Impacto Función Auditoría Interna Procesos Gobierno Corporativo, Gestión de Riesgos y Control Interno Impacto Función Auditoría Interna Nahun Frett IMPACTO FUNCIÓN AUDITORIA INTERNA EN LOS PROCESOS DE GOBIERNO CORPORATIVO, GESTIÓN DE RIESGOS Y CONTROL INTERNO Nahun Frett MBA, CIA, CCSA, CRMA, CPA, CFE Impacto Función Auditoría Interna Nahun Frett El Trabajo de Auditoría Interna Se ha preguntado usted: ¿Qué es la auditoría interna? ¿Cuál es el impacto de la gestión de riesgos? ¿Cuáles son los requerimientos de las Normas? La auditoría interna no es una simple labor, es mucho más que una profesión, la auditoría interna es una filosofía de trabajo, una doctrina, un credo, en pocas palabras somos una religión seglar. No somos un grupo técnico aislado, sino una amplia gama de profesionales, que agrupan un conjunto de conocimientos claves para ayudar a las organizaciones a alcanzar el éxito, no hablamos un sólo tipo de idioma de negocios, sino que todos juntos formamos una unidad de habilidades, destrezas y capacidades. La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno (Definición de acuerdo con Normas Internacionales para la Práctica Profesional de la Auditoría Interna). Las normativas que inciden directamente el trabajo de auditoría interna son: Marco Internacional para la práctica profesional de la auditoría interna; COSO (2013) y COSO ERM; Sox; e ISO. El rol principal de auditoría interna es ayudar a nuestros clientes a solucionar sus problemas, esto lo podemos hacer, a través de: 1. Realizar evaluaciones objetivas de sus operaciones y compartiremos ideas de mejores prácticas. 2. Brindando consejos para mejorar controles, procesos y procedimientos, desempeño, y gestión de riesgo. 3. Sugiriendo formas de reducir costos, mejorar ingresos e incrementar beneficios. 4. Proporcionando servicios competentes de consultoría, aseguramiento y facilitación. Ahora bien, una pregunta esencial debe ser la siguiente: ¿Qué es un auditor Interno? Un auditor interno es un entrenador sobre mejores prácticas de negocio, un defensor de la ética y la transparencia, un conocedor de los riesgos que enfrenta su organización, un experto en controles, un especialista en eficiencia y un socio de negocio que resuelve problemas. Un Departamento de auditoría interna es un medio que guía hacia información diversa, innovadora y relevante que ayude a resolver problemas complejos. El riesgo Impacto Función Auditoría Interna Nahun Frett Se ha preguntado usted alguna vez: ¿Qué trabajo realiza un departamento de Auditoría Interna? 1. ¿Quiénes somos? Detalle los miembros de su departamento. 2. ¿Qué hacemos? Realizamos evaluaciones objetivas de sus operaciones y compartiremos ideas de mejores prácticas. Brindamos consejos para mejorar controles, procesos y procedimientos, desempeño, y gestión de riesgo. Sugerimos formas de reducir costos, mejorar ingresos e incrementar beneficios. 3. ¿Qué buscamos? Agregar valor, promover la excelencia y obtener resultados, a través de: Participar proactivamente en los cambios que ocurren dentro de la organización. Entender los riesgos gerenciales y su relación con las prioridades corporativas. Desarrollar procesos de auditoría interna que brinden soluciones de negocio a sus clientes y partes relacionadas. Facilitar el proceso de compartir las mejores prácticas en su organización. 4. ¿Qué tipo de evaluaciones realizamos? Realizamos los siguientes tipos de auditorías: Operativa Financiera TI 5. ¿Cuáles servicios prestamos? Proporcionamos servicios competentes de aseguramiento, consultoría, asesoría, auto-evaluación y facilitación. 6. ¿Cuáles unidades de negocio evaluamos? Detalle las empresas, unidades de negocios, procesos; departamentos y divisiones que su departamento debe cubrir con su trabajo. Impacto Función Auditoría Interna Nahun Frett Normas Práctica Profesional Normas de Auditoría Interna mandatarias: Definición Auditoría Interna, Normas y el Código de Ética. Normas no mandatarias pero fuertemente recomendadas: Guías, Prácticas, Consejos para la Prácticas y Declaraciones de Posición. Las Normas de Auditoría Interna están compuestas de la siguiente forma: Normas Sobre Atributos 1000: Propósito, autoridad y responsabilidad 1100: Independencia y Objetividad 1120: Interacción directa con el consejo 1200: Aptitud y cuidado profesional 1210: Aptitud 1220: Cuidado profesional 1230: Desarrollo profesional continuo 1300: Programa de aseguramiento y mejora de la calidad 1311: Evaluaciones internas 1312: Evaluaciones externas Normas Sobre Desempeño 2000: Administración actividad auditoría interna 2010: Planificación 2020: Comunicación y aprobación 2030: Administración de recursos 2040: Políticas y Procedimientos 2050: Coordinación 2060: Informe a la alta dirección y al consejo 2110: Gobierno 2120: Gestión de riesgos 2130: Control Interno 2201: Consideraciones de planificación 2210: Objetivos del trabajo 2220: Alcance del trabajo 2230: Asignación recursos para el trabajo 2300: Desempeño del trabajo 2310: Identificación de