Los objetivos de control enla auditoría operativa ybasada en riesgos.

Norman Arturo Gutiérrez NizLíder de Auditoría Interna y Control InternoEY - Advisory Services

Page 2

Agenda

01 02 03

Marco profesionalpara la práctica deauditoría interna

Auditoría internabasada en riesgos

Objetivos decontrol en la

auditoría operativa

04

Conclusiones

Page 3

Agenda

Marco profesionalpara la práctica deauditoría interna

1 3 4

Con

clus

ione

s

Obj

etiv

osde

cont

rold

ela

audi

toría

oper

ativ

a

2

Aud

itoría

inte

rna

basa

daen

riesg

os

Page 4

Marco profesional para la práctica de AI

Propósitofundamentalde la función.

Requerimientos de cumplimiento obligatorio

Principios yexpectativas querigen la conductade las personas ylas organizaciones.

Guía detalladapara realizar lasactividades deauditoría.

Temas de enfoque, metodología y recomendaciones.

Declaración deIIA para ayudara comprenderlos problemassignificativosrelacionados congobierno,riesgoscontroles.

Page 5

Roles del Auditor Interno

► Cumplimiento normativo► Aplicación de políticas y procedimientos► Evaluación de procesos► Presentación de hallazgos y recomendaciones► Revisión del manejo de los riesgos claves

► Apoyo de los proceso de gestión de riesgos► Facilitación, identificación y evaluación de

riesgos► Desarrollo de estrategias de gestión de

riesgos para aprobación de la alta dirección► Alineación con la estrategia

Aseguramiento

Consultoría

Page 6

Estamos logrando generar el valoresperado por los grupos de interés….?

Page 7

Oportunidades a trabajar…

Page 8

Hacia donde deberíamos ir…..

No negociable

Gap de valor

AltamenteEfectiva

Orientación almejoramiento

Aseguramiento confiable

El “Gap de Valor” representa laoportunidad de mejoramiento a

largo plazo.

Aseguramiento confiable► Cubrir el espectro de gobierno, gestión de

riesgos y control interno.► Ofrecer una evaluación confiable de la gestión

de riesgos y controles en tiempo real.► Cumplimiento normativo.

Altamente efectiva► Rápida respuesta► Flexible y adaptativa► Fácil escalabilidad y mejoramiento► Costo - Efectividad

Orientación al mejoramiento► Facilitar la gestión del riesgo, control y gobierno

a través de la empresa► Apoyar el diagnóstico de problemas► Anticipar problemas: menos “sorpresas"► Apoyar la solución de problemas conocidos - y

si no, ¿por qué no?► Intercambio de buenas prácticas

Page 9

AgendaM

arco

prof

esio

nalp

ara

lapr

actic

ade

audi

toría

1 3 4

Con

clus

ione

s

Obj

etiv

osde

cont

rold

ela

audi

toría

oper

ativ

a

Auditoría internabasada en riesgos

2

Page 10

RiesgoResidual

Gestión de riesgos

Criterios de Calificación

RiesgoInherente

EvaluaciónActividadesde GestiónY Control

Estrategias derespuesta al riesgo

Plan de Auditoría

Medidas deTratamiento

0.0

5.0

10.0

15.0

20.0

25.0

1.0 2.0 3.0 4.0 5.0

Gestión / Nivel de ControlExpo

sici

ónal

Rie

sgo

(Impa

cto

yPr

obab

ilida

d)

Alto

Bajo

Bajo Alt

o

R

5 Esperada

4 Alta

3 Probable

2 Baja

1 Leve

5 Significante

4 Alto

3 Moderado

2 Bajo

1 Leve

5 Muy Alta

4 Alta

3 Moderada

2 Baja

1 Muy Baja

Riesgo A

Riesgo B

Velocidad

Prob

abill

idad

Riesgo C

Page 11

Priorización de los riesgos

0.0

5.0

10.0

15.0

20.0

25.0

1.0 2.0 3.0 4.0 5.0

Gestión / Nivel de Control

Expo

sici

ónal

Rie

sgo

Dim

ensi

ones

Alto

Bajo

Bajo

10

2

4

6

9

7

1

5

3

8

11

12

MonitorearControles

AceptarMonitorearRiesgos

Mejorar

RiesgoResidua

lNo.Riesgos RESIDUALES

1 Legado de CulturaOrganizacional

2 Liquidez – Efectivo/Gestión de Deuda

3Restaurar la Integridadde la InformaciónFinanciera

4 Exposición Crediticia delCliente

5 Infraestructura de ITIneficiente

6 Exposición Creditica alPor Mayor

7Incapacidad paracumplir con losrequisitos de impuestosde auditoría

8Dependencia enrelaciones claves conproveedores

9 Planeación y PrevisiónFinanciera Ineficiente

10 La Compañía como unaadquisición objetivo

11 Enfoque y Alineación deAdquisiciones

12 Obligaciones decuidado de la Salud

Page 12

Estamos alineados con la estrategia de laentidad….?

