CEMLA: XI Reunión de Auditores Internos de Banca Central
Guía para una metodología de auditoría basada en riesgos
Juan Villanueva Chang Setiembre, 2011
La creatividad e Innovación Adelantarse
Capacidad de síntesis
Ver la oportunidad
• Una persona creativa es ágil y flexible • Tiene libertad de pensar, expresar y
actuar sin miedo • La constante en la vida es el cambio
• Participando de la curiosidad intelectual • Capacidad de tomar las cosas de
distintas fuentes • Integrarlas en algo coherente
• Desarrollar capacidad de observación • Estar receptivos a las impresiones que
nos vienen del interior y exterior
“Las ideas no duran mucho. Hay que hacer algo con ellas” Santiago Ramón y Cajal
Objetivo del tema El presente trabajo da pautas de como elaborar una metodología de auditoría con base en riesgos. •
Se aplica en la elaboración del plan anual de auditoría y la fase de planeamiento para elaborar una auditoría (Risk based audit planning). •
•
La presente guía no es única ni obedece a un estándar en particular.
La meta consiste en diseñar un programa de auditoría centralizado en los riesgos críticos del negocio. •
El cambio metodológico debe ser progresivo en tanto se fortalezca la cultura de gestión de procesos y riesgos en la organización. •
La auditoría moderna “Evaluar y mejorar la eficacia de los procesos de gobierno, riesgos y control”
Gobierno Riesgos Planeamiento de auditoría basada en riesgos
Control
¿Qué es auditoría basada en riesgos? “La auditoría basada en riesgos es un proceso, un acercamiento, una metodología y una actitud en torno al tema. La manera más simple de definir una auditoría basada en riesgos consiste en revisar las cosas que realmente importan en su organización. Otra manera de trabajar la auditoría basada en riesgos es con la ayuda de la teoría de proceso” Fuente: Phil Griffiths (2009) en su documento “Risk Based Auditing”
Ámbito de aplicación de la metodología Primera Etapa: La entidad se encuentra desarrollando los primeros niveles del proceso de gestión de riesgos (Establecer el contexto, identificación y análisis de riesgos).
Segunda Etapa: La entidad ha culminado en desarrollar los niveles del proceso de gestión de riesgos (Establecer el contexto, identificación, análisis y evaluación de riesgos) y ha puesto en práctica el tratamiento al riesgos
Plan Anual de auditoría basada en riesgos Procesos críticos de relevancia según tamaño del impacto de riesgo (Dueños de procesos o Gerencia de Riesgos). Antigüedad de última auditoría. Proceso no auditado según cadena de valor y nuevo enfoque. Sugeridas por dueños de procesos o por Alta Dirección. Criticidad: Carencia de controles, alta rotación de personal, cambio de funciones, procedimientos, eventos recientes, denuncias, etc Exposición a eventos externos e internos de la organización. Criterio propio de auditores (resultados de CSA, importancia de resultados de recomendaciones) •
• • • •
• •
Métricas de Procesos Auditables Universo de procesos
Unidad Organizacional
Proceso 1
XXXX
Proceso 2
XXXXX
Responsables
Gasto Operativo
Última Auditoría
Factor Tamaño
Factor Control
Factor CSA
Riesgo Crítico Corporativo 1/
Riesgo tratado
Proceso 3 Proceso 4 Proceso n 1/ Información proporcionada por la G erencia de Riesgos
Escala de Factor Control
Escala de Factor CSA ESCALA FACTOR TAMAÑO
(Mínima prioridad de auditoría) A = Alto 4.001 - 5.000 B = Medio 3.501 - 4.000 C = Bajo 3.001 - 3.500 D = Inadecuado 0.000 - 3.000 (Máxima prioridad de auditoría) El factor de CSA introduce la puntuación sobre la marcha de los componentes de control interno según los dueños del proceso, obtenida mediante talleres de autoevaluación de control.
(Tamaño máximo) 5= Más de 5,0 mill 4= Entre 1,01 y 5,0 mill 3= Entre 101 y 1, 0 mill 2= Entre 11 y 100 mil 1= Entre 0 y 10 mil. (Tamaño Mínimo) El factor de tamaño considera el criterio de relevancia según el valor de las actividades o tareas del proceso.
