ponencia "plan de auditoría interna con base a riesgos"
DESCRIPTION
Ponencia a cargo de Jesús Aisa Díez, de España, durante el Encuentro Internacional de Lucha contra la Corrupción.TRANSCRIPT
Ponencia: Plan de Auditoría en base a riesgos.
Ponente: Jesús Aisa Díez.
Medellín, 6 de Noviembre de 2014
SEMINARIO INTERNACIONAL DE LUCHA CONTRA LA CORRUPCIÓN
Hans Konrad Schumann
SIEMPRE QUE HAY RIESGOS, HABRÁ OPORTUNIDADES
1ª) Las entidades existen con el fin último de generar valor para sus grupos de interés. 2ª) Todas se enfrentan a la ausencia de certeza. El reto de la dirección es determinar cuánta incertidumbre puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de interés. 3ª) La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el valor.
EL RIESO EMPRESARIAL.
EL RIESGO EMPRESARIAL, ALGO INEVITABLE
“El riesgo en sí mismo no es malo; lo que es malo es que el riesgo esté mal administrado, mal interpretado, mal calculado, o lo que es lo mismo, que no esté bien comprendido”
(Suzanne Lagarbe. Jefa de Riesgos del Royal Bank of Canadá)
Riesgo inherente. El que existe en ausencia de acciones para alterar o reducir su probabilidad de ocurrencia o impacto.
Apetito al riesgo. Cuantía que se está dispuesto a asumir para
realizar la misión, al ser compatible con los objetivos. Riesgo residual. Remanente después de se hayan llevado a
cabo acciones para modificar la probabilidad y/o el impacto de un riesgo.
Tolerancia al riesgo. El margen asumido como válido entre el
Riesgo Residual y el Apetito al Riesgo.
Controles. Medidas adoptadas para mitigar el impacto y/o reducir la probabilidad de ocurrencia de los riesgo.
Mapa de riesgos: Representación de la importancia de los riesgos
CONCEPTOS BÁSICOS
6
Riesgo inherente
I
m
p
a
c
t
o
Probabilidad
Riesgo residu Apetito al
Riesgo
Cuando la desviación no afecte significativamente a los objetivos.
TOLERANCIA AL RIESGO
Riesgo
Residual
La gestión de riesgos consiste en la identificación, evaluación y control de los acontecimientos que, potencialmente, pueden poner en peligro los objetivos y metas.
GESTIÓN DE RIESGOS
Las respuestas a los riesgos han de estar alineadas con
el apetito al riesgo. Pero también con el coste de
implantarlos. Cuatro modalidades:
FORMAS DE RESPONDER A LOS RIESGOS:
Los controles han de estar equilibrados con los riesgos a mitigar. (los controles excesivos y desproporcionados son a su vez factores de riesgo, pues reducen la productividad).
¿Quienes los deben llevar a cabo?. Toda la organización
durante el proceso de gestión, procurando:
Prevenir su ocurrencia.
Reducir el impacto de sus consecuencias.
Procurar restablecer el proceso en el menor tiempo.
CONTROLES vs RIESGOS
Entrada Proceso
ACTUACIONES
Salida ?
PUNTO DE CONTROL
Entrada Proceso
ACTUCIONES
Salida ?
PUNTO DE CONTROL
Entrada Proceso
ACTUACIONES
Salida ?
PUNTO DE CONTROLL
CORRECTIVOS
DETECTIVOS
PREVENTIVOS
TIPOS DE CONTROLES
PREVENTIVO DETECTIVO CORRECTIVO
CO
STO
UBICACIÓN EN EL FLUJO DEL PROCESO
UTILIDAD- EFICIENCIA
Entrada Proceso Salida
Mayor Menor
EL TIPO DE CONTROL DETERMINARÁ SU EFICIENCIA
EVOLUCIÓN DEL PROCESO DE GESTIÓN DE RIESGOS
AYER HOY
UN PLANTEAMIENTO
Rod Winters, exPresidente del IIA Global, llegó a la conclusión de que “Auditoría Interna debe hacer menos, lo más importante, con menos recursos. Centrarnos en lo que sea significativo y apoyándonos en la tecnología como herramienta de trabajo, pues si bien ésta comporta riesgos, es incuestionable que también es una oportunidad con la que mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos”.
