como de
la naturaleza del impedimento.
1130.A1 Los auditores internos deben abstenerse de evaluar operaciones específicas de las
cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad
si un auditor interno proporciona servicios de aseguramiento para una actividad de la cual el
mismo haya tenido responsabilidades en el año inmediato anterior.
1130.A2 Los trabajos de aseguramiento para funciones por las cuales el director ejecutivo de
auditoría tiene responsabilidades deben ser supervisadas por alguien fuera de la actividad de
auditoría interna.
1130.C1 Los auditores internos pueden proporcionar servicios de consultoría relacionados a
operaciones de las cuales hayan sido previamente responsables.
1130.C2 Si los auditores internos tuvieran impedimentos potenciales a la independencia u objetividad
relacionados con la proposición de servicios de consultoría, deberá declararse esta situación al cliente
antes de aceptar el trabajo.
59
Normas sobre Atributos (IX)
Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para
cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u
obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus
responsabilidades.
Interpretación:
La aptitud es un término general que se refiere a los conocimientos, habilidades y otras competencias
requeridas a los auditores internos para llevar a cabo eficazmente sus responsabilidades profesionales.
Incluye tendencias, temas emergentes y la consideración de las actividades actuales para posibilitar
asesoramiento relevante y formulación de recomendaciones. Se alienta a los auditores internos a demostrar
su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como auditor interno
certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones
profesionales apropiadas.
1210.A1 - El director de Auditoría Interna debe obtener asesoramiento y asistencia competentes en caso de que
los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar
a cabo la totalidad o parte del trabajo.
1210.A2 Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la
forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos
similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.
60
Normas sobre Atributos (X)
1210.A3 Los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en
tecnología de la información y de las técnicas de auditoría disponibles basadas en tecnología que le permitan
desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la
experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la
información.
1210.C1 El director de Auditoría Interna no debe aceptar un servicio de consultoría, o bien debe obtener
asesoramiento y asistencia competentes, en caso de que los auditores internos carezcan de los conocimientos,
las aptitudes y otras competencias necesarias para desempeñar la totalidad o parte del trabajo.
61
Normas sobre Atributos (XI)
1220.A2 Al ejercer el debido cuidado profesional el auditor interno debe considerar la utilización
de auditoría basada en tecnología y otras técnicas de análisis de datos.
1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los
objetivos, las operaciones o los recursos. Sin embargo, los procedimientos de
aseguramiento por sí solos, incluso cuando se llevan a cabo con el debido cuidado
profesional, no garantizan que todos los riesgos materiales sean identificados.
1220.C1 El auditor interno debe ejercer el debido cuidado profesional durante un trabajo de
consultoría, teniendo en cuenta lo siguiente:
62
Normas sobre Atributos (XII)
63
Normas sobre Atributos (XIII)
Interpretación:
Deben realizarse evaluaciones externas al menos una vez cada cinco años por un revisor
o equipo de revisión cualificado e independiente, proveniente de fuera de la
organización. El director de auditoría interna debe tratar con el Consejo:
64
Normas sobre Atributos (XIV)
Interpretación:
Las evaluaciones externas pueden realizarse como una evaluación externa completa o una
autoevaluación con validación externa independiente. El evaluador externo debe pronunciarse sobre
el cumplimiento con el Código de Ética y las Normas; la evaluación externa puede incluir también
comentarios operativos o estratégicos.
65
Normas sobre Atributos (XV)
66
Normas sobre Atributos (XVI)
1321 Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de
la Auditoría Interna”
Manifestar que la actividad de auditoría interna cumple con las Normas Internacionales para el
Ejercicio Profesional de la Auditoría Interna es apropiado sólo si los resultados del programa de
aseguramiento y mejora de la calidad apoyan esa declaración.
Interpretación
La actividad de auditoría interna cumple con el Código de Ética y las Normas cuando alcanza
los resultados descritos en ellos. Los resultados del programa de aseguramiento y mejora
de la calidad incluyen los resultados tanto de las evaluaciones internas como de las
externas.
Toda actividad de auditoría interna tendrá resultados de evaluaciones internas. Aquellas
actividades cuya existencia exceda los cinco años tendrán también resultados de
evaluaciones externas.
67
Puesta en común de los temas tratados –
ANEXO 2
68
C – Normas Internacionales
1- Cumpliendo con las Normas Internacionales de “DESEMPEÑO”
69
Normas sobre Desempeño (II)
2000 Administración de la actividad de auditoría interna
El director de auditoría interna debe gestionar eficazmente la actividad de auditoría interna para asegurar
que añada valor a la organización.
Interpretación:
La actividad de Auditoría Interna está gestionada de forma eficaz cuando:
Cumple con el propósito y las responsabilidades incluidos en el estatuto de Auditoría Interna. Cumple
con las Normas.
Cada uno de sus miembros cumplen con el Código de Ética y las Normas.
Tiene en cuenta las tendencias y temas emergentes que podrían tener impacto en la organización.
