Auditoría interna basada en riesgos a la operatividad del ... · PDF...

Auditoría interna basada en riesgos a la

operatividad del sistema de pagos

1

CEMLA - XII Reunión de Auditoría Interna de Banca Central

Juan Villanueva Chang

Setiembre, 2013

BANCO CENTRAL DE RESERVA DEL PERÚ 2

La auditoría interna hoy………..

• Centrado en verificar la eficiencia y eficacia de los controles críticos

de las operaciones y cumplimiento.

• Adopta una función más preventiva al asesorar y aconsejar para el

logro de objetivos y obtener valor añadido.

• Busca desarrollar una metodología práctica que permita verificar el

funcionamiento de los controles creados para mitigar los riesgos.

• Forma parte de las barreras para lograr una eficiente gestión de

riesgos y control y permita contribuir al buen gobierno corporativo.

BANCO CENTRAL DE RESERVA DEL PERÚ

Definición de Auditoría Interna

Código de Ética

Normas Internacionales para la Práctica Profesional de

Auditoría Interna

Documentos de posicionamiento

Consejos para la Práctica

Guías para la Práctica

Oblig

ato

rio

Mu

y r

ecom

endado

Marc

o Inte

rnacio

nal para

la P

ráctica P

rofe

sio

nal de la A

uditorí

a Inte

rna

Directrices auditoría basada en riesgos - Consejo para la Práctica 2010-1: Objetivos del trabajo - Consejo para la Práctica 2010-2: Uso del proceso de gestión de riesgos en el Plan de Auditoría Interna - Consejo para la Práctica 2200-2: Uso de un enfoque basado en riesgos, partiendo de los más significativos (Top-down, Risk-based Approach) para identificar los controles que van a ser evaluados en el trabajo de auditoría interna - Consejo para la Práctica 2210.A1-1: Evaluación de riesgos en la planificación del trabajo - GAIT for Business and TI Risk

- Rol de la Auditoría Interna en la Gestión de Riesgos Empresariales 2004 - Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control 2013

-“Análisis de la suficiencia de la gestión de riesgos” Usando el ISO 31000 (Dic. 2010) - “Formulación y expresión de opiniones de auditoría interna”(Jul. 2011) - “Coordinación de la gestión de riesgos y el aseguramiento” (Mar. 2012) - “Selección, uso y creación de modelos de madurez: Una herramienta

para el aseguramiento y trabajos de consultoría” (Jul. 2013)

3


Documento de Posicionamiento UK-Ireland:

Auditoría Interna Basada en Riesgos

“Position Statement: Risk Based Internal

Auditing (RBIA)”, emitido por el Instituto de

Auditores Internos del Reino Unido e Irlanda el

2003.

• Reconoce los malos entendidos para adoptar

el cambio hacia una auditoría interna basada

en riesgos

• Ofrece algunas orientaciones sobre cómo

acercarse a él.

• Se precisa que el objetivo de RBIA es ofrecer

garantía independiente a la Junta que:

• Los procesos de gestión de riesgo

puesto en práctica funcionan según lo

previsto.


Documento de Posicionamiento UK-Ireland: Auditoría Interna Basada

en Riesgos……..

• Que el proceso de gestión de riesgos tiene responsables.

• Las respuestas para mitigar los riesgos son adecuados y

eficaces.

• Que exista un buen marco de controles para mitigar los

riesgos que la administración desea tratar.

• El documento señala puntos de atención que deben ser auditados en la

gestión de riesgos.

• Un aspecto a resaltar es medir el grado de madurez de la gestión de

riesgos por parte de los auditores. Esto permite resaltar el avance de tipo

de enfoque de auditoría interna a desarrollar.

• Se resalta que cada organización determina el nivel que desea lograr al

implementar la gestión de riesgos.


Nivel de madurez de riesgos 1 y 2

• Existe bajo nivel de coincidencia en el conocimiento de terminología de riesgos y controles entre dueños de procesos, gestores de riesgos y auditores.

Nivel de madurez de

riesgos 3

• Existe cierto grado de coincidencia en el conocimiento de terminología de riesgos y controles entre dueños de procesos, gestores de riesgos y auditores.