la información 2320: Análisis de la información 2330: Documentación de la información 2340: Supervisión del trabajo 2410: Criterios para la comunicación 2420: Calidad de la comunicación 2500: Seguimiento del proceso 2600: Comunicación de la aceptación del riesgo por parte alta dirección. Impacto Función Auditoría Interna Nahun Frett Riesgo Los problemas se convierten en oportunidades cuando las personas correctas trabajan juntas para solucionarlos. Los auditores internos somos en pocas palabras, un socio estratégico del negocio, el cual agrega valor a la gerencia. Es de todos conocido que las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna emitido por The Institute of Internal Auditors (IIA), exigen que: El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones o los recursos de la organización. El director ejecutivo de auditoría debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos. ¿Cómo realizamos nuestro trabajo? El epicentro de la función de auditoría interna es el riesgo. El director ejecutivo de auditoría debe establecer planes de trabajo basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. Esto significa que: El director ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el director ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo. El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo. Sin embargo, en la práctica el cumplimiento con estos requerimientos representa, sin lugar a dudas, uno de los principales desafíos para cualquier departamento de auditoría interna. En muchas ocasiones no existe un enlace real entre los riesgos y el enfoque de nuestro trabajo, por lo que se hace necesario descubrir el eslabón perdido. El Enterprise Risk Management (ERM) es una herramienta que ayuda en el proceso de toma de decisiones claves para la sobrevivencia de las organizaciones, por lo que los auditores internos estamos llamados a jugar un rol protagónico en el proceso de mejoramiento y desarrollo de un adecuado sistema de gestión de Riegos. Impacto Función Auditoría Interna Nahun Frett “El riesgo en sí mismo no es malo; lo que es malo es que el riesgo esté mal administrado, mal interpretado, mal calculado, o lo que es lo mismo, incomprendido” Suzanne Lagarbe. Jefa de Riesgos del Royal Bank of Canadá El modo más efectivo que conozco de empezar con un riesgo en mente consiste en dar respuesta a las siguientes interrogantes: ¿Realiza su Departamento una evaluación de riesgo anualmente? Su metodología de auditoría contiene un proceso de evaluación de riesgos formal de todas las entidades auditables que forman parte de su universo de auditoría. El nivel de riesgo asignado debe basarse en la probabilidad y la materialidad de la los riesgos inherentes y residuales, prestando atención a los controles establecidos. ¿Cuál es su universo de auditoría? El Universo de auditoría es una lista de todas las auditorías posibles que pudieran realizarse. El DEA puede obtener información sobre el universo de auditoría de parte de la alta dirección y el consejo de administración. El universo de auditoría puede incluir componentes del plan estratégico de la organización. Al incorporar esos componentes, el universo de auditoría considerará y reflejará los objetivos del plan general de negocios. Los planes estratégicos probablemente también reflejarán la actitud de la organización hacia el riesgo y el grado de dificultad para cumplir con los objetivos planificados. El universo de auditoría estará normalmente influenciado por los resultados del proceso de gestión de riesgos. El plan estratégico de la organización tiene en cuenta el ambiente en el cual opera la organización. Estos mismos factores ambientales probablemente impactarán en el universo de auditoría y la evaluación del riesgo relativo. El DEA prepara el plan de auditoría de la actividad de auditoría interna basándose en el universo de auditoría, informaciones recibidas de la alta dirección y el consejo de administración, y una evaluación de riesgos y exposiciones que afectan a la organización. Los objetivos clave de auditoría son usualmente los de proporcionar a la alta dirección y al consejo de administración aseguramiento e información que les permita cumplir con los objetivos de la organización, incluyendo una evaluación de la eficacia de las tareas de evaluación de riesgos que realiza la dirección. El universo de auditoría y el plan de auditoría relacionado se mantienen actualizados de modo de reflejar los cambios en la dirección de la gestión, objetivos, énfasis y enfoques. Es aconsejable evaluar el universo de auditoría al menos una vez al año con el fin de que refleje las estrategias y la dirección más actualizadas de la organización. En algunas situaciones, los planes de auditoría pueden tener que actualizarse más frecuentemente (por ejemplo, trimestralmente), en respuesta a los cambios en los negocios, operaciones, programas, sistemas y controles de la organización. Empezar con un riesgo en mente Impacto Función Auditoría Interna Nahun Frett Principios