La actividad de Auditoría Interna añade valor a la organización y a sus partes interesadas cuando tiene
en cuenta estrategias, objetivos y riesgos; se esfuerza para ofrecer mejoras en procesos de gobierno,
gestión de riesgos y control de procesos; y proporciona aseguramiento relevante de forma objetiva.
2010 Planificación
El director de auditoría interna debe establecer planes basados en los riesgos, a fin de determinar las
prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de
la organización.
Interpretación:
Para desarrollar un plan basado en riesgos, el Director de Auditoría Interna primero consulta con la alta
dirección y el Consejo y para entender las estrategias de la organización, los objetivos clave del negocio,
los riesgos asociados y los procesos de gestión de riesgos. El Director de Auditoría Interna debe revisar y
ajustar el plan, cuando sea necesario, como respuesta a los cambios en la organización, los riesgos, las
operaciones, los programas, los sistemas y los controles.
70
Normas sobre el Desempeño (III)
2010.A1 - El plan de trabajo de la actividad de auditoría interna debe estar basado en una
evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben
tenerse en cuenta los comentarios de la alta dirección y del Consejo.
71
Normas sobre Desempeño (IV)
Interpretación:
“Apropiados”, se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar
a cabo el plan. “Suficientes”, se refiere a la cantidad de recursos necesarios para cumplir con el plan. Los
recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan
aprobado.
Interpretación:
La forma y el contenido de las políticas y procedimientos deben ser apropiados al tamaño y estructura de la
actividad de auditoría interna y de la complejidad de su trabajo.
72
Normas sobre el Desempeño (V)
2060 - Informe a la alta dirección y al Consejo
El Director de Auditoría Interna debe informar periódicamente a la alta dirección y al Consejo sobre la actividad
de Auditoría Interna en lo referido al propósito, autoridad, responsabilidad y desempeño de su plan, y sobre el
cumplimiento del Código de Ética y las Normas. El informe también debe incluir cuestiones de control y riesgos
significativos, incluyendo riesgos de fraude, cuestiones de gobierno y otros asuntos que requieren la atención
de la alta dirección y/o el Consejo.
Interpretación:
La frecuencia y el contenido del informe están determinados por el Director de Auditoría Interna en
colaboración con la alta dirección y el Consejo. La frecuencia y el contenido del informe dependen de la
importancia de la información a ser comunicada y la urgencia de las acciones a seguir por parte de la alta
dirección y/o el Consejo.
Los informes del Director de Auditoría Interna dirigidos a la alta dirección y el Consejo deben incluir
información sobre:
Estos y otros requerimientos de comunicación para el Director de Auditoría Interna están referenciados
en las Normas.
73
Normas sobre Desempeño (VI)
Interpretación
74
Normas de Desempeño (VII)
La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gobierno,
gestión de riesgos y control, utilizando un enfoque sistemático, disciplinado y basado en riesgos. La
credibilidad y el valor añadido de Auditoría Interna mejoran cuando los auditores internos son
proactivos y sus evaluaciones ofrecen nuevas perspectivas y consideran impactos futuros.
2110 Gobierno
La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para
mejorar el proceso de gobierno de la organización para:
75
Normas de Desempeño (VIII)
2110.A1 La actividad de auditoría interna debe evaluar el diseño, implantación y eficacia de los
objetivos, programas y actividades de la organización relacionados con la ética.
Interpretación:
Determinar si los procesos de gestión de riesgos son eficaces es un juicio que resulta de la
evaluación que efectúa el auditor interno de que:
76
Normas de Desempeño (IX)
La actividad de auditoría interna reúne la información necesaria para soportar esta evaluación mediante múltiples
trabajos de auditoría. El resultado de estos trabajos, observado de forma conjunta, proporciona un
entendimiento de los procesos de gestión de riesgos de la organización y su eficacia.
Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones
por separado, o ambas.
2120-A1 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno,
operaciones y sistemas de información de la organización, con relación a lo siguiente
2120.A2 La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la
organización gestiona el riesgo de fraude.
2120.C1 Durante los trabajos de consultoría, los auditores internos deben considerar el riesgo compatible con los
objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.
2120.C2 Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de
consultoría en su evaluación de los procesos de gestión de riesgos de la organizacion.
2120.C3 - Cuando ayudan a la dirección a establecer o mejorar los procesos de gestión de riesgos, los auditores
internos deben abstenerse de asumir cualquier responsabilidad propia de la dirección, como es la gestión de
riesgos.
77
Normas de Desempeño (X)
2130 Control
La actividad de auditoría interna debe asistir a la organización en el mantenimiento de
controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y
promoviendo la mejora continua.
2130.C1 – Los auditores internos deben incorporar los conocimientos de los controles que
han obtenido de los trabajos de consultoría en su evaluación de los procesos de control de la
organización.
78
Normas de Desempeño (XI)
2200 Planificación del trabajo
Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance objetivos,
tiempo y asignación de recursos. El Plan debe considerar las estrategias, los objetivos y riesgos relevantes para
el trabajo.
