DIPLOMADO DE AUDITORÍA INTERNA BASADA

EN RIESGOS – MÓDULO 1
LA AUDITORÍA INTERNA EN LA EMPRESA
MODERNA

RAYMIR ABREU
 Director Control Interno APAP

Auditor Interno Certificado Certificación en Auto-Evaluación

(CIA) del Control (CCSA)

Certificación en Administración de Certificación en Six Sigma

Proyectos (PMP) (Green Belt)

Certificación en Auditoría de Master en Administración de

Servicios Financieros (CFSA) Negocios (MBA)
Ice Breaker
 1 Auditoría Interna en la Empresa

Auditoría Interna y la Gestión de

2 Riesgos
CONTENIDO
3 Auditoría Interna y el Control Interno

Auditoría Interna y el Buen Gobierno

4 Corporativo
 Auditoría
Interna Riesgos

DINÁMICA
Aseguramiento Control Interno

Gobierno Corporativo Consultoría

 1 Auditoría Interna en la Empresa

Auditoría Interna y la Gestión de

2 Riesgos
Tema I
3 Auditoría Interna y el Control Interno

Auditoría Interna y el Buen Gobierno

4 Corporativo
 Evaluación independiente y
PROTEGER
➢Enfoque rotativo basado en riesgos
➢Activos tangibles
➢Orientada al balance general
➢Reportes de excepciones
➢La Gerencia desarrolla soluciones
➢Cumplimiento de los controles
➢Controles generales de TI
➢Actividades de aseguramiento
objetiva a través MEJORAR
de un servicio de ➢Mejoramiento de procesos
valor agregado ➢Reportes de desempeño balanceados
➢Identificar y compartir mejores prácticas
➢Activos intangibles
➢Desarrollo de soluciones en conjunto
Valor del accionista – ➢Apoyar/mejorar administración de
Auditoría Interna riesgos, control y gobernabilidad
➢Cobertura basada en riesgos
➢Actividades de consultoría
Balance
Óptimo
Proteger/Mejorar

Definición “Auditoría Interna es una actividad independiente y objetiva de

aseguramiento y consultoría, para agregar valor y mejorar las
operaciones de una organización. Apoya a la organización en
el logro de sus objetivos de negocio al proveer un enfoque
disciplinado y sistemático para evaluar y mejorar la efectividad
de la gestión de riesgo en la organización así como sus
controles y procesos de gobierno.”
Instituto de Auditores Internos (IIA por sus siglas en inglés)
 PROTEGER MEJORAR

Evaluación Actividades de aseguramiento Actividades de Cobertura basada

consultoría
Independiente y Reportes de Controles
en riesgos
Apoyar/Mejorar administración de
generales de TI
Objetiva a excepciones riesgos, control y gobernabilidad

Cumplimiento de los controles

través de un Desarrollo de soluciones en conjunto

Orientada al Mejoramiento de Activos

Servicio de balance general
Activos tangibles
procesos intangibles

Valor Agregado La gerencia desarrolla soluciones Identificar y compartir mejores

prácticas

Enfoque rotativo basado en riesgos Reportes de desempeño balanceados

VALOR DEL ACCIONISTA AUDITORIA INTERNA

Balance Optimo
Proteger/Mejorar
Dinámica

VISION DEL AUDITOR

MODERNO
Dinámica

VISION DEL AUDITOR

MODERNO
 DEPT. AUDITORÍA INTERNA

Impulsores

SOX 404
Evolución de SOX 302

Reg.
Auditoría Bancarias /
Financieras Otras
Regs.
Interna

Internal Audit

Riesgos Estratégico Operacional Cumplimiento Reporte

Enfoque Consultoría Aseguramiento

Evolución de
Auditoría
Interna
Evolución de
Auditoría
Interna
 Partes
Partes Interesadas
Interesadas
Contralor CFO CEO Comité de Auditoría

Enfoque
Enfoque
Cumplimiento Controles Auditoría Operacional Proceso de ERM
Negocios

Evolución de Controles
Internos
Gerencia de
Riesgo

Auditoría
Habilidades
Habilidades Habilidades Clave
Interna Auditor
Conocimiento del Negocio Habilidades Especiales

• Conocimiento de Industria • Aplicaciones IT

• Técnicas de Auditoría
• Proceso de Negocios • Fraude/Forense
• Herramientas de Auditoría
• Cumplimiento • ERM- Asesoramiento de
• Contabilidad/GAAP
legal/regulatorio Riesgo
• Controles Internos
• Gobierno • Herramientas Avanzadas
Otras habilidades “Soft Skills”
• Comunicación • Liderazgo • Relaciones Humanas • Negociaciones
Evolución de
Auditoría
Interna

