Auditoría interna basada en riesgos a la
operatividad del sistema de pagos
1
CEMLA - XII Reunión de Auditoría Interna de Banca Central
Juan Villanueva Chang
Setiembre, 2013
BANCO CENTRAL DE RESERVA DEL PERÚ 2
La auditoría interna hoy………..
• Centrado en verificar la eficiencia y eficacia de los controles críticos
de las operaciones y cumplimiento.
• Adopta una función más preventiva al asesorar y aconsejar para el
logro de objetivos y obtener valor añadido.
• Busca desarrollar una metodología práctica que permita verificar el
funcionamiento de los controles creados para mitigar los riesgos.
• Forma parte de las barreras para lograr una eficiente gestión de
riesgos y control y permita contribuir al buen gobierno corporativo.
BANCO CENTRAL DE RESERVA DEL PERÚ
Definición de Auditoría Interna
Código de Ética
Normas Internacionales para la Práctica Profesional de
Auditoría Interna
Documentos de posicionamiento
Consejos para la Práctica
Guías para la Práctica
Oblig
ato
rio
Mu
y r
ecom
endado
Marc
o Inte
rnacio
nal para
la P
ráctica P
rofe
sio
nal de la A
uditorí
a Inte
rna
Directrices auditoría basada en riesgos - Consejo para la Práctica 2010-1: Objetivos del trabajo - Consejo para la Práctica 2010-2: Uso del proceso de gestión de riesgos en el Plan de Auditoría Interna - Consejo para la Práctica 2200-2: Uso de un enfoque basado en riesgos, partiendo de los más significativos (Top-down, Risk-based Approach) para identificar los controles que van a ser evaluados en el trabajo de auditoría interna - Consejo para la Práctica 2210.A1-1: Evaluación de riesgos en la planificación del trabajo - GAIT for Business and TI Risk
- Rol de la Auditoría Interna en la Gestión de Riesgos Empresariales 2004 - Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control 2013
-“Análisis de la suficiencia de la gestión de riesgos” Usando el ISO 31000 (Dic. 2010) - “Formulación y expresión de opiniones de auditoría interna”(Jul. 2011) - “Coordinación de la gestión de riesgos y el aseguramiento” (Mar. 2012) - “Selección, uso y creación de modelos de madurez: Una herramienta
para el aseguramiento y trabajos de consultoría” (Jul. 2013)
3
BANCO CENTRAL DE RESERVA DEL PERÚ 4
Documento de Posicionamiento UK-Ireland:
Auditoría Interna Basada en Riesgos
“Position Statement: Risk Based Internal
Auditing (RBIA)”, emitido por el Instituto de
Auditores Internos del Reino Unido e Irlanda el
2003.
• Reconoce los malos entendidos para adoptar
el cambio hacia una auditoría interna basada
en riesgos
• Ofrece algunas orientaciones sobre cómo
acercarse a él.
• Se precisa que el objetivo de RBIA es ofrecer
garantía independiente a la Junta que:
• Los procesos de gestión de riesgo
puesto en práctica funcionan según lo
previsto.
BANCO CENTRAL DE RESERVA DEL PERÚ 5
Documento de Posicionamiento UK-Ireland: Auditoría Interna Basada
en Riesgos……..
• Que el proceso de gestión de riesgos tiene responsables.
• Las respuestas para mitigar los riesgos son adecuados y
eficaces.
• Que exista un buen marco de controles para mitigar los
riesgos que la administración desea tratar.
• El documento señala puntos de atención que deben ser auditados en la
gestión de riesgos.
• Un aspecto a resaltar es medir el grado de madurez de la gestión de
riesgos por parte de los auditores. Esto permite resaltar el avance de tipo
de enfoque de auditoría interna a desarrollar.
• Se resalta que cada organización determina el nivel que desea lograr al
implementar la gestión de riesgos.
