Auditoría (2001577)

Report
COMITÉ DE ENLACE DE AUDITORÍA INTERNA
DEL MUNICIPIO DE MEDELLÍN
Auditoria basada en Riesgos
Agosto 2 de 2013
Pág. 1
Contenidos
1. Justificación
2. Gobierno, riesgo y control
3. Las líneas de defensa frente a los riesgos
corporativos
4. Rol de la Auditoría Interna
5. Criterios para priorizar el programa de auditorías
6. Ejecución de auditoría basada en riesgos
7. Evaluación de controles
1. Justificación
Quienes gestionan el riesgo de forma eficaz y eficiente tienen
más probabilidad de alcanzar sus objetivos y hacerlo a menor
costo, por ello, la gestión de riesgos debe formar parte de la
cultura organizacional.
La Auditoría interna ayuda a la organización a ese cumplimiento
de sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de
gestión de gobierno, riesgo y control
2. Gobierno, riesgo y control
Gobierno es el proceso orientado por los socios y la Junta
Directiva para autorizar, dirigir y supervisar su gestión con el fin
de alcanzar los objetivos de una Empresa.
2. Gobierno, riesgo y control
Entendiendo el Riesgo
AMENAZA
RIESGO
SINIESTRO
Condición con potencial
para causar daños o
perjuicios
Incertidumbre de que se
presenten determinadas
pérdidas
Evento accidental que
tiene consecuencias
negativas
--------------------------
---------------------------
---------------------------
Probabilidad de que ocurra
algo
Probabilidad de que se pierda
algo
Riesgo :
Certeza de que ha ocurrido
una pérdida
f ( probabilidad, consecuencias )
2. Gobierno, riesgo y control
Criterio de vulnerabilidad
NIVEL DE
GRAVEDAD
MÍNIMO
(SMMLV)
MÁXIMO
(SMMLV)
0
8,8
Marginal
Las consecuencias sólo afectan parcialmente
el sistema, pero son considerables
Pérdida de utilidad
bruta operacional entre
una hora y un día.
8,8
1,76
Grave
VULNERABILIDAD
Las
consecuencias afectanMEDIA
totalmente el
Pérdida de utilidad
funcionamiento del sistema, pero de manera
bruta operacional entre
temporal, generando efectos que son
un día y un mes
recuperables
1,76
5.294
Crítico
Las consecuencias afectan totalmente el
Pérdida de utilidad
funcionamiento del sistema generando daños bruta operacional entre
irrecuperables, pero sin hacerlo desaparecer. un mes y un año.
5.294
49.409
Las consecuencias afectan totalmente el
Pérdida de utilidad
funcionamiento del sistema y pueden hacerlo bruta operacional mayor
desaparecer.
de un año.
49.409
DESCRIPCIÓN GENERAL
Las consecuencias no afectan en forma
VULNERABILIDAD BAJA
Insignificante
significativa el sistema
Pérdida de utilidad
bruta operacional
menor a una hora
VULNERABILIDAD ALTA
Catastrófico
6
2. Gobierno, riesgo y control
Calificación de riesgos
Frecuencia
Riesgo = F
Severidad
x
 DM + Op + IC + Vi + MA + SL + Me + Inf
2. Gobierno, riesgo y control
OBJETIVO
Amenaza
RIESGO
1. IDENTIFICACIÓN
RIESGO NO IDENTIFICADO
2. ANÁLISIS
3. VALORACIÓN
4. TRATAMIENTO
REDUCCIÓN
FINANCIACIÓN
Evitar
Aceptar
Prevenir
Retener
Proteger
Transferir
El riesgo
Las pérdidas
Retención
Activa
Retención
Pasiva
Parcial
Total
2. Gobierno, riesgo y control
Calificación del riesgo
R. con tratamiento
Riesgo
con controles
Riesgo
absoluto
2. Gobierno, riesgo y control
Rab
$36.000 - $50.000
$3.000 - $36.000
Rcc
SEVERIDAD (millones de $)
$1.000 - $3.000
$200 - $1.000
$100 - $200
$50 - $100
$20 - $50
Rct
$5 - $20
$1 - $5
$0 - $1
0.02
0.04
0.05
0.07
0.1
FRECUENCIA
(eventos / año)
0.2
1
12
52
3. Las líneas de defensa frente a los riesgos corporativos
La primera línea de defensa frente a los riesgos está conformada
por la Alta Dirección. Las áreas o procesos tienen la propiedad y
responsabilidad para evaluar, controlar y mitigar los riesgos y
deben garantizar el mantenimiento de controles internos
efectivos.