Hacer más cosas, no es sinónimo de hacerlo mejor
OTRO PLANTEAMIENTO
Objetivo de Auditoría Interna: Ayudar a las organizaciones a
cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. N. 2010. El DAI debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. N . 2600. Si el DAI considera que la A.D. ha aceptado un nivel de riesgo que pudiera ser inaceptable para los objetivos de la organización, debe tratar el asunto con la propia gerencia y con el Directorio. …/…
LAS NORMAS DEL IIA Y LA GESTIÓN DE RIESGOS
CP. 2010-2. Desarrolla pormenorizadamente la forma en como el Plan Anual debe estar basado en riesgos: Auditoría Interna debe identificar áreas de alto riesgo inherente, alto
riesgo residual y los sistemas de control claves en los que se sustenta la organización.
Si se identifican áreas de riesgo residuales inaceptables, el DAI debe notificarlo.
Auditoría Interna analizará la adecuación
y eficacia de los sistemas de control y ofrecerá seguridad razonable de que los controles funcionan y los riesgos son gestionados de manera efectiva. …/…
PERO TAMBIEN EN SUS CONSEJOS (I/II)
CP.2120-1. Evaluar la adecuación de los procesos de Gestión de Riesgos.
Los objetivos de la organización han de estar alineados con la misión de la empresa.
Los riesgos significativos deben ser identificados y evaluados. Seleccionando respuestas apropiadas a los riesgos de forma que
estén en un entorno de aceptación. Obtener oportuna información significativa sobre los riesgos críticos.
PERO TAMBIEN EN SUS CONSEJOS (II/II)
La volatilidad y el dinamismo de los entornos profesionales requieren que las organizaciones avancen en sus prácticas de evaluación y gestión de riesgos, pero teniendo en consideración algunos aspectos importantes:
Reforzar el plan de auditoría interna poniendo también el foco en los riesgos emergentes (Seguridad laboral, medioambiente,…)
Flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditoría con la mayor frecuencia posible.
Proporcionar aseguramiento sobre la función del SGR de la Compañía.
POR ÚLTIMO:
SOLICITUDES
ALTA DIRECCIÓN Y
GERENCIAS
MAPA DE RIESGOS DE
AUDITORÍA
Requerimientos
Comisión de
Auditoría
PLAN DE TRABAJO ANUAL DE
AUDITORIA INTERNA
Coordinación con Auditores
Externos y otros
Proveedores de
aseguramiento
ANALISIS DE AUDITORIA INTERNA:
SELECCIÓN PROCESOS PRIORITARIOS
EVALUACIONES DE RIESGOS
IDENTIFICACIÓN CONTROLES
RESULTADOS AUDITORIAS PREVIAS
DATOS DE LOS INDICADORES
REQUISITOS REGULADOR
OTROS STAKEHOLDERS
A
B B
B B
PRESENCIAL / DISTANCIA
DETERMINACIÓN DEL PLAN AUDITOR
NI SON TODOS LOS QUE ESTÁN, NI ESTÁN TODOS LOS QUE SON:
Deben planificar su actividad en base a: Los objetivos estratégicos y los riesgos del negocio.
Los requerimientos y exigencias de los reguladores o supervisores.
Las exigencias normativas aplicables.
Procurando obtener la máxima eficiencia a su función.
Sin olvidar dos ideas básicas:
Incidir en lo importante
Hacerlo con el mínimo coste
EN ESTE CONTEXTO, LAS UNIDADES DE AUDITORÍA INTERNA:
Para conseguir su necesaria eficacia: a) Actualizar los inputs con la máxima frecuencia posible.
b) Si un ente auditable no comporta riesgos significativos o apreciables, no debería incluirse en el Plan.
c) Olvidémonos de Planes plurianuales.
d) Partir del mapa de riesgos existente en cada momento.
