1
Guía para una metodología de auditoría basada en
riesgos
CEMLA: XI Reunión de Auditores Internos de Banca Central
Juan Villanueva Chang Setiembre, 2011
2
La creatividad e Innovación
• Una persona creativa es ágil y flexible
• Tiene libertad de pensar, expresar y actuar sin miedo
• La constante en la vida es el cambio
Adelantarse
• Participando de la curiosidad intelectual
• Capacidad de tomar las cosas de distintas fuentes
• Integrarlas en algo coherente
Capacidad de síntesis
• Desarrollar capacidad de observación
• Estar receptivos a las impresiones que nos vienen del interior y exterior
Ver la oportunidad
“Las ideas no duran mucho. Hay que hacer algo con ellas” Santiago Ramón y Cajal
3
• El presente trabajo da pautas de como elaborar una metodología de auditoría con base en riesgos.
• Se aplica en la elaboración del plan anual de auditoría y la fase de planeamiento para elaborar una auditoría (Risk based audit planning). • La presente guía no es única ni obedece a un estándar en particular.
• La meta consiste en diseñar un programa de auditoría centralizado en los riesgos críticos del negocio. • El cambio metodológico debe ser progresivo en tanto se fortalezca la cultura de gestión de procesos y riesgos en la organización.
Objetivo del tema
4
La auditoría moderna
“Evaluar y mejorar la eficacia de los procesos de gobierno, riesgos y control”
Gobierno
Riesgos
Control
Planeamiento de auditoría basada en riesgos
5
¿Qué es auditoría basada en riesgos?
“La auditoría basada en riesgos es un proceso, un acercamiento, una metodología y una actitud en torno al tema. La manera más simple de definir una auditoría basada en riesgos consiste en revisar las cosas que realmente importan en su organización. Otra manera de trabajar la auditoría basada en riesgos es con la ayuda de la teoría de proceso” Fuente: Phil Griffiths (2009) en su documento “Risk Based Auditing”
6
Ámbito de aplicación de la metodología
Segunda Etapa: La entidad ha culminado en desarrollar los niveles del proceso de gestión de riesgos (Establecer el contexto, identificación, análisis y evaluación de riesgos) y ha puesto en práctica el tratamiento al riesgos
Primera Etapa: La entidad se encuentra desarrollando los primeros niveles del proceso de gestión de riesgos (Establecer el contexto, identificación y análisis de riesgos).
7
Plan Anual de auditoría basada en riesgos
• Procesos críticos de relevancia según tamaño del impacto de riesgo (Dueños de procesos o Gerencia de Riesgos). • Antigüedad de última auditoría. • Proceso no auditado según cadena de valor y nuevo enfoque. • Sugeridas por dueños de procesos o por Alta Dirección. • Criticidad: Carencia de controles, alta rotación de personal, cambio de funciones, procedimientos, eventos recientes, denuncias, etc • Exposición a eventos externos e internos de la organización. • Criterio propio de auditores (resultados de CSA, importancia de resultados de recomendaciones)
8
Métricas de Procesos Auditables
Universo
de
procesos
Unidad Organizacional
Responsables Gasto Operativo
Última Auditoría
Factor Tamaño
Factor Control
Factor CSA
Riesgo Crítico Corporativo 1/
Riesgo tratado
Riesgo residual
Proceso 1 XXXX
Proceso 2 XXXXX
Proceso 3
Proceso 4
Proceso n
(Mínima prioridad de auditoría)
A = Alto 4.001 - 5.000
B = Medio 3.501 - 4.000
C = Bajo 3.001 - 3.500
D = Inadecuado 0.000 - 3.000
(Máxima prioridad de auditoría)
Escala de Factor CSAEscala de Factor Control
ESCALA FACTOR TAMAÑO
(Tamaño máximo)
5= Más de 5,0 mill
4= Entre 1,01 y 5,0 mill
3= Entre 101 y 1,0 mill
2= Entre 11 y 100 mil
1= Entre 0 y 10 mil.
(Tamaño Mínimo)
(Riesgo máximo de control)
5= Alto Más de 21
4= Superior 16 a 20
3= Medio 11 a 15
2= Mínimo 5 a 10
1= Ninguno 0 a 4
(Riesgo mínimo de control)
El factor de CSA introduce la puntuación
sobre la marcha de los componentes de
control interno según los dueños del
proceso, obtenida mediante talleres de
autoevaluación de control.
