Auditoria Basada en Riesgos

CEMLA: XI Reunión de Auditores Internos de Banca Central

Guía para una metodología de auditoría basada en riesgos

Juan Villanueva Chang Setiembre, 2011

La creatividad e Innovación  Adelantarse

Capacidad de síntesis

 Ver la oportunidad

• Una persona creativa es ágil y flexible • Tiene libertad de pensar, expresar y

actuar sin miedo • La constante en la vida es el cambio

• Participando de la curiosidad intelectual • Capacidad de tomar las cosas de

distintas fuentes • Integrarlas en algo coherente

• Desarrollar capacidad de observación • Estar receptivos a las impresiones que

nos vienen del interior y exterior

“Las ideas no duran mucho. Hay que hacer algo con ellas”  Santiago Ramón y Cajal 

Objetivo del tema El presente trabajo da pautas de como elaborar una metodología de auditoría con base en riesgos. •

Se aplica en la elaboración del plan anual de auditoría y la fase de planeamiento para elaborar una auditoría (Risk based audit planning). •

•

La presente guía no es única ni obedece a un estándar en particular.

La meta consiste en diseñar un programa de auditoría centralizado en los riesgos críticos del negocio. •

El cambio metodológico debe ser progresivo en tanto se fortalezca la cultura de gestión de procesos y riesgos en la organización. •

La auditoría moderna “Evaluar y mejorar la eficacia de los procesos de gobierno, riesgos  y control” 

Gobierno Riesgos Planeamiento de auditoría basada en riesgos

Control

¿Qué es auditoría basada en riesgos? “La auditoría basada en riesgos es un proceso, un  acercamiento, una metodología y una actitud en torno al  tema. La manera más simple de definir una auditoría basada en  riesgos consiste en revisar las cosas que realmente importan  en su organización. Otra manera de trabajar la auditoría basada en riesgos es  con la ayuda de la teoría de proceso”  Fuente: Phil Griffiths (2009) en su documento “Risk Based Auditing” 

 Ámbito de aplicación de la metodología Primera Etapa: La entidad se encuentra desarrollando los primeros niveles del proceso de gestión de riesgos (Establecer el contexto, identificación y análisis de riesgos).

Segunda Etapa: La entidad ha culminado en desarrollar los niveles del proceso de gestión de riesgos (Establecer el contexto, identificación, análisis y evaluación de riesgos) y ha puesto en práctica el tratamiento al riesgos

Plan Anual de auditoría basada en riesgos Procesos críticos de relevancia según tamaño del impacto de riesgo (Dueños de procesos o Gerencia de Riesgos). Antigüedad de última auditoría. Proceso no auditado según cadena de valor y nuevo enfoque. Sugeridas por dueños de procesos o por Alta Dirección. Criticidad: Carencia de controles, alta rotación de personal, cambio de funciones, procedimientos, eventos recientes, denuncias, etc Exposición a eventos externos e internos de la organización. Criterio propio de auditores (resultados de CSA, importancia de resultados de recomendaciones) •

• • • •

• •

Métricas de Procesos Auditables Universo de procesos

Unidad Organizacional

Proceso 1

XXXX

Proceso 2

XXXXX

Responsables

Gasto Operativo

Última  Auditoría

Factor Tamaño

Factor Control

Factor CSA

Riesgo Crítico Corporativo 1/

Riesgo tratado

Proceso 3 Proceso 4 Proceso n 1/ Información proporcionada por la G erencia de Riesgos

Escala de Factor Control

Escala de Factor CSA ESCALA FACTOR TAMAÑO

(Mínima prioridad de auditoría)  A = Alto 4.001 - 5.000 B = Medio 3.501 - 4.000 C = Bajo 3.001 - 3.500 D = Inadecuado 0.000 - 3.000 (Máxima prioridad de auditoría) El factor de CSA introduce la puntuación sobre la marcha de los componentes de control interno según los dueños del proceso, obtenida mediante talleres de autoevaluación de control.

(Tamaño máximo) 5= Más de 5,0 mill 4= Entre 1,01 y 5,0 mill 3= Entre 101 y 1, 0 mill 2= Entre 11 y 100 mil 1= Entre 0 y 10 mil. (Tamaño Mínimo) El factor de tamaño considera el criterio de relevancia según el valor de las actividades o tareas del proceso.