(Riesgo máximo de control) 5= Alto Más de 21 4= Super ior 16 a 20 3= Medio 11 a 15 2= Mínimo 5 a 10 1= Ninguno 0a 4 (Riesgo mínimo de control) El factor de control es el resultado de la cantidad de debilidades de control detectadas en última auditoría.
Riesgo residual
Métricas de Procesos Auditables Universo de procesos
Exigencia legal, normativa
Proceso 1
XXXX
Proceso 2
XXXXX
Alineamiento Estratégico 2/
Objetivos de Control Interno 3/
Componente de Control Interno 4/
Cantidad de debilidades de control según perfil de riesgos 5/
Pruebas de auditoría 6/ Técnica Integral
Técnica selectiva Muestreo estadístico
Proceso 3 Proceso 4 Proceso n
2/ Vinculación con el objetivo y actividad estratégica vigente. 3/ Priorizar de acuerdo a su naturaleza a que tipo de objetivo de control interno es factible analizarlo. 4/ De acuerdo a su naturaleza sobre que tipo de componentes de control interno se debe analizar. 5/ Vincular las debilidades de control al perfil de riesgos de la organización. 6/ Por la característica de los elementos a ser revisados identificar el tipo de muestreo a emplear.
Muestreo no estadístico
Planeamiento de auditoría basada en riesgos Contexto interno
Contexto externo
FASE DE PLANEAMIENTO
Alcance por procesos en equipo Lluvia de ideas Diagramación de flujo Teoría de procesos Benchmarking Talleres CSA Perfil de riesgos críticos (Unid. Riesgos) Técnica Delphi Causa – efecto Mapeo de controles
S O C A I I T I R R O T C I S D O U A G S E E I D R A N M E A O R D G A O C R P O F N E
O P M A C E D O J A B A R T
E M R O F N I
Trabajo
Reporte alineado a la cultura de riesgos de la organización
Fases de planeamiento de auditoría basada en riesgos Diseño proceso auditables
Debilidades de control según autoevaluación
Planeamiento
Mapa de controles y elaboración de programa
+
Trabajo de campo
Elaboración de informe
Pruebas de auditoría en riesgos sensibles Resultados de gestión de riesgos dueños procesos
Inventario de amenazas o causas de riesgos
Debilidades de control
Seguimiento
Diseño del proceso auditable Fase planeamiento Diseño proceso auditables
Planeamiento
Objetivo Tener conocimiento detallado de funcionamiento de procesos auditable para formular primeras hipótesis de posibles debilidades de control
Entregables Diagramas de Flujo/Jerárquico, matriz de descomposición de procesos en actividades y tareas
Actividades Levantamiento de información: Procedimientos, MOF, referencia de benchmark, revisión papeles de trabajo pasados, entrevistas, etc Diagramación y descomposición del procesos (Actividades, tareas) Trabajo en equipo para entendimiento conjunto de la materia auditable •
•
•
Ejemplo
DIAGRAMACIONDEACTIVIDADESY TAREAS CÓDIGO ACTIVIDAD B:
B1
Negociacióny Ejecuciónde Operaciones
B2
B3
Análisis demercados y tasas y precios referenciales
Determinaciónde niveles deliquidez paralainversión
Negociacióny Ejecuciónenfirmede las operaciones
B4 Generaciónde órdenes depago
TAREAS:
-
-
-
Conciliar los reportes contables y registros internos paraestablecer montos ainvertir. Establecermárgenes disponibles ainvertir en las entidades del exterior segúnlímites disponibles. Fijar niveles ed desviaciónautorizados por AltaDirección. -
Obtener información oportunadelos mercados, comentarios técnicos y noticias delos servicios de información. Informesperiódicos delos principalesbrokersy bancos deinversión. Análisisparatomar decisiones conbaseenla informacióndisponibley pautas del Comitéde Inversiones. Determinar losmontosy períododevigenciapara las negociaciones.