Gestión de Riesgos Los auditores internos usan la Norma ISO 31000 con la finalidad de evaluar la efectividad del sistema de gestión de riesgo implementada por la organización. Esta Norma establece que todo proceso de gestión de riesgo debe: Crear y proteger el valor Contribuye a la consecución de objetivos así como a la mejora de aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo, protección ambiental, etc. Estar incorporada en todos los procesos No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organización. Ser parte del proceso para la toma de decisiones: La gestión del riesgo ayuda a la toma de decisiones evaluando la información sobre las distintas alternativas de acción. Ser usada para tratar con la incertidumbre La gestión de riesgo trata aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse. Ser estructurada, sistemática, y oportuna Contribuye a la eficiencia y consecuentemente, a la obtención de resultados fiables. Basada en la mejor información disponible Los inputs del proceso de gestión de riesgos están basados en fuentes de información como la experiencia, la observación, las previsiones y la opinión de expertos. Adaptarse a su entorno: Hecha a su medida, alineada con el contexto externo e interno de la organización y con su perfil de riesgo. Considerar factores humanos y culturales Reconoce la capacidad, percepción e intenciones de la gente, tanto externa como interna que pueda facilitar o dificultar la consecución de los objetivos de la organización. Ser transparente, inclusiva, y relevante La apropiada y oportuna participación de los grupos de interés y, en particular, de los responsables a todos los niveles, deben asegurar que la gestión del riesgo permanece relevante y actualizada. Dinámica, sensible al cambio, e iterativa La organización debe velar para que la gestión de riesgos detecte y responda a los cambios de la empresa. Conocer como ocurren los acontecimientos externos e internos, cambio del contexto, nuevos riesgos que surgen y otros que desaparecen. Facilitar la mejora continua de la organización: Las organizaciones deberían desarrollar e implementar estrategias para mejorar continuamente, tanto en la gestión del riesgo como en cualquier otro aspecto de la organización. Impacto Función Auditoría Interna Nahun Frett Normas Profesión Auditoría Interna Aplicables a Gestión de Riesgos En las Normas se emplean términos a los que se han dado determinados significados que están definidos en el Glosario. Por ejemplo, en las Normas se utiliza la palabra debe para indicar un requisito incondicional, y la palabra debería en los casos en que se espera su cumplimiento cuando se aplica el juicio profesional, a menos que las circunstancias justifiquen un desvío. A. Las Normas exigen que nuestro trabajo esté basado en riesgos El director ejecutivo de auditoría debe establecer planes de trabajo basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. Interpretación: El director ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el director ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo. El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo. El director ejecutivo de auditoría debería considerar la aceptación de trabajos de consultoría que le sean propuestos, basándose en el potencial del trabajo para mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la organización. Los trabajos aceptados deben ser incluidos en el plan. Impacto Función Auditoría Interna Nahun Frett Roles y responsabilidades de auditoría interna respecto al proceso de gestión de riesgo. Rol Auditoría Interna en ERM La Figura de la página anterior presenta una variedad de actividades de gestión de riesgo empresarial y se indica cuáles son los roles que debe desempeñar una función de auditoría interna profesional y, lo que es igualmente importante, cuáles son los roles que no debe llevar a cabo. Los factores principales a tener en cuenta para determinar el rol de la auditoría interna se basan en evaluar si la actividad amenaza de alguna manera la independencia y objetividad de la función de auditoría interna, y si es probable mejorar los procesos de gestión de riesgos, control y gobierno de la organización. Técnicas Usadas Define las técnicas que podemos usar para obtener evidencia sobre la efectividad del proceso de gestión de riesgos: Observaciones Entrevistas Revisiones de documentos Resultados de auditorías anteriores Descansar en trabajo realizado por otros Técnicas analíticas Mapeo de procesos Muestreo estadístico Revisión y evaluación de modelos de riesgos Impacto Función Auditoría Interna Nahun Frett Evaluación Control Interno Una vida sin riesgo es una vida gris, pero una vida sin control probablemente será una vida corta. Bertrand Russell ¿Qué es el Control Interno? Es todo aquello que apoya a las personas en sus esfuerzos para alcanzar los objetivos de la organización: Habilidades, procesos, información, sistemas, políticas, trabajo en equipo, liderazgo, recursos, estructura, comunicación y procedimientos. ¿Por