El factor de tamaño considera el
criterio de relevancia según el valor de las actividades o tareas del proceso.
El factor de control es el resultado de
la cantidad de debilidades de control
detectadas en última auditoría.
1/ Información proporcionada por la Gerencia de Riesgos
9
Métricas de Procesos AuditablesUniverso
de procesos
Exigencia legal,
normativa
Alineamiento Estratégico 2/
Objetivos de Control Interno 3/
Componente de Control Interno 4/
Cantidad de debilidades de control según perfil
de riesgos 5/
Pruebas de auditoría 6/
Técnica Integral
Técnica selectiva
Muestreo estadístico
Muestreo no estadístico
Proceso 1 XXXX
Proceso 2 XXXXX
Proceso 3
Proceso 4
Proceso n
2/ Vinculación con el objetivo y actividad estratégica vigente.
3/ Priorizar de acuerdo a su naturaleza a que tipo de objetivo de control interno es factible analizarlo.
4/ De acuerdo a su naturaleza sobre que tipo de componentes de control interno se debe analizar.
5/ Vincular las debilidades de control al perfil de riesgos de la organización.6/ Por la característica de los elementos a ser revisados identificar el tipo de muestreo a emplear.
10
Planeamiento de auditoría basada en riesgos
Contexto interno
Contexto externo
FASE DE PLANEAMIENTO
Alcance por procesos Trabajo en equipo Lluvia de ideas Diagramación de flujo Teoría de procesos Benchmarking Talleres CSA Perfil de riesgos críticos (Unid. Riesgos) Técnica Delphi Causa – efecto Mapeo de controles
PRO
GRAM
A D
E A
UD
ITO
RIA
EN
FO
CAD
O E
N R
IESG
OS C
RIT
ICO
S
TRABAJO
DE C
AM
PO
INFO
RM
E
Reporte alineado a la cultura de
riesgos de la organización
11
Fases de planeamiento de auditoría basada en riesgos
Planeamiento
Diseño proceso auditables
Mapa de controles y
elaboración de programa
Inventario de amenazas o causas de
riesgos
Debilidades de control según
autoevaluación + Trabajo de campo
Elaboración de informe
Seguimiento
Pruebas de auditoría en riesgos sensibles
Resultados de gestión de
riesgos dueños
procesos
Debilidades de control
12
Diseño del proceso auditable
Fase planeamiento
Objetivo Actividades
Tener conocimiento detallado de funcionamiento de procesos auditable para formular primeras hipótesis de posibles debilidades de control
• Levantamiento de información: Procedimientos, MOF, referencia de benchmark, revisión papeles de trabajo pasados, entrevistas, etc • Diagramación y descomposición del procesos (Actividades, tareas) • Trabajo en equipo para entendimiento conjunto de la materia auditable
Entregables Ejemplo
Diagramas de Flujo/Jerárquico, matriz de descomposición de procesos en actividades y tareas
Planeamiento
Diseño proceso
auditables
Generación de
órdenes de pagoDeterminación de
niveles de liquidez
para la inversión
Negociación y
Ejecución en firme de
las operaciones
- Obtener información
oportuna de los mercados,
comentarios técnicos y
noticias de los servicios de
información.
- Informes periódicos de los
principales brokers y
bancos de inversión.
- Análisis para tomar
decisiones con base en la
información disponible y
pautas del Comité de
Inversiones.
- Determinar los montos y
período de vigencia para las
negociaciones.
- Verificar los datos para la
confirmación de las
operaciones de las hojas de
trabajo de operaciones
realizadas en el día.
- Imprimir los términos de
negociación en firme por
Dealing Systems de Reuters.
- Recepción y envío del Trade
Ticket- Bloomberg
confirmando la operación de
valores.
- Registrar las operaciones
en el Sistema Integral de
Registro y ejecución de pasos
de control.
- Establecer depósitos a plazo
en divisas, compra - venta de
divisas y valores, depósitos a
plazo en oro.
- Determinar la posición de las
transacciones.