-
-
Establecerdepósitosaplazo endivisas,compra- ventade divisas y valores,depósitos a plazoenoro. Determinar laposicióndelas transacciones. Reconocer los intereses, primas,descuentos. Calcularlosinteresesoprimas ganados. Ejecutar lospagos por acuerdos financieros a organismos. Ejecutar los pagospor cuenta deotras áreas del Banco. Efectuartransferenciasde fondos BCRP-BancaLocal por LBTR,ALADI,otros.
Verificar los adtos parala confirmacióndelas operaciones delas hojas de trabajodeoperaciones realizadas enel día. Imprimir los términos ed negociaciónenfirmepor DealingSystemsdeReuters. Recepcióny envíodelTrade Ticket-Bloomberg confirmandolaoperaciónde valores. Registrar las operaciones enel SistemaIntegral de Registroy ejecucióndepasos decontrol.
Debilidades de control según autoevaluación (CSA) Fase planeamiento
Objetivo Identificar las debilidades de control según percepción de dueños de procesos auditable
Debilidade s de control según autoevalu ación
Actividades Preparar plan de trabajo de sesión CSA Elaborar presentación de difusión de control interno Cuestionarios para evaluación de marcha de componentes de control interno Realizar sesión de taller de CSA Elaborar informe ejecutivo y difundir a cliente • •
•
• •
Planeamiento
Entregables Debilidades de control capturadas de resultado de evaluación de cuestionario CSA relacionadas a perfil de riesgos de la entidad
Ejemplo Ambiente de control 89.62 90 85
CUESTIONARIODEAUTOEVALUACIÓNDELCONTROLINTERNO Fecha de au tocontrol: 14 de abril del 2005 Responsable: M a r c a r c o n ( X ) d o n d e c o r r e s p o nadl a a p r e c i a c i ó n m á s c e r c a n a d e l a u d oi tr . C o n ( 5 ) s e i n d i c a q u e e l s i s t e m a d e c o n t r o l i n t e r n o e s t á e x c ee ln t e ( f u e r t) eo q u e n o o juicio de valor que ponga en duda la fortaleza de
I NS I NG FI CI A TN E
M NI I OM
1
I. Ambiente de control E l a m b i e n te d e
c o n tr o l s e
e x i s t e n i n g ú n e l e m e no t
l sistema de control. C
r e fi e r e a l e s ta b l e c i m i e n to
10% deun
M E ID A
2
8
0
e n to r n o q u e e s ti m u l e e
S U EP RI O R
3
A L OT
4
0
i n fl u e n c i e l a s
5
0
ta r e a s d e l
0
80
p e r s o n a l
r e s p e c to a l d e s a r r o l l o d e s u s a c ti v i d a d e s . 1
¿Sepercibeque
elpersonalinvolucradoenlasoperacionesdeventas
actuan en un marco de integridad y valores éticos? 2 3
¿Seobservaqueentrelosempleadosdelasáreasvinculadasalasventas
4
¿ S e d i s t i n g u e q u e e s t á n v i n c u l a od s l o s o b j e t i v o s d e l p r o c e s o d e v e n t a s c o n l o so b j e t i v o se s t r a t é g i c o sd e lN e g o c i o ?
5
¿Se observa que el personal de ventas existe conflic
6
¿ S eh a nd e t e c t a d os i t u a c i o n e sd eu s on o
existe
7
0
0
0
0
1
0
0
0
0
una
relación
interpersonal
armoniosa?
1
0
0
0
0
alguna
normatividad?
¿ L a st a r e a se ne lá r e a
Están
vigentes
y
1
0
0
0
0
actualizados?
d ev e n t a ss ed e s e m p e ñ a nd e
1
0
0
0
0
1
0
0
0
0
1
0
0
0
0
1
0
0
0
0
88
I I .E v a l u a c i ó n d e r i e s g o s 20% 3 0 0 0 L a e v a l u a c i nó d e r i e s g so i n v o l u rc a l a i d e n t i fci a c i ó n y a n á l i s si d e r i e s g o s r e l e v a n t e s p a r a e l n o r m a l d e s e n v o l iv m i e n t o d e l a s v e n t a s , a s í c o m o l a b a s e p a r a d e t e r m i n a r l a f o r m a e n q u e t a l e s r i e s g o s d e b e n s e r m a n e ja d o s .
