Auditoria basada en la Administracion del Riesgos - Abar

11/04/23 Preparado por: William Caicedo Diaz 1

EL ERROR... ESE FLAGELO DEFINICIÓN DE RIESGO TIPOS DE RIESGOS ADMINISTRACIÓN DEL RIESGO CASO PRÁCTICO

AUDITORIA BASADA AUDITORIA BASADA EN LA ADMINISTRACION EN LA ADMINISTRACION

DE RIESGOS - ABARDE RIESGOS - ABAR


EL ERROR HUMANO… ESE FLAGELO

EL ERROR ES INHERENTE AL SER HUMANO…

LA CUESTIÓN ES, NO SOBREPASAR LA CUOTA DIARIA.

John NigroJohn Nigro


Cada error que cometemos es una oportunidad para aprender. EmersonEmersonSi cierras la puerta a todos los errores, dejarás por fuera la verdad. TagoreTagore

El mayor error que puede cometer un hombre es vivir con miedo a cometer otro error. E. E. HubbarHubbarCometer un error y no corregirlo, es otro error. ConfucioConfucio

CONTROL: Mide lo que se pueda medir, y lo que nó, ¡hazlo ¡hazlo

medible!medible!


Por los defectos de los demas, el sabio corrige los propios. Pubilio CiroPubilio CiroCuando seas consciente de que lo hecho quedó bien realizado, entonces y solo entonces, mejóralo. T.A. EdisonT.A. Edison

Equivocarse…Equivocarse… Es el riesgo inherente de quienes toman decisiones…

W. CaicedoW. Caicedo

CONTROL: ¡Mide lo que se pueda medir, y lo que nó, hazlo

medible!


CONOCIMIENTO

ACCESO

TIEMPO

OPORTUNIDAD

NECESIDAD

IMPUNIDAD

PRESIÓN

MOTIVACIÓN

=

=

+


UN GRAVE PROBLEMA


“ PROBABILIDAD DE OCURRENCIA DE UN HECHO QUE ME GENERA DAÑO O BENEFICIO“

“ PROBABILIDAD DE TENER UN RESULTADO DIFERENTE A LO ESPERADO ”

DEFINICIÓN DE RIESGO


Riesgo de Aceptación Incorrecta o de Rechazo Incorrecto


ADMINISTRACIÓN DE RIESGOS

(1) IDENTIFICACIÓN

(2) EVALUACIÓN: Proceso general de estimar la magnitud de un riesgo y decidir si éste es tolerable o no. (NTC OHSAS 18001)

(3) CONTROL: Prevención , Corrección, Detección y Financiación

(4) ACTUALIZACIÓN CONTROLES

(5) SEGUIMIENTO Y RETROALIMENTACIÓN


Identificación de los Identificación de los riesgosriesgos

Una buena técnica es emplear las siete W: Qué, cuándo, cómo, dónde, cuanto, por qué, quién(es).


