Download - Sesión 5 Auditoría basada en Riesgos
Sesión 5Auditoría basada en Riesgos
Agenda
• Supervisión y auditoría basada en riesgos• Actividades significativas• Planeación• Gestión de riesgos• Evaluación• Propuesta de modelo práctico para
planeación de auditoria con enfoque en riesgos
QUÉ ES SUPERVISIÓN BASADA EN RIESGOSPerspectiva desde el Supervisor o Regulador
¿Qué es la Supervisión Basada en Riesgos?
Metodología de supervisión sistemática que permite establecer una revisión de los riesgos
para entidades supervisadas, que permite focalizar los recursos y esfuerzos en las
actividades más relevantes de los negocios en las organizaciones
Dentro de los objetivos principales es tener Riesgo Compuesto (RC) de una entidad
supervisada y/o un conglomerado financiero (ES/CF)
Actividad Significativa
líneas/unidades de negocio y los procesos fundamentales para llevar a cabo el modelo de negocios y para alcanzar sus objetivos
principales de la organización
• Líneas de negocios de la empresa
• Procesos pilares de la organización
• Estructura organizacional• Planes estratégicos• Análisis de estados
financieros (Ingresos)Como?
Evaluación de Materialidad
Evaluar el nivel de importancia destinado por la organización a la Actividad Significativa o Línea de Negocio
Algunas variables ejemplo
Para determinar la materialidad se pueden
tomar otro tipo de variables de acuerdo con
la metodología establecida
El plan de negocios, la importancia estratégica, la incursión en nuevos
producto o mercados, y el crecimiento proyectado de una actividad pueden
llevar a un incremento en su materialidad.
Cuestionario 1
La supervisión basada en riesgos
a) Supone conocer todo los negocios de la organización.b) Determina las líneas de negocio o procesos más relevantes
para la organización.c) Centra en esfuerzos de supervisión y evaluación en los
aspectos más riesgos de la organización.d) Todas las anteriores.
Cuestionario 1
La supervisión basada en riesgos
a) Supone conocer todo los negocios de la organizaciónb) Determina las líneas de negocio o procesos más relevantes
para la organizaciónc) Centra en esfuerzos de supervisión y evaluación en los
aspectos más riesgos de la organizaciónd) Todas las anteriores
AUDITORÍA BASADA EN RIESGOSPerspectiva desde el Auditor Interno
¿Qué es la Auditoría Basada en Riesgos?
1. Evalúa si los sistemas de gestión de riesgo de la organización son eficaces
• Se ha seleccionado respuestas apropiadas a los riesgos de la organización
• Evaluar los riesgos conforme al tamaño, complejidad, estructura, productos y proyectos
2. Determinar su propia evaluación de los riesgos, con el fin de establecer
Espacio paraimágenes, gráficas
y videos
PLANEACIÓN
Universos Auditables
líneas/unidades de negocio, procesos, componentes y estrategias fundamentales para llevar a cabo el modelo de negocios y para
alcanzar sus objetivos principales en la organización
• Líneas de negocios de la empresa
• Procesos pilares de la organización
• Proveedores • Aplicativos, bases de
datos
• Estructura organizacional• Planes estratégicos• Análisis de estados
financieros (Ingresos)Como?
Universos Auditables
(IIA) Norma 2120 – Gestión de Riesgos
Tips_Universo_AI_Elementos_Fundamentales
Hmta_Universo_AI
Fuente: IIA
(IIA) Norma 2110 - Gestión de Gobierno
(IIA) Norma 2110 - Control (2130)
(IIA) Norma 2010 – Planificación de la Auditoría
Evaluación de Materialidad
Evaluar el nivel de importancia destinado por la organización a la Actividad Significativa o Línea de Negocio
¿Cómo determinar la materialidad actual en la empresa?
AS Activos Ventas o facturación Utilidad Importancia en
el negocio OTRA?
Línea de negocio
Valor de los activos/total del activo
Ventas o facturación línea de negocio/Total de facturación
Utilidad generada x Línea de negocio/ total de la utilidad
Actividades Significativas
Tipo de AS AS o ente auditable MATERIALIDAD
RIESGOS APLICABLES
RC RO RL RLAFT RREP
Líneas de negocio
Alto –Medio-Bajo X X
Procesos Tecnología X X
¿Qué riesgos aplican a las AS?
Premisas en la Planeación
Temas regulatorios
•• Atender temas regulatorios.
Universo de Auditoría
•• Determinar el universo de auditoría (actividades significativas).
Evaluar los riesgos
•• Cubrir los riesgos de la organización.
Participar en proyectos
•• Revisión de proyectos que tengan un impacto relevante en la organización.
Premisas en la Planeación
Temas regulatorios
¿Qué regulación
debe cumplir)
¿Cómo evaluar la regulación existente?
¿Áreas o temas
involucrados?
Premisas en la Planeación
Establecer el universo auditable o AS
Actualizar el universo auditable
Determinar las variables para su materialidad
Determinar Universo Auditable
Activo, patrimonio, utilidad, proyecto estratégico, etc
Evalúo las variables para su materialidad
Cuestionario 2
Con relación a la determinación del universo auditable indique si es falso o verdadero cada enunciado:
a) Se puede utilizar los esquemas por procesos, negocios, divisiones o estructuras de la organización que ha definido en la operación cotidiana. Lo importante es determinar cuál es la forma en que la empresa se identifica a si misma y como puede ser utilizada por la auditoría.
b) El universo auditable puede ser calificado con base en el nivel de riesgo que se perciba o tenga información, de acuerdo con la gestión de riesgo de la empresa y/o trabajos anteriores de auditoría.