qué es importante el Control Interno? Es importante por que nos permite: a) Promover y optimizar la eficiencia, eficacia, transparencia y economía en las operaciones de la entidad, así como la calidad de los servicios públicos que presta; b) Cuidar y resguardar los recursos y bienes del Estado contra cualquier forma de pérdida, deterioro, uso indebido y actos ilegales, así como, en general, contra todo hecho irregular o situación perjudicial que pudiera afectarlos; c) Cumplir la normatividad aplicable a la entidad y sus operaciones; d) Garantizar la confiabilidad y oportunidad de la información; e) Fomentar e impulsar la práctica de valores institucionales; f) Promover el cumplimiento de los funcionarios o servidores públicos de rendir cuenta por los fondos y bienes públicos a su cargo y/o por una misión u objetivo encargado y aceptado. COSO Definición de Control Interno El control interno es un proceso, efectuado por la junta directiva, administración y demás personal de una entidad, diseñado para proporcionar una seguridad razonable respecto al logro de objetivos relacionados a operaciones, reporte y cumplimento. Categorías de Objetivos (sin cambio): Operacionales: Eficacia y Eficiencia en la operaciones, incluyendo objetivos de desempeño, financieros y operacionales, y la salvaguarda de activos Reporte: Reporte Interno y Externo, Financiero y no Financiero y puede incluir confianza, puntualidad, transparencia, u otros términos determinados por los organismos reguladores, Normas o políticas internas Cumplimiento: Cumplimiento de leyes y regulaciones Impacto Función Auditoría Interna Nahun Frett 17 Principios Básicos de un Sistema de Control Interno Efectivo En gran aporte del nuevo Marco COSO 2013 es la identificación de 17 condiciones o principios que son indispensable para el desarrollo de un sistema de control interno efectivo. Estos son: Entorno de Control 1. La Organización ha de demostrar su compromiso con la integridad y los valores éticos. 2. El Consejo de Administración debe demostrar independencia en la gestión y ejercer la supervisión del desarrollo y ejecución del control interno. 3. La alta dirección debe establecer, con la supervisión del Consejo de Administración: la estructura, líneas de reporte, autoridad y responsabilidad en la consecución de objetivos. 4. En sinfonía con los objetivos, la Organización debe demostrar su compromiso para atraer, desarrollar, y retener personas competentes. 5. En la consecución de los objetivos, la Organización debe disponer de personas responsables para atender sus responsabilidades de Control Interno. Evaluación de Riesgos 6. La Organización ha de especificar los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados. 7. La Organización debe identificar y evaluar sus riesgos. 8. La Organización gestionará el riesgo de fraude. 9. La Organización debe identificar y evaluar los cambios importantes que podrían impactar en el sistema de control interno. Actividades de Control 10. La Organización ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigación de los riesgos para el logro de sus objetivos. 11. La Organización seleccionará y desarrollará Controles Generales sobre Tecnología de la Información 12. La Organización implementa sus actividades de control a través de políticas y procedimientos adecuados Impacto Función Auditoría Interna Nahun Frett Información y Comunicación 13. La Organización ha de generar la información relevante para respaldar el funcionamiento de los otros componentes de Control Interno. 14. La Organización compartirá internamente la información, incluyendo los objetivos y responsabilidades para el control interno, necesaria para respaldar el funcionamiento de los otros componentes de Control Interno. 15. La Organización comunicará externamente las materias que afecten al funcionamiento de los otros componentes de Control Interno. Actividades de Monitorización 16. La Organización llevará a cabo evaluaciones continuas e individuales, con el fin de comprobar si los componentes del control interno están presentes y están funcionando. 17. La Organización evalúa y comunica las deficiencias de control interno. Aspectos Importantes: Estos Principios que lógicamente introducen ciertos cambios en los componentes del Control Interno, de los que destacaríamos el correspondiente a la evaluación de los riesgos que, a partir que ahora, han de incluir los conceptos de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos. La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la organización una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto. La persistencia de un riesgo hace referencia a la duración del impacto después de que le riesgo se haya materializado. COSO 2013 clarifica los requerimientos para un control interno efectivo El control interno efectivo proporciona una seguridad razonable, no absoluta sobre el logro de los objetivos y requiere que: o Cada componente y cada principio relevante estén presentes y funcionando o Los cinco