BANCO CENTRAL DE RESERVA DEL PERÚ
Nivel de madurez de riesgos 1 y 2
• Existe bajo nivel de coincidencia en el conocimiento de terminología de riesgos y controles entre dueños de procesos, gestores de riesgos y auditores.
Nivel de madurez de
riesgos 3
• Existe cierto grado de coincidencia en el conocimiento de terminología de riesgos y controles entre dueños de procesos, gestores de riesgos y auditores.
Nivel de madurez de riesgos 4 y 5
• Existe alto nivel de cultura de riesgos y controles. Se observa bastante similitud en el conocimiento de la terminología de riesgos y controles entre dueños de procesos, gestores de riesgos y auditores.
Evolución de la cultura de riesgos y controles
BANCO CENTRAL DE RESERVA DEL PERÚ
Nivel de
Madurez
Característica Enfoque de Auditoría Interna Antecedentes
1. Incipiente No existe un enfoque de
gestión del riesgo
Iniciar el cambio paulatino del
enfoque tradicional de la auditoría a
procesos.
• 2004: Se da inicio a establecer el alcance de las auditorías a
nivel de macroprocesos y procesos.
• A iniciativa de los auditores en la fase de planeamiento se da
énfasis al uso de las técnicas de causa – efecto para elaborar
el inventario de amenazas de riesgos de los procesos y
difundir el modelo de control interno COSO.
2. Conocido Existen esfuerzos aislados de
gestión de riesgos
Promover el enfoque de gestión de
riesgos a nivel organizacional y
establecer la planeación de auditoría
con base en procesos y evaluación
de riesgos.
• 2005: Como complemento a las actividades anteriores, se
recoge mediante talleres de CSA la percepción de la marcha
de control interno por los dueños de los procesos.
3. Definido Existe un enfoque formal de
gestión de riesgos. Se tiene
definida y divulgada en toda la
organización la política y
metodología de evaluación de
riesgos.
Adoptar una metodología de
auditoría basada en riesgos tomando
en cuenta documentos de
posicionamiento y directrices del IIA.
• 2012: Se actualiza la metodología de auditoría basada en
riesgos dando prioridad a los riesgos y controles identificados
por dueños de los procesos. Se emplea talleres de RCSA y
análisis Bow - Tie para actualizar riesgos y controles y
precisar pruebas de auditoría. Si no exista avance de
identificación de riesgos y controles se apoya en la
elaboración de matriz de controles y su juicio de anteriores
revisiones para centralizarse en los controles críticos.
4. Administrado El proceso de gestión de
riesgos se desarrolla en
forma frecuente y se
comunica para la toma de
decisiones.
Auditar los procesos de la
organización poniendo énfasis en
los control débiles que resultan de la
evaluación de la gestión de riesgos
5. Optimizado La gestión de riesgo y control
interno están completamente
inmersos e identificados en
todas las operaciones y
procesos. Existen indicadores
para su medición y monitoreo.
Auditar y otorgar aseguramiento
respecto al procesos de gestión
integral de riesgos y control interno.
Evaluar la gestión de construcción y
uso de los indicadores de medición y
monitoreo.
Evolución de la metodología de auditoría interna
basada en riesgos
BANCO CENTRAL DE RESERVA DEL PERÚ 9
Diagramación y conocimiento de la materia
auditable
• Adoptar el enfoque por procesos para
determinar materia auditable.
• Emplear técnica de trabajo en equipo,
consenso Delphi, lluvia de ideas, consulta
dueños de proceso, etc.
• El equipo trata de obtener idea clara del
funcionamiento actual y determinar el
universo de pruebas de auditoría.
BANCO CENTRAL DE RESERVA DEL PERÚ
Diagrama de flujo: Operatividad del sistema de
pagos
Análisis Sistema de Pagos Administración LBTR Liquidación y Control de
Operaciones
Mensajes S.