Las estrategias y objetivos de la actividad que está siendo revisada y los medios con los cuales la actividad
controla su desempeño;
Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los medios con los cuales el
impacto potencial del riesgo se mantiene a un nivel aceptable;
La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de la actividad comparados
con un enfoque o modelo relevante.
Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestión de riesgos y control
de la actividad.
2201.A1 Cuando se planifica un trabajo para partes ajenas a la organización, los auditores internos deben
establecer un acuerdo escrito con ellas respecto de los objetivos, el alcance, las responsabilidades
correspondientes y otras expectativas, incluyendo las restricciones a la distribución de los resultados del trabajo
y el acceso a los registros del mismo.
2201.C1 Los auditores internos deben establecer un acuerdo con los clientes de trabajos de consultoría, referido a
objetivos, alcance, responsabilidades respectivas y demás expectativas de los clientes. En el caso de trabajos
significativos, este acuerdo debe estar documentado.
79
Normas de Desempeño (XII)
2210 Objetivos del trabajo: Deben establecerse objetivos para cada trabajo
2210.A1 Los auditores internos deben realizar una evaluación preliminar de los riesgos relevantes para la actividad
bajo revisión. Los objetivos del trabajo deben reflejar los resultados de esta evaluación.
2210.A2 - El auditor interno debe considerar la probabilidad de errores, fraude, incumplimientos y otras
exposiciones significativas al elaborar los objetivos del trabajo.
2210.A3 Se requieren criterios adecuados para evaluar el gobierno, la gestión riesgos y controles. Los auditores
internos deben cerciorarse de que la dirección y/o el Consejo han establecido criterios adecuados para
determinar si los objetivos y metas han sido cumplidos. Si fuera apropiado, los auditores internos deben utilizar
dichos criterios en su evaluación. Si no fuera apropiado, los auditores internos deben identificar criterios de
evaluación adecuados junto con la dirección y/o Consejo.
Interpretación
Los tipos de criterios pueden incluir:
Internos (Por ejemplo, políticas y procedimientos de la organización).
Externos (Por ejemplo, leyes y regulaciones impuestas por los órganos estatutarios).
Prácticas líderes (Por ejemplo, guía profesional o sectorial).
2210.C1 Los objetivos de los trabajos de consultoría deben considerar los procesos de gobierno, riesgo y control,
hasta el grado de extensión acordado con el cliente.
2210.C2 Los objetivos de los trabajos de consultoría deben ser compatibles con los valores, estrategias y
objetivos de la organización.
80
Normas de Desempeño (XIII)
2220.A1 - El alcance del trabajo debe tener en cuenta los sistemas, registros, personal y
bienes relevantes, incluso aquellos bajo el control de terceros.
2220.C1 Al desempeñar trabajos de consultoría, los auditores internos deben asegurar que el
alcance del trabajo sea suficiente para cumplir los objetivos acordados. Si los auditores internos
encontraran restricciones al alcance durante el trabajo, estas restricciones deberán tratarse con
el cliente para determinar si se continúa con el trabajo.
2220.C2 – Durante los trabajos de consultoría, los auditores internos deben considerar los
controles consistentes con los objetivos del trabajo y estar alertas a los asuntos de control
significativos.
81
Normas de Desempeño (XIV)
Interpretación:
2240.A1 - Los programas de trabajo deben incluir los procedimientos para identificar, analizar,
evaluar y documentar información durante la tarea. El programa de trabajo debe ser aprobado
con anterioridad a su implantación y cualquier ajuste ha de ser aprobado oportunamente.
2240.C1 Los programas de trabajo de los servicios de consultoría pueden variar en forma y
contenido dependiendo de la naturaleza del trabajo.
82
Normas de Desempeño (XV)
Los auditores internos deben identificar, analizar, evaluar y documentar suficiente información
de manera tal que les permita cumplir con los objetivos del trabajo.
Los auditores internos deben identificar información suficiente, fiable, relevante y útil de manera
tal que les permita alcanzar los objetivos del trabajo.
Interpretación:
83
Normas de Desempeño (XVI)
Los auditores internos deben documentar información suficiente, fiable, relevante y útil que les
permita respaldar los resultados del trabajo y las conclusiones.
2330.A1 - El director de auditoría interna debe controlar el acceso a los registros del trabajo. El
director de auditoría interna debe obtener aprobación de la alta dirección o de asesores legales
antes de dar a conocer tales registros a terceros, según corresponda.
2330.A2 - El director de auditoría interna debe establecer requisitos de retención para los registros
del trabajo, sea cual fuere el medio en el cual se almacena cada registro. Estos requisitos de
retención deben ser consistentes con las guías de la organización y cualquier regulación u otros
requisitos pertinentes.
2330.C1 El director de auditoría interna debe establecer políticas sobre la custodia y retención de
los registros de trabajos de consultoría, y sobre la posibilidad de darlos a conocer a terceras partes,
internas o externas. Estas políticas deben ser consistentes con las guías de la organización y
cualquier regulación u otros requisitos pertinentes.