componentes estén operando juntos de una manera integrada Cada principio es adecuado para todas las organizaciones, todos los principios se presumen relevantes Impacto Función Auditoría Interna Nahun Frett Descripción Componentes COSO Ambiente de Control Evaluación de Riesgos Actividades de Control Información y Comunicación Supervisión y Seguimiento Descripción de Componentes COSO Ambiente de Control: Es el conjunto de normas, procesos y estructuras que sirven de base para implementar y llevar a cabo el control interno en la organización. El ambiente de control es la base para lograr un sólido sistema general de control interno. Evaluación de riesgos: es un proceso dinámico e iterativo para identificar, evaluar y tratar los riesgos que impidan el logro de los objetivos. Los riesgos se miden en relación a la tolerancia al riesgo establecido. Actividades de control: son las acciones establecidas a través de las políticas y procedimientos que ayudan a mitigar los riesgos. Pueden abarcar una amplia gama de actividades manuales y automatizadas. Información y comunicación: es necesaria para llevar a cabo las responsabilidades de control interno. La comunicación interna fluye hacia arriba, abajo, y en toda la entidad. La comunicación externa proporciona información a las partes externas en respuesta a requerimientos y expectativas. Supervisión y Seguimiento: Son evaluaciones continuas o separadas utilizadas para determinar si cada uno de los cinco componentes de control interno está presente y en funcionamiento. Es frecuente y oportuno recurrir a evaluaciones independientes. Aspectos importantes sobre el control interno: El control interno efectivo proporciona una seguridad razonable, no absoluta sobre el logro de los objetivos y requiere que: o Cada componente y cada principio relevante estén presentes y funcionando o Los cinco componentes estén operando juntos de una manera integrada Cada principio es adecuado para todas las organizaciones, todos los principios se presumen relevantes Impacto Función Auditoría Interna Nahun Frett Análisis de Cambios Más Importantes Surgidos en el Marco por Componentes Componente 1: Ambiente de Control 1. La organización demuestra un compromiso con la integridad y los valores éticos. 2. La Junta Directiva demuestra independencia de la administración y ejerce supervisión de la evolución y los resultados de los controles internos. 3. La Gestión se establece, con la supervisión de la Junta, estructuras, líneas de reporte, y autoridades y responsabilidades apropiadas en el logro de los objetivos. 4. La organización demuestra el compromiso para atraer, desarrollar y retener personas competentes en alineación con los objetivos. 5. La organización hace responsables a los individuos por sus responsabilidades de control interno en la búsqueda de los objetivos. Principales Cambios: 1. Se combinan 7 Factores de Control Interno en 5 Principios 2. Factor 4 y 7 no se incluyen: La Filosofía de la Gestión y el estilo de funcionamiento Políticas y Procedimientos de RRHH Se demuestran los aspectos fundamentales del Ambiente de Control Se expande en la discusión relacionada a roles de la estructura de gobernanza Se clarifica la expectativa de Integridad y Valores Éticos Supervisión del riesgo y fortalecimiento entre riesgo y desempeño Considera los controles internos a través de todas las complejidades dentro de la estructura organizacional Componente 2: Evaluación del Riesgo 6. La organización especifica objetivos con suficiente claridad para permitir la identificación y evaluación de riesgos relacionados con los objetivos. 7. La organización identifica los riesgos para el logro de sus objetivos a través de toda la organización y analiza los riesgos, como la base para determinar cómo los riesgos deberían ser manejar. 8. La organización considera la posibilidad de fraude en su evaluación de riesgos para el logro de los objetivos. 9. La organización identifica y evalúa los cambios que podrían afectar significativamente el sistema de control interno. Impacto Función Auditoría Interna Nahun Frett Principales Cambios: Se enfoca al Componente Evaluación del Riesgo en los objetivos relacionados a las Operaciones, Reporte y Cumplimiento Se clarifica que la evaluación de riesgo incluye procesos para la identificación del riesgo, análisis del riesgo y la respuesta al riesgo Expande la discusión relacionada a la severidad del riesgo más allá de solo la Probabilidad y el Impacto e incluye “Velocidad” y “Persistencia” Componente 3: Actividades de Control 10. La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de los riesgos para cumplir con los objetivos a un nivel aceptable. 11. La organización selecciona y desarrolla actividades generales de control en relación a la tecnología para apoyar el logro de los objetivos. 