Financiero
(Swift, fax)
Flujo, saldos
Cta Cte en
BCRP
Actualizar/modificar
normas y procedimientos
sistema de pagos
Reconocimiento de
acuerdo de pagos
Apertura
sistema LBTR
Gestión y liquidación
de operaciones (CCE,
transferencias, etc)
Control depósitos
especiales y
plazo
Cierre S. LBTR
12
Resultado Mesa
Negociación BCR
(Subastas, c/v
ME, colocación
valores, etc)
Control
operaciones
cambiarias
Control
operaciones
valores emitidos
Control
operaciones
valores recompra
Registro pago
intereses encaje
Registro inst.
transf. fondos
inst. públicas e
internacionales
Registro crédito
intradiarias
Entrada Entrada
Salida
Administración de
facilidades
intradiarias LBTR
Monitoreo flujo
operaciones LBTR
Adición/modificación/
cancelación ctas.
cte. LBTR
Canalizar inst.
transferencia
recursos
Cobro tarifas uso
LBTR
Revisión recursos de
recuperación por
sanciones
Autorización
funcionamiento empresas
servicio de canje y
compensación ESEC
Aprobación reglamentos
internos s. pagos y
estatutos de ESEC
Verificación cumplimiento
entregables (C. 012-2010
BCRP)
Estadísticas, reportes
sistema de pagos
BANCO CENTRAL DE RESERVA DEL PERÚ
Familiarizarse con modelo COSO ERM
/ ISO 31000 y taxonomía
Obtener un método estándar para medir
la madurez de la gestión de riesgos
Medir grado de madurez de riesgos
Modelo de Madurez de Riesgos (RMM) 1997
Índice de madurez de Riesgos de Aon 2001
Lectura de Mapas de Riesgos
Evaluar reportes de identificación y
evaluación de riesgos
Definir nivel de madurez de riesgos por
auditores
Evaluar madurez del riesgo
14
BANCO CENTRAL DE RESERVA DEL PERÚ
Jerarquía de riesgos en sistema de pagos
Tipo de riesgo Descripción
Estratégico • Reputación
Financiero • Crédito: Incumplimiento contraparte
• Liquidez: Interrupción de pagos
(Sistémico)
Operacional • Personas: Ausencia personal idóneo
(Enfermedad, cuarentena o prevención
contagio)
• Procesos: Fraude interno externo,
prácticas y seguridad deficientes
• TI: Daños en plataforma de
mensajería e integridad de
transacciones en aplicativos, alteración
o fallos en los sistemas externos
• Legal
• Eventos externos
Perfil de riesgos sistema de pagos
SLMV Rueda de Bolsa y Valores del Tesoro
CCE Cheques y
transferencia de crédito
LBTR Mensajes Swift
Riesgo externo de
entidades financieras:
• Estratégico
• Financiero
• Operacional
Riesgo externo de
entidades financieras:
• Estratégico
• Financiero
• Operacional
Riesgo compartido
entre BCRP y
entidades financieras:
• Estratégico
• Operacional
17
BANCO CENTRAL DE RESERVA DEL PERÚ 18
Identificación y evaluación de riesgos
• Identificación: El proceso, riesgo y
subprocesos que afectan el tipo de
riesgos. Causa de origen del
riesgo, detalle e impactos.
• Análisis y evaluación: Origen de
control para mitigar riesgo,
controles detectivos y controles
para mitigar el impacto.
• Valoración: El riesgo inherente,
residual y calificación.
• Tratamiento: Acciones sugeridas
para reducir riesgos, semáforo para
mapa de riesgos y acciones para
reducir el impacto.