Habilidades/Competencias del Auditor Interno Moderno

 ¿Cuál de las siguientes declaraciones es falsa?

a) Una metodología de evaluaciones disciplinada y

sistemática es incorporada en cada actividad de auditoría
interna. La lista de servicios puede ser generalmente
incorporada en dos amplias categorías de aseguramiento
y consultoría.
Stop And b) El aseguramiento y la consultoría son exclusivos
Review mutuamente y no imposibilitan otros servicios de
auditoría, como investigadores y roles de no auditoría.

c) Muchos servicios de auditoría tendrán un rol de

aseguramiento y de consultoría.

d) La consultoría de auditoría interna enriquece la auditoría

interna que agrega valor.
 1 Auditoría Interna en la Empresa

Auditoría Interna y la Gestión de

2 Riesgos
Tema II
3 Auditoría Interna y el Control Interno

Auditoría Interna y el Buen Gobierno

4 Corporativo
Tema II
 Riesgo: Riesgo es cualquier evento potencial que puede
afectar adversamente el logro de los objetivos de la
entidad.

El riesgo se mide mediante la combinación del impacto y

de la probabilidad de que ocurra.

Conceptos Impacto: Es el resultado de una amenaza.

Básicos Generalmente están relacionadas a pérdidas financieras
• Pérdida directa de dinero
• Violación de Leyes
• Pérdida de Reputación
• Reducción de la eficiencia

Control: Acciones que son establecidas en políticas y

procedimientos en la organización para reducir el riesgo.
PARTE II
LA AUDITORÍA INTERNA EN LA EMPRESA MODERNA
Tipos de Inherente Residual
Es el que queda luego de la
Riesgos Es aquel que se tiene en la ausencia
de cualquier acción que la
respuesta de la administración al
riesgo. Toda vez la respuesta al
administración pueda tomar para
riesgo ha sido desarrollada, la
modificar la probabilidad del riesgo
administración debe considerar el
o su impacto.
riesgo residual.
 Juego de
Aprendizaje
 Los diversos roles que los auditores internos tienen
en la gestión de riesgos y el énfasis que ponen en
ella dependen de la madurez del proceso de la
misma en la organización.

El Rol del
Auditor en Asegurar que toda la organización entienda
completamente la responsabilidad que tiene la
Gestión de gerencia en la gestión de riesgos.

Riesgos
Proporcionar aseguramiento objetivo al consejo
directivo y a la alta dirección sobre:
• La eficacia de las actividades en cuanto a ayudar a asegurar que
los riesgos de los negocios clave son manejados apropiadamente
• y que el sistema de control interno opera eficazmente.
 Establecer el nivel de riesgo aceptado.

Imponer procesos de gestión de riesgos.

ROLES
El Rol del QUE NO
Auditor en DEBEN
Tomar decisiones sobre respuestas a los
riesgos. Esto es responsabilidad de la gerencia.
Gestión de CUMPLIR:
Riesgos Implementar respuestas a los riesgos en
nombre de la gerencia.

Hacerse responsable de la gestión de riesgos.

Identificación
de Riesgos
Ejercicio de
Controles
Internos
 Objetivos Identificados
Ejercicio de Riesgo No. Descripción del Objetivo
Identificación Lograr incrementar en un 20% la cantidad de préstamos garantizados
de Riesgos 1
durante los próximos 2 años

(Parte 1) 2
Cambiar la plataforma tecnológica por una más adaptada a los tiempos
modernos

3 Fortalecer el sistema de monitoreo de controles de la entidad

Seleccione uno de los objetivos y determine 3 riesgos que

puedan impactar su cumplimiento.
 Lograr incrementar en un 20% la cantidad de préstamos garantizados
1
durante los próximos 2 años

Riesgo
Que se concedan préstamos a personas con capacidad de pago
inadecuada.
Caso de
Estudio
Que existan errores en las tasaciones que sirven como garantía
a estos préstamos.

Que los inmuebles dados en garantías tengan problemas

judiciales.
 Cambiar la plataforma tecnológica por una más adaptada a los
2
tiempos modernos

Riesgo
Que no se seleccione la herramienta más adecuada para la
empresa.
Caso de
Estudio
Que la herramienta presente problemas de seguridad.