75 70
Evaluación de riesgos 89.33
65
a c u e r d oal aa u t o r i d a d
y r e s p o n s a b ii dl a da s i g n a d a s ?
9
Monitoreo
to de intereses?
c o o r d i n a d od ea l g u n a sv e n t a s ?
¿ E s t á n c l a r a m e n t e e s t a b l e cd i o s l o s n i v e l e s d e r e s p o n s a b i l i d a d y a u t o rd i a d en
8
1
¿Enelpersonalencargadodelasventassepercibequeexisteunaactitud positiva sobre la naturaleza del control interno?
0
¿ E x i s t e e v i d e n c i a d e q u e s e i d e n t i f i c a n y e v a l au n c o n f r e c u e n c i a l o s r i e s g o s
10
d el a sa c t i v i d a d e sc o m p r e n d i d a se nl a so p e r a c i o n e sd ev e n t a s ? ¿Aldetectarprobablesamenazas dealgúnriesgo setoman
11
rápidamente para mitigarlos? ¿ L o sr i e s g o sd e t e c t a d o sc u e n t a nc o n
1
0
0
0
1
0
0
0
1
0
0
0
0
0
0
0
acciones 0
p l a n e sd ec o n t i n u i d a ds u f i c i e n t e ?
I I I .A c t i v i d a d e s d e c o n t r o l L a a c ti v i d a d e s d e
30 %
c o n tr o l s e r e fi e r e n a
5
lasaccionesque
r e a l i az e l
p e r s o n a l p a r a m i ti g a r l o s r i e s g o s b a jo
0
0
s u
responsabilidad. 12
¿Sepercibequeloscontrolesdispuestosenlosprocedimientossevienen
14
cumpliendo? ¿ E x i s t eu n aa p r o p i a d as e g r e g a c i ó nd ef u n c i o n e s ?
15
¿ E x i s t e np l a n e sd ec o n t i n g e n c i a sy a n t i e n e n a c t u a lz i a d a s l a s
0
0
0
0
0
0
0
0
1
0
0
0
0
e s t á nf u n c i o n a n d o ?
16
¿Sem
17
¿ E x i s t e n s u f i c i e n t e s c o n t r oe ls q u e a s e g u r e n e l é x i t o
p o l í tc i a s y
p r o c e d i m i e not s ? E s t á n
por 1
escrito? o p e r a c i o n se ?
1 1
0
0
0
0
delasactividadesu 1 I NS I NG FI CI A TN E
0 M NI I OM
0 M E ID A
0 S U EP RI O R
0
Información y comunicación 87
Actividades de control 89.2
A L OT
14.10.2005 11.04.2006
Inventario de amenazas o causas de riesgos Fase Objetivo Actividades planeamiento Identificar amenazas o causas de riesgos para priorizar pruebas de acuerdo a mapa frecuencia e impacto
•
•
•
Planeamiento
Inventari o de amenaza so causas de riesgos
Diagramación de causa – efecto para identificar universo de amenazas o causas de riesgo Construir escalas de tablas para medición en mapas de frecuencia e impacto Codificar universo de amenazas y seleccionar aquellas de mayor preocupación Referenciar amenazas según perfil de riesgos de la entidad •
Entregables Inventario y selección de las amenazas o causas de riesgo donde focalizar las pruebas de auditoría
Ejemplo DIAGRAMA CAUSA - EFECTO 1. RIESGO OPERACIONAL PERSONAS
Hipótesispreliminar: En la custodia y vigencia de los términos y condiciones del contrato habrían deficiencias de cumplmiento. Legal
Amenazaso causas de riesgo
delentorno
CONOCIMIENTO
Efectos
Desconocimiento
Desconocimiento jurídico
FACTOR: 1.1 COMPETENCIA / ADECUACION /
de poderesde
a
Inadecuada disponibilidad de recursos humanos para ejecutar los procesos.
b
Falta de conocimientos, habilidades o actitudes de personalidad.
c
Falta de disponibilidad o alejamiento del personal clave.
d
Insuficiente conocimiento de la organización.
e
Falta de un apropiado entrenamiento del personal.
firmas autorizadas
Inoperatividad delcontrato Negligencia
Imprecisión organizativa
Desinformación de archivos
Desconocimiento Desinterés
Procesos Personas
Conocimiento inadecuado de clientes, productos y prácticas de negociación.