- Reconocer los intereses,
primas, descuentos.
- Calcular los intereses o primas
ganados.
- Ejecutar los pagos por
acuerdos financieros a
organismos.
- Ejecutar los pagos por cuenta
de otras áreas del Banco.
- Efectuar transferencias de
fondos BCRP-Banca Local por
LBTR, ALADI, otros.
- Conciliar los reportes
contables y registros
internos para establecer
montos a invertir.
- Establecer márgenes
disponibles a invertir en
las entidades del exterior
según límites
disponibles.
- Fijar niveles de
desviación autorizados
por Alta Dirección.
Análisis de mercados
y tasas y precios
referenciales
Negociación y
Ejecución de
Operaciones
TAREAS:
DIAGRAMACION DE ACTIVIDADES Y TAREAS
CÓDIGO ACTIVIDAD B: B1 B2 B3 B4
13
Debilidades de control según autoevaluación (CSA)
Fase planeamiento
Objetivo Actividades
Identificar las debilidades de control según percepción de dueños de procesos auditable
• Preparar plan de trabajo de sesión CSA
• Elaborar presentación de difusión de control interno • Cuestionarios para evaluación de marcha de componentes de control interno • Realizar sesión de taller de CSA • Elaborar informe ejecutivo y difundir a cliente
Entregables Ejemplo
Debilidades de control capturadas de resultado de evaluación de cuestionario CSA relacionadas a perfil de riesgos de la entidad
Planeamiento
Debilidades de
control según
autoevaluación
I N S I G N I F I C A N T E M I N I M O M E D I A S U P E R I O R A L T O
1 2 3 4 5
I . A m b i e n t e d e c o n t r o l 1 0 % 8 0 0 0 0
1
1 0 0 0 0
2
1 0 0 0 0
3
1 0 0 0 0
4
1 0 0 0 0
5
1 0 0 0 0
6
1 0 0 0 0
7
1 0 0 0 0
8
1 0 0 0 0
I I . E v a l u a c i ó n d e r i e s g o s 2 0 % 3 0 0 0 0
9
1 0 0 0 0
1 0
1 0 0 0 0
1 1
1 0 0 0 0
I I I . A c t i v i d a d e s d e c o n t r o l 3 0 % 5 0 0 0 0
1 2
1 0 0 0 0
1 4
1 0 0 0 0
1 5
1 0 0 0 0
1 6
1 0 0 0 0
1 7
1 0 0 0 0
I N S I G N I F I C A N T E M I N I M O M E D I A S U P E R I O R A L T O
E l a m b i e n t e d e c o n t r o l s e r e f i e r e a l e s t a b l e c i m i e n t o d e u n e n t o r n o q u e e s t i m u l e e i n f l u e n c i e l a s t a r e a s d e l p e r s o n a l
r e s p e c t o a l d e s a r r o l l o d e s u s a c t i v i d a d e s .
M a r c a r c o n ( X ) d o n d e c o r r e s p o n d a l a a p r e c i a c i ó n m á s c e r c a n a d e l a u d i t o r . C o n ( 5 ) s e i n d i c a q u e e l s i s t e m a d e c o n t r o l i n t e r n o e s t á e x c e l e n t e ( f u e r t e ) o q u e n o e x i s t e n i n g ú n e l e m e n t o
o j u i c i o d e v a l o r q u e p o n g a e n d u d a l a f o r t a l e z a d e l s i s t e m a d e c o n t r o l . C
C U E S T I O N A R I O D E A U T O E V A L U A C I Ó N D E L C O N T R O L I N T E R N O
R e s p o n s a b l e :
F e c h a d e a u t o c o n t r o l : 1 4 d e a b r i l d e l 2 0 0 5
¿ S e h a n d e t e c t a d o s i t u a c i o n e s d e u s o n o c o o r d i n a d o d e a lg u n a s v e n t a s ?
¿ E s t á n c la r a m e n t e e s t a b le c i d o s lo s n i v e le s d e r e s p o n s a b i l i d a d y a u t o r i d a d
e n a lg u n a n o r m a t i v i d a d ? E s t á n v i g e n t e s y a c t u a l i z a d o s ?