Nivel de madurez de riesgos 4 y 5

• Existe alto nivel de cultura de riesgos y controles. Se observa bastante similitud en el conocimiento de la terminología de riesgos y controles entre dueños de procesos, gestores de riesgos y auditores.

Evolución de la cultura de riesgos y controles


Nivel de

Madurez

Característica Enfoque de Auditoría Interna Antecedentes

1. Incipiente No existe un enfoque de

gestión del riesgo

Iniciar el cambio paulatino del

enfoque tradicional de la auditoría a

procesos.

• 2004: Se da inicio a establecer el alcance de las auditorías a

nivel de macroprocesos y procesos.

• A iniciativa de los auditores en la fase de planeamiento se da

énfasis al uso de las técnicas de causa – efecto para elaborar

el inventario de amenazas de riesgos de los procesos y

difundir el modelo de control interno COSO.

2. Conocido Existen esfuerzos aislados de

gestión de riesgos

Promover el enfoque de gestión de

riesgos a nivel organizacional y

establecer la planeación de auditoría

con base en procesos y evaluación

de riesgos.

• 2005: Como complemento a las actividades anteriores, se

recoge mediante talleres de CSA la percepción de la marcha

de control interno por los dueños de los procesos.

3. Definido Existe un enfoque formal de

gestión de riesgos. Se tiene

definida y divulgada en toda la

organización la política y

metodología de evaluación de

riesgos.

Adoptar una metodología de

auditoría basada en riesgos tomando

en cuenta documentos de

posicionamiento y directrices del IIA.

• 2012: Se actualiza la metodología de auditoría basada en

riesgos dando prioridad a los riesgos y controles identificados

por dueños de los procesos. Se emplea talleres de RCSA y

análisis Bow - Tie para actualizar riesgos y controles y

precisar pruebas de auditoría. Si no exista avance de

identificación de riesgos y controles se apoya en la

elaboración de matriz de controles y su juicio de anteriores

revisiones para centralizarse en los controles críticos.

4. Administrado El proceso de gestión de

riesgos se desarrolla en

forma frecuente y se

comunica para la toma de

decisiones.

Auditar los procesos de la

organización poniendo énfasis en

los control débiles que resultan de la

evaluación de la gestión de riesgos

5. Optimizado La gestión de riesgo y control

interno están completamente

inmersos e identificados en

todas las operaciones y

procesos. Existen indicadores

para su medición y monitoreo.

Auditar y otorgar aseguramiento

respecto al procesos de gestión

integral de riesgos y control interno.

Evaluar la gestión de construcción y

uso de los indicadores de medición y

monitoreo.

Evolución de la metodología de auditoría interna

basada en riesgos


Diagramación y conocimiento de la materia

auditable

• Adoptar el enfoque por procesos para

determinar materia auditable.

• Emplear técnica de trabajo en equipo,

consenso Delphi, lluvia de ideas, consulta

dueños de proceso, etc.

• El equipo trata de obtener idea clara del

funcionamiento actual y determinar el

universo de pruebas de auditoría.


Diagramación y conocimiento de la materia auditable……….


Organización del sistema de pagos

interbancarios


Diagrama de flujo: Operatividad del sistema de

pagos

Análisis Sistema de Pagos Administración LBTR Liquidación y Control de

Operaciones

Mensajes S.

Financiero

(Swift, fax)

Flujo, saldos

Cta Cte en

BCRP

Actualizar/modificar

normas y procedimientos

sistema de pagos

Reconocimiento de

acuerdo de pagos

Apertura

sistema LBTR

Gestión y liquidación

de operaciones (CCE,

transferencias, etc)

Control depósitos

especiales y

plazo

Cierre S. LBTR

12

Resultado Mesa

Negociación BCR

(Subastas, c/v

ME, colocación

valores, etc)

Control

operaciones

cambiarias

Control

operaciones

valores emitidos

Control

operaciones

valores recompra

Registro pago

intereses encaje

Registro inst.

transf. fondos

inst. públicas e

internacionales

Registro crédito

intradiarias

Entrada Entrada

Salida

Administración de

facilidades

intradiarias LBTR

Monitoreo flujo

operaciones LBTR

Adición/modificación/

cancelación ctas.

cte. LBTR

Canalizar inst.