84
Normas de Desempeño (XVII)
Los trabajos deben ser adecuadamente supervisados para asegurar el logro de sus
objetivos, la calidad del trabajo y el desarrollo del personal.
Interpretación:
85
Normas de Desempeño (XVIII)
2410-A1 - La comunicación final de los resultados del trabajo debe incluir las
conclusiones aplicables así́ como también las recomendaciones aplicables y/o los
planes de acción. Se debe proporcionar la opinión del auditor interno cuando resulte
apropiado.
Una opinión, debe considerar las expectativas del Consejo, la alta dirección y otras
partes interesadas y debe estar soportada por información suficiente, fiable, relevante y
útil.
Interpretación:
Las opiniones en los trabajos de auditoría pueden ser clasificaciones (ratings),
conclusiones u otras descripciones de los resultados. Un trabajo de auditoría puede estar
relacionado con controles sobre un proceso específico, riesgo o unidad de negocio. La
formulación de opiniones al respecto requiere de la consideración de los resultados del trabajo
y su importancia.
86
Normas de Desempeño (XIX)
2410.A2 Se alienta a los auditores internos a reconocer en las comunicaciones del trabajo
cuando se observa un desempeño satisfactorio.
2410.C1 Las comunicaciones sobre el progreso y los resultados de los trabajos de consultoría
variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del
cliente.
Interpretación:
Las comunicaciones precisas están libres de errores y distorsiones y son fieles a los
hechos que describen.
Las comunicaciones objetivas son justas, imparciales y sin desvíos y son el resultado de una
evaluación justa y equilibrada de todos los hechos y circunstancias relevantes.
Las comunicaciones claras son fácilmente comprensibles y lógicas, evitando el lenguaje
técnico innecesario y proporcionando toda la información significativa y relevante.
87
Normas de Desempeño (XX)
Las comunicaciones concisas van a los hechos y evitan elaboraciones innecesarias, detalles
superfluos, redundancia y uso excesivo de palabras.
Las comunicaciones constructivas son útiles para el cliente del trabajo y la organización, y
conducen a mejoras que son necesarias.
A las comunicaciones completas no les falta nada que sea esencial para los receptores
principales e incluyen toda la información y observaciones significativas y relevantes para
apoyar a las recomendaciones y conclusiones.
Las comunicaciones oportunas son realizadas en el tiempo debido y son pertinentes,
dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción
correctiva apropiada.
2430 - Uso de “Realizado de conformidad con las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna”
Manifestar que los trabajos son "realizados de conformidad con las Normas Internacionales para el
Ejercicio Profesional de la Auditoría Interna" es apropiado solo si los resultados del programa de
aseguramiento y mejora de la calidad respaldan dicha afirmación.
88
Normas de Desempeño (XXI)
El principio o regla de conducta del Código de Ética, o las Normas con las cuales no se
cumplió totalmente
Las razones del incumplimiento, y
El impacto del incumplimiento sobre ese trabajo y los resultados comunicados del mismo.
El director de auditoría interna debe difundir los resultados a las partes apropiadas.
Interpretación:
El director de auditoría interna debe revisar y aprobar la comunicación final del trabajo antes
de su emisión y decidir a quiénes y cómo será distribuida dicha comunicación. El Director de
Auditoría Interna retiene la responsabilidad última, aunque delegue estas tareas.
89
Normas de Desempeño (XXII)
90
Normas de Desempeño (XXIII)
Cuando se emite una opinión global, debe considerar las expectativas de la alta dirección,
el Consejo, y otras partes interesadas y debe ser soportada por información suficiente,
fiable, relevante y útil.
Interpretación:
La comunicación incluirá:
Cuando existe una opinión global que no es favorable, deben exponerse las causas de
esta opinión.
91
Normas de Desempeño (XXIV)
2500.A1 - El director de auditoría interna debe establecer un proceso de seguimiento para vigilar
y asegurar que las acciones de la dirección hayan sido implantadas eficazmente o que la alta
dirección haya aceptado el riesgo de no tomar medidas.
2500.C1 La actividad de auditoría interna debe vigilar la disposición de los resultados de los
trabajos de consultoría, hasta el grado de alcance acordado con el cliente.
Cuando el director de auditoría interna concluya que la alta dirección ha aceptado un nivel
de riesgo que pueda ser inaceptable para la organización, debe tratar este asunto con la alta
dirección. Si el director de auditoría interna determina que el asunto no ha sido resuelto
debe comunicar esta situación al Consejo.
Interpretación:
La identificación del riesgo aceptado por la dirección puede observarse a través de un trabajo de
aseguramiento o consultoría, a través del seguimiento del progreso sobre las acciones tomadas por
la dirección como resultado de anteriores trabajos, o a través de otros medios. El Director de
Auditoría Interna no tiene la responsabilidad de resolver el riesgo.
