Rol Auditoria Interna Gestion Riesgo rial

5/8/2018 Rol Auditoria Interna Gestion Riesgo rial - slidepdf.com

http://slidepdf.com/reader/full/rol-auditoria-interna-gestion-riesgo-rial 1/47

Una recopilación deLic. Luis Diego Ceciliano López MBA

Contador Público [email protected]

www.cecilianocr.com

mailto:[email protected]

http://www.cecilianocr.com/





Contenido

•Objetivos de la charla.

•Motivación de la charla.

•Repaso a COSO ERM y sus ocho componentes.

•El rol de la Auditoría Interna en la gestión de riesgoempresarial.

Recopilado por Lic Luis Diego Ceciliano L MBA www.cecilianocr.com



Objetivos de la charla




COSO ERM (Enterprise Risk Management)

Objetivos de la charla:1. Proporcionar una visión clara que facilite a los profesionales en

Auditoría Interna, la comprensión de su rol en la gestión de riesgoempresarial para su desempeño objetivo e independiente.

2. Repasar los alcances generales de COSO ERM como guíaestructurada para el mantenimiento de la gestión de riesgoempresarial.

3. Mencionar las funciones de aseguramiento y consultoría que el

profesional en Auditoría Interna debe desarrollar, así como lasactividades que no debe realizar.

4. Orientar al profesional en Auditoría Interna sobre sus funcionescuando no existe un proceso formal de gestión de riesgos.




Motivación de la charla




“Las ventajas competitivas basadas en lainteligencia humana están reemplazando

las ventajas proporcionadas por lanaturaleza, haciendo que la educación ylas habilidades del personal sean lasprincipales armas competitivas”

(Ramírez Padilla 2008)

REFLEXION





Llamado fundamental del IIA desde la misma definiciónde Auditoría Interna:

“La auditoría interna es una actividad

independiente y objetiva de aseguramiento yconsulta, concebida para agregar valor ymejorar las operaciones de una organización.Ayuda a una organización a cumplir susobjetivos aportando un enfoque sistemático y

disciplinado para evaluar y mejorar la eficaciade los procesos de gestión de riesgos, control ygobierno.”





Aporte de Auditoría Interna al Gobierno Corporativo:“Gobernabilidad Corporativa es el sistema por el cual lassociedades del sector público y el sector privado sondirigidas y controladas. La estructura del gobiernocorporativo especifica la distribución de los derechos y de

las responsabilidades entre los diversos actores de laempresa, como por ejemplo, la Junta o Consejo deAdministradores, Presidente y Directores, accionistas yotros terceros aportantes de recursos.”

Fuente: Organización Económica Para la Cooperación y el Desarrollo (OECD)

Asesoría

Consejo yorientación

Potenciarprincipios

éticos

Evaluaciónobjetiva dela gestión

Recomendaciones

Evaluaciónpolíticas,

procedimientosy prácticas

Apoyo ala

AuditoríaExterna





Llamado fundamental del IIA desde el Código de Ética:

“Es necesario y apropiado contar con un código de éticapara la profesión de auditoría interna, ya que ésta se basaen la confianza que se imparte a su aseguramientoobjetivo sobre la gestión de riesgos, control y dirección.”

INTEGRIDAD OBJETIVIDAD CONFIDENCIALIDAD COMPETENCIA

Los Auditores… “Respetarán y contribuirán a los objetivos

legítimos y éticos de la organización.”




Repaso COSO ERM y sus ochocomponentes





Factores relevantes:

•Surge ante la necesidad de contar con un marco degestión de riesgos uniforme y de aceptación general.

•Se publica en 2004 por parte de la Treadway Commissionof Sponsoring Organizations con la asistencia de PCW.

•COSO ERM no reemplaza el marco de

control COSO I.

www.coso.org


http://www.coso.org/

http://www.coso.org/




Organizaciones patrocinadoras actualmente


http://aaahq.org/

http://www.theiia.org/

http://www.imanet.org/

http://www.financialexecutives.org/

http://www.aicpa.org/




“La gestión de Riesgo empresarial (ERM) es un procesoestructurado, consistente y continuo implementado a través

de toda la organización para identificar, evaluar, medir yreportar amenazas y oportunidades que afectan el poderalcanzar el logro de sus objetivos..”