Page 13

“Ineficiente, no priorizado”

Captura el nivel de riesgo pero no es posiblepriorizar estratégicamente

“Función de AI rota”

Identificación de problemas por coincidencia y nopor planeación

“Alineado pero no objetivo”

Estratégicamente alineado pero carece deevaluación de riesgos

“Función de AI óptima”

Estratégicamente alineado y basado en laevaluación de riesgos

No hay estrategia Alineado estratégicamente

Aproximaciónbasada en elriesgo

Aproximaciónracional

Estrategia de AI y de la entidad

Page 14

Aprovechamiento de recursos

Priorización deProcesos desde la

evaluación de riesgos

CumplimientoLegislación de seguridad

social / Impuestos / normascontables / normas de

calidad

Expectativas de losreguladores

RotaciónY

Seguimiento

Proyectos especiales oauditorías no planeadas

Aprobación

delPlanG

eneraldeA

uditoriaDisponibilidad de

Recursos

Definición deprocesos del plan

de auditoría

Priorización deriesgos y procesos

Entradas

No todos los riesgosson cubiertos en el plan

Page 15

AgendaM

arco

prof

esio

nalp

ara

lapr

actic

ade

audi

toría

1 4

Con

clus

ione

s

Aud

itoría

inte

rna

basa

daen

riesg

os

2

Objetivos de controlen la auditoría

operativa

3

Page 16

Evaluación deRiesgos

Actividades decontrol

Información ycomunicación

Actividades demonitoreo

Enfoque del Sistema de Control Interno

Ambiente decontrol 5

4

3

3

2

Principios

Monitoreo

Información ycomunicación

Actividades de control

Evaluación de riesgos

Ambiente de controlU

nida

dA

Uni

dad

B

Act

ivid

ad1

Act

ivid

ad2

Page 17

Coso 2013 - MECI 2014

Módulo de planeación y gestión

Ambiente decontrol

COSOEvaluaciónde riesgos

Actividades demonitoreo

Información ycomunicación

Actividades de control

1

2

3

4

5

Módulo de evaluación y seguimiento

► Componente del talentohumano

► Direccionamientoestratégico

► Componenteautoevaluación institucional

Eje trasversal

► Información y comunicacióninterna

► Información y comunicaciónexterna

► Sistemas de información ycomunicación

Módulo de evaluación y seguimiento

► Componente auditoríainterna

► Componente planes demejoramiento

Módulo de planeación y gestión

► Componenteadministración delriesgo

Page 18

Qué se espera de la auditoría interna?

Page 19

Cómo lograrlo….?

Page 20

Objetivos de control - COSO

3

4

5

1. Se demuestra compromiso con la integridad y los valores éticos.2. La Junta Directiva demuestra su independencia de la Administración y ejercefunciones de supervisión.3. La Administración, con supervisión de la Junta, establece la estructura, líneasde reporte, autoridad y las responsabilidades.4. La Organización demuestra compromiso para atraer, desarrollar, y retenerpersonas competentes.5. La Organización establece y refuerza la responsabilidad y rendición decuentas (accountability)

6. Se especifican los objetivos para facilitar la identificación de los riesgos.7. La Organización identifica y evalúa los riesgos.8. La Organización gestiona el riesgo de fraude.9. Se identifican y evalúan cambios importantes que podrían impactar el sistemade control interno.

10. Se seleccionan y desarrollan actividades de control.11. Se seleccionan y desarrollan controles generales de TI12. Se implementan y ejecutan las actividades de control a través de políticas y

procedimientos.

13. Se genera información relevante para respaldar el funcionamiento de losotros componentes de Control Interno (CI)

14. La Organización comparte internamente la información, incluyendo losobjetivos y responsabilidades para el control interno, necesaria pararespaldar los otros componente de CI.

15. La Organización comunica externamente aspectos que afecten elfuncionamiento de los otros componentes de Control Interno.