92
Normas Internacionales: Glosario
(Su definición incluida en el MIPP se estudiará en cada apartado específico del curso)
93
Glosario: Definición de algunos términos
94
Glosario: Definición de algunos términos
Independencia –
Objetividad –
Es una actitud mental independiente, que permite que los auditores internos
lleven a cabo sus trabajos con confianza en el producto de su labor y sin
comprometer su calidad. La objetividad requiere que los auditores internos
no subordinen su juicio al de otros sobre temas de auditoría.
95
Glosario: Definición de algunos términos
Opinión General
96
C – Normas Internacionales/ Estatuto y Mejores Prácticas
Guía de implementación 1000- El Estatuto de Auditoría, apartados:
· Introducción: explica el papel general y el profesionalismo de la actividad de Auditoría Interna, citando los
elementos relevantes del MIPP.
· Autoridad: especifica el acceso total de la actividad de Auditoría Interna a registros, propiedad física y personal
necesario para la ejecución de sus tareas y declara su responsabilidad con respecto a la protección de los activos y la
confidencialidad.
· Organización y estructura de comunicación: documenta la estructura de comunicación del DAI. El DAI responde
funcionalmente ante el Consejo y administrativamente ante un nivel jerárquico tal dentro de la organización que
permita a la actividad de Auditoría Interna cumplir con sus responsabilidades. Este apartado puede profundizar en las
responsabilidades funcionales específicas, tales como la aprobación del estatuto y el plan de auditoría, y la
contratación, remuneración y cese del DAI; así como en las responsabilidades administrativas, tales como el apoyo al
flujo de información dentro de la organización o la aprobación de la administración y los presupuestos de recursos
humanos.
· Independencia y objetividad: describe la importancia de la independencia y la objetividad de la Auditoría Interna y
la forma en la que se garantiza su mantenimiento (por ejemplo: prohibir que el auditor interno haya tenido
responsabilidad operacional o autoridad sobre las áreas auditadas).
· Responsabilidades: establece las principales áreas de responsabilidad continua, como la definición del alcance de
las evaluaciones, la redacción del plan de auditoría y su presentación ante el Consejo para su aprobación, la
realización de las evaluaciones, la comunicación de los resultados, la entrega de un informe de auditoría por escrito y
la supervisión de las medidas correctivas tomadas por la dirección.
· Aseguramiento y mejora de la calidad: describe las expectativas sobre el mantenimiento, la evaluación y la
comunicación de los resultados de un programa de calidad que cubra todos los aspectos de la actividad de Auditoría
Interna.
· Firmas: documenta el acuerdo entre el DAI, el representante designado del Consejo y la persona ante la que
responde el DAI, con la fecha, el nombre y el cargo de los signatarios.
97
Procesos Empresariales de Gobierno
Corporativo, Riesgos y Control
98
Foco de la función de Auditoría Interna
99
1er proceso: Gobierno Corporativo
Definición
La Organización para la Cooperación y el Desarrollo Económico (OCDE) emite las
siguientes definiciones en el documento de “Principles of Corporate Governance”:
100
¿Qué regulan estos protocolos?
101
1er proceso: Gobierno Corporativo
Participantes
102
1er proceso: Junta Directiva/Directorio/Consejo
103
1er proceso: Comité de Auditoría
104
1er proceso: Alta Dirección
105
1er proceso: Auditoría Interna
106
1er proceso: Organigrama básico
Ejemplo
107
1er proceso: Buenas prácticas recomendables
108
2º y 3er Proceso: Control Interno y Riesgos
109
Protocolos existentes sobre gestión de riesgos
110
Resumamos el proceso ASNZ
111
Resumamos el proceso ISO 31.000
112
2º y 3er Proceso: Control Interno y Riesgos
113
Definición de Control Interno
Según COSO I, el Control Interno es un proceso que involucra a todos los
integrantes de la organización sin excepción, diseñado para dar un grado razonable
de apoyo en cuanto a la obtención de los objetivos en las siguientes categorías:
114
Componentes de Control Interno S/COSO I
IIA
Sus objetivos se desarrollan en base a 5 componentes:
Entorno de control
Evaluación de riesgos
Actividades de control
Información y comunicación
Supervisión
CREACION DEL
ENTORNO GENERAL
DE CONTROL
INFORMACION Y EVALUACION DE
SUPERVISION
COMUNICACION RIESGOS
DEFINICION Y
APLICACIÓN DE
CONTROLES
116
Liderazgo en la implantación. Tone at the top
El Directorio debe liderar el proceso de implantación del modelo de control y gestión de
riesgos. Como elemento fundamental de dicho liderazgo está la preparación y comunicación a
toda la organización de un Código de Ética que defina las líneas generales de actuación.
• Objetivos
• Obligatoriedad
Políticas y Procedimientos
de Control de Riesgos • Actuación en conflictos de intereses
• Utilización de información
confidencial
Código de • Integridad de los registros
Aspectos mínimos a incluir
Ética • Relaciones con organismos públicos
• Cumplimiento de leyes y
regulaciones
• Responsables de su seguimiento
• Consecuencias de los
incumplimientos del Código
117
¿Y el Enterprise Risk Management?