transferencia

recursos

Cobro tarifas uso

LBTR

Revisión recursos de

recuperación por

sanciones

Autorización

funcionamiento empresas

servicio de canje y

compensación ESEC

Aprobación reglamentos

internos s. pagos y

estatutos de ESEC

Verificación cumplimiento

entregables (C. 012-2010

BCRP)

Estadísticas, reportes

sistema de pagos


Universo de

pruebas de

auditoría


Familiarizarse con modelo COSO ERM

/ ISO 31000 y taxonomía

Obtener un método estándar para medir

la madurez de la gestión de riesgos

Medir grado de madurez de riesgos

Modelo de Madurez de Riesgos (RMM) 1997

Índice de madurez de Riesgos de Aon 2001

Lectura de Mapas de Riesgos

Evaluar reportes de identificación y

evaluación de riesgos

Definir nivel de madurez de riesgos por

auditores

Evaluar madurez del riesgo

14


Evaluar madurez del riesgo……….


Modelos de gestión de riesgos


Jerarquía de riesgos en sistema de pagos

Tipo de riesgo Descripción

Estratégico • Reputación

Financiero • Crédito: Incumplimiento contraparte

• Liquidez: Interrupción de pagos

(Sistémico)

Operacional • Personas: Ausencia personal idóneo

(Enfermedad, cuarentena o prevención

contagio)

• Procesos: Fraude interno externo,

prácticas y seguridad deficientes

• TI: Daños en plataforma de

mensajería e integridad de

transacciones en aplicativos, alteración

o fallos en los sistemas externos

• Legal

• Eventos externos

Perfil de riesgos sistema de pagos

SLMV Rueda de Bolsa y Valores del Tesoro

CCE Cheques y

transferencia de crédito

LBTR Mensajes Swift

Riesgo externo de

entidades financieras:

• Estratégico

• Financiero

• Operacional

Riesgo externo de


• Estratégico

• Financiero

• Operacional

Riesgo compartido

entre BCRP y


• Estratégico

• Operacional

17


Identificación y evaluación de riesgos

• Identificación: El proceso, riesgo y

subprocesos que afectan el tipo de

riesgos. Causa de origen del

riesgo, detalle e impactos.

• Análisis y evaluación: Origen de

control para mitigar riesgo,

controles detectivos y controles

para mitigar el impacto.

• Valoración: El riesgo inherente,

residual y calificación.

• Tratamiento: Acciones sugeridas

para reducir riesgos, semáforo para

mapa de riesgos y acciones para

reducir el impacto.


Datos para precisar pruebas de auditoría

Medir que controles funcionen, no estén duplicados o no cubra

costo – beneficio, alcance el nivel de apetito al riesgo

Revisar el cumplimiento de tratamiento de riesgos según su

importancia para mejorar los controles


PROCESO1. Apertura del Sistema LBTR

2. Transferencias Interbancarias X

3. Transferencias de fondos del y al exterior X

4. Liquidaciones de Operaciones de Mercado Abierto X

5. Liquidaciones de Operaciones ALADI X

6. Liquidación de Operaciones de Gestión del Circulante X

7. Compensaciones Interbancarias X

8. Cierre del Sistema LBTR

ORIGEN DEL RIESGO (CAUSA)

CONTROLES PARA MITIGAR

ORIGEN

RIESGO INHERENTE

ControladoNo Controlado X

TRATAMIENTO: ACCIONES

SUGERIDAS PARA REDUCIR LA

PROBABILIDAD

RIESGO BAJO (ACEPTABLE)

RIESGO MODERADO (ACEPTABLE)

RIESGO ALTO

5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)

2.El BCRP cuenta con un seguro para casos en los cuales la institución pueda

ser demandada por terceros ante fallas operacionales. No se pudo obtener

información detallada del seguro, incluyendo el monto maximo de

cobertura.