(Riesgo máximo de control) 5= Alto Más de 21 4= Super ior 16 a 20 3= Medio 11 a 15 2= Mínimo 5 a 10 1= Ninguno 0a 4 (Riesgo mínimo de control) El factor de control es el resultado de la cantidad de debilidades de control detectadas en última auditoría.

Riesgo residual

Métricas de Procesos Auditables Universo de procesos

Exigencia legal, normativa

Proceso 1

XXXX

Proceso 2

XXXXX

 Alineamiento Estratégico 2/

Objetivos de Control Interno 3/

Componente de Control Interno 4/

Cantidad de debilidades de control según perfil de riesgos 5/

Pruebas de auditoría 6/ Técnica Integral

Técnica selectiva Muestreo estadístico

Proceso 3 Proceso 4 Proceso n

2/ Vinculación con el objetivo y actividad estratégica vigente. 3/ Priorizar de acuerdo a su naturaleza a que tipo de objetivo de control interno es factible analizarlo. 4/ De acuerdo a su naturaleza sobre que tipo de componentes de control interno se debe analizar. 5/ Vincular las debilidades de control al perfil de riesgos de la organización. 6/ Por la característica de los elementos a ser revisados identificar el tipo de muestreo a emplear.

Muestreo no estadístico

Planeamiento de auditoría basada en riesgos Contexto interno

Contexto externo

FASE DE PLANEAMIENTO

Alcance por procesos en equipo  Lluvia de ideas  Diagramación de flujo  Teoría de procesos  Benchmarking Talleres CSA  Perfil de riesgos críticos (Unid. Riesgos) Técnica Delphi Causa – efecto Mapeo de controles 

   S    O    C    A   I    I   T    I    R    R    O    T   C    I   S    D    O    U    A   G    S    E   E    I    D    R    A    N    M    E    A    O    R    D    G    A    O    C    R    P   O    F    N    E

   O    P    M    A    C    E    D    O    J    A    B    A    R    T

   E    M    R    O    F    N    I

Trabajo

Reporte alineado a la cultura de riesgos de la organización

Fases de planeamiento de auditoría basada en riesgos Diseño proceso auditables

Debilidades de control según autoevaluación

Planeamiento

Mapa de controles y elaboración de programa

+

Trabajo de campo

Elaboración de informe

Pruebas de auditoría en riesgos sensibles Resultados de gestión de riesgos dueños procesos

Inventario de amenazas o causas de riesgos

Debilidades de control

Seguimiento

Diseño del proceso auditable Fase planeamiento Diseño proceso auditables

Planeamiento

Objetivo Tener conocimiento detallado de funcionamiento de procesos auditable para formular primeras hipótesis de posibles debilidades de control

Entregables Diagramas de Flujo/Jerárquico, matriz de descomposición de procesos en actividades y tareas

Actividades Levantamiento de información: Procedimientos, MOF, referencia de benchmark, revisión papeles de trabajo pasados, entrevistas, etc Diagramación y descomposición del procesos (Actividades, tareas) Trabajo en equipo para entendimiento conjunto de la materia auditable •

•

•

Ejemplo

DIAGRAMACIONDEACTIVIDADESY TAREAS CÓDIGO ACTIVIDAD B:

B1

Negociacióny Ejecuciónde Operaciones

B2

B3

Análisis demercados y tasas y precios referenciales

Determinaciónde niveles deliquidez paralainversión

Negociacióny Ejecuciónenfirmede las operaciones

B4 Generaciónde órdenes depago

TAREAS:

-

-

-

Conciliar los reportes contables y registros internos paraestablecer  montos ainvertir. Establecermárgenes disponibles ainvertir en las entidades del exterior  segúnlímites disponibles. Fijar niveles ed desviaciónautorizados por AltaDirección. -

Obtener información oportunadelos mercados, comentarios técnicos y noticias delos servicios de información. Informesperiódicos delos principalesbrokersy bancos deinversión. Análisisparatomar  decisiones conbaseenla informacióndisponibley pautas del Comitéde Inversiones. Determinar losmontosy períododevigenciapara las negociaciones.