12. La organización implementa actividades de control a través de políticas que establecen lo que se está esperando así como también procedimientos que crean políticas adecuadas. Principales Cambios: Los conceptos fundamentales no han cambiado, pero la referencia en relación a tecnología ha cambiado muchos de los detalles Refleja la evolución en la tecnología – conceptos más universales que incluyen controles generales de Tecnología Habla sobre la relación con los controles automáticos Componente 4: Información y Comunicación 13. La organización obtiene, genera y/o utiliza información relevante y de calidad para apoyar el funcionamiento de los controles internos. 14. La organización comunica internamente la información, incluyendo los objetivos y responsabilidades del control interno, necesarios para respaldar el funcionamiento de los controles internos. 15. La organización se comunica con partes externas sobre asuntos que afectan al funcionamiento del control interno. Principales Cambios: –Se expande sobre el origen, volumen y forma de la información y comunicación •Interna •Externa Impacto Función Auditoría Interna Nahun Frett –Procesamiento de data a través de sistemas de información –Calidad de la información –Comunicación de información al interior o exterior de la organización para el buen funcionamiento de otros componentes de control interno •Interior: Junta Directiva y Gerencia; Líneas de denuncia •Exterior: Junta Directiva, Socios, accionistas, reguladores, clientes; líneas de denuncia –Métodos de Comunicación Componente 5: Actividades de Supervisión 16. La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o por separado para determinar si los componentes del control interno están presentes y en funcionamiento. 17. La organización evalúa y comunica las deficiencias de control interno de manera oportuna a las partes responsables de tomar acciones correctivas, incluyendo la alta gerencia y el Junta Directiva, según sea el caso. Principales Cambios: Evalúa los resultados de las actividades de supervisión Comunica deficiencias a la Gerencia, Junta Directiva Se ajusta el alcance y frecuencia de las evaluaciones separadas dependiendo del riesgo Evaluaciones continuas incluidas dentro de los procesos de negocio y se ajustan a las condiciones cambiantes Evaluadores deben tener el suficiente conocimiento para entender lo que se esta siendo evaluado Beneficios de COSO 2013 Mejora el Gobierno Corporativo Expande el uso más allá de Reporte Financiero Mejora la Calidad de la Evaluación del Riesgo Fortalece los esfuerzos anti-fraude Adapta los controles a las necesidades cambiantes del negocio Gran aplicabilidad para varios modelos de negocios Impacto Función Auditoría Interna Nahun Frett Forma de Recopilar evidencia - ¿Cómo realizamos las pruebas? Entre los métodos más usados por los auditores internos se encuentran los siguientes: Listas de Chequeo (Check List) Consiste en contrastar o comprobar la realidad contra una lista detallada de elementos o conceptos elaborados previamente. Se emplea para identificar amenazas de riesgos y evaluar la eficacia de controles.Proceso: • Se define alcance de la actividad. • Elaborar lista de comprobaciones generalistas o específicamente desarrollada. • El personal que participa en el uso de la lista de comprobaciones debe seguir la lista de referencia y responder a todas las preguntas planteadas. Reunión Lluvia de ideas Usado para interpretar cualquier tipo de reunión o discusión en grupo. Implica estimular la conversación libre en el grupo para obtener una opinión. Proceso: • La reunión puede ser formal: cada persona debe dar una idea en su turno. Todos deben expresar algo. • La reunión pude ser informal: Las personas aportan ideas tan pronto como les viene en mente. • En ambos caso: Todos deben estar de acuerdo en la pregunta, no criticar ideas, ser breves. Impacto Función Auditoría Interna Nahun Frett Flujograma de Procesos Claves Por ejemplo - Evaluación de la fiabilidad humana (HRA) La evaluación de fiabilidad humana (HRA) trata de medir el error humano sobre el funcionamiento del sistema. Se emplea para reducir el error humano en cualquier fase de un proceso. En la industria de aviación el 70% de accidentes es inducido por el error humano. Proceso: • • • • Definición de clases de error humano. Selección y análisis de las acciones humanas. Representación lógica de diagramas. Cuantificación y documentación. Impacto Función Auditoría Interna Nahun Frett Análisis de Bow Tie Es un modo simple esquemático de descripción y análisis de los senderos de las causas y consecuencias de un riesgo. Se puede considerar como una combinación de la lógica de un árbol de defecto que analiza la causa de un acontecimiento y un árbol de acontecimiento que analiza las consecuencias. Usado para combinar mecanismos de degradación de las consecuencias de fallas. Orientado más a control de riesgos. Proceso: • • • • • Identificar un riesgo en particular Catálogo de causas de acontecimientos Mecanismos de fuentes de riesgo Barreras para prevenir cada causa Funciones para control de la dirección Análisis Markov Es una técnica cuantitativa que se utiliza para describir el comportamiento de un sistema en una situación