El Sistema de Control Interno es una responsabilidad de los
Socios y de la Junta Directiva, de la dirección y de todo el
personal de una entidad, diseñado con el objeto de proporcionar
una seguridad razonable en cuanto a la consecución de objetivos
dentro de las siguientes categorías: eficacia y eficiencia de las
operaciones, fiabilidad de la información, cumplimiento de las
leyes y normas aplicables y salvaguarda de sus activos.
3. Las líneas de defensa frente a los riesgos corporativos
La segunda línea de defensa la constituyen algunas funciones
especializadas como:
• Gestión de Riesgos, esta función facilita y vigila la aplicación
de las prácticas efectivas de gestión de riesgos, por parte de los
propietarios de los riesgos y les ayuda a medir el nivel de
exposición al riesgo y a comunicar información adecuada de los
riesgos a la organización.
• Cumplimiento, orientada a verificar el control de los riesgos de
no conformidad con la aplicación de leyes y reglamentos
externos e internos.
• Otras funciones de características transversales a los
procesos: Control Financiero, Seguridad, Calidad e Inspección.
3. Las líneas de defensa frente a los riesgos corporativos
Auditoría Interna constituye la tercera línea de defensa y es el
control de los controles. La Auditoría Interna, proporciona
aseguramiento a los órganos de gobierno de la organización
sobre la efectividad de la evaluación y gestión de riesgos,
incluyendo la verificación de forma en que operan la primera y la
segunda línea.
El IIA ha establecido un esquema de abanico que ilustra la
actuación para Auditoría Interna dentro de la Gestión de Riesgos,
de forma que delimita claramente su rol a las funciones de
aseguramiento, y como mucho a las funciones de consultoría,
pero en ningún caso debe asumir funciones ejecutivas en la
definición, respuesta y gestión de los riesgos.
4. Rol de la auditoría en la gestión de riesgos
4. Rol de la Auditoría Interna
De acuerdo con la declaración del Instituto Internacional de
Auditores sobre el Rol de la Auditoría Interna en la Gestión del
Riesgo Empresarial, se enmarca en tres grupo de actividades:
Roles fundamentales de la auditoría interna respecto al ERM:
• Brindar aseguramiento respecto de los procesos de gestión de
riesgo.
• Brindar aseguramiento sobre la correcta evaluación de los
riesgos.
• Evaluar el reporte de riesgos claves.
• Revisar la gestión de los riesgos claves.
4. Rol de la Auditoría Interna
Roles legítimos de auditoría interna que deben realizarse con
salvaguarda:
•
•
•
•
•
Facilitar la identificación y evaluación de riesgos.
Asesorar a la gerencia sobre respuesta a riesgos.
Coordinar actividades de ERM.
Consolidar reportes sobre riesgos.
Mantener y desarrollar el enfoque de gestión de riesgo
empresarial.
• Defender el establecimiento del ERM.
• Desarrollar estrategias de gestión de riesgo para aprobación
de la junta.
4. Rol de la Auditoría Interna
Roles que auditoría interna NO debe realizar:
•
•
•
•
•
Establecer el grado de aceptación al riesgo.
Imponer procesos de gestión de riesgo.
Manejar el aseguramiento sobre los riesgos.
Tomar decisiones en respuesta a los riesgos.
Implementar respuestas a riesgos en nombre de la
administración.