“La administración de riesgos corporativos es un proceso efectuado por el directorio,
la administración y las personas de la organización, es aplicado desde la definición
estratégica hasta las actividades del día a día, diseñado para identificar eventos
potenciales que pueden afectar a la organización y administrar los riesgos dentro
de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los
objetivos de la organización".
118
COSO ERM, algo más que gestionar en riesgos
Objetivo Nuevo
Nuevo Componente
Componente Ampliado
Nuevo Componente
Nuevo Componente
119
COSO ERM. Conceptos adicionales
Se incluyeron:
120
Componentes de COSO ERM
Ambiente Interno
Filosofía de la gestión de riesgos – Cultura de riesgos – Consejo de Administración /
Dirección - Integridad y valores éticos – Compromiso de competencia – Estructura organizativa
– Asignación de autoridad y responsabilidad – Políticas y prácticas en materia de recursos
humanos
Establecimiento de objetivos
Objetivos estratégicos – Objetivos relacionados – Objetivos seleccionados
Riesgo aceptado – Tolerancia al riesgo
Identificación de acontecimientos
Acontecimientos – Factores de influencia estratégica y de objetivos -
Metodologías y técnicas – Acontecimientos independientes – Categorías de
Acontecimientos – Riesgos y oportunidades
Evaluación de riesgos
Riesgo inherente y residual – Probabilidad e impacto -
Técnicas de evaluación – Correlación entre acontecimientos
121
Componentes de COSO ERM (2)
Actividades de control
Integración de la respuesta al riesgo– Tipos de actividades de control – Políticas y
procedimientos – Controles de los sistemas de información – Controles
Específicos de la entidad
Información y comunicación
Información - Comunicación
Supervisión
Actividades permanentes de supervisión – Evaluaciones independientes –
Comunicación de deficiencias
122
Observaciones sobre ERM tradicional
Fuente: Deloitte
123
Cambios en COSO ERM - 2017
• En primera instancia, puede resaltarse la introducción de • El quinto cambio pone énfasis en la cultura. El objetivo es
una nueva estructura basada en cinco componentes y identificar cómo las prácticas de administración de riesgos
20 principios alineados al ciclo del negocio. El primer empresariales pueden inculcar mayor transparencia y
componente se enfoca en la gobernanza y la cultura, e atención al riesgo dentro de la cultura de la organización,
incluye cinco de los 20 principios. El segundo se refiere a ayudando a la gente a tomar decisiones.
la definición de la estrategia y considera cuatro
principios. El tercer componente va alineado al • La sexta reforma radica en la presentación de ejemplos
desempeño y engloba cinco principios más. El cuarto se específicos de una adecuada administración de riesgos.
orienta al análisis y revisión y considera tres principios. Esto significa que el documento busca rebasar el plano
Finalmente, el quinto y último componente se relaciona teórico, ofreciendo casos prácticos que ayudan a convertir
con la información, la comunicación y el reporte, e a este marco en un asesor estratégico para el negocio.
incluye los últimos tres principios. • La séptima modificación se enfoca en la integración de
• El segundo cambio consiste en la atención en la temas más gráficos y alineados a colores. Cada uno de
integración de la gestión de riesgos. Es en este punto los componentes, así como de los principios, tiene
donde se vincula el riesgo con el establecimiento de las asignado un color distinto dentro del mismo documento, lo
estrategias, los objetivos y las actividades de la operación cual facilita la identificación visual de los aspectos que lo
del negocio para la creación de valor. forman.
• La tercera reforma atiende al lenguaje del marco, el cual • El octavo cambio busca introducir a las empresas en
ahora se escribe desde la perspectiva del negocio. ¿De temas desafiantes como el apetito al riesgo y la visión
qué manera impacta esta reforma? Hace que la del portafolio de riesgo. El objetivo de esta reforma es
conversación acerca del riesgo sea relevante y universal, ayudar a las organizaciones a entender los conceptos
estableciendo las definiciones básicas, los componentes y anteriormente mencionados.
los principios para todos los niveles de gestión • El noveno y último cambio radica en dividir la
involucrados en el diseño, implementación y administración del riesgo en los distintos niveles de la
conducción de prácticas de administración de riesgos compañía. Desde los niveles de entidad hasta los niveles
empresariales. de procesos de riesgos, el marco explora cómo
• En la cuarta modificación se considera la inclusión de identificarlos, clasificarlos y propone un cambio en el
temas de tecnologías de la información. En este caso, manejo de los riesgos desde la estrategia hasta la
el marco arroja luz sobre cómo las tendencias del negocio, ejecución.
tales como la proliferación de datos, la inteligencia artificial
y la automatización, influyen en la estrategia de la
organización, en el contexto del negocio y el manejo de
riesgos.