-

-

Establecerdepósitosaplazo endivisas,compra- ventade divisas y valores,depósitos a plazoenoro. Determinar laposicióndelas transacciones. Reconocer los intereses, primas,descuentos. Calcularlosinteresesoprimas ganados. Ejecutar lospagos por  acuerdos financieros a organismos. Ejecutar los pagospor cuenta deotras áreas del Banco. Efectuartransferenciasde fondos BCRP-BancaLocal por  LBTR,ALADI,otros.

Verificar los adtos parala confirmacióndelas operaciones delas hojas de trabajodeoperaciones realizadas enel día. Imprimir los términos ed negociaciónenfirmepor  DealingSystemsdeReuters. Recepcióny envíodelTrade Ticket-Bloomberg confirmandolaoperaciónde valores. Registrar las operaciones enel SistemaIntegral de Registroy ejecucióndepasos decontrol.

Debilidades de control según autoevaluación (CSA) Fase planeamiento

Objetivo Identificar las debilidades de control según percepción de dueños de procesos auditable

Debilidade s de control según autoevalu ación

Actividades Preparar plan de trabajo de sesión CSA Elaborar presentación de difusión de control interno Cuestionarios para evaluación de marcha de componentes de control interno Realizar sesión de taller de CSA Elaborar informe ejecutivo y difundir a cliente • •

•

• •

Planeamiento

Entregables Debilidades de control capturadas de resultado de evaluación de cuestionario CSA relacionadas a perfil de riesgos de la entidad

Ejemplo Ambiente de control 89.62 90 85

CUESTIONARIODEAUTOEVALUACIÓNDELCONTROLINTERNO Fecha de au tocontrol: 14 de abril del 2005 Responsable: M a r c a r c o n ( X ) d o n d e c o r r e s p o nadl a a p r e c i a c i ó n m á s c e r c a n a d e l a u d oi tr . C o n ( 5 ) s e i n d i c a q u e e l s i s t e m a d e c o n t r o l i n t e r n o e s t á e x c ee ln t e ( f u e r t) eo q u e n o o juicio de valor que ponga en duda la fortaleza de

I NS I NG FI CI A TN E

M NI I OM

1

I. Ambiente de control E l a m b i e n te d e

c o n tr o l s e

e x i s t e n i n g ú n e l e m e no t

l sistema de control. C

r e fi e r e a l e s ta b l e c i m i e n to

10% deun

M E ID A

2

8

0

e n to r n o q u e e s ti m u l e e

S U EP RI O R

3

A L OT

4

0

i n fl u e n c i e l a s

5

0

ta r e a s d e l

0

80

p e r s o n a l 

r e s p e c to a l d e s a r r o l l o d e s u s a c ti v i d a d e s . 1

¿Sepercibeque

elpersonalinvolucradoenlasoperacionesdeventas

actuan en un marco de integridad y valores éticos? 2 3

¿Seobservaqueentrelosempleadosdelasáreasvinculadasalasventas

4

¿ S e d i s t i n g u e q u e e s t á n v i n c u l a od s l o s o b j e t i v o s d e l p r o c e s o d e v e n t a s c o n l o so b j e t i v o se s t r a t é g i c o sd e lN e g o c i o ?

5

¿Se observa que el personal de ventas existe conflic

6

¿ S eh a nd e t e c t a d os i t u a c i o n e sd eu s on o

existe

7

0

0

0

0

1

0

0

0

0

una

relación

interpersonal

armoniosa?

1

0

0

0

0

alguna

normatividad?

¿ L a st a r e a se ne lá r e a

Están

vigentes

y

1

0

0

0

0

actualizados?

d ev e n t a ss ed e s e m p e ñ a nd e

1

0

0

0

0

1

0

0

0

0

1

0

0

0

0

1

0

0

0

0

88

I I .E v a l u a c i ó n d e r i e s g o s 20% 3 0 0 0 L a e v a l u a c i nó d e r i e s g so i n v o l u rc a l a i d e n t i fci a c i ó n y a n á l i s si d e r i e s g o s r e l e v a n t e s p a r a e l n o r m a l  d e s e n v o l iv m i e n t o d e l a s v e n t a s , a s í c o m o l a b a s e p a r a d e t e r m i n a r l a f o r m a e n q u e t a l e s r i e s g o s d e b e n s e r   m a n e ja d o s .