• Tener responsabilidad de la gestión de riesgo.
5. Criterios para priorizar el programa de auditorías
Se proponen algunos criterios objetivos y pasos a seguir
para la identificación de las prioridades en la realización
de un programa de auditorías, con el propósito de
agregar un mayor valor y cubrir las necesidades de cada
empresa, en materia de control, riesgo y cumplimiento.
5. Criterios para priorizar el programa de auditorías
Pasos
1. Definir el universo auditable
Se debe determinar cual será la totalidad de procesos,
proyectos, contratos o áreas a auditar. Se entiende por
“Universo Auditable”, la totalidad de unidades de auditoría
que se podrían realizar.
El “Ente o Unidad Auditable”, es cada uno de los posibles
elementos o actividades a auditar.
Se recomienda tomar como universo auditable todos los
procesos o áreas de la entidad, donde cada una de estas
serán los entes o unidades auditables (Ej: Talento Humano,
Contabilidad, Mercadeo, entre otros).
5. Criterios para priorizar el programa de auditorías
2. Aplicación de Variables
Con base en el universo auditable, a cada unidad auditable
se le aplican las siguientes variables, con su rango de
calificación:
Variable
Calificación
B
M
A
1. Cumplimiento de Indicadores del Cuadro de
Mando Integral (CMI)
1
3
5
2. Participación en el Presupuesto de Ingresos o
Egresos
1
3
5
3. Contrato de Impacto Misional
1
4. Valor del Contrato
1
3
5
5. Resultados Entes de Control (Contraloría)
1
3
5
6. Calificación de los riesgos del proceso
1
3
5
5
5. Criterios para priorizar el programa de auditorías
Cumplimiento de Indicadores del Cuadro de Mando Integral
(CMI): Se refiere a los resultados de los indicadores del CMI
relacionados con cada ente auditable o proceso (si no tiene
indicadores no se califica). Se califica con base en el resultado
de estos en el año inmediatamente anterior, con el siguiente
rango:
• Si el indicador está en verde, su calificación es 1 (Bajo)
• Si el indicador está en amarillo, su calificación es 3
(Medio)
• Si el indicador está en rojo, su calificación es 5 (Alto)
En el caso de que se tengan varios indicadores bajo la
responsabilidad de un mismo proceso, se realiza una
ponderación de los mismos.
5. Criterios para priorizar el programa de auditorías
Participación en el Presupuesto de Ingresos o Egresos: Se
refiere a la participación que tiene el proceso auditado
dentro del presupuesto de ingresos o egresos, teniendo en
cuenta los siguientes aspectos:
• Si el presupuesto está entre el 0.001% y el 3.5%, se
califica como 1 (Bajo)
• Si el presupuesto está entre el 3.6% y el 10%, se califica
como 3 (Medio)
• Si el presupuesto es mayor al 11%, se califica como 5
(Alto)
5. Criterios para priorizar el programa de auditorías
Contrato de Impacto Misional: Se refiere a aquellos
procesos que tienen a cargo contratos relacionados
directamente con la misión de la empresa, los cuales se
calificarían de la siguiente manera:
• Si el contrato no tiene relación con la misión de la
empresa, sino que es de apoyo, se califica con 1 (Bajo).
• Si el contrato afecta directamente la misión de la
empresa, se califica con 5 (Alto).
5. Criterios para priorizar el programa de auditorías
Valor del Contrato: De acuerdo al sistema de contratación de
la empresa, se debe establecer un rango en valores que
determinan la calificación del contrato, así:
• Contratos a hasta 100 SMLMV, se califica con 1 (Bajo)
• Contratos mayores a 100 SMLMV y menor de 500
SMLMV, se califica con 3 (Medio)
• Contratos Mayores a 500 SMLMV, se califica con 5 (Alto)
5. Criterios para priorizar el programa de auditorías
Resultados Entes de Control (Contraloría): Se refiere a las
deficiencias y hallazgos levantados por la Contraloría en su
última auditoría realizada, con las siguientes calificaciones:
• Si el resultado es cero hallazgos y deficiencias, el
resultado es 1 (Bajo).