Mapa de controles y elaboración del programa Fase planeamiento
Planeamiento
Mapa de controles y elaboració n de programa
Objetivo Mediante el empleo de mapas de frecuencia x impacto seleccionar debilidades de control para centralizar pruebas de auditoría
Actividades Construir mapas de frecuencia e impacto con amenazas o causas de riesgo seleccionadas Tomar en consideración estado de la evaluación de riesgos por dueños de proceso Dar prioridad en la identificación de las pruebas de auditoría a las amenazas ubicadas en zona sensible de análisis frecuencia e impacto Continuar elaborando pruebas de auditoría de acuerdo a capacidad operativa •
•
•
•
Entregables Programa para efectuar pruebas de auditoría alineado y focalizado en los riesgos sensibles
Ejemplo Anexon° 2
8
Constante
7
Habitu al
6
Frecuente
Evaluarelfuncionamientode laestructuradelcontrol intern oen elmanejode las opera ciones de i n v er s o i n e s i n te r n ac i o na l e s, v e ri f i ca n d o q u e f u n ci o n e c o n t i n ua m e nt e y d e a c u er d o a l o s lineamientos establecidos
5
Modera do
Objetivos específicos
4
Ocasional
3
Esporádico
2
Remoto
1
Impro bable
PROGRAMA DE AUDITORIA ObjetivoGeneral
A
B
C
X
X
X
X X
X
1
2
5
Crítico Desastro. Catastr. 10
20
50
X
C) D) E)
I na ce pt ab le
I na dm is ib le
E
COD OBJ 1
2
4 5
X
6
DESCRIPCIÓNDELOS OBJETIVOSA CUBRIR Comprobarquelas operacionesdeinversionesinternacionalesse hayanefectuadode acuerdoalaspolíticasylineamientos aprobadosporel Directorioparala administr acióndela Reservas Internacionales. Comprobarquelas medidasdecontrol paramitigar los riesgos hanoperadoefectivamente duranteelperíodobajoexamen. C o m pr o ba r q u e e l á r ea d e i n v e rs i o ne s c u e nt e c o n a d ec u a do soporteparaelmonitoreo,negociaciónyregistrodelas operacionesyque secumplanlosprocedimientosestablecidos. Comprobarladocumentacióndelsustentocontablede los resultadosde las operacionesdeacuerdoa losusos y costumbre yprocedimiento s establecidos enelmanualde inversiones. E x am i n ar l a v i g en c i a y c u s to d a i d e l o s c o nt r at o s o e s t a do s d e controldelosinstrumentosfinanciero senfavor delBanco. Evaluarelestadoe implementacióndelasrecomendaciones formuladaspor AuditoríaInternay/olosórganosdecontrol externo.
De conformidad con la NAGU3.10 Estudio yEvaluación del control interno y el Manual de Auditoría Gubernament alMAGU; losobjetivosdelcontrol internosonlossiguientes: A) B)
T ol er ab le
X
X
3 X
X
Insignif. Marginal Grave
A ce pt ab le
D
X
Promoverla efectividad,eficienciayeconomía en las ope raciones yla calidad enlos servicios; Protegeryconservarlos recursos públicos contra cualquierpérdida, des pilfarro, uso indebido, irregularidadoactoilegal; Cumplirlas leyes, reglamentos yotras normas gub ernamentales. Elaborarinformación financier a váliday confiable, present ada con oportunidad. Promoveruna Culturade Integridad, Transpare nciay Respondabilid ad en la función Pública, cautelandoelcorrectodesempeñodelos servidores.