BANCO CENTRAL DE RESERVA DEL PERÚ 19
Datos para precisar pruebas de auditoría
Medir que controles funcionen, no estén duplicados o no cubra
costo – beneficio, alcance el nivel de apetito al riesgo
Revisar el cumplimiento de tratamiento de riesgos según su
importancia para mejorar los controles
BANCO CENTRAL DE RESERVA DEL PERÚ
PROCESO1. Apertura del Sistema LBTR
2. Transferencias Interbancarias X
3. Transferencias de fondos del y al exterior X
4. Liquidaciones de Operaciones de Mercado Abierto X
5. Liquidaciones de Operaciones ALADI X
6. Liquidación de Operaciones de Gestión del Circulante X
7. Compensaciones Interbancarias X
8. Cierre del Sistema LBTR
ORIGEN DEL RIESGO (CAUSA)
CONTROLES PARA MITIGAR
ORIGEN
RIESGO INHERENTE
ControladoNo Controlado X
TRATAMIENTO: ACCIONES
SUGERIDAS PARA REDUCIR LA
PROBABILIDAD
RIESGO BAJO (ACEPTABLE)
RIESGO MODERADO (ACEPTABLE)
RIESGO ALTO
5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)
2.El BCRP cuenta con un seguro para casos en los cuales la institución pueda
ser demandada por terceros ante fallas operacionales. No se pudo obtener
información detallada del seguro, incluyendo el monto maximo de
cobertura.
IDENTIFICACIÓN
RIESGO SUBPROCESOS AFECTADOS POR ESTE RIESGO
Administración de Sistema LBTRNo poder liquidar transferencias interbancarias de cualquier
tipo
DETALLE DEL RIESGO: IMPACTOS
Caida del Sistema LBTR
Ocurre cuando: 1. No poder completar procesos de liquidación ya iniciados
1. Dentro del servidor de aplicaciones del BCRP podría haber
conflictos que congestionen el servidor y lleven a la caida del
Sistema LBTR
2. BCRP es enjuiciado por ESF o tercera persona por pérdidas
2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR
3. Error Tecnologico en el Sistema LBTR4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema
LBTR
4. Se produzca una falla en el nodo de comunicaciones del
BCRP
ANALISIS Y EVALUACIÓN
CONTROLES DETECTIVOS CONTROLES PARA MITIGAR IMPACTO
NINGUNO NINGUNO
1. Se aplica Sistema de Contingencia Extrema (acceso directo a la Base de
Datos)
VALORIZACION
RIESGO RESIDUAL CALIFICACIÓN
30 15
SEMAFORO DE ACUERDO A MAPA DE RIESGOSTRATAMIENTO: ACCIONES SUGERIDAS PARA REDUCIR EL
IMPACTO
1. El BCRP requiere contratar el servicio
de un "Consultor Externo" para evaluar
la infraestructura actual sobre la cual
funciona el Sistema LBTR y determinar
qué acciones debería tomar el BCRP para
mejorar la "Resistencia" de la
infraestructura, de acuerdo a las mejores
prácticas para estos Sistemas.
1. Perfeccionar Sistema de Contingencia Extrema. Esto implicaría mejorar la
nueva versión del Sistema LBTR en la cual se ha implementado una interfaz
para acceder a la base de datos. Este subsistema está en un proceso de
mejora continua; sin embargo, el DALBTR considera conveniente desarrollar,
como siguiente paso, una interfaz para capturar directamente las
operaciones de los bancos, que en la actualidad en contingencia la envian
por facsimil.
2. Efectuar pruebas del Sistema de Contingencia Extrema con las ESFs, por lo
menos 4 veces al año porque se requiere tener entrenado al personal del
DALBTR en situaciones de contingencia y de crisis.
3. Las Gerencias de la GOMEF y GTI tienen que firmar un Acuerdo de Nivel
de Servicio, en el cual se establecen los compromisos de la operatividad del
Sistema y su soporte, incluyendo los RTOs y la delimitación de
responsabilidades. Con base a este acuerdo, tiene que modificarse la
Circular y el Reglamento que norma el servicio hacia terceros por parte del
BCRP.