dinámica. Describe y predice los movimientos de un sistema entre diferentes estados posibles con el paso del tiempo. Aporta valor en sistemas de movimiento de personal, inventarios, comportamiento de clientes, etc. Proceso: • • • • • Definición de conjunto de objetivos y estados Identificación de cada objetivo por estado Probabilidad de cambio de estado por objetivos Periodo de tiempo transcurrido Elaboración de matriz probabilística Impacto Función Auditoría Interna Nahun Frett Simulación de Monte Carlo Técnica matemática computarizada que permite tener en cuenta el riesgo en el análisis cuantitativo y toma de decisiones. Permite ver todos los resultados posibles de las decisiones que se toman y evaluar el impacto del riesgo. Evalúa estados de incertidumbre ante varias situaciones. Proceso: • • • • Rango de valores (distribución de probabilidad) Cálculo de valores aleatorios. Efectuar una variedad de re cálculos. Generar resultados de diferentes probabilidades. Estadísticas y redes Bayesianas Un procedimiento estadístico que utiliza datos de distribución previos para evaluar la probabilidad del resultado. El análisis Bayesian depende de la exactitud de la distribución previa que deduzca un resultado exacto. Bayesian conecta una red la causa-y-efecto en la variedad de dominios capturando las relaciones probables de variable para provenir un resultado. Se emplea en diagnóstico médico, exploración espacial, economía, motores, etc. Proceso: • • • Especificar modelo de probabilidad y parámetros. Actualizar conocimiento de parámetros desconocidos condicionando a los datos observados. Evaluar ajuste del modelo a los datos y la sensibilidad de las conclusiones. Impacto Función Auditoría Interna Nahun Frett Curva FN La curva FN es una representación gráfica de la probabilidad de los eventos causar un nivel de daño a una población específica. Frecuentemente estos se refieren a la frecuencia de ocurrencia de un número dado de bajas. La curva FN muestra la frecuencia acumulada (F) en la cual un número N de miembros de la población serán afectados. Valores N altos que podrían ocurrir con una alta frecuencia F poseen un interés significativo, debido a que estos podrían ser inaceptables. La curva FN es una forma de presentar un análisis de riesgos, lo cual podría ser muy útil para la gerencia y para los diseñadores de sistemas por ayudar al proceso de toma decisión sobre riesgos y niveles de seguridad. Esta es una forma de presentar información sobre la frecuencia como las consecuencias de los riesgos en un formato accesible. Su uso permite clasificar diferentes tipos de riesgos y asociarlos con una actividad del sistema. Impacto Función Auditoría Interna Nahun Frett Matriz Impacto – Probabilidad Este método combina un análisis cualitativo y semi-cuantitativo de las consecuencias y probabilidad de ocurrencia de un riesgo dado. Las escalas de ponderación más usadas son 3-4-5. Fortalezas: Es relativamente fácil de usar. Provee una evaluación rápida de los riesgos dentro de diferentes niveles. Limitaciones: La matriz solo puede ser usada en las circunstancias apropiadas, por lo que podría ser difícil el sistema sea aplicable en todo del rango de operaciones de la organización. Las escalas pueden ser difíciles de definir, proceso ambiguo. El sistema es muy subjetivo. Es difícil de combinar y comparar. El riesgo no puede ser definido de forma agregada. Impacto Función Auditoría Interna Nahun Frett Uso de la Tecnología La tecnología desempeña un papel cada vez más importante en la función de auditoría interna. Existen más y más herramientas disponibles que tienen en cuenta una mayor productividad y eficiencia, lo cual permite dedicar menos tiempo a las responsabilidades administrativas y más a los servicios de aseguramiento y consultoría ofrecidos a los clientes. En el entrono actual caracterizado por avances tecnológicos, las innumerables mejoras pueden convertirse fácilmente en un factor de distracción pero, es importante tener presente que la tecnología debe de mejorar la productividad de auditoría interna y no distraer su atención de la tarea. Además de reducir la cantidad de tiempo dedicada a las responsabilidades administrativas, las herramientas tecnológicas deben incrementar además la productividad dentro del trabajo de auditoría interna permitiendo dedicar menos tiempo a documentar, retener y acceder a documentos de respaldo. La evolución de las tecnologías ha traído consigo numerosas aplicaciones que permiten al departamento de auditoría gestionar sus proyectos, implementar papeles electrónicos de trabajo, así como realizar el seguimiento de las incidencias detectadas durante la auditoría. Mediante el adecuado uso de los diferentes programas que existen en el mercado, podemos aumentar considerablemente el rendimiento de nuestro trabajo, así como garantizar la existencia de un mejor entorno de control interno y manejo de riesgos en nuestras organizaciones. Las nuevas tecnologías han transformado de radicalmente, la forma en que hemos concebido el trabajo de auditoría interna, debido a que nos permiten emplear una plataforma flexible, integrada y funcional para ejecutar las tareas básicas de cualquier tipo de revisión. A través de la automatización de los papeles de trabajo los auditores pueden incrementar la eficiencia y productividad, mejorar la calidad del producto del trabajo y agregar valor a la organización, debido a que logran: 1. Reducir el tiempo invertido en las auditorías. Al automatizar las tareas rutinarias, los auditores internos pueden invertir su tiempo en actividades con valor agregado. 