ESCALA VALORACIÓN HUMANA

VALOR NIVEL DESCRIPCION

1Insignificante

Sin lesiones

2Marginal Leves sin

incapacidades

5 Grave Leves incapacidades

10 Critico Victima grave-

hospital

20Desastroso Varios graves- Un

muerto

50 Catastrofico Varios muertos


ESCALA VALORACIÓN AMBIENTAL


1Insignificante

Sin Contaminación

2 Marginal Leves recuperables

5 GraveLeves o recuperables

10 CriticoGrave Recuperables M. Plazo

20 DesastrosoGrave Recuperab L. P.

50 CatastroficoGrave no recuperable


ESCALA VALORACIÓN OPERACIONAL


1Insignificante

Menos de 8 horas

2 Marginal De 8 a 24 horas

5 Grave De 2 a 5 dias

10 Critico Entre 6 y 15 dias

20 Desastroso Entre 16 y 30 dias

50 Catastrofico Mas de 30 dias


ESCALA VALORACIÓN FALTANTES INVENTARIO


1Insignificante

Menor de 200mil

2 Marginal Entre 200 y 500mil

5 GraveEntre 500mil y 1millon

10 Critico Entre 1 y 2millones

20 Desastroso Entre 2 y 5millones

50 Catastrofico Mas de 5 millones


ESCALA VALORACIÓN IMAGEN


1 InsignificanteSolo en el Dpto o taller

2 Marginal Solo en la Empresa

5 Grave Externa a nivel local

10 CriticoExterna a Nivel regional

20 Desastroso Externa a nivel Nal.

50 CatastroficoExterna a nivel Internacional


ESCALA VALORACIÓN SUSTRACCIÓN INFORMACIÓN


1Insignificante

<= 10% no crítica

2 Marginal>10%<30% no crítica

5 Grave>30% de inf no crítica

10 Critico <=10% inf crítica

20 Desastroso >10%<30% crítica

50 Catastrofico >30% iform crítica


ESCALA VALORACIÓN PERDIDA PARTICIPACIÓN MERCADO


1Insignificante

Pérdida <=0.1%

2 MarginalPerdida >0.1%<0,5%

5 Grave Perdida >0,5%<2%

10 Critico Perdida >2%<5%

20 Desastroso Perdida >5%<10%

50 Catastrófico >10% del mercado

18

Evaluar Controles Existentes Evaluar protección que ofrecen

los controles seleccionados, por cada causa de riesgo crítico.

Para que sea Apropiada, se deben satisfacer por lo menos dos de los tres siguientes criterios:o ¿Beneficios mayores que los costos ?.o ¿Se cumple mezcla de tres tipos de controles:

Preventivo, Detectivo y Correctivo ?.o ¿Calificación Promedio por clase es superior a

3.5 ?

Identificación y Evaluación de Riesgos

11/04/23 Preparado por: William Caicedo Diaz


Una definición de Control…

“Control es la acción que se ejerce sobre una causa de riesgo con el fin de reducir su probabilidad de ocurrencia o el impacto que puede generar su ocurrencia”.


Relación entre Causas del Riesgo y ControlesObjetivo de los controles: Los controles

actúan sobre las causas del riesgo de tres maneras, mutuamente excluyentes:

a) Como control Preventivo. Para evitar la ocurrencia de la causa del riesgo, ó

b) Como control Correctivo. Controles claves que actúan durante el proceso y que permiten corregir las deficiencias.

c) Como control Detectivo. Controles claves que sólo actúan una vez que el proceso ha terminado.


CLASIFICACICLASIFICACIÓÓN DEL CONTROL CLAVE.N DEL CONTROL CLAVE.DiseDiseñño del control: Oportunidad de la accio del control: Oportunidad de la accióón n del control (O):del control (O):

CLASIFICACICLASIFICACIÓÓN DEL CONTROL CLAVE.N DEL CONTROL CLAVE.DiseDiseñño del control: Oportunidad de la accio del control: Oportunidad de la accióón n del control (O):del control (O):

Clasificación Descripción

Preventivo (Pv) Controles claves que actúan antes o al inicio de un proceso.

Correctivo (Cr) Controles claves que actúan durante el proceso y que permiten corregir las deficiencias.

Detectivo (Dt) Controles claves que sólo actúan una vez que el proceso ha terminado.

22

Periodicidad en la acciPeriodicidad en la accióón del control (PD):n del control (PD):Periodicidad en la acciPeriodicidad en la accióón del control (PD):n del control (PD):


Permanente (Pe)

Controles claves aplicados durante todo el proceso, es decir, en cada operación.

Periódico (Pd) Controles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo

Ocasional (Oc) Controles claves que se aplican sólo en forma ocasional en un proceso.

11/04/23 Preparado por: William Caicedo Diaz

23

AutomatizaciAutomatizacióón en la aplicacin en la aplicacióón del control (A):n del control (A):AutomatizaciAutomatizacióón en la aplicacin en la aplicacióón del control (A):n del control (A):


100% Automatizado (At)

Controles claves incorporados en el proceso, cuya aplicación es completamente informatizada. Están incorporados en los sistemas informatizados

Semi – automatizado (Sa)

Controles claves incorporados en el proceso, cuya aplicación es parcialmente desarrollada mediante sistemas informatizados.