75 70

Evaluación de riesgos 89.33

65

a c u e r d oal aa u t o r i d a d

y r e s p o n s a b ii dl a da s i g n a d a s ?

9

Monitoreo

to de intereses?

c o o r d i n a d od ea l g u n a sv e n t a s ?

¿ E s t á n c l a r a m e n t e e s t a b l e cd i o s l o s n i v e l e s d e r e s p o n s a b i l i d a d y a u t o rd i a d en

8

1

¿Enelpersonalencargadodelasventassepercibequeexisteunaactitud positiva sobre la naturaleza del control interno?

0

¿ E x i s t e e v i d e n c i a d e q u e s e i d e n t i f i c a n y e v a l au n c o n f r e c u e n c i a l o s r i e s g o s

10

d el a sa c t i v i d a d e sc o m p r e n d i d a se nl a so p e r a c i o n e sd ev e n t a s ? ¿Aldetectarprobablesamenazas dealgúnriesgo setoman

11

rápidamente para mitigarlos? ¿ L o sr i e s g o sd e t e c t a d o sc u e n t a nc o n

1

0

0

0

1

0

0

0

1

0

0

0

0

0

0

0

acciones 0

p l a n e sd ec o n t i n u i d a ds u f i c i e n t e ?

I I I .A c t i v i d a d e s d e c o n t r o l L a a c ti v i d a d e s d e

30 %

c o n tr o l s e r e fi e r e n a

5

lasaccionesque

r e a l i az e l

p e r s o n a l p a r a m i ti g a r l o s r i e s g o s b a jo

0

0

s u 

responsabilidad. 12

¿Sepercibequeloscontrolesdispuestosenlosprocedimientossevienen

14

cumpliendo? ¿ E x i s t eu n aa p r o p i a d as e g r e g a c i ó nd ef u n c i o n e s ?

15

¿ E x i s t e np l a n e sd ec o n t i n g e n c i a sy a n t i e n e n a c t u a lz i a d a s l a s

0

0

0

0

0

0

0

0

1

0

0

0

0

e s t á nf u n c i o n a n d o ?

16

¿Sem

17

¿ E x i s t e n s u f i c i e n t e s c o n t r oe ls q u e a s e g u r e n e l é x i t o

p o l í tc i a s y

p r o c e d i m i e not s ? E s t á n

por  1

escrito? o p e r a c i o n se ?

1 1

0

0

0

0

delasactividadesu 1 I NS I NG FI CI A TN E

0 M NI I OM

0 M E ID A

0 S U EP RI O R

0

Información y comunicación 87

Actividades de control 89.2

A L OT

14.10.2005 11.04.2006

Inventario de amenazas o causas de riesgos Fase Objetivo Actividades planeamiento Identificar amenazas o causas de riesgos para priorizar pruebas de acuerdo a mapa frecuencia e impacto

•

•

•

Planeamiento

Inventari o de amenaza so causas de riesgos

Diagramación de causa – efecto para identificar universo de amenazas o causas de riesgo Construir escalas de tablas para medición en mapas de frecuencia e impacto Codificar universo de amenazas y seleccionar aquellas de mayor preocupación Referenciar amenazas según perfil de riesgos de la entidad •

Entregables Inventario y selección de las amenazas o causas de riesgo donde focalizar las pruebas de auditoría

Ejemplo DIAGRAMA CAUSA - EFECTO 1. RIESGO OPERACIONAL PERSONAS

Hipótesispreliminar: En la custodia y vigencia de los términos y condiciones del contrato habrían deficiencias de cumplmiento. Legal

Amenazaso causas de riesgo

delentorno

CONOCIMIENTO

Efectos

Desconocimiento

Desconocimiento  jurídico

FACTOR: 1.1 COMPETENCIA / ADECUACION /

de poderesde

a

Inadecuada disponibilidad de recursos humanos para ejecutar los procesos.

b

Falta de conocimientos, habilidades o actitudes de personalidad.

c

Falta de disponibilidad o alejamiento del personal clave.

d

Insuficiente conocimiento de la organización.

e

Falta de un apropiado entrenamiento del personal.

firmas autorizadas

Inoperatividad delcontrato Negligencia

Imprecisión organizativa

Desinformación de archivos

Desconocimiento Desinterés

Procesos Personas

Conocimiento inadecuado de clientes, productos y prácticas de negociación.