• Si el resultado es más de una deficiencia administrativa,
el resultado es 3 (Medio).
• Si el resultado es más de una deficiencia fiscal o
hallazgo fiscal, el resultado es 5 (Alto).
5. Criterios para priorizar el programa de auditorías
Resultados
El resultado de la suma de las anteriores variables se compara
contra una tabla con los siguientes valores:
• Si el resultado es menor o igual a 9, su nivel es Bajo (B)
• Si el resultado es mayor o igual a 10 y menor a 16, su nivel es
Medio (M)
• Si el resultado es mayor o igual a 17, su nivel es Alto (A)
5. Criterios para priorizar el programa de auditorías
Resultados Periodicidad Auditorías
De acuerdo con el resultado anterior, los niveles de cada
proceso incluido en el universo auditable y la periodicidad
de cada auditoría quedaría de la siguiente manera:
Nivel
Periodicidad Auditoría
Meses
A
M
B
12
24
36
6. Ejecución de auditoría basada en riesgos
Planificar
Ejecutar
Comunicar
Realizar
seguimiento
Realizar análisis del ente auditable que  Realizar pruebas para reunir  Elaborar y enviar  Revisar la información del
incluye:
evidencias
informe final
plan de mejoramiento
 Entender el propósito del trabajo  Registrar
documentar
y  Socializar
informe  Priorizar
acciones
de
(riesgos asociados por los cuales se
validar hallazgos.
con la alta dirección
mejoramiento
para
el
incluyó en el plan de trabajo).
seguimiento
 Comprender el área auditada,  Evaluar
las
evidencias  Retroalimentar plan
incluidos sus objetivos
reunidas
y
hacer
de mejora
 Evaluar la implementación
 Identificar los indicadores clave de
conclusiones.
de
acciones
de
desempeño del ente auditable
mejoramiento
 Identificar y evaluar los riesgos.  Elaborar informe borrador
Priorizar los riesgos para los cuales
de Auditoria
 Reportar los resultados del
e van a probar los controles.
seguimiento a las instancias
 Identificar las actividades de
competentes
control clave.
 Determinar los objetivos y alcance
del trabajo.
 Elaborar programa de auditoría,
define las pruebas para evaluar la
eficacia de los controles
 El programa de auditoría debe
permitir hacer trazabilidad de la
auditoría, debe ser el enlace entre
riesgos
asociados,
controles,
pruebas y hallazgos.
7. Evaluación de Controles
Como un método para medir efectividad de los controles en
cuanto a su diseño y operación, se proponen los siguientes
atributos
Control
Calificación
1. Frecuencia de ejecución
1
2. Cumplimiento de aplicación
1
3. Documentación
1
5
4. Asignación de responsable
1
5
5. Responsable idóneo
1
5
3
3
5
5
7. Evaluación de Controles
Descripción Variables
 Frecuencia de ejecución: ¿El control se aplica con la frecuencia
establecida?
(1) No
(5) Si
 Cumplimiento de aplicación: ¿El control se está aplicando
completamente?
(1) Hasta el 40%
(3) Del 40% al 80%
(5) Mayor al 80%
 Documentación: ¿La forma de aplicación del control se encuentra
completamente documentada y actualizada?
(1) No documentado o desactualizado
(5) Documentado
7. Evaluación de Controles
Descripción Variables
 Asignación de responsable: ¿La responsabilidad de la
ejecución del control está asignada y formalizada
(documentada)?
(1) No
(5) Si
 Responsable idóneo: ¿El responsable del control tiene
conocimiento y experiencia para su aplicación?
(1) No tiene experiencia ni conocimiento.
(3) Tiene experiencia o conocimiento parcial.
(5) Tiene conocimiento y experiencia para su
aplicación.
Muchas Gracias
Jorge Ivan Palacio Quintero
Asesor en Gestión
Metro de Medellin Ltda

similar documents