16. Periódicamente se lleva a cabo evaluaciones independientes para evaluar loscomponentes de CI

17. Se evalúa y comunica las deficiencias

Evaluaciónde Riesgos

Actividadesde control

Información ycomunicación

Actividadesde monitoreo

1

2

Ambientede control

1

3

4

5

Monitoreo

Información ycomunicación

Actividades de control

Evaluación de riesgos

Ambiente de control

Uni

dad

A

Uni

dad

B

Act

ivid

ad1

Act

ivid

ad2

1

2

3

4

5

Page 21

Objetivos de control - COSO

3

4

5

1. Se demuestra compromiso con la integridad y los valores éticos.2. La Junta Directiva demuestra su independencia de la Administración y ejercefunciones de supervisión.3. La Administración, con supervisión de la Junta, establece la estructura,líneas de reporte, autoridad y las responsabilidades.4. La Organización demuestra compromiso para atraer, desarrollar, y retenerpersonas competentes.5. La Organización establece y refuerza la responsabilidad y rendición decuentas (accountability)

6. Se especifican los objetivos para facilitar la identificación de los riesgos.7. La Organización identifica y evalúa los riesgos.8. La Organización gestiona el riesgo de fraude.9. Se identifican y evalúan cambios importantes que podrían impactar elsistema de control interno.

10. Se seleccionan y desarrollan actividades de control.11. Se seleccionan y desarrollan controles generales de TI12. Se implementan y ejecutan las actividades de control a través de

políticas y procedimientos.

13. Se genera información relevante para respaldar el funcionamiento delos otros componentes de Control Interno (CI)

14. La Organización comparte internamente la información, incluyendo losobjetivos y responsabilidades para el control interno, necesaria pararespaldar los otros componente de CI.

15. La Organización comunica externamente aspectos que afecten elfuncionamiento de los otros componentes de Control Interno.

16. Periódicamente se lleva a cabo evaluaciones independientes paraevaluar los componentes de CI

17. Se evalúa y comunica las deficiencias

Evaluaciónde Riesgos

Actividadesde control

Información ycomunicación

Actividadesde monitoreo

1

2

Ambientede control

1

3

4

5

Monitoreo

Información ycomunicación

Actividades de control

Evaluación de riesgos

Ambiente de control

Uni

dad

A

Uni

dad

B

Act

ivid

ad1

Act

ivid

ad2

1

2

3

4

5

Page 22

Dado el papel integral de la gestión el Comité de Auditoría, Comité de Riesgos y otrasfunciones de gestión de riesgos. Lograr una participación en un acercamientocoordinado para enfrentar los cambios clave a partir de nuevo modelo.

El camino a seguir sugerido

1.Organice equipos deinternos para que sefamiliaricen con el marcoCOSO-MECI ycomprendan los cambiosclaves e implicacionespara el sistema de controlinterno de su entidad.

2.Revise y establezca unproceso para relacionarcontroles existentes conlos cinco componentes y17 principios del marco.Identifique y evalúe si loscambios en los controles ydocumentación sonnecesarios.

3.Actualice ladocumentación del controlinterno, incluyendo el plande evaluación y pruebas.Evalúe las deficienciasidentificadas.

Page 23

AgendaM

arco

prof

esio

nalp

ara

lapr

actic

ade

audi

toría

1

Obj

etiv

osde

cont

rold

ela

audi

toría

oper

ativ

a

Aud

itoría

inte

rna

basa

daen

riesg

os

2 3

Conclusiones

4 4

Page 24

Conclusiones

#1 Evaluar el nivel de madurez actual de la función auditoría y definir alplan de ruta para llegar al siguiente nivel.

#5 Identificar, sugerir y promover mecanismos para mejorar la gestiónde riesgos, control y gobierno en la entidad.

#3 Apoyar a la entidad en su propósito de lograr un balance entrecontrol, gestión y generación de valor. Optimización de controles

Establecer un proceso para relacionar controles existentes con loscinco componentes y 17 principios del marco coso.#4

#2 Utilizar la evaluación y gestión de riesgos para apalancar y mejorarpermanentemente la función de auditoría.

Page 25

AgendaM

arco

prof

esio

nalp

ara

lapr

áctic

ade

audi

toría

1

Obj

etiv

osde

cont

rold

ela

audi

toría

oper

ativ

a

Aud

itoría

inte

rna

basa

daen

riesg

os

2 3 44

Con

clus

ione

s

norman.gutierrez@co.ey.com

Gracias!