4. La Gerencia Central de Administración debería evaluar si las condiciones
del seguro con el que cuenta el BCRP cubren adecuadamente una potencial
pérdida por demanda civil. Se sabe que el BCRP cuenta con un seguro del
tipo BBB.
RIESGO EXTREMO
Riesgo operacional TI
BANCO CENTRAL DE RESERVA DEL PERÚ
PROCESO1. Apertura del Sistema LBTR
2. Transferencias Interbancarias X
3. Transferencias de fondos del y al exterior X
4. Liquidaciones de Operaciones de Mercado Abierto X
5. Liquidaciones de Operaciones ALADI X
6. Liquidación de Operaciones de Gestión del Circulante X
7. Compensaciones Interbancarias X
8. Cierre del Sistema LBTR
ORIGEN DEL RIESGO (CAUSA)
CONTROLES PARA MITIGAR
ORIGEN
RIESGO INHERENTE
ControladoNo Controlado X
TRATAMIENTO: ACCIONES
SUGERIDAS PARA REDUCIR LA
PROBABILIDAD
RIESGO BAJO (ACEPTABLE)
RIESGO MODERADO (ACEPTABLE)
RIESGO ALTO
5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)
2.El BCRP cuenta con un seguro para casos en los cuales la institución pueda
ser demandada por terceros ante fallas operacionales. No se pudo obtener
información detallada del seguro, incluyendo el monto maximo de
cobertura.
IDENTIFICACIÓN
RIESGO SUBPROCESOS AFECTADOS POR ESTE RIESGO
Administración de Sistema LBTRNo poder liquidar transferencias interbancarias de cualquier
tipo
DETALLE DEL RIESGO: IMPACTOS
Caida del Sistema LBTR
Ocurre cuando: 1. No poder completar procesos de liquidación ya iniciados
1. Dentro del servidor de aplicaciones del BCRP podría haber
conflictos que congestionen el servidor y lleven a la caida del
Sistema LBTR
2. BCRP es enjuiciado por ESF o tercera persona por pérdidas
2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR
3. Error Tecnologico en el Sistema LBTR4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema
LBTR
4. Se produzca una falla en el nodo de comunicaciones del
BCRP
ANALISIS Y EVALUACIÓN
CONTROLES DETECTIVOS CONTROLES PARA MITIGAR IMPACTO
NINGUNO NINGUNO
1. Se aplica Sistema de Contingencia Extrema (acceso directo a la Base de
Datos)
VALORIZACION
RIESGO RESIDUAL CALIFICACIÓN
30 15
SEMAFORO DE ACUERDO A MAPA DE RIESGOSTRATAMIENTO: ACCIONES SUGERIDAS PARA REDUCIR EL
IMPACTO
1. El BCRP requiere contratar el servicio
de un "Consultor Externo" para evaluar
la infraestructura actual sobre la cual
funciona el Sistema LBTR y determinar
qué acciones debería tomar el BCRP para
mejorar la "Resistencia" de la
infraestructura, de acuerdo a las mejores
prácticas para estos Sistemas.
1. Perfeccionar Sistema de Contingencia Extrema. Esto implicaría mejorar la
nueva versión del Sistema LBTR en la cual se ha implementado una interfaz
para acceder a la base de datos. Este subsistema está en un proceso de
mejora continua; sin embargo, el DALBTR considera conveniente desarrollar,
como siguiente paso, una interfaz para capturar directamente las
operaciones de los bancos, que en la actualidad en contingencia la envian
por facsimil.
2. Efectuar pruebas del Sistema de Contingencia Extrema con las ESFs, por lo
menos 4 veces al año porque se requiere tener entrenado al personal del
DALBTR en situaciones de contingencia y de crisis.
3. Las Gerencias de la GOMEF y GTI tienen que firmar un Acuerdo de Nivel
de Servicio, en el cual se establecen los compromisos de la operatividad del
Sistema y su soporte, incluyendo los RTOs y la delimitación de
responsabilidades. Con base a este acuerdo, tiene que modificarse la
Circular y el Reglamento que norma el servicio hacia terceros por parte del
BCRP.