Pero sobre todo: ¡¡Que no debemos jugar a acertar, sino a no equivocarnos.
PERO TAMPOCO SU DINAMISMO Y ACTUALIZACIÓN
HASTA AHORA QUE DEBERÍAMOS TENER CLARO.
1º) Que los entornos empresariales son cambiantes y que debemos evaluarlos con frecuencia. 2º) Que los Planes de Auditoría son dinámicos, y por tanto deben ser flexibles, no inamovibles. 3º) Que los recursos son siempre escasos, optimizar su empleo exige ser muy selectivo incidiendo en lo que se considere más importante en cada momento. 4º) Que la importancia vendrá decidida por la criticidad de los procesos en la consecución de los objetivos empresariales.
¿POR DÓNDE EMPEZAR, POR RIESGOS O PROCESOS?
Gestión de Tesorería Aprovisionamiento de bienes y servicios Nóminas Política de descuentos Etcétera
No, un mismo riesgo puede estar presente en varios procesos simultáneamente.
RIESGOS vs PROCESOS, ¿RELACIÓN UNÍVOCA?
La Gestión de Riesgos es una actividad corporativa, en el que Auditoría Interna no debe ser ajena, debiendo tener opinión formulada respecto a su grado de utilidad para la Organización y, sobre todo, de su bondad. Por ello, si existe, podremos, en su caso, apalancarnos en él.
1ª Fase Valoración del Sistema de Gestión de Riesgos existente
APLICACIÓN PRÁCTICA DE LA DETERMINACIÓN DEL PAA. (I de V)
2ªFase Correlación Riesgos Residuales vs Procesos
APLICACIÓN PRÁCTICA DE LA DETERMINACIÓN DEL PAA. (II de V)
Los procesos donde se ubique los riesgos rojos, son considerados candidatos a incluirse en los planes de auditoría. ¿Seguro?
(Abramos un pequeño paréntesis)
(Abramos un pequeño paréntesis)
¿No deberíamos actuar según nos indica Deming?. Entendemos que sí
Pidamos, pues, el plan asumido por el propietario del proceso y actuemos en
consecuencia.
3ª Fase Identificación y ordenación de los procesos s/ su criticidad estratégica
Procesos operativos Mecanización y deslocalización. Domiciliaciones bancarias. Comercialización y ventas Marketing directo y mejorar las prestaciones ofertadas. Desempeño de la actividad Certificación ISO 9001. Logística distribución
APLICACIÓN PRÁCTICA PARA LA DETERMINCIÓN DEL PAA (III de V)
Riesgos - Factores de riesgo y Controles.
APLICACIÓN PRÁCTICA PARA LA DETERMINCIÓN DEL PAA (IV de V)
3ª Fase Identificación y ordenación de los procesos s/ su criticidad estratégica
APLICACIÓN PRÁCTICA PARA LA DETERMINCIÓN DEL PAA (V de V)
Un riesgo siempre tiene una o más causas. FACTORES DE RIESGO
4ª Fase Ponderación de los demás items.
El PAA se debe determinar en base a riesgos, pero no solo por la información que se derive del mapa de riesgos.
¿Cuáles podrían ser estos otros factores a considerar ?: 1º) Si el proceso ha sido auditado recientemente. 2º) Se hay auditorías anteriores, valoración otorgada al último informe. 3º) Grado de cumplimiento de las recomendaciones. 4º) Existencia de regulación que afecte al proceso. 5º) Características financieras del proceso. 6º) Opinión profesional de los auditores internos.