¿ L a s t a r e a s e n e l á r e a d e v e n t a s s e d e s e m p e ñ a n d e a c u e r d o a la a u t o r i d a d
y r e s p o n s a b i l i d a d a s i g n a d a s ?
L a e v a l u a c i ó n d e r i e s g o s i n v o l u c r a l a i d e n t i f i c a c i ó n y a n á l i s i s d e r i e s g o s r e l e v a n t e s p a r a e l n o r m a l
d e s e n v o l v i m i e n t o d e l a s v e n t a s , a s í c o m o l a b a s e p a r a d e t e r m i n a r l a f o r m a e n q u e t a l e s r i e s g o s d e b e n s e r
m a n e j a d o s .
¿ S e p e r c i b e q u e e l p e r s o n a l i n v o lu c r a d o e n la s o p e r a c i o n e s d e v e n t a s
a c t u a n e n u n m a r c o d e i n t e g r i d a d y v a lo r e s é t i c o s ?
¿ E x i s t e e v i d e n c i a d e q u e s e i d e n t i f i c a n y e v a lu a n c o n f r e c u e n c i a lo s r i e s g o s
d e la s a c t i v i d a d e s c o m p r e n d i d a s e n la s o p e r a c i o n e s d e v e n t a s ?
¿ L o s r i e s g o s d e t e c t a d o s c u e n t a n c o n p la n e s d e c o n t i n u i d a d s u f i c i e n t e ?
¿ S e o b s e r v a q u e e n t r e lo s e m p le a d o s d e la s á r e a s v i n c u la d a s a l a s v e n t a s
e x i s t e u n a r e la c i ó n i n t e r p e r s o n a l a r m o n i o s a ?
¿ S e d i s t i n g u e q u e e s t á n v i n c u la d o s lo s o b je t i v o s d e l p r o c e s o d e v e n t a s c o n
lo s o b je t i v o s e s t r a t é g i c o s d e l N e g o c i o ?
¿ S e p e r c i b e q u e lo s c o n t r o le s d i s p u e s t o s e n lo s p r o c e d i m i e n t o s s e v i e n e n
c u m p l i e n d o ?
¿ E n e l p e r s o n a l e n c a r g a d o d e la s v e n t a s s e p e r c i b e q u e e x i s t e u n a a c t i t u d
p o s i t i v a s o b r e la n a t u r a le z a d e l c o n t r o l i n t e r n o ?
¿ A l d e t e c t a r p r o b a b le s a m e n a z a s d e a lg ú n r i e s g o s e t o m a n a c c i o n e s
r á p i d a m e n t e p a r a m i t i g a r lo s ?
¿ S e o b s e r v a q u e e l p e r s o n a l d e v e n t a s e x i s t e c o n f l i c t o d e i n t e r e s e s ?
¿ E x i s t e n p la n e s d e c o n t i n g e n c i a s y e s t á n f u n c i o n a n d o ?
¿ E x i s t e u n a a p r o p i a d a s e g r e g a c i ó n d e f u n c i o n e s ?
¿ S e m a n t i e n e n a c t u a l i z a d a s la s p o l ít i c a s y p r o c e d i m i e n t o s ? E s t á n p o r
e s c r i t o ?
¿ E x i s t e n s u f i c i e n t e s c o n t r o le s q u e a s e g u r e n e l é x i t o d e la s a c t i v i d a d e s u
o p e r a c i o n e s ?
L a a c t i v i d a d e s d e c o n t r o l s e r e f i e r e n a l a s a c c i o n e s q u e r e a l i z a e l p e r s o n a l p a r a m i t i g a r l o s r i e s g o s b a j o s u
r e s p o n s a b i l i d a d .
87
88 89.33
89.2
89.62
65
70
75
80
85
90Ambiente de control
Evaluación de riesgos
Actividades de controlInformación y
comunicación
Monitoreo
14.10.2005
11.04.2006
14
Inventario de amenazas o causas de riesgos
Fase planeamiento
Objetivo Actividades
Identificar amenazas o causas de riesgos para priorizar pruebas de acuerdo a mapa frecuencia e impacto
• Diagramación de causa – efecto para identificar universo de amenazas o causas de riesgo • Construir escalas de tablas para medición en mapas de frecuencia e impacto • Codificar universo de amenazas y seleccionar aquellas de mayor preocupación • Referenciar amenazas según perfil de riesgos de la entidad
Entregables Ejemplo
Inventario y selección de las amenazas o causas de riesgo donde focalizar las pruebas de auditoría
Planeamiento
Inventario de
amenazas o
causas de
riesgos
DIAGRAMA CAUSA - EFECTO
Hipótesis preliminar:
En la custodia y vigencia de los términos y condiciones del
contrato habrían deficiencias de cumplmiento.