4. La Gerencia Central de Administración debería evaluar si las condiciones
del seguro con el que cuenta el BCRP cubren adecuadamente una potencial
pérdida por demanda civil. Se sabe que el BCRP cuenta con un seguro del
tipo BBB.
RIESGO EXTREMO
BANCO CENTRAL DE RESERVA DEL PERÚ
Valoración del riesgo Riesgo inherente
Principales Controles:
- Revisión de pruebas sistema de contingencia extrema
- Vigencia de pólizas de seguros para demanda por terceros por fallas operativas
- Vigencia y actualización de procedimientos
- Verificar funcionamiento de puntos de comunicación
- Verificar mantenimiento de equipos e instalaciones
- Revisar corrección de eventos adversos
BANCO CENTRAL DE RESERVA DEL PERÚ
Cuestionario 1. incipiente 2. Conocido 3. Definido 4. Administrado 5. Optimizado
1. Cultura/Filosofía Organizacional 25% X
1.1 Cultura de gestión de riesgos
1.2 Responsabilidad en la gestión del riesgo
2. Liderazgo y compromiso 25% X
2.1 Política y marco de referencia de la gestión del riesgo
2.2 Papel y responsabilidades del la alta dirección
3. Integración a los procesos del negocio 20% X
3.1 Alineamiento estratégico
3.2 Incluida en la medición del desempeño y calidad del
servicio
3.3 Comunicación interna y retroalimentación sobre riesgos
4. Habilidades en gestión de riesgos 15% X
4.1 Capacitación continua en gestión de riesgos
4.2 Estandarización y dominio de las técnicas de evaluación
de riesgos
5. Reporte y control 15% X
5.1 Controles
5.2 Documentación
TOTAL 100% X
Cuestionario de medición del nivel de
madurez de la gestión de riesgos
23
BANCO CENTRAL DE RESERVA DEL PERÚ 24
Taller de RCSA
Conocida la identificación y evaluación
de riesgos por dueños del proceso, se
procede a realizar dicho resultado
mediante taller de RCSA.
El objetivo es precisar el estado de los
controles y su tratamiento para mitigar
los riesgos.
Los talleres son con votación anónima
y asistencia de responsables de
procesos.
En esta etapa se puede obtener
nuevas pistas de riesgos y controles
no previstos anteriormente.
BANCO CENTRAL DE RESERVA DEL PERÚ 26
Cuestionario dirigido
Consenso
por
auditados
y
auditores
Dinámica de talleres de RCSA
Reporte gestión de riesgos
BANCO CENTRAL DE RESERVA DEL PERÚ 27
Riesgo Tipo de riesgo Controles Votación anónima Observaciones
1 (Bajo)
2 3 4 5 (Alto)
Operacional:
Personas
Error registro de
transferencias en
sistema LBTR
Validación dual al sistema
(concurrente)
X
Operacional:
Procesos
Demora
confirmación
transferencias al
exterior
Conciliación en línea
Cumplimiento manual operativo
X
X
Operacional:
TI
Fallas al inicio en
sistema LBTR
Divulgar manual de contingencia
Delegación de responsabilidades
Revisión de incidentes
X
X
X
Operacional:
TI
Fallas de
conectividad LBTR
Divulgar sistema CE
Realizar pruebas registro de
incidentes
X
X
X
X
n.n.n..
RCSA: Actualización de riesgos y controles con
dueños de proceso
BANCO CENTRAL DE RESERVA DEL PERÚ 28
Matriz de inventario de controles
Cuando no existe reportes de la
identificación y evaluación de riesgos
se intenta seleccionar los controles
críticos a través de la matriz de
controles.
Se utiliza preferentemente el manual
de procedimientos y historial de
debilidades de control.
Se puede ayudar de la experiencia
en la hipótesis inicial de la materia
auditable y conocimiento del perfil de
riesgos del negocio.