IDENTIFICACIÓN

RIESGO SUBPROCESOS AFECTADOS POR ESTE RIESGO

Administración de Sistema LBTRNo poder liquidar transferencias interbancarias de cualquier

tipo

DETALLE DEL RIESGO: IMPACTOS

Caida del Sistema LBTR

Ocurre cuando: 1. No poder completar procesos de liquidación ya iniciados

1. Dentro del servidor de aplicaciones del BCRP podría haber

conflictos que congestionen el servidor y lleven a la caida del

Sistema LBTR

2. BCRP es enjuiciado por ESF o tercera persona por pérdidas

2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR

3. Error Tecnologico en el Sistema LBTR4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema

LBTR

4. Se produzca una falla en el nodo de comunicaciones del

BCRP

ANALISIS Y EVALUACIÓN

CONTROLES DETECTIVOS CONTROLES PARA MITIGAR IMPACTO

NINGUNO NINGUNO

1. Se aplica Sistema de Contingencia Extrema (acceso directo a la Base de

Datos)

VALORIZACION

RIESGO RESIDUAL CALIFICACIÓN

30 15

SEMAFORO DE ACUERDO A MAPA DE RIESGOSTRATAMIENTO: ACCIONES SUGERIDAS PARA REDUCIR EL

IMPACTO

1. El BCRP requiere contratar el servicio

de un "Consultor Externo" para evaluar

la infraestructura actual sobre la cual

funciona el Sistema LBTR y determinar

qué acciones debería tomar el BCRP para

mejorar la "Resistencia" de la

infraestructura, de acuerdo a las mejores

prácticas para estos Sistemas.

1. Perfeccionar Sistema de Contingencia Extrema. Esto implicaría mejorar la

nueva versión del Sistema LBTR en la cual se ha implementado una interfaz

para acceder a la base de datos. Este subsistema está en un proceso de

mejora continua; sin embargo, el DALBTR considera conveniente desarrollar,

como siguiente paso, una interfaz para capturar directamente las

operaciones de los bancos, que en la actualidad en contingencia la envian

por facsimil.

2. Efectuar pruebas del Sistema de Contingencia Extrema con las ESFs, por lo

menos 4 veces al año porque se requiere tener entrenado al personal del

DALBTR en situaciones de contingencia y de crisis.

3. Las Gerencias de la GOMEF y GTI tienen que firmar un Acuerdo de Nivel

de Servicio, en el cual se establecen los compromisos de la operatividad del

Sistema y su soporte, incluyendo los RTOs y la delimitación de

responsabilidades. Con base a este acuerdo, tiene que modificarse la

Circular y el Reglamento que norma el servicio hacia terceros por parte del

BCRP.

4. La Gerencia Central de Administración debería evaluar si las condiciones

del seguro con el que cuenta el BCRP cubren adecuadamente una potencial

pérdida por demanda civil. Se sabe que el BCRP cuenta con un seguro del

tipo BBB.

RIESGO EXTREMO

Riesgo operacional TI


PROCESO1. Apertura del Sistema LBTR

2. Transferencias Interbancarias X

3. Transferencias de fondos del y al exterior X

4. Liquidaciones de Operaciones de Mercado Abierto X

5. Liquidaciones de Operaciones ALADI X

6. Liquidación de Operaciones de Gestión del Circulante X

7. Compensaciones Interbancarias X

8. Cierre del Sistema LBTR

ORIGEN DEL RIESGO (CAUSA)

CONTROLES PARA MITIGAR

ORIGEN

RIESGO INHERENTE

ControladoNo Controlado X

TRATAMIENTO: ACCIONES

SUGERIDAS PARA REDUCIR LA

PROBABILIDAD

RIESGO BAJO (ACEPTABLE)

RIESGO MODERADO (ACEPTABLE)

RIESGO ALTO

5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)

2.El BCRP cuenta con un seguro para casos en los cuales la institución pueda

ser demandada por terceros ante fallas operacionales. No se pudo obtener

información detallada del seguro, incluyendo el monto maximo de

cobertura.

IDENTIFICACIÓN

RIESGO SUBPROCESOS AFECTADOS POR ESTE RIESGO

Administración de Sistema LBTRNo poder liquidar transferencias interbancarias de cualquier

tipo

DETALLE DEL RIESGO: IMPACTOS

Caida del Sistema LBTR

Ocurre cuando: 1. No poder completar procesos de liquidación ya iniciados

1. Dentro del servidor de aplicaciones del BCRP podría haber

conflictos que congestionen el servidor y lleven a la caida del

Sistema LBTR

2. BCRP es enjuiciado por ESF o tercera persona por pérdidas

2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR

3. Error Tecnologico en el Sistema LBTR4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema

LBTR

4. Se produzca una falla en el nodo de comunicaciones del

BCRP

ANALISIS Y EVALUACIÓN

CONTROLES DETECTIVOS CONTROLES PARA MITIGAR IMPACTO

NINGUNO NINGUNO

1. Se aplica Sistema de Contingencia Extrema (acceso directo a la Base de

Datos)