Mapa de controles y elaboración del programa Fase planeamiento

Planeamiento

Mapa de controles y elaboració n de programa

Objetivo Mediante el empleo de mapas de frecuencia x impacto seleccionar debilidades de control para centralizar pruebas de auditoría

Actividades Construir mapas de frecuencia e impacto con amenazas o causas de riesgo seleccionadas Tomar en consideración estado de la evaluación de riesgos por dueños de proceso Dar prioridad en la identificación de las pruebas de auditoría a las amenazas ubicadas en zona sensible de análisis frecuencia e impacto Continuar elaborando pruebas de auditoría de acuerdo a capacidad operativa •

•

•

•

Entregables Programa para efectuar pruebas de auditoría alineado y focalizado en los riesgos sensibles

Ejemplo  Anexon° 2

8

Constante

7

Habitu al

6

Frecuente

Evaluarelfuncionamientode laestructuradelcontrol intern oen elmanejode las opera ciones de i n v er s o i n e s i n te r n ac i o na l e s, v e ri f i ca n d o q u e f u n ci o n e c o n t i n ua m e nt e y d e a c u er d o a l o s lineamientos establecidos

5

Modera do

Objetivos específicos

4

Ocasional

3

Esporádico

2

Remoto

1

Impro bable

PROGRAMA DE AUDITORIA ObjetivoGeneral

 A

B

C

X

X

X

X X

X

1

2

5

Crítico Desastro. Catastr. 10

20

50

X

C) D) E)

I na ce pt ab le

I na dm is ib le

E

COD OBJ 1

2

4 5

X

6

DESCRIPCIÓNDELOS OBJETIVOSA CUBRIR Comprobarquelas operacionesdeinversionesinternacionalesse hayanefectuadode acuerdoalaspolíticasylineamientos aprobadosporel Directorioparala administr acióndela Reservas Internacionales. Comprobarquelas medidasdecontrol paramitigar los riesgos hanoperadoefectivamente duranteelperíodobajoexamen. C o m pr o ba r q u e e l á r ea d e i n v e rs i o ne s c u e nt e c o n a d ec u a do soporteparaelmonitoreo,negociaciónyregistrodelas operacionesyque secumplanlosprocedimientosestablecidos. Comprobarladocumentacióndelsustentocontablede los resultadosde las operacionesdeacuerdoa losusos y costumbre yprocedimiento s establecidos enelmanualde inversiones. E x am i n ar l a v i g en c i a y c u s to d a i d e l o s c o nt r at o s o e s t a do s d e controldelosinstrumentosfinanciero senfavor delBanco. Evaluarelestadoe implementacióndelasrecomendaciones formuladaspor AuditoríaInternay/olosórganosdecontrol externo.

De conformidad con la NAGU3.10 Estudio yEvaluación del control interno y el Manual de Auditoría Gubernament alMAGU; losobjetivosdelcontrol internosonlossiguientes:  A) B)

T ol er ab le

X

X

3 X

X

Insignif. Marginal Grave

A ce pt ab le

D

X

Promoverla efectividad,eficienciayeconomía en las ope raciones yla calidad enlos servicios; Protegeryconservarlos recursos públicos contra cualquierpérdida, des pilfarro, uso indebido, irregularidadoactoilegal; Cumplirlas leyes, reglamentos yotras normas gub ernamentales. Elaborarinformación financier a váliday confiable, present ada con oportunidad. Promoveruna Culturade Integridad, Transpare nciay Respondabilid ad en la función Pública, cautelandoelcorrectodesempeñodelos servidores.