Interpretando lo indicado por The IIA, los beneficios delERM radican principalmente en:

•Impulso al alcance de objetivos•Motiva una conciencia formal respecto al riesgo•Mejora la información y reportes en cuanto al riesgo•Asignación más adecuada de prioridades

•Mayor preparación para factores habituales y nohabituales•Capacidad para tomar riesgos más calculados





Ambiente de Control

O p e r a

c i o n e s

R e p o

r t e

C u m p

l i m i e n t o

U n i d a

d A

U n

i d a d B

A c t i v i d a d 1

A c t i v i d a d 2

Evaluación de Riesgos

Actividades de Control

Información y Comunicación

Monitoreo

COSO I

COSO ERM





Estratégicos

Operacionales

Reportes

Cumplimiento O

b j e t i v o s d e e n t i d a d

H a

ci a

l a s

a c t i v

i d a d e s

d e

l a en t i d a d





Ambiente de Control:

•Definición de la filosofía empresarial en relación a la

administración del riesgo.•Valores y compromisos éticos. Medios de denuncia.•Estrategias para el establecimiento de una culturaproactiva hacia el riesgo (roles, responsabilidades,competencias del personal).•Visión ante eventos habituales y no habituales.•Apetito de riesgo (preliminar).





Establecimiento de Objetivos (nuevo):

•Relación de riesgos y objetivos de la entidad.

•Apetito de riesgo (riesgos en niveles aceptables).•Tolerancia al riesgo (en función del apetito de riesgo).•Acople de la toma de decisiones al nivel de riesgoaceptable.•Categorías:

• Estratégicos• Operacionales• Reporte o presentación de resultados

• Cumplimiento


http://images.google.co.cr/imgres?imgurl=http://angelcosio.files.wordpress.com/2007/09/bullseye.jpg&imgrefurl=http://angelcosio.wordpress.com/2007/09/27/objetivos-no-subjetivos/&usg=__uDpUzrzLQs-hfvBHQiDYS0JnW5c=&h=333&w=500&sz=67&hl=es&start=21&tbnid=3nlvPpzWBvoqaM:&tbnh=87&tbnw=130&prev=/images?q=objetivos&gbv=2&ndsp=18&hl=es&sa=N&start=18




Aceptación de Riesgos:

• Probabilidad vrs Impacto• Riesgo inherente.

• Riesgo residual.

• Factores:• Internos y Externos

Inaceptable Inaceptable Inaceptable

P r o b a b i l i d a d

Moderado Moderado

Inaceptable

Aceptable Moderado Inaceptable

Impacto





Factores

InternosyExternos

Personal

Capacidad

Instalada

Procesos Economía

Política

Competi-dores





Identificación de Eventos (nuevo):

•Eventos a todo nivel de la entidad, que tienen o pueden

tener impacto negativo sobre los objetivos.•Origen de naturaleza interna (procesos, personal,capacidad instalada) y externa (político, económico,ambiente).•Identificación de oportunidades tras los riesgos.•Reconocimiento de la existencia de incertidumbre.•Eventos de baja probabilidad pueden tener alto impacto.


http://images.google.co.cr/imgres?imgurl=http://www.educared.pe/periodismoescolar/blogs/raimondinos/peligro.jpg&imgrefurl=http://www.educared.pe/periodismoescolar/blogs/raimondinos/2008/11/&usg=__y7B-AQkJRHdp1MrwezrYnhjqltw=&h=398&w=399&sz=25&hl=es&start=1&tbnid=eAxg6ogD_69uSM:&tbnh=124&tbnw=124&prev=/images?q=peligro&gbv=2&hl=es




Evaluación de Riesgo:

•Relación de frecuencia e impacto (mapas de calor).

•Revisión de riesgos puede conllevar al ajuste de objetivos.•Herramientas cualitativas ($) y cuantitativas (métodosestadísticos).•Análisis de riesgos inherentes y residuales con base ensituaciones reales o elaboradas (laboratorio).•Gestión de Autoevaluación de las unidades funcionales.•Identificación de puntos de control vulnerables.


http://images.google.co.cr/imgres?imgurl=http://www.sabercurioso.com/wp-content/semaforo.jpg&imgrefurl=http://www.sabercurioso.com/tag/ojo/&usg=__wxvvkvnl7QZqm1aOGeLuDOVKor0=&h=468&w=180&sz=57&hl=es&start=4&tbnid=-VpvPjLJLnmL1M:&tbnh=128&tbnw=49&prev=/images?q=sem%C3%A1foro&gbv=2&hl=es&sa=G




Respuesta al Riesgo (nuevo):

•Determina la acciones preventivas y correctivas para

responder al riesgo.•Hace relaciones de costo y beneficio en función de latolerancia al riesgo.•Desarrolla procedimientos para la ejecución de lasrespuestas.•Se gestiona el riesgo: evita, comparte, acepta, mitiga.•Consideración de una escala de riesgos (adicionales enfunción de las situaciones cambiantes).