Manual (Ma) Controles claves incorporados en el proceso, cuya aplicación no considera uso de sistemas informatizados


Escala de clasificaciEscala de clasificacióón de la eficiencia de los controles.n de la eficiencia de los controles.Escala de clasificaciEscala de clasificacióón de la eficiencia de los controles.n de la eficiencia de los controles.

REQUISITO EN

CUMPLIMIENTO CON

NORMAS DE CONTROL

CARACTERÍSTICAS DISEÑO CONTROL

CLAVE/FUNDAMENTAL

CLASIFICACIÓN

VALOR DEL

DISEÑO DEL

CONTROL

PERIODICIDAD

(PD)

OPORTUNIDAD

(O)

AUTOMATIZACIÓN

(A)

CUMPLIMIENTO OPTIMOPERMANENTE PERMANENTE PERMANENTE

PREVENTIVO PREVENTIVO PREVENTIVO

INFORMATIZADO SEMI INFORMAT

MANUALOPTIMO 5CUMPLIMIENTO

OPTIMOPERMANENTE PERMANENTE PERMANENTE

CORRECTIVO CORRECTIVO CORRECTIVO


MANUAL

CUMPLIMIENTO ADECUADO

PERMANENTE PERMANENTE PERMANENTE

DETECTIVO DETECTIVO DETECTIVO


MANUALBUENO 4CUMPLIMIENTO

ADECUADOPERIODICO PERIODICO PERIODICO



MANUALCUMPLIMIENTO

ACEPTABLEPERIODICO PERIODICO PERIODICO



MANUAL MASMAS QUEQUE

REGULARREGULAR3CUMPLIMIENTO

ACEPTABLEPERIODICO PERIODICO PERIODICO



MANUALCUMPLIMIENTO

REGULAROCASIONAL OCASIONAL OCASIONAL



MANUALREGULAR 2CUMPLIMIENTO

REGULAROCASIONAL OCASIONAL OCASIONAL



MANUAL

CUMPLIMIENTO DEFICIENTE

OCASIONAL OCASIONAL OCASIONAL



MANUALDEFICIENTE 1

INSUFICIENTENO DETERMINADO NO DETERMINADO NO DETERMINADO

INEXISTENTE 1


ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROL

CAUSAS

DE

RIESGOBARRERA

CONCOMITANTE O CORRECTIVA

C2

C3

BARRERA

PREVENTIVA

BARRERA

DETECTIVA O POSTERIOR

FACTORES DE VULNERABILIDAD

INSTALACIONES

C2

C3

C3

PERSONAS

ECONÓMICOS

DATOS

FEEDBACK

SISTEMAS INFORMACIÓN

C1

Transacciones


Categoría Valor Descripción

Casi certeza 5 Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de seguridad que éste se presente. (90% a 100%)

Probable 4 Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89% de seguridad que éste se presente.

Moderado 3 Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65% de seguridad que éste se presente.

Improbable 2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30% de seguridad que éste se presente.

Muy improbable 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 10% de seguridad que éste se presente.

ESCALAS DE VALORACIESCALAS DE VALORACIÓÓN SUGERIDAS PARA N SUGERIDAS PARA CONSTRUIR LA MATRIZ DE RIESGOS.CONSTRUIR LA MATRIZ DE RIESGOS.


SEVERIDAD DEL RIESGO: CategorSEVERIDAD DEL RIESGO: Categoríías de probabilidad:as de probabilidad:SEVERIDAD DEL RIESGO: CategorSEVERIDAD DEL RIESGO: Categoríías de probabilidad:as de probabilidad:


CategoríaCategoría Valor Descripción

Catastróficas 5Riesgo cuya materialización influye gravemente en el desarrollo del proceso y en el cumplimiento de sus objetivos, impidiendo finalmente que éste se desarrolle.

Mayores 4Riesgo cuya materialización dañaría significativamente el desarrollo del proceso y el cumplimiento de sus objetivos, impidiendo que éste se desarrolle en forma normal.