Producto final: Satisfacción para cliente SÍNTESIS DE LA ACCION DE CONTROL Macroproceso: Gestión de Recursos Humanos Materialidad: Valorexpuestoa riesgos(miles S/):137746 CSA: Percepciónpreviadelcontrol internosegúndueñosdel proceso:(4.13puntos)21.05.2008
Diseño proceso auditables
CSA: Resultadosde la Evaluación según dueñosdel Proceso (Antes de la Auditoría)
Puntaje Final BAJO MEDIO
INADECUADO
Componentesdec ontrolinterno Ambiente de control
40%
Evaluación de riesgos
5%
Actividades de control gerencial
Debilidades de control según autoevaluación
Planeamiento
Inventario de amenazas o causas de riesgos
Mapa de controles y elaboración de programa
Trabajo de campo
Elaboración de informe
PESO
0.000 - 3.000
3.001 - 3.500
3.501 - 4.000
ALTO 4.001 - 5.000
20%
Actividades de prevención y monitoreo
5%
Sistemas de ni formació n y comunic ación
10%
S eguimient ode res ult ados
10%
C om pr omi so s d em ej or am ei nt o
1 0%
15
Resultado de la Auditoría Fecha de término de la Acción de Control: 15.01.2009 Oportunidades de Mejora (Amenazas) 1 2 3 4 5 6 7 8 9 10 11 12 13
Precisarelcumplimientode las retenciones pormandatojudicial
Categoría de Riesgo Operacional:Legal
Formalizareltipo dedescuentos enla liquidaciónporcesede trabajadores * Operacional:Legal A ct ual zi a rl os e xped ei nt es de pe sr on al *
O per ac oi na :l P er so nas
M ej or ar l a ni fo m r ac ói n en l as r es eñ as l ab or al es *
O pe ra ci on al : Pe sr on as
ElaborarunapolíticaintegraldegestióndelPlanAnualdeCapacitación *
Operacional:Procesos
A ct ual zi a rel re gi st or de la ca pac ti ac ói n *
O per ac oi na :l P er so nas
D ef ni ri e l p al zo p ar a pr ác ti ca s pr e - p ro fe si on al es *
O pe ra ci on al : P er so na s
Desar ro lla r contro lesdeac cesoal osaplcat i i v osi nfor máticos *
Oper acional:TI
Establecerperfilesdeacceso alos aplicativos segúnfunciones delpuesto *
Operacional:TI
E fe ct ua r pe ri ód ci am en et i n ve nt ar oi d e m ed ci ni as *
O pe ra ci on al : P er so na s
Actualizarlaconfirmacióndegrados y/otítulos depersonalingresante
Operacional:Personas
F or ma il za r el p er oi do d e p ru eb a de l pe rs on al i ng re sa nt e
O pe ra ci on al : P er so na s
D em oras en las li qui daci on es del P er son al */ Pendientesdesolución
O per ac oi nal : Per so nas
Mapa de debilidades de Control Interno Componentes deControl Interno
Objetivosde Control Interno Recursos Confiabilidad Impulsar Rendiciónde Operaciones Públicos Cumplimiento Financiera Valores Cuentas
3, 4, 5, 7, 12
biente de Control luaciónde Riesgos
1, 2, 8, 9, 13
ividades de Control Gerencial ividades de PrevenciónyMonitoreo
10
emas de InformaciónyComunicación uimiento de Resultados promiso de Mejoramiento
6, 11
NuevoPeso despuésdela Auditoría
25% 5% 4 0% 10% 5% 10% 5%
Mapa de debilidades de control por tipo de riesgos Componente de Control interno
Tipo de riesgos
Estratégicos
Financieros
Ambiente de control Evaluación de riesgos Actividades de control
Información y comunicación Seguimiento
ESCALA DE MEDICION ALTO
11 - Más
MEDIO
6 - 10
BAJO
1- 5
Operativos
Conclusiones Este enfoque pone énfasis a la gestión estratégica, de riesgos y de procesos. Evoluciona de acuerdo al avance de la gestión de riesgos. •
Evita realizar o sustituir formalmente actividades que le competen a la gestión de riesgos. •
•
Fortalece el marketing del auditor ante sus clientes.
La metodología evoluciona dependiendo del tamaño y complejidad de la entidad, perfil de conocimiento y apertura al cambio de paradigma de los auditores. •
El avance hacia una auditoría basada en riesgos debe cuidar que los gestores de riesgos y auditores reconozcan que sus métodos de trabajo no interfieren, por el contrario, fortalece sus actividades. •
GRACIAS......