http://images.google.co.cr/imgres?imgurl=http://www.periodicocnt.org/274dic2001/imagenes/bomberos.jpg&imgrefurl=http://www.periodicocnt.org/274dic2001/sindical/archivos/gs17.htm&usg=__JQ01G-fxleASkUImlZSb-3YUuZI=&h=331&w=350&sz=11&hl=es&start=38&tbnid=S3nU9skq3saJYM:&tbnh=113&tbnw=120&prev=/images?q=bomberos&gbv=2&ndsp=18&hl=es&sa=N&start=36




Actividades de Control:

•Establecimiento y publicación del sistema de control

interno en todos los niveles de la entidad.•Emisión de políticas y procedimientos de control.•Documentación de las actividades de control.•Incluye los controles sobre la estructura informática(sistemas y equipos).•Las actividades deben ser efectivas:

+ preventivas – correctivas.•Definición de niveles de realización, supervisión, yautorización (segregación de funciones).


http://images.google.co.cr/imgres?imgurl=http://www.sindicaturagcba.gov.ar/imagenes/organigrama-sgcaba_ggo.gif&imgrefurl=http://www.sindicaturagcba.gov.ar/sindicatura/organigrama_ggo.html&usg=__k4dMHg6uSViGDmTMi3xY6DdZcLY=&h=483&w=435&sz=38&hl=es&start=38&um=1&tbnid=xrc77K7TtePnaM:&tbnh=129&tbnw=116&prev=/images?q=actividades+de+control+interno&ndsp=18&hl=es&sa=N&start=36&um=1




Información y Comunicación:

•Flujo de información hacia abajo, hacia arriba y a través de

la organización.•Permite obtener el resultado del sistema de control, el cualdebe apegarse a los objetivos de la entidad.•Se obtiene apoyo de los sistemas de información (infointerna y externa).•Evidencia del aporte de los involucrados en el control.•Información oportuna, confiable, disponible y pertinente.•Habilitación de medios de comunicación idóneos.





Monitoreo:

•Seguimiento y evaluación continua y separada.

•Determinación de prioridades conforme recursos yvariables críticas.•Examen a los demás componentes del ERM.•Identificación de desviaciones que requieren corrección oprever desviaciones.•Debe responder a un plan de trabajo y al seguimientorecurrente en cada actividad del sistema de control.•Auditoría Interna participa de manera independiente yobjetiva.


http://images.google.co.cr/imgres?imgurl=http://www.seguridad-phoenix.com.ar/images/electronica/monitoreo.jpg&imgrefurl=http://www.seguridad-phoenix.com.ar/seguridad-electronica/seguridad-electronica-monitoreo.html&usg=__W11w4_nQU3j7oVy7lU7s4yEuQGU=&h=213&w=284&sz=13&hl=es&start=5&tbnid=tfh-u3bKPxyDlM:&tbnh=86&tbnw=114&prev=/images?q=monitoreo+de+alarmas&gbv=2&hl=es



El rol de la Auditoría Interna en laGestión de Riesgo Empresarial




Función de Auditoría Interna en el ERM

The Institute of Internal Auditors en coordinación con TheIIA de UK e Irlanda, emitieron el documento o declaraciónde posición: “El Rol de la Auditoría Interna en la Gestión de

Riesgo Empresarial ” orientado a los servicios deaseguramiento y consulta. (Fuente para esta presentación)

Orientación para mantener la objetividad eindependencia.





La naturaleza de las responsabilidades de auditoría internadebe estar documentada en los estatutos de auditoría y seraprobada por el comité de auditoría.

Roles fundamentales(Aseguramiento)

Roles legítimos consalvaguarda (Consultoría)

Roles que AI NO deberealizar





“… proveer aseguramiento objetivo a la junta sobre la

efectividad de las actividades de ERM en una organización,para ayudar a asegurar que los riesgos claves de negocioestán siendo gestionados apropiadamente y que el sistemade control interno esta siendo operado efectivamente”.

Un rol fundamental

Libre de amenazas a laobjetividad e independencia





“Un examen objetivo de evidencias con el propósito de

proveer una evaluación independiente de los procesos degestión de riesgos, control y gobierno de una organización.”

Rol de Aseguramiento según IIA





Roles principales•Brindar aseguramiento sobre procesos de gestión deriesgo.

•Brindar aseguramiento de que los riesgos soncorrectamente evaluados.

•Evaluación de los procesos de gestión de riesgo.

•Evaluación de reporte de riesgos claves.

•Revisión del manejo de los riesgos claves.

De Aseguramiento





Aseguramiento Objetivo en 3 direcciones:

• Procesos degestión deriesgos, tanto en

su diseño ycomo qué tanbien estántrabajando.

• Gestión deaquellos riesgosclasificadoscomo “claves”,incluyendoefectividad delos controles yotras respuestasa éstos.

• Confiabilidad yevaluacionesapropiadas deriesgos yreportes deriesgo y estatusde controles.