124
Cambios clave
El Documento actualizado incorpora cambios significativos para reflejar la
evolución del pensamiento y las prácticas de gestión del riesgo empresarial,
y para proporcionar claridad adicional sobre los conceptos introducidos en
2004. Algunos de los cambios más importantes se detallan a
continuación:
125
Definición de ERM
• Reconociendo la cultura
• Desarrollo de capacidades
• Aplicación de prácticas
• Integración con el establecimiento de estrategias y el rendimiento
• Gestionar el riesgo para la estrategia y los objetivos comerciales
• Vinculación con el valor
126
Reconocimiento de la Cultura
127
Desarrollo de las capacidades
128
Aplicación práctica
129
Integración con estrategia y rendimiento
130
Gestionar el riesgo
Tener una expectativa razonable significa que la cantidad de riesgo para lograr la
estrategia y los objetivos comerciales es apropiada para esa entidad,
reconociendo que nadie puede predecir el riesgo con absoluta precisión. Pero
incluso con expectativas razonables establecidas, las entidades pueden
experimentar desafíos imprevistos, por lo que es importante revisar
periódicamente las prácticas de gestión de riesgos empresariales. La revisión
cuando sea necesaria, ayuda a mantener prácticas sólidas que aumentan la
confianza de la administración en la capacidad de la entidad para responder con
éxito a lo inesperado y lograr su estrategia y objetivos comerciales.
131
Vinculará al valor
El apetito por el riesgo proporciona una guía sobre las prácticas que una
organización debe seguir o no. Establece el rango de prácticas apropiadas y
guía las decisiones basadas en el riesgo en lugar de especificar un límite. El
apetito de riesgo no es estático; puede cambiar entre productos o unidades de
negocio y, a lo largo del tiempo, de acuerdo con las capacidades cambiantes para
gestionar el riesgo. Los tipos y la cantidad de riesgo que una organización podría
considerar aceptable pueden cambiar. El apetito por el riesgo debe ser lo
suficientemente flexible como para adaptarse a las cambiantes condiciones
comerciales según sea necesario sin esperar revisiones y aprobaciones periódicas
de la administración .
132
Resumen COSO ERM 2017
133
Flujo Proceso COSO ERM 2017
134
Componentes
135
5 Componentes y 20 Principios Fundamentales
COSO ERM 2017
136
Apetito y tolerancia al riesgo
137
Apetito al riesgo
138
Riesgo para un nivel de desempeño
139
ERM ayuda
140
Tolerancia al riesgo
141
Actualización COSO año 2013
142
Las modificaciones más significativas
Aplica un enfoque basado en principios
Aclara la necesidad de establecer objetivos del negocio como condición previa
a los objetivos de Control Interno
143
¿Por qué cambiar lo que funciona?
144
Pero también para complementarlo
145
Principios (1/2)
La versión de 1992 de manera implícita reflejó los principios centrales del control interno, la
versión del 2013 de manera explícita señala 17 principios, los cuales representan los
conceptos fundamentales asociados con los 5 componentes del control interno.
1. Entorno de Control
• La Organización debe demostrar compromiso con la integridad y los valores éticos.
• El Consejo de Administración debe demostrar independencia en la gestión y ejercerá la
supervisión en el desarrollo y ejecución del control interno.
• La Alta Dirección establece, con la supervisión del Consejo de Administración, la estructura, las
líneas de reporting, autoridad y responsabilidad en la consecución de los objetivos.
• En alineación con los objetivos, la Organización debe demostrar compromiso para atraer,
desarrollar, y retener personas competentes.
• En la consecución de objetivos, la Organización debe tener personas responsables para atender
sus responsabilidades de control interno.
2. Evaluación de Riesgos
• La Organización debe especificar los objetivos con suficiente claridad para permitir la identificación
y evaluación de los riesgos relacionados.
• La Organización identifica y evalúa riesgos.
• La Organización gestiona el riesgo de fraude.
• La Organización identifica y evalúa los cambios importantes que podrían impactar al sistema de
control interno.
146
Principios (2/2)
3. Actividades de Control
• La Organización seleccionará y desarrollará actividades de control que contribuyan a la
mitigación de los riesgos en el logro de sus objetivos.
• La Organización seleccionará desarrollará Controles Generales sobre Tecnología.
• La Organización implementa sus las actividades de control a través de políticas y
procedimientos.
4. Información y Comunicación
• La Organización genera información relevante, para respaldar el funcionamiento de los otros
componentes de Control Interno.
• La Organización comunica internamente la información, incluyendo los objetivos y
responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los
otros componentes de Control Interno.
• La Organización se comunica externamente en relación con las materias que afectan al
funcionamiento de los otros componentes de Control Interno.
5. Actividades de Monitorización
• La Organización lleva a cabo evaluaciones continuas e individuales, con el fin de comprobar si
los componentes del control interno están presentes y están funcionando.
• La Organización evalúa y comunica las deficiencias de control interno.
147
Enfatiza la eficacia de control interno
VHG. Consulting
148
No es una enmienda a la totalidad
149
Pero sí un cambio de enfoque
150
Transición e
impacto para los
Auditores Internos
151
Aspectos básicos
VHG. Consulting
152
Aspectos básicos
VHG. Consulting
153
Aspectos básicos
VHG. Consulting
154
Puesta en común de los temas tratados –
ANEXO 2
155
Plan de Auditoría Interna
Objetivo
157
¿Lo compartimos?