Que los empleados cometan errores por el desconocimiento

de la herramienta.
 3 Fortalecer el sistema de monitoreo de controles de la entidad

Riesgo
No contar con el personal adecuado para realizar los
monitoreos adecuados.
Caso de
Estudio
Que el personal responsable del monitoreo no cuente
con herramientas adecuadas para el monitoreo.

Que el personal disponible no cuente con los niveles de

independencia y objetividad requeridas.
 Los auditores internos puede jugar un rol proactivo en asistir
con el establecimiento inicial de un proceso de administración
de riesgos. No obstante, si esta asistencia excede las
actividades normales de aseguramiento y consultoría, la
independencia puede verse impactada. ¿Cuál de lo siguiente
puede impactar la independencia de un auditor que ha
participado en el establecimiento inicial de un proceso de
administración de riesgos?:

Stop And a) Desarrollo de evaluaciones y reportes sobre el proceso de

administración de riesgos.
Review
b) Manejar los riesgos identificado.

c) Evaluar lo adecuado y efectivo de los procesos de

administración de riesgos.

d) Implementar controles para manejar los riesgos

identificados.
 1 Auditoría Interna en la Empresa

Auditoría Interna y la Gestión de

2 Riesgos
Tema III
3 Auditoría Interna y el Control Interno

Auditoría Interna y el Buen Gobierno

4 Corporativo
Tema III
 Proceso realizado por el consejo de directores, administradores y otro
personal de una entidad, diseñado para proporcionar seguridad razonable
mirando el cumplimiento de los objetivos en las siguientes categorías:

Proceso
Departamento
Organización
Efectividad y eficiencia de las
Monitoreo
operaciones.
Información y

Definición comunicación

Actividades de control Confiabilidad de la información

financiera.
Evaluación de riesgos

Ambiente de control
Cumplimiento de las leyes y
Cumplimiento
regulaciones aplicables.
Operaciones Reportes
Financieros
 Información y Comunicación

Evaluación de
Actividades de
los Riesgos. Supervisión o
Control.
Objetivos de (Eventos que Monitoreo.
(Acciones, normas y
Trabajo para ponen en (Evaluar la calidad
procedimientos para
el Año. riesgos los del control interno
afrontar los riesgos
objetivos en el tiempo)
Elementos del trazados)
identificados)

Control Interno
Ambiente de Control Adecuado

Para Garantizar:
1. Operaciones eficientes y eficaces.
2. Confiabilidad de la información contable.
3. Cumplimiento de las leyes y las normas.
4. La salvaguarda de los recursos.
 Integración con la Respuesta al Riesgo

La gerencia identifica las actividades de control

Controles necesarias para asegurar que la respuesta al riesgo
Internos: seleccionada se lleva a cabo.
Respuestas al
Riesgos Actividades
Objetivos Riesgos Respuesta
de control
 Controles
Internos:
Respuestas al
Riesgos

¿Qué Estrategias Podemos Usar Para

Enfrentar un Riesgo?
 MITIGAR

Controles TRANSFERIR
Internos: EVITAR
Respuestas al
Riesgos ACEPTAR

¿Qué Estrategias Podemos Usar Para

Enfrentar un Riesgo?
 Internos
Tipos de
Controles
Preventivos

Manuales

Detectivos

Computarizados

Correctivos
 • Qué debe • Cómo debe
hacerse? hacerse?
Políticas Procedimientos

Políticas y
Procedimientos
 Las políticas pueden ser comunicadas, tanto
de manera oral, como de manera escrita.
 Las desviaciones a las políticas y
procedimientos deben ser monitoreadas y
las acciones correctivas correspondiente
deben tomarse.
 Revisar y evaluar que las respuestas a los riesgos
identificados son adecuadas

Revisar el adecuado funcionamiento los

controles internos
El Rol del
Auditor Asesorar en temas de manejo de riesgo y
establecimiento de controles
Interno
Presentar recomendaciones de mejoras para las deficiencias detectadas

Vigila, en representación de la autoridad superior, el adecuado

funcionamiento del sistema, informando oportunamente a aquella
sobre su situación.
 Decidir sobre la respuesta al
riesgo que debe seleccionarse.
ROLES
El Rol del QUE NO Ser dueño del control
Auditor DEBEN implementado.
Interno CUMPLIR:

Ejecutar actividades de
Control.
Ejercicio de
Controles
Internos

Continuación
 Objetivos Identificados

Ejercicio de Riesgo
Descripción del Objetivo
No.
Controles Lograr incrementar en un 20% la cantidad de préstamos
Internos 1
garantizados durante los próximos 2 años