PERO CONSIDERANDO OTRAS FORMAS DE MEDIRLOS
Valoración de los Riesgos. Peso 25 puntos Variable 1 Riesgo Extremo………….. 25 Riesgo Alto………………….20 Riesgo Moderado………. 15 Riesgo Bajo………………….. 5 Valoración asignada a la auditoría. Peso 15 Variable 3 Deficiente……………………15 Mejorable …………………..10 Buena con excepciones….5 Buena……………………………0
Tiempo transcurrido desde la anterior auditoría. Peso 15 puntos. Variable 2 No analizado………………………………………15 Hace más de dos ejercicios……………….. 10 Analizado en los dos últimos años…………5 Grado de cumplimiento de las recomendaciones emitidas. Peso 25. Variable 4 Implementadas…………………………………….0 En curso………………………………………………15 Pospuestas………………………………………….25 Rechazadas…………………………………………25 Opinión profesional del auditor. Peso 20. Variable 5
PONDERACIONES. EJEMPLO
Variable 1.
Peso 25
Variable 2.
Peso 15
Variable 3.
Peso 15
Variable 4.
Peso 25
Variable 5.
Peso 20 Total Inclusión PAI
Procesos Riesgos Conf. Grupo y Perím. Societario Regulación 25 15 40
Entorno Político y Económico 25 15 40
Definición estrategia del negocio Incumplimiento de compromisos 25 15 10 50
Disponibilidad de RRHH 15 15 10 40
Regulación 25 15 10 50
Entorno Político y Económico 25 15 10 50
Evolución de los mercados financieros 20 15 10 45
Flexibilidad al cambio 20 15 10 45
Diversidad del Negocio 20 15 10 45
Capacidad productiva 15 15 10 40
Control obj. E indic. Gestión Autoridad- Segregación 15 0 10 0 25
Gestión de la mejora continua Incumplimiento de compromisos 25 10 0 15 50
Análisis del entorno y gestión relaciones externas Regulación 25 15 5 25 15 85 SI
Entorno Político y Económico 25 15 5 25 15 85 SI
Estrategia comercialización y ventas Incumplimiento de compromisos 25 5 10 15 20 70 SI
Disponibilidad de recursos financieros 25 5 10 15 20 75 SI
Capacidad productiva 15 5 10 15 20 75 SI
Desarrollo, prueba y mejora prod, y serv. Regulación 25 10 15 0 50
Evolución de los mercados financieros 20 10 15 0 45
Flexibilidad al cambio 20 10 15 0 45
Diversidad del Negocio 20 10 15 0 45
Campañas promocionales Incumplimiento de compromisos 25 0 10 0 10 45
Disponibilidad recursos financieros 25 0 10 0 10 45
Duración del proceso productivo 15 0 10 0 10 35
Política de descuentos Fraude externo 25 10 0 0 35
Disponibilidadrecursos financieros 25 10 0 0 35
Entorno Político y Económico 25 10 0 0 35
Evolución de los mercados financieros 20 10 0 0 30
Venta de bienes y servicios Incumplimiento de compromisos 25 0 10 15 15 65 SI
Fraude externo 25 0 10 15 15 65 SI
Entorno Político y Económico 25 0 10 15 15 65 SI
Evolución de los mercados financieros 20 0 10 15 15 60
Capacidad productiva 15 0 10 15 15 55
Gestión comisiones Fraude externo 25 10 35
Proceso Post-venta Fraude externo 25 15 20 60
Aprovisonamientos de prod. Y servicios Disponibilidad de recursos financieros 25 5 5 0 35
Regulación 25 5 5 0 35
Proceso inversor Disponibilidad de recursos financieros 25 0 15 15 20 75 SI
Entorno Político y Económico 25 0 15 15 20 75 SI
Evolución de los mercados financieros 20 0 15 15 20 70 SI
Cuentas a pagar Disponibilidad de recursos financieros 25 10 0 0 35
Fabricación/Obten. Productos y servicios Incumplimiento de compromisos 25 15 40
Salud y Seguridad Laboral 25 15 40
Diversidad del Negocio 20 15 35
Duración del proceso productivo 15 15 30
Gestión de stocks Incumplimiento de compromisos 25 0 5 0 20 50
Regulación 25 0 5 0 20 50
Cuentas a cobrar Entorno Político y Económico 25 10 5 15 15 70 SI
Gestión RRHH Flexibilidad al cambio 20 10 15 15 20 80 SI
Diversidad del Negocio 20 10 15 15 20 80 SI