Producto final: Satisfacción para cliente SÍNTESIS DE LA ACCION DE CONTROL Macroproceso: Gestión de Recursos Humanos Materialidad: Valorexpuestoa riesgos(miles S/):137746 CSA: Percepciónpreviadelcontrol internosegúndueñosdel proceso:(4.13puntos)21.05.2008

Diseño proceso auditables

CSA: Resultadosde la Evaluación según dueñosdel Proceso (Antes de la Auditoría)

Puntaje Final BAJO MEDIO

INADECUADO

Componentesdec ontrolinterno  Ambiente de control

40%

Evaluación de riesgos

5%

 Actividades de control gerencial

Debilidades de control según autoevaluación

Planeamiento

Inventario de amenazas o causas de riesgos

Mapa de controles y elaboración de programa

Trabajo de campo

Elaboración de informe

PESO

0.000 - 3.000

3.001 - 3.500

3.501 - 4.000

ALTO 4.001 - 5.000

20%

 Actividades de prevención y monitoreo

5%

Sistemas de ni formació n y comunic ación

10%

S eguimient ode res ult ados

10%

C om pr omi so s d em ej or am ei nt o

1 0%

15

Resultado de la Auditoría Fecha de término de la Acción de Control: 15.01.2009 Oportunidades de Mejora (Amenazas) 1 2 3 4 5 6 7 8 9 10 11 12 13

Precisarelcumplimientode las retenciones pormandatojudicial

Categoría de Riesgo Operacional:Legal

Formalizareltipo dedescuentos enla liquidaciónporcesede trabajadores * Operacional:Legal A ct ual zi a rl os e xped ei nt es de pe sr on al *

O per ac oi na :l P er so nas

M ej or ar l a ni fo m r ac ói n en l as r es eñ as l ab or al es *

O pe ra ci on al : Pe sr on as

ElaborarunapolíticaintegraldegestióndelPlanAnualdeCapacitación *

Operacional:Procesos

A ct ual zi a rel re gi st or de la ca pac ti ac ói n *

O per ac oi na :l P er so nas

D ef ni ri e l p al zo p ar a pr ác ti ca s pr e - p ro fe si on al es *

O pe ra ci on al : P er so na s

Desar ro lla r contro lesdeac cesoal osaplcat i i v osi nfor máticos *

Oper acional:TI

Establecerperfilesdeacceso alos aplicativos segúnfunciones delpuesto *

Operacional:TI

E fe ct ua r pe ri ód ci am en et i n ve nt ar oi d e m ed ci ni as *

O pe ra ci on al : P er so na s

Actualizarlaconfirmacióndegrados y/otítulos depersonalingresante

Operacional:Personas

F or ma il za r el p er oi do d e p ru eb a de l pe rs on al i ng re sa nt e

O pe ra ci on al : P er so na s

D em oras en las li qui daci on es del P er son al */ Pendientesdesolución

O per ac oi nal : Per so nas

Mapa de debilidades de Control Interno Componentes deControl Interno

Objetivosde Control Interno Recursos Confiabilidad Impulsar Rendiciónde Operaciones Públicos Cumplimiento Financiera Valores Cuentas

3, 4, 5, 7, 12

biente de Control luaciónde Riesgos

1, 2, 8, 9, 13

ividades de Control Gerencial ividades de PrevenciónyMonitoreo

10

emas de InformaciónyComunicación uimiento de Resultados promiso de Mejoramiento

6, 11

NuevoPeso despuésdela Auditoría

25% 5% 4 0% 10% 5% 10% 5%

Mapa de debilidades de control por tipo de riesgos Componente de Control interno

Tipo de riesgos

Estratégicos

Financieros

 Ambiente de control Evaluación de riesgos Actividades de control

Información y comunicación Seguimiento

ESCALA DE MEDICION  ALTO

11 - Más

MEDIO

6 - 10

BAJO

1- 5

Operativos

Conclusiones Este enfoque pone énfasis a la gestión estratégica, de riesgos y de procesos. Evoluciona de acuerdo al avance de la gestión de riesgos. •

Evita realizar o sustituir formalmente actividades que le competen a la gestión de riesgos. •

•

Fortalece el marketing del auditor ante sus clientes.

La metodología evoluciona dependiendo del tamaño y complejidad de la entidad, perfil de conocimiento y apertura al cambio de paradigma de los auditores. •

El avance hacia una auditoría basada en riesgos debe cuidar que los gestores de riesgos y auditores reconozcan que sus métodos de trabajo no interfieren, por el contrario, fortalece sus actividades. •

GRACIAS......