19 100% 19
32 80% 26
60 50% 30
25 33% 8
158
El IIA y el Plan de Auditoría (I de III)
El DAI debe establecer planes basados en los riesgos a fin de determinar las prioridades de
la actividad de auditoría interna. Dichos planes han de ser consistentes con la metas de la
organización.
La evaluación de riesgos se utiliza para examinar las unidades auditables y seleccionar las
áreas sujetas a análisis que deben incluirse en el plan de auditoría interna y que son las que
tienen mayor exposición al riesgo.
159
El IIA y el Plan de Auditoría (II de III)
OBJETIVO:
Seleccionar oportunamente los diferentes tipos de actividades que serán incluidas en el plan de
auditoría interna. Entre otras:
160
Cadena de Valor
PROCESOS ESTRATÉGICOS
Planeamiento Estratégico
PROCESOS OPERATIVOS
Control de
Gestión Calidad
Gestión Distribución
de Producción Despacho
Comercial
Compras Investigación y
Desarrollo
Gestión de la Información
Gestión Logística
PROCESOS DE SOPORTE
Matriz de Riesgos
Salud y Seguridad
Eficiencia
Regulatorio Capacidad
Fraude de Empleados
Acceso /Terceros Integridad Interrupción
Probabilidad
3 Precios
Actos Ilegales
Cumplimiento
Evaluación de Inversión
Concentración
Comunicación Infraestructura
2
Pérdida Catastrófica
Monitoreo del Entorno
0
0 1 2 Impacto 3 4 5
PROBABILIDAD
Matriz de Riesgo-Macro Procesos
Planeamiento Estratégico
Gestión del Cambio y mejora continua
Gestión integral de riesgos
Control Interno
Gestión de Compras
Gestión comercial
Producción
Control de Calidad
Despacho
Distribución
Gestión Logística
Cronograma de Auditoria
Gestión Comercial
Gestión de Compras
Producción
Control de Calidad
Investigación y
Desarrollo
Despacho
Distribución
Control Interno
Gestión del Cambio
Gestión de Riesgos
Gestión de RRHH
Gestión de TI
Gestión de Finanzas
Gestión Logística
El IIA y el Plan de Auditoría (III de III)
G.I. 2050-3.
“El auditor interno puede hacer uso del trabajo de otros proveedores
internos o externos de servicios de aseguramiento sobre el gobierno, gestión
de riesgos y control”.
166
Antecedentes (I de II)
Rod Winters, exPresidente del IIA Global, llegó a la conclusión de que
“Auditoría Interna debe hacer menos, lo más importante, con menos
recursos. Centrarnos en lo que sea significativo y apoyándonos en la
tecnología como herramienta de trabajo, pues si bien ésta comporta
riesgos, es incuestionable que también es una oportunidad con la que
mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos”.
168
Determinación del Plan Auditor
A
B ANÁLISIS DE AUDITORÍA INTERNA: B
SOLICITUDES SELECCIÓN PROCESOS PRIORITARIOS
MAPAS DE RIESGOS GLOBAL
ALTA DIRECCIÓN Y EVALUACIONES DE RIESGOS
IDENTIFICACIÓN CONTROLES REQUISITOS REGULADOR
GERENCIAS
RESULTADOS AUDITORÍAS PREVIAS OTROS STAKEHOLDERS
DATOS DE LOS INDICADORES
B B
PRESENCIAL / DISTANCIA
169
Ni son todos los que están, ni están todos los que son
170
En este contexto Auditoría Interna
Incidir en lo importante
Hacerlo con el mínimo coste
171
Pero tampoco su dinamismo y actualización
172
Roles de Auditoría Interna en ERM (I de III)
173
Roles de Auditoría Interna en ERM (II de III)
174
Roles de Auditoría Interna en ERM (III de III)
Según los datos del IIA recogidos en el documento Internal Auditing´s Role in Risk
Management.
175
Pero dependiendo del desarrollo del ERM
176
Modelo de las tres líneas de defensa internas
177
Dos conceptos diferentes
178
Auditoría Interna con base a riesgos (I de III)
Es “La metodología que une las auditorías internas con el marco general de la
gestión de riesgo de una organización, permitiendo a la auditoría interna ofrecer
garantías al Directorio de que los procesos de gestión de riesgos son
efectivamente aplicados en relación con el apetito al riesgo”.
Centrándonos en lo importante.
179
Auditoría Interna con base a riesgos (II de III)
180
Auditoría Interna con base a riesgos (III de III)
2º) Si los procesos de gestión de riesgos son apropiados y están bien diseñados, y
Esta forma de auditar dependerá del nivel de desarrollo que la propia empresa
ha alcanzado en la gestión de riesgos en el área objeto de examen, y el grado
en que han sido definidos objetivos apropiados por la Gerencia contra los
cuales pueden medirse los riesgos asociados.
181
¿Alguna duda?
182