Mejora de losprocesos degobierno

Control de laorganizaciónGestión deriesgos

Consejo para lapráctica 2100-3

Definido por: Dirección Ejecutiva y Comité de Auditoría

NORMA 2100





NORMA 2100

Promoción de la ética ylos valores

Gestión organizacionaleficaz

Coordinar comunicacióncon auditores (i/e) y laentidad.





NORMA 2100

Objetivos Alineados Misión

Controles

Aceptación deRiesgos

Respuesta alRiesgo





“Actividades de asesoramiento y servicios relacionados,

proporcionadas a los clientes, cuya naturaleza y alcanceestén acordados con los mismos y estén dirigidos a añadirvalor y a mejorar los procesos de gobierno, gestión deriesgos y control de una organización, sin que el auditorinterno asuma responsabilidades de gestión.”

Rol de Consultoría según IIA





Roles legítimos con salvaguarda•Facilitación, identificación y evaluación de riesgos.

•Entrenamiento a la gerencia sobre respuesta a riesgos.

•Coordinación de actividades de ERM.

•Consolidación de reportes sobre riesgos.

•Mantenimiento y desarrollo del marco de ERM.

•Defender el establecimiento del ERM.

•Desarrollo de estrategias de gestión de riesgo para aprobación de la junta.

De Consultoría





Interpretando lo indicado por The IIA, las funciones deConsultoría de riesgos se orientan a:

•Compartir herramientas con la Administración.•Defender el ERM.•Proporcionar orientación y capacitación que refuerce lacultura del ERM.•Facilitar la coordinación y seguimiento del modelo.•Identificar vías para mitigación de riesgos.

Fundamental contar con evidencia de que la Administración Superiorestá apoyando activamente el ERM





En las funciones de Consultoría…

•La Administración Superior mantiene la responsabilidadsobre el ERM.

•La responsabilidad de A.I. debe quedar documentada.

•A.I. no gestiona riesgos.

•A.I. puede colaborar en la orientación del proceso.

•No se puede dar aseguramiento en una parte del marco queA.I. es responsable.





Roles que AI NO debe realizar

•Establecer el apetito de riesgo.

•Imponer procesos de gestión de riesgo.

•Manejar el aseguramiento sobre los riesgos.

•Tomar decisiones en respuesta a los riesgos.

•Implementar respuestas a riesgos a favor de administración.

•Tener responsabilidad de la gestión de riesgo.





Responsabilidad de laAdministración

Riesgo3

Riesgo2

Riesgo1

Gestión deRiesgos





y… ¿si no hay proceso de gestión de riesgos?

•El consejo para la práctica 2100-4 indica:

4. “Si una organización no ha establecido un proceso de gestión deriesgos, el auditor interno debe presentar este hecho ante la dirección

junto con sugerencias para establecer tal proceso. El auditor internodebe buscar directivas de parte de la dirección y del Consejo deAdministración en cuanto al rol de la actividad de auditoría en elproceso de gestión de riesgos. Los Estatutos de la actividad deauditoría y del comité de auditoría deben documentar el rol de cada

uno de ellos en el proceso de auditoría interna.”





y… ¿si no hay proceso de gestión de riesgos?


5. “Si se lo solicitan, los auditores internos pueden cumplir un rolproactivo colaborando con el establecimiento inicial de un proceso de

gestión de riesgos para la organización. Un rol más proactivo es elque suplementa las actividades tradicionales de aseguramiento conun enfoque de consultor para mejorar los procesos fundamentales. Sital enfoque excede las actividades normales de aseguramiento yconsultoría realizadas por los auditores internos, puede verse

comprometida la independencia…”

Rol proactivo ≠ Ser propietario de los riesgos





Reflexionando


“…Evaluar los procesos de riesgos de la dirección es distinto delrequerimiento de que los auditores utilicen análisis de riesgos para

planificar sus auditorías. Sin embargo, la información originada en unproceso de gestión de riesgos integral, incluyendo la identificación de lasinquietudes de la dirección y el Consejo de Administración, puede ayudaral auditor interno en la planificación de las actividades de auditoría.”





Orientación específica en otros aspectos relacionadospueden encontrarla en:

•PA 1130.A1-2 Responsabilidad del Auditor Interno enFunciones Distintas de Auditoría.

•PA 2110-1 Evaluación de la Adecuación de los Procesos deGestión de Riesgos.

•PA 2010-2 Enlace del Plan de Auditoría con los Riesgos yExposiciones

•Glosario de las Normas para el ejercicio de la profesión.




Una recopilación deLic. Luis Diego Ceciliano López MBA

Contador Público [email protected]

www.cecilianocr.com





Rol Auditoria Interna Gestion Riesgo rial

Documents

Transcript of Rol Auditoria Interna Gestion Riesgo rial