BANCO CENTRAL DE RESERVA DEL PERÚ 30
Registro de inventario de controles
Se toma de
inventario de
procedimientos
Se emplea un
estándar de
conceptos de
controles
- Segregación de funciones
- Costo – beneficio
- Acceso a activos y archivos
- Verificación y conciliación
- Evaluación de desempeño
- Rendición de cuentas
- Documentación física y virtual (Procesos,
actividades y tareas)
- Revisión (Procesos, actividades y tareas)
BANCO CENTRAL DE RESERVA DEL PERÚ 31
Análisis Bow - Tie
Esta herramienta de evaluación de
riesgos permite al equipo de
auditores fortalecer la decisión de
selección de los controles críticos,
conscientes que pueden ser aún
débil el resultado de las identificación
y evaluación de riesgos por los
dueños de los procesos.
Es un forma esquemática simple de
describir y analizar las rutas de un
riesgo desde las causas hasta las
consecuencias.
BANCO CENTRAL DE RESERVA DEL PERÚ
Información
elaborada y
actualizada por el
equipo de auditores
desde el inicio del
cambio de
metodología
BANCO CENTRAL DE RESERVA DEL PERÚ
Análisis Bow - Tie: Revisión auditores
Riesgo
operacional
(No poder
liquidar
transferencias
)
Causa 1:
Caída del LBTR
Consecuencia 1:
No poder ejecutar
liquidación iniciada
Controles
preventivos
Controles
mitigantes o de
recuperación
Causa 2:
Error tecnológico
Consecuencia 2:
Unidades operativas
no pueden utilizar
sistema
Causa 3:
Fallas nodo de
comunicaciones
Causa 4:
Factores externos
(incendio,
recalentamiento)
Causa 6:
Error humano
desconocimiento
Consecuencia 3:
Excesiva carga
manual de personal
LBTR
Consecuencia 4:
Detener operatividad
LBTR
Consecuencia 5:
No poder completar
liquidaciones Causa 5:
Problemas de
conectividad Consecuencia 6:
Error en transferencias
Sis
tem
a C
ontinge
ncia
exte
rna
Perf
eccio
nar
el S
iste
ma
Continge
ncia
exte
rna
- Captura en informe de dueños de procesos
- Recogida de taller de RCSA
- Obtenida de análisis Bow - Tie
BANCO CENTRAL DE RESERVA DEL PERÚ 35
Selección para el Programa de Auditoría
2° Prioridad: Más importantes del universo de pruebas de auditoría
Diagramación y conocimiento
de materia auditable
1° Prioridad: Pruebas de auditoría para riesgos críticos
Selección de
controles críticos
Acciones tratamiento de riesgos
BANCO CENTRAL DE RESERVA DEL PERÚ 36
Desarrollo del Programa de Auditoría
Planeamiento Trabajo de Campo Informe
Análisis de cumplimiento y
sustantivas de las pruebas respecto
al control interno
Resultados de pruebas de auditoría
BANCO CENTRAL DE RESERVA DEL PERÚ 37
Pruebas auditoría sobre controles críticos
Riesgo Tipo de riesgo Controles Pruebas de auditoría
Operacional:
Personas
Error registro de
transferencias en sistema
LBTR
Validación dual al sistema
(concurrente)
- Revisar registro de incidente para
identificar mayores eventos
- Revisar el monitoreo de las
transferencias
Operacional:
Procesos
Demora confirmación
transferencias al exterior
Conciliación en línea
Cumplimiento manual operativo
- Evaluar causas de incidentes
- Revisar cumplimiento normativo
Operacional: TI Fallas al inicio en sistema
LBTR
Divulgar manual de
contingencia
Delegación de
responsabilidades
Revisión de incidentes
-Revisar registro de incidentes y
cumplimiento de medidas alternativas
- Evaluar las actas de mantenimiento
de servicio de mantenimiento al CER
Operacional: TI Fallas para extornar
operaciones compra/venta
M/E
Divulgar sistema CE
Realizar pruebas registro de
incidentes
-Evaluar muestra de incidentes
- Verificar uso y cumplimiento de
manual operativo
n.n.n..