Inoperatividad
del contrato
Efectos
PersonasProcesos
Legal
Desinformación
de archivosImprecisión
organizativa Desconocimiento
Negligencia
Desinterés
Desconocimiento
de poderes de
firmas
autorizadas
Amenazas o causas
de riesgo
Desconocimiento
del entorno
jurídico
1. RIESGO OPERACIONAL PERSONAS
FACTOR: 1.1 COMPETENCIA / ADECUACION /
CONOCIMIENTO
a Inadecuada disponibilidad de recursos humanos
para ejecutar los procesos.
b Falta de conocimientos, habilidades o actitudes de
personalidad.
c Falta de disponibilidad o alejamiento del personal
clave.
d
Insuficiente conocimiento de la organización.
e
Falta de un apropiado entrenamiento del personal.
Conocimiento inadecuado de clientes, productos y
prácticas de negociación.
15
Mapa de controles y elaboración del programa
Fase planeamiento
Objetivo Actividades
Mediante el empleo de mapas de frecuencia x impacto seleccionar debilidades de control para centralizar pruebas de auditoría
• Construir mapas de frecuencia e impacto con amenazas o causas de riesgo seleccionadas • Tomar en consideración estado de la evaluación de riesgos por dueños de proceso • Dar prioridad en la identificación de las pruebas de auditoría a las amenazas ubicadas en zona sensible de análisis frecuencia e impacto • Continuar elaborando pruebas de auditoría de acuerdo a capacidad operativa
Entregables Ejemplo
Programa para efectuar pruebas de auditoría alineado y focalizado en los riesgos sensibles
Planeamiento
Mapa de controles y elaboració
n de programa
8 Constante
7 Habitual
6 Frecuente
5 Moderado
4 Ocasional
3 Esporádico
2 Remoto
1 Improbable
Insignif. Marginal Grave Crítico Desastro. Catastr.
1 2 5 10 20 50
Aceptable Tolerable Inaceptable Inadmisible
Anexo n° 2
PROGRAMA DE AUDITORIA
Objetivo General Evaluar el funcionamiento de la estructura del control interno en el manejo de las operaciones de inversiones internacionales, verificando que funcione continuamente y de acuerdo a los lineamientos establecidos
Objetivos específicos
A B C D E COD OBJ
DESCRIPCIÓN DE LOS OBJETIVOS A CUBRIR
X X X
X 1 Comprobar que las operaciones de inversiones internacionales se hayan efectuado de acuerdo a las políticas y lineamientos aprobados por el Directorio para la administración de la Reservas Internacionales.
X X X 2 Comprobar que las medidas de control para mitigar los riesgos han operado efectivamente durante el período bajo examen.
X X 3 Comprobar que el área de inversiones cuente con adecuado soporte para el monitoreo, negociación y registro de las operaciones y que se cumplan los procedimientos establecidos.
X 4 Comprobar la documentación del sustento contable de los resultados de las operaciones de acuerdo a los usos y costumbre y procedimientos establecidos en el manual de inversiones.
X 5 Examinar la vigencia y custodia de los contratos o estados de control de los instrumentos financieros en favor del Banco.
X X 6 Evaluar el estado e implementación de las recomendaciones formuladas por Auditoría Interna y/o los órganos de control externo.
De conformidad con la NAGU 3.10 Estudio y Evaluación del control interno y el Manual de Auditoría Gubernamental MAGU; los objetivos del control interno son los siguientes: A) Promover la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios; B) Proteger y conservar los recursos públicos contra cualquier pérdida, despilfarro, uso indebido,
irregularidad o acto ilegal; C) Cumplir las leyes, reglamentos y otras normas gubernamentales. D) Elaborar información financiera válida y confiable, presentada con oportunidad. E) Promover una Cultura de Integridad, Transparencia y Respondabilidad en la función Pública,
cautelando el correcto desempeño de los servidores.