VALORIZACION

RIESGO RESIDUAL CALIFICACIÓN

30 15

SEMAFORO DE ACUERDO A MAPA DE RIESGOSTRATAMIENTO: ACCIONES SUGERIDAS PARA REDUCIR EL

IMPACTO

1. El BCRP requiere contratar el servicio

de un "Consultor Externo" para evaluar

la infraestructura actual sobre la cual

funciona el Sistema LBTR y determinar

qué acciones debería tomar el BCRP para

mejorar la "Resistencia" de la

infraestructura, de acuerdo a las mejores

prácticas para estos Sistemas.

1. Perfeccionar Sistema de Contingencia Extrema. Esto implicaría mejorar la

nueva versión del Sistema LBTR en la cual se ha implementado una interfaz

para acceder a la base de datos. Este subsistema está en un proceso de

mejora continua; sin embargo, el DALBTR considera conveniente desarrollar,

como siguiente paso, una interfaz para capturar directamente las

operaciones de los bancos, que en la actualidad en contingencia la envian

por facsimil.

2. Efectuar pruebas del Sistema de Contingencia Extrema con las ESFs, por lo

menos 4 veces al año porque se requiere tener entrenado al personal del

DALBTR en situaciones de contingencia y de crisis.

3. Las Gerencias de la GOMEF y GTI tienen que firmar un Acuerdo de Nivel

de Servicio, en el cual se establecen los compromisos de la operatividad del

Sistema y su soporte, incluyendo los RTOs y la delimitación de

responsabilidades. Con base a este acuerdo, tiene que modificarse la

Circular y el Reglamento que norma el servicio hacia terceros por parte del

BCRP.

4. La Gerencia Central de Administración debería evaluar si las condiciones

del seguro con el que cuenta el BCRP cubren adecuadamente una potencial

pérdida por demanda civil. Se sabe que el BCRP cuenta con un seguro del

tipo BBB.

RIESGO EXTREMO


Valoración del riesgo Riesgo inherente

Principales Controles:

- Revisión de pruebas sistema de contingencia extrema

- Vigencia de pólizas de seguros para demanda por terceros por fallas operativas

- Vigencia y actualización de procedimientos

- Verificar funcionamiento de puntos de comunicación

- Verificar mantenimiento de equipos e instalaciones

- Revisar corrección de eventos adversos


Cuestionario 1. incipiente 2. Conocido 3. Definido 4. Administrado 5. Optimizado

1. Cultura/Filosofía Organizacional 25% X

1.1 Cultura de gestión de riesgos

1.2 Responsabilidad en la gestión del riesgo

2. Liderazgo y compromiso 25% X

2.1 Política y marco de referencia de la gestión del riesgo

2.2 Papel y responsabilidades del la alta dirección

3. Integración a los procesos del negocio 20% X

3.1 Alineamiento estratégico

3.2 Incluida en la medición del desempeño y calidad del

servicio

3.3 Comunicación interna y retroalimentación sobre riesgos

4. Habilidades en gestión de riesgos 15% X

4.1 Capacitación continua en gestión de riesgos

4.2 Estandarización y dominio de las técnicas de evaluación

de riesgos

5. Reporte y control 15% X

5.1 Controles

5.2 Documentación

TOTAL 100% X

Cuestionario de medición del nivel de

madurez de la gestión de riesgos

23


Taller de RCSA

Conocida la identificación y evaluación

de riesgos por dueños del proceso, se

procede a realizar dicho resultado

mediante taller de RCSA.

El objetivo es precisar el estado de los

controles y su tratamiento para mitigar

los riesgos.

Los talleres son con votación anónima

y asistencia de responsables de

procesos.

En esta etapa se puede obtener

nuevas pistas de riesgos y controles

no previstos anteriormente.


Taller de RCSA……….