BANCO CENTRAL DE RESERVA DEL PERÚ 38
Identificar pruebas de auditoría que
requieren necesariamente de
muestreo estadístico o no
estadístico (alto volumen de
población)
Elaboración planes de muestreo
Conceptos proceso muestreo estadístico
Población 1 100 000 transacciones LBTR (2010 –
2011)
Método
muestreo
Atributos
Tamaño
muestra
23 000 transacciones
Selección
muestra
Comando aleatorio (ACL)
Nivel
confianza
95%
Error
tolerable
3%
Precisión 2%
BANCO CENTRAL DE RESERVA DEL PERÚ 39
Criterios para medir efectividad de controles
Riesgo
Residual
Riesgo
Inherente
∑ C1 + C2 + C3 + Cn
E1 E2 E3 E4 E5
C1 A B B C B
C2 B C C B B
Cn B C B A A
Efectividad de Controles
A= Optimizado
B= Administrado
C= Definido
D= Conocido
E= Incipiente
E1= Nivel de funcionamiento
E2= Estado de registro y documentación
E3= Monitoreo continuo
E4= Sensibilidad en impacto de riesgo
E5= Frecuencia de incidentes
Apetito al riesgo
BANCO CENTRAL DE RESERVA DEL PERÚ
Controles críticos
Hipótesis preliminar
conocimiento materia
auditable
Resultados madurez de
riesgos
Matriz controles y/o taller RCSA
Programa de auditoría Plan de muestreo Fase: Trabajo de
campo
Fase: Informe Resultados pruebas
auditoría
40
BANCO CENTRAL DE RESERVA DEL PERÚ
“Formulación y expresión de
opiniones de auditoría interna
Jul. 2011
Mejoras de impacto en reportes de auditoría
Opiniones sobre gobierno, riesgos y control:
• Sistema global de control interno
• Cumplimiento controles
• Efectividad controles en rendimiento
• Efectividad controles en un proceso
• Cumplimiento de leyes
• El resultado de una auditoría puede ser hallazgos o debilidad
de control. Entre las modalidades a mejor se encuentra el
grado de calificación de la efectividad de los controles y
riesgos.
• Los más comunes son códigos de colores (rojo, amarillo,
verde) o escalas de grados (1 a 3, 1 a 5).
• El alcance de la opinión se pude dar a nivel macro (toda la
organización) o micro (procesos, actividades).
41
BANCO CENTRAL DE RESERVA DEL PERÚ 44
Referencias
• Assessing the Adequacy of Risk Management: Using ISO 31000 (2010)
www.theiia.org
• Formulating and Expressing Internal Audit Opinions (2011) www.theiia.org
• Coordinating Risk Management and Assurance (2012) www.theiia.org
• Selecting, Using and Creating Maturity Models: A Tool for Assurance and
Consulting Engagements (2013) www.theiia.org
• IIA Position Paper: The Role of Internal Auditing in Enterprise - Wide Risk
Management (2004) www.theiia.org
• IIA Position Paper: The Three Lines of Defense in Effective Risk Management
and Control (2013) www.theiia.org
• Position Statement: Risk Based Internal Auditing (2003) www.iia.org.uk
• Embracing Enterprise Risk Management (2011) www.coso.org
• Developing Key Risk Indicators to Strengthen Enterprise Risk Management
(2010) www.coso.org
• Enterprise Risk Management: Understanding and Communicating and Risk
Appetite (2012) www.coso.org
• Risk Assessment in Practice (2012) www.coso.org
• Guía: Definición e implantación de Apetito de Riesgo (2013) www.iai.es
Top Related