16
Producto final: Satisfacción para cliente
Planeamiento
Diseño proceso
auditables
Mapa de controles y
elaboración de programa
Inventario de amenazas o causas de
riesgos
Debilidades de control según
autoevaluación
Trabajo de campo
Elaboración de informe
SÍNTESIS DE LA ACCION DE CONTROL
Macroproceso: Gestión de Recursos Humanos
Materialidad: Valor expuesto a riesgos (miles S/): 137 746
CSA: Percepción previa del control interno según dueños del proceso: (4.13 puntos) 21.05.2008
1 5
Ambiente de control 40%
Evaluación de riesgos 5%
Actividades de control gerencial 20%
Actividades de prevención y monitoreo 5%
Sistemas de información y comunicación 10%
Seguimiento de resultados 10%
Compromisos de mejoramiento 10%
M EDIO
3.501 - 4.000
ALTO
4.001 - 5.000
INADECUADO
0.000 - 3.000
BAJO
3.001 - 3.500Componentes de control interno PESO
CSA: Resultados de la Evaluación según dueños del Proceso
(Antes de la Auditoría) Puntaje Final
Resultado de la Auditoría Fecha de término de la Acción de Control: 15.01.2009
Oportunidades de Mejora Categoría de
(Amenazas) Riesgo
1 Precisar el cumplimiento de las retenciones por mandato judicial Operacional: Legal
2 Formalizar el tipo de descuentos en la liquidación por cese de trabajadores * Operacional: Legal
3 Actualizar los expedientes de personal * Operacional: Personas
4 Mejorar la información en las reseñas laborales * Operacional: Personas
5 Elaborar una política integral de gestión del Plan Anual de Capacitación * Operacional: Procesos
6 Actualizar el registro de la capacitación * Operacional: Personas
7 Definir el plazo para prácticas pre - profesionales * Operacional: Personas
8 Desarrollar controles de acceso a los aplicativos informáticos * Operacional: TI
9 Establecer perfiles de acceso a los aplicativos según funciones del puesto * Operacional: TI
10 Efectuar periódicamente inventario de medicinas * Operacional: Personas
11 Actualizar la confirmación de grados y/o títulos de personal ingresante Operacional: Personas
12 Formalizar el periodo de prueba del personal ingresante Operacional: Personas
13 Demoras en las liquidaciones del Personal Operacional: Personas
*/ Pendientes de solución
Mapa de debilidades de Control Interno
Objetivos de Control Interno Componentes de Control Interno
Operaciones Recursos Públicos Cumplimiento
Confiabilidad Financiera
Impulsar Valores
Rendición de Cuentas
Nuevo Peso después de la
Auditoría
Ambiente de Control 3, 4, 5, 7, 12 25%
Evaluación de Riesgos 5%
Actividades de Control Gerencial 1, 2, 8, 9, 13 40%
Actividades de Prevención y Monitoreo 10 10%
Sistemas de Información y Comunicación 5%
Seguimiento de Resultados 6, 11 10%
Compromiso de Mejoramiento 5%
17
Componente de Control interno
Tipo de riesgos
Estratégicos Financieros Operativos
Ambiente de control
Evaluación de riesgos
Actividades de control
Información y comunicación
Seguimiento
Mapa de debilidades de control por tipo de riesgos
ESCALA DE MEDICION
ALTO 11 - Más
MEDIO 6 - 10
BAJO 1- 5
18
Conclusiones
• Este enfoque pone énfasis a la gestión estratégica, de riesgos y de procesos. Evoluciona de acuerdo al avance de la gestión de riesgos.
• Evita realizar o sustituir formalmente actividades que le competen a la gestión de riesgos.
• Fortalece el marketing del auditor ante sus clientes.
• La metodología evoluciona dependiendo del tamaño y complejidad de la entidad, perfil de conocimiento y apertura al cambio de paradigma de los auditores.
• El avance hacia una auditoría basada en riesgos debe cuidar que los gestores de riesgos y auditores reconozcan que sus métodos de trabajo no interfieren, por el contrario, fortalece sus actividades.