Moderadas 3Riesgo cuya materialización causaría un deterioro en el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que éste se desarrolle en forma adecuada.

Menores 2 Riesgo que causa un daño menor en el desarrollo del proceso y que no afecta mayormente el cumplimiento de sus objetivos estratégicos.

Insignificantes 1 Riesgo que puede tener un pequeño o nulo efecto en el desarrollo del proceso y que no afecta el cumplimiento de sus objetivos estratégicos.



SEVERIDAD DEL RIESGO: CategorSEVERIDAD DEL RIESGO: Categoríías de Impactoas de ImpactoSEVERIDAD DEL RIESGO: CategorSEVERIDAD DEL RIESGO: Categoríías de Impactoas de Impacto


Identificar y evaluar Controles Existentesy Riesgo Residual

Evaluar protección que ofrecen los controles seleccionados por cada objetivo de control COBIT (1)

Generar Hallazgos de auditoría para causas de riesgo con protección inapropiada.

Generar Diagnóstico de la Auditoría.(1) Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology).


Mapa de riesgosMapa de riesgos


CRITERIO DE ACEPTABILIDAD

CONVENCIONES CUALITATIVAS

• >32% - INADMISIBLE: Rechazar

• 16,1% a 32% - INACEPTABLE: Evitar o Atomizar

• 12,1% a 16% - ALTO: Evitar, compartir o transferir

• 0 a 12% - ACEPTABLE: Reducir o asumir

Veamos su aplicación en la siguiente matriz:

Identificando opciones Identificando opciones parapara

el tratamiento del riesgoel tratamiento del riesgo


Indicador del nivel de exposición al Indicador del nivel de exposición al riesgo.riesgo.

INDICADOR DE EXPOSICION ALRIESGO

VALORNVEL DE EXPOSICION AL

RIESGO

NIVEL SEVERIDAD DEL RIESGONIVEL EFICIENCIA DEL CONTROL

8,0 – 25,0 NO ACEPTABLE (Na)

4,0 – 7,99 MAYOR (Ma)

3,0 – 3,99 MEDIA (Md)

0,2 - 2,99 MENOR (Me)

Tal como se indicó, la escala previamente presentada, ha sido construida con base a la relación entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del control asociado a ese riesgo (Deficiente, Regular, Más que regular, Bueno, Óptimo).

Tal como se indicó, la escala previamente presentada, ha sido construida con base a la relación entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del control asociado a ese riesgo (Deficiente, Regular, Más que regular, Bueno, Óptimo).


LOS ESTUDIANTES

DEBEN REALIZAR UN

TALLER SOBRE ABARABAR: Auditoria Basada en la Administración del Riesgo


Conclusiones:Conclusiones:1. El primer paso del auditor para poder

trabajar las metodologías ERM, es hacerlo bajo la metodología de Auditoria Basada en la Administración del riesgo.

2. En la actualidad el nuevo paradigma de la priorización debe ser el riesgo en todas sus manifestaciones y categorías.

3. Actualmente el ejercicio de la auditoria está pasando por una nueva etapa paradigmática, con enfoque a riesgos de negocio, de procesos, de información financiera y de cumplimiento de normas, con calidad total.


BibliografíaBibliografía

• Caja de Compensación Familiar CAFAM, Bogotá, Colombia, guía de seguimientos de los planes de Mitigación de Riesgos aplicado por el Departamento de Auditoría para implementar la cultura del autocontrol en la Corporación, 2002.• Díaz Muñoz Nelson, XXII Conferencia Interamericana de Contabilidad, volumen II trabajos técnicos Nacionales, La Metodología Matricial Base para una Auditoría Integral• Estándar Australiano - Neocelandés AS/NZ 4360, administración del riesgo, aplicación


EL ERROR HUMANO… ESE FLAGELO

GRACIAS

Auditoria basada en la Administracion del Riesgos - Abar

Documents

Transcript of Auditoria basada en la Administracion del Riesgos - Abar