(Parte 2) 2
Cambiar la plataforma tecnológica por una más adaptada a los
tiempos modernos

3 Fortalecer el sistema de monitoreo de controles de la entidad

Para los riesgos identificados en la parte 1, identifique :

Tipo de Actividad de
Riesgos Respuesta
Respuesta Control
 Objetivos Identificados

Ejercicio de No. Descripción del Objetivo Riesgo A Riesgo B Riesgo C

Controles Lograr incrementar en un

20% la cantidad de
Que se concedan
préstamos a personas
Que existan errores
en las tasaciones que
Que los inmuebles
dados en garantías
1 con capacidad de sirven como garantía tengan problemas
Internos préstamos garantizados
durante los próximos 2 años
pago inadecuada a estos préstamos judiciales

(Parte 2) Cambiar la plataforma

Que no se seleccione
la herramienta más
Que la herramienta
presente problemas
Que los empleados
cometan errores
tecnológica por una más
2 adecuada para la de seguridad por el
adaptada a los tiempos
empresa desconocimiento
modernos
de la herramienta
No contar con el Que el personal Que el personal
personal adecuado responsable del disponible no
para realizar los monitoreo no cuente cuente con los
Fortalecer el sistema de
monitoreos con herramientas niveles de
3 monitoreo de controles de
adecuados adecuadas para el independencia y
la entidad
monitoreo objetividad
requeridas
 Lograr incrementar en un 20% la cantidad de préstamos garantizados
1
durante los próximos 2 años

Tipo de
Riesgos Respuesta Actividad de Control
Respuesta

Que se concedan Implementar políticas Mitigante Políticas y procedimientos de

préstamos a de créditos que crédito
personas con establezcan criterios de
capacidad de pago calificación de los
inadecuada solicitantes

Caso de Que existan errores Utilizar servicios de Tercerizar Política de Prestamos:

en las tasaciones tasadores externos 1) Establecer requisitos para
Estudio que sirven como
garantía a estos
reconocidos para
realizar este servicio
tasadores aprobados
2) Indicar que solo podrán
préstamos recibirse tasaciones de
tasadores aprobados
Que los inmuebles Realizar una Mitigante Política de Prestamos:
dados en garantías confirmación con los 1) Todas las garantías
tengan problemas organismos rectores de hipotecarias recibidas
judiciales los inmuebles del deben validarse con los
estatus del bien registro de títulos y la
ofrecido como garantía DGII para asegurar que
previo a otorgar el no exista ninguna
préstamo situación legal que lo
afecte
 Cambiar la plataforma tecnológica por una más adaptada a los
2
tiempos modernos

Tipo de Actividad de
Riesgos Respuesta
Respuesta Control

Que no se seleccione la Utilizar consultores externos Tercerizar No aplica

herramienta más para el proceso de solicitud y
adecuada para la evaluación de consultores
Caso de empresa

Que la herramienta Establecer controles Mitigante Políticas de

Estudio presente problemas de generales relacionados con la seguridad de
seguridad seguridad de información información
Que los empleados Establecer un programa de Mitigante Política de
cometan errores por el capacitación dentro del capacitación:
desconocimiento de la proyecto de implementación
herramienta de la herramienta Todo cambio de
sistemas de
misión critica
deben contar con
un plan de
capacitación
previo a su salida
en producción.
 3 Fortalecer el sistema de monitoreo de controles de la entidad

Tipo de Actividad de
Riesgos Respuesta
Respuesta Control

No contar con el Realizar un outsourcing Tercerizar No aplica

personal adecuado para aquellos procesos
para realizar los donde internamente no
Caso de monitoreos
adecuados
contemos con el expertis
para evaluar
Estudio adecuadamente dicho
proceso
Que el personal Aceptar el riesgo, debido a Aceptación No aplica
responsable del que el costo de herramienta
monitoreo no cuente supera los beneficios.
con herramientas
adecuadas para el
monitoreo
 ¿Dar recomendaciones sobre los controles que deben
implementarse, tienen qué impacto sobre la actividad de
auditoría interna?

a) Lo convierte en dueños de controles.

Stop And
b) No afecta su independencia.
Review
c) Obliga a auditoría a implementar el control.

d) Requiere la aprobación del Comité de Auditoría para

implementarse.
 La decisión de no participar en una actividad de
comercio electrónica considerada riesgosa debe
ser analizada, documentada y aprobada por:

Stop And a) El Director de Auditoría Interna.