Cuestionario dirigido

Consenso

por

auditados

y

auditores

Dinámica de talleres de RCSA

Reporte gestión de riesgos


Riesgo Tipo de riesgo Controles Votación anónima Observaciones

1 (Bajo)

2 3 4 5 (Alto)

Operacional:

Personas

Error registro de

transferencias en

sistema LBTR

Validación dual al sistema

(concurrente)

X

Operacional:

Procesos

Demora

confirmación

transferencias al

exterior

Conciliación en línea

Cumplimiento manual operativo

X

X

Operacional:

TI

Fallas al inicio en

sistema LBTR

Divulgar manual de contingencia

Delegación de responsabilidades

Revisión de incidentes

X

X

X

Operacional:

TI

Fallas de

conectividad LBTR

Divulgar sistema CE

Realizar pruebas registro de

incidentes

X

X

X

X

n.n.n..

RCSA: Actualización de riesgos y controles con

dueños de proceso


Matriz de inventario de controles

Cuando no existe reportes de la

identificación y evaluación de riesgos

se intenta seleccionar los controles

críticos a través de la matriz de

controles.

Se utiliza preferentemente el manual

de procedimientos y historial de

debilidades de control.

Se puede ayudar de la experiencia

en la hipótesis inicial de la materia

auditable y conocimiento del perfil de

riesgos del negocio.


Matriz inventario controles……….


Registro de inventario de controles

Se toma de

inventario de

procedimientos

Se emplea un

estándar de

conceptos de

controles

- Segregación de funciones

- Costo – beneficio

- Acceso a activos y archivos

- Verificación y conciliación

- Evaluación de desempeño

- Rendición de cuentas

- Documentación física y virtual (Procesos,

actividades y tareas)

- Revisión (Procesos, actividades y tareas)


Análisis Bow - Tie

Esta herramienta de evaluación de

riesgos permite al equipo de

auditores fortalecer la decisión de

selección de los controles críticos,

conscientes que pueden ser aún

débil el resultado de las identificación

y evaluación de riesgos por los

dueños de los procesos.

Es un forma esquemática simple de

describir y analizar las rutas de un

riesgo desde las causas hasta las

consecuencias.


Análisis Bow – Tie………


Información

elaborada y

actualizada por el

equipo de auditores

desde el inicio del

cambio de

metodología


Análisis Bow - Tie: Revisión auditores

Riesgo

operacional

(No poder

liquidar

transferencias

)

Causa 1:

Caída del LBTR

Consecuencia 1:

No poder ejecutar

liquidación iniciada

Controles

preventivos

Controles

mitigantes o de

recuperación

Causa 2:

Error tecnológico

Consecuencia 2:

Unidades operativas

no pueden utilizar

sistema

Causa 3:

Fallas nodo de

comunicaciones

Causa 4:

Factores externos

(incendio,

recalentamiento)

Causa 6:

Error humano

desconocimiento

Consecuencia 3:

Excesiva carga

manual de personal

LBTR

Consecuencia 4:

Detener operatividad

LBTR

Consecuencia 5:

No poder completar

liquidaciones Causa 5:

Problemas de

conectividad Consecuencia 6:

Error en transferencias

Sis

tem

a C

ontinge

ncia

exte

rna

Perf

eccio

nar

el S

iste

ma

Continge

ncia

exte

rna

- Captura en informe de dueños de procesos

- Recogida de taller de RCSA

- Obtenida de análisis Bow - Tie


Selección para el Programa de Auditoría

2° Prioridad: Más importantes del universo de pruebas de auditoría

Diagramación y conocimiento

de materia auditable

1° Prioridad: Pruebas de auditoría para riesgos críticos

Selección de

controles críticos

Acciones tratamiento de riesgos


Desarrollo del Programa de Auditoría

Planeamiento Trabajo de Campo Informe

Análisis de cumplimiento y

sustantivas de las pruebas respecto

al control interno

Resultados de pruebas de auditoría


Pruebas auditoría sobre controles críticos

Riesgo Tipo de riesgo Controles Pruebas de auditoría

Operacional:

Personas

Error registro de

transferencias en sistema

LBTR

Validación dual al sistema

(concurrente)

- Revisar registro de incidente para

identificar mayores eventos

- Revisar el monitoreo de las

transferencias

Operacional:

Procesos

Demora confirmación

transferencias al exterior

Conciliación en línea

Cumplimiento manual operativo

- Evaluar causas de incidentes

- Revisar cumplimiento normativo

Operacional: TI Fallas al inicio en sistema

LBTR

Divulgar manual de

contingencia

Delegación de

responsabilidades

Revisión de incidentes

-Revisar registro de incidentes y

cumplimiento de medidas alternativas

- Evaluar las actas de mantenimiento

de servicio de mantenimiento al CER

Operacional: TI Fallas para extornar

operaciones compra/venta

M/E

Divulgar sistema CE

Realizar pruebas registro de

incidentes

-Evaluar muestra de incidentes

- Verificar uso y cumplimiento de

manual operativo

n.n.n..