Capacidad productiva 15 10 15 15 20 75 SI
Incorporación TI Disponibilidad recursos financieros 25 15 40
Seguridad de la inf. Y contin. De las operaciones Infraestructura 15 10 10 0 35
Gestión Recursos Financieros Disponibilidad recursos financieros 25 15 20 60
Tesorería Disponibilidad recursos financieros 25 15 20 60
Evolución de los mercados financieros 20 15 20 55
Proc. Gral Inf, Financiera Evaluación de la información financiera 15 5 10 15 45
Comunicación a los mercados Evaluación de la información financiera 15 15 30
Gestión de impuestos Disponibilidad de recursos financieros 25 15 40
Procesos y Riesgos auditables
RESULTADO FINAL
SIN IGNORAR A LOS OTROS “PROVEEDORES” DE ASEGURAMIENTO
i. Las auditorías a realizar por requisitos regulatorios y/o de cumplimiento normativo.
ii. Trabajos solicitados por el Comité de Auditoría. iii. Auditorías/apoyos solicitadas por la Dirección. iv. Los planes de formación. v. El seguimiento de las recomendaciones.
vi. El Programa de aseguramiento y mejora de la calidad. vii. Los reportes sobre la actividad auditora a la alta dirección y al
Comité de Auditoría
NI TAMPOCO A:
5ª Fase . Ordenación trabajos y cuantificación recursos
Identificados los trabajos a realizar, hay que cuantificar las horas necesarias para realizarlos, así como las horas de formación necesarias, las de atención a las consultorías solicitadas, las precisas para la supervisión de los planes de remediación asumidos, etc, vs con las disponibles. Situación que debe sancionar la alta dirección y el Directorio.
AHORA SÍ
1º) Los recursos los determina el alcance del Plan, no al contrario. 2º) La responsabilidad de asumir un Plan ajustado a las necesidades verdaderas es compartida: UAI, AD y Directorio. 3º La secuencia de presentación del Plan a su aprobación es. Primero la AD, después Directorio/Comité de Auditoría. 4º) Las circunstancias y comentarios sobre el debate de la aprobación del Plan, deben recogerse en Acta.
APROBACIÓN FINAL: ALTA DIRECCIÓN Y DIRECTORIO.
DAFP (Departamento Administrativo de la Función Pública) “Es el mal uso público del poder, para conseguir una ventaja ilegítima, generalmente secreta y privada que conlleva inmersos los siguientes elementos en conjunto: Es un tipo de comportamiento
activo o pasivo de un servidor público.
Es emanada del ejercicio de la función pública en cuanto configura un abuso de ésta o de la legitimidad que inspira el Estado.
TI (Transparencia Internacional) “El mal uso del poder encomendado para obtener beneficios privados, Esta definición incluye tres elementos: El mal uso del poder Un poder encomendado, es
decir, puede estar en el sector público o privado
Un beneficio privado, que no necesariamente se limita a beneficios personales para quien hace mal uso del poder, sino que puede incluir a miembros de su familia o amigos”.
El Ministerio del Interior estima su fortuna en más de ¡¡ 1.800 millones de euros !!
Diagnóstico puntual de los riesgos de corrupción más significativos
Prevención: Implementar mecanismos de control (código de conducta, capacitación y comunicación organizacional, filtros de investigación de debida diligencia para contratar, retener o promover empleados o proveedores)
Detección: Implementar líneas éticas y programas de monitoreo y análisis de datos sensibles para la operación y administración de la entidad
Acción: Implementar protocolos de investigaciones internas y protocolos de sanciones y correcciones
RE
SP
UE
STA
Además de tolerancia cero.