Review b) El Comité de Auditoría.
c) A & B son correctas.
d) Ninguna de las anteriores.
Caso Barrig:
Nick Leeson’s
Rogue Trader
 FRONT OFFICE
Área de riesgo: CASH MANAGEMENT
RIESGO CLAVE ACTIVIDAD DE CONTROL
Claras políticas y procedimientos para la
1. Ineficiente uso del capital asignado.
administración del efectivo.
2. Transacciones no autorizadas. Riesgo
Caso Barrig: de fraude.
Operadores y productos autorizados.

3. Exposiciones a pérdidas no Control de límites por tipo de productos,

Nick Leeson’s provisionadas. empresas, sectores, inversionistas, etc.

Rogue Trader 4. Inadecuada asignación de recursos. Transacciones permitidas y prohibidas.

5. Mal uso de fondos, falta de

Mecanismos auditables para el control y registro
planificación y control de fondos
de ingresos y egresos.
asignados.
6. Estrategia de implementación de
Política de desarrollo de nuevos productos. Perfil
productos financieros deficientes.
de competencias del equipo negociador,
Desfase con el mercado en
operadores o trader.
movimiento.
 FRONT OFFICE
Área de riesgo: GESTIÓN
RIESGO CLAVE ACTIVIDAD DE CONTROL

1. Ingresos irreales, fraudes y/o Comparación de niveles de productividad por

exposiciones desconocidas ejecutivo – análisis de variaciones.
Caso Barrig:
Nick Leeson’s 2. Análisis de operaciones o negocios
deficientes. Análisis de pérdidas
Monitoreo de las contrapartidas rebajadas por
parte de las agencias o sucursales. Análisis de
Rogue Trader potenciales. las cuentas de errores (88888)

3. Deficiente segregación de funciones. Adecuada estructura jerárquica y de reportes.

4. Accesos no autorizados a sistemas Adecuado acceso a áreas específicas y

contables e indicadores de desarrollo aplicaciones de Sistemas de Información de
comercial. Gestión.
 BACK OFFICE
Área de riesgo: OPERACIONES
RIESGO CLAVE ACTIVIDAD DE CONTROL

1. Omisiones, errores (voluntarios o Separación de las funciones en el área de

involuntarios) y fraudes. operaciones.

Caso Barrig: 2. Transacciones fallidas, registro

incorrecto de transacciones.
“Call Back” o confirmación y conciliación.

Nick Leeson’s 3. Transacciones no autorizadas o fuera de Validación y control de límites, según políticas
Rogue Trader límites. internas

4. Falta o inexactitud de información. Procedimiento para contingencias.

5. No disponibilidad del pricing de un título
o contrato. (pricing : disciplina que
combina técnicas y herramientas de Custodios confirmados y reconciliados.
diversas ciencias para o determinar el
PRECIO de un bien o servicio)
 MIDDLE OFFICE

Área de riesgo: GESTIÓN DE RIESGO

RIESGO CLAVE ACTIVIDAD DE CONTROL

Caso Barrig: 1. Administración de riesgo del portafolio Evaluación permanente del riesgo asociado a

Nick Leeson’s de inversión. las distintas operaciones

Rogue Trader 2. Reportes de desempeño.

Revisión permanente de ejecutivos y
variaciones en sus estadísticas

Control de variaciones significativas en las

3. Administración de activos y pasivos.
cuentas de control.
 GOBIERNO CORPORATIVO

1. Inadecuada supervisión de los organismos de gobierno corporativo

Caso Barrig:
Nick Leeson’s 2. Debilidades en sistemas de reportes de operaciones / Contables

Rogue Trader
3. Procesos de Auditoria Débil (interna y externa)
SÍGUENOS!

Disclaimer:
Prohibida su reproducción total o parcial.
Para uso privado y confidencial de las partes interesadas solamente.

BDO, S.R.L., una sociedad de responsabilidad limitada de la República Dominicana, es miembro de BDO International Limited, una compañía limitada por garantía
del Reino Unido, y forma parte de la red internacional BDO de empresas independientes asociadas. BDO es el nombre comercial de la red BDO y de cada una de las
empresas asociadas de BDO.

BDO is the brand name for the international BDO network and for each of the BDO Member Firms.
Copyright ©2017 BDO Dominicana. All rights reserved.

www.bdo.com.do

BDO Dominicana @bdodominicana @bdodominicana BDO Dominicana BDO Dominicana

69