Identificar pruebas de auditoría que

requieren necesariamente de

muestreo estadístico o no

estadístico (alto volumen de

población)

Elaboración planes de muestreo

Conceptos proceso muestreo estadístico

Población 1 100 000 transacciones LBTR (2010 –

2011)

Método

muestreo

Atributos

Tamaño

muestra

23 000 transacciones

Selección

muestra

Comando aleatorio (ACL)

Nivel

confianza

95%

Error

tolerable

3%

Precisión 2%


Criterios para medir efectividad de controles

Riesgo

Residual

Riesgo

Inherente

∑ C1 + C2 + C3 + Cn

E1 E2 E3 E4 E5

C1 A B B C B

C2 B C C B B

Cn B C B A A

Efectividad de Controles

A= Optimizado

B= Administrado

C= Definido

D= Conocido

E= Incipiente

E1= Nivel de funcionamiento

E2= Estado de registro y documentación

E3= Monitoreo continuo

E4= Sensibilidad en impacto de riesgo

E5= Frecuencia de incidentes

Apetito al riesgo


Controles críticos

Hipótesis preliminar

conocimiento materia

auditable

Resultados madurez de

riesgos

Matriz controles y/o taller RCSA

Programa de auditoría Plan de muestreo Fase: Trabajo de

campo

Fase: Informe Resultados pruebas

auditoría

40


“Formulación y expresión de

opiniones de auditoría interna

Jul. 2011

Mejoras de impacto en reportes de auditoría

Opiniones sobre gobierno, riesgos y control:

• Sistema global de control interno

• Cumplimiento controles

• Efectividad controles en rendimiento

• Efectividad controles en un proceso

• Cumplimiento de leyes

• El resultado de una auditoría puede ser hallazgos o debilidad

de control. Entre las modalidades a mejor se encuentra el

grado de calificación de la efectividad de los controles y

riesgos.

• Los más comunes son códigos de colores (rojo, amarillo,

verde) o escalas de grados (1 a 3, 1 a 5).

• El alcance de la opinión se pude dar a nivel macro (toda la

organización) o micro (procesos, actividades).

41


Mejoras de impacto en reportes de auditoría………..


Anexo

Desarrollo del Sistema de Pagos en el Perú


Referencias

• Assessing the Adequacy of Risk Management: Using ISO 31000 (2010)

www.theiia.org

• Formulating and Expressing Internal Audit Opinions (2011) www.theiia.org

• Coordinating Risk Management and Assurance (2012) www.theiia.org

• Selecting, Using and Creating Maturity Models: A Tool for Assurance and

Consulting Engagements (2013) www.theiia.org

• IIA Position Paper: The Role of Internal Auditing in Enterprise - Wide Risk

Management (2004) www.theiia.org

• IIA Position Paper: The Three Lines of Defense in Effective Risk Management

and Control (2013) www.theiia.org

• Position Statement: Risk Based Internal Auditing (2003) www.iia.org.uk

• Embracing Enterprise Risk Management (2011) www.coso.org

• Developing Key Risk Indicators to Strengthen Enterprise Risk Management

(2010) www.coso.org

• Enterprise Risk Management: Understanding and Communicating and Risk

Appetite (2012) www.coso.org

• Risk Assessment in Practice (2012) www.coso.org

• Guía: Definición e implantación de Apetito de Riesgo (2013) www.iai.es

http://www.theiia.org/






http://www.coso.org/




http://www.iai.es/

Gracias……

45

[email protected]

Auditoría interna basada en riesgos a la operatividad del ... · PDF...

Documents

Transcript of Auditoría interna basada en riesgos a la operatividad del ... · PDF...