Cuestionario 2
Con relación a la determinación del universo auditable indique si es falso o verdadero cada enunciado:
a) Se puede utilizar los esquemas por procesos, negocios, divisiones o estructuras de la organización que ha definido en la operación cotidiana. Lo importante es determinar cuál es la forma en que la empresa se identifica a sí misma y como puede ser utilizada por la auditoría. (Tomado de la IIA documento Tips_Universo_AI_Elementos_Fundamentales)
b) El universo auditable puede ser calificado con base en el nivel de riesgo que se perciba o tenga información, de acuerdo con la gestión de riesgo de la empresa y/o trabajos anteriores de auditoría. (Tomado de la IIA documento Tips_Universo_AI_Elementos_Fundamentales)
Verdadero
Fuente: IIA
CALIFICACIÓN DE RIESGOS EN
LA PLANEACIÓN
Evaluar los riesgos
Determinar los riesgos aplicables
Determinar las variables y forma de evaluación
Realizar la calificación de nivel de riesgo
• Calificación de Riesgo Inherente – Empresa
• Calificación de Riesgo inherente – percepción de la Auditoría
• Evaluación de la materialización de riesgos en la AS evaluada (puede ser
por eventos de riesgo operativo u otros mecanismos de recolección de
información)• Nivel de impacto en la estrategia de
negocio
Premisas en la Planeación
Premisas en la Planeación
1. Determinar el valor de calificación. ejemplo de 0 a 3 ó Alto, medio o bajo.
2. Determinar si son promediados o asignados por pesos de acuerdo a su relevancia (para las variables utilizadas o tipos de riesgo)
3. Clasificar los niveles resultantes de la calificación obtenida en Medio, Alto y Bajo.
4. Documentar las calificaciones y sus criterios
Ejemplo
DETERMINACIÓN DE ALCANCE Y EJECUCIÓN
DE LA AUDITORÍA
Determinación del Alcance
Establecer alcance Recopilar
información Determinar pruebas y riesgos Ejecutar
auditoría Presentar resultados – exponer el riesgo evaluado
Revisión del Área de Riesgos ¿Qué debería tener en cuenta la Auditoría?
Mandatos Responsabilidades Perfil de recurso humano Planeación
Recursos (económicos, tecnológicos)
CapacitaciónMetodologías
(identificación, medición, control y
monitoreo)
Seguimiento a controles
Interacción con áreas de negocio
Determinación de limites de riesgo
Monitoreo a limites de riesgo Indicadores Comités de
riesgos
Retroalimentación de Altos
Directivos y Órganos de
Administración
Proyectos
Cuestionario 3
Imagine que en una organización se ha determinado que la función de gestión de riesgos se realice desde la vicepresidencia administrativa y financiera, específicamente en el área contable debido a que son las personas que se considera más responsables dentro de la empresa. Considera usted que:
a) Debido al nivel de confianza que la organización le tiene al área, esta bien que desarrolle esta actividad de gestión de riesgo, después de todo ellos conocen casi toda la empresa.
b) No debería llevarse a cabo esta función desde el área contable porque ellos no están lo suficientemente capacitados
c) No debería llevarse a cabo la función de riesgos desde el área contable, pues supone que el área contable realiza funciones operativas y puede representar un conflicto de interés en la medida que es quien define sus controles y de igual manera gestiona los riesgos, esto puede interferir en la autonomía e independiente de la revisión de los riesgos.
Cuestionario 3
Imagine que en una organización se ha determinado que la función de gestión de riesgos se realice desde la vicepresidencia administrativa y financiera, específicamente en el área contable debido a que son las personas que se considera más responsables dentro de la empresa. Considera usted que:
a) Debido al nivel de confianza que la organización le tiene al área, esta bien que desarrolle esta actividad de gestión de riesgo, después de todo ellos conocen casi toda la empresa.
b) No debería llevarse a cabo esta función desde el área contable porque ellos no están lo suficientemente capacitados
c) No debería llevarse a cabo la función de riesgos desde el área contable, pues supone que el área contable realiza funciones operativas y puede representar un conflicto de interés en la medida que es quien define sus controles y de igual manera gestiona los riesgos, esto puede interferir en la autonomía e independiente de la revisión de los riesgos.
RESULTADOS
HallazgoRiesgo
Establecer los hallazgos
HECHOS
Presentar el riesgo, nivel de exposición e
impacto
RIESGO ATERRIZADO A LA ENTIDAD – Y AL
HECHO
Riesgos
CASO PRÁCTICO
Sesión 3
Riesgo Operativo
1. Establezca los entes auditables2. Determine criterios de materialidad3. Establezca materialidad4. Determine riesgos aplicables5. Califique el nivel de riesgo6. Califique el ambiente de control
¡Gracias!DIANA MARCELA VARGASCISA-ABCP y AMLCm. +57 (314) 6300074