2. Adaptar el enfoque de trabajo a cualquier estructura, modelo o formato de trabajo (COSO, CoCo, CSA, etc.) 3. Focalizar adecuadamente el tiempo invertido por los auditores en análisis, interpretación y preparación de recomendaciones. 4. Estandarizar el proceso de auditoría, debido al uso de formatos, presentaciones y explicaciones de marca comunes. 5. Flexibiliza el trabajo, debido a que con una misma herramienta se pueden realizar diversos tipos de revisiones, tales como auditorías operativas, de cumplimiento y de sistema de información. 6. Provee acceso a literatura técnica actualizada. Impacto Función Auditoría Interna Nahun Frett Evaluación de riesgos En el ámbito administrativo, las herramientas de evaluación de riesgos automatizadas pueden brindarle a la función de auditoria interna un repositorio que tiene en cuenta identificación, documentación y establecimiento de prioridades entre los riesgos, la identificación de las áreas responsables por esos riesgos y las actividades de control clave diseñadas para gestionar o mitigar dichos riegos. Estas herramientas documentan además el universo de auditoría, reúnen información sobre diferentes áreas de dicho universo y se utilizan para evaluar los riesgos específicos para dichas áreas. Aun más, estas herramientas ayudan a priorizar la cantidad de riesgos que un área específica genera a la organización, lo cual determina la frecuencia con que se la audita. En consecuencia, las prioridades resultantes del universo de la auditoría deciden el presupuesto, la programación, el plany los requerimientos de recursos. Obtención de datos Con frecuencia el auditor interno debe revisar grandes cantidades de datos. Esto puede resultar muy difícil y consumir mucho tiempo si no se cuenta con la ayuda de la tecnología. De la misma manera, las muestras pueden ser eficaces, prácticas y privilegiadas. El muestreo puede también limitar la habilidad del auditor interno para extraer conclusiones efectivas. En dichos casos, las herramientas para la obtención de datos pueden resultar indispensables debido a que tienen en cuenta el 100%, lo que permite obtener resultados y conclusiones definitivos. Además, estas herramientas pueden utilizarse como fuente de alimentación para la supervisión continua o la detección de fraudes y los esfuerzos de prevención. Son recomendables el uso de software como ACL e IDEA; y paquetes de Business Intelligence como QlikView. Auditoría Continua Las herramientas de supervisión automática, similares a las aplicaciones para la obtención de datos, le permiten a la función de auditoría interna llevar a cabo de forma más eficiente la auditoría continua ya que posibilitan la supervisión y evaluación de grandes cantidades de datos (información). Si no se contara con este tipo de herramientas esto no seria posible no práctico. La auditoría continúa a diferencia de las auditorías periódicas, son todos los métodos utilizados por la función de auditoría interna para llevar a cabo las actividades relacionadas con la auditoría de manera más constante. Las actividades de auditoría continua frecuentemente respaldan o complementan las auditorías periódicas, las evaluaciones de control o los procesos de evaluación de riesgos realizados por la función de auditoría interna. Las herramientas de supervisión automáticas también pueden mejorar los esfuerzos de comunicación continua de la función de auditoría interna con la dirección al permitir proveer información en tiempo real a cerca de eficacia de un proceso de control. La disponibilidad de información oportuna acerca de la idoneidad y eficacia de los controles puede resultar útil para auditoría interna al momento de revaluar las prioridades para los servicios de aseguramiento y consultoría planificados, maximizando, así la cobertura de auditoría obtenida del universo de auditoría. Impacto Función Auditoría Interna Nahun Frett Capacidades y Competencias Necesarias para Auditor Interno El IIA Global realizo un estudio que presenta las competencias fundamentales que todo auditor debe poseer y las presentó en cinco categorías: Competencias Generales: Destrezas que son esenciales para desarrollar ciertas tareas. Patrón de Comportamiento: Acciones que reflejan los estándares de conducta que se espera que el personal cumpla. Destreza Técnica: Conocimientos de métodos relacionados con el campo de auditoría. Conocimientos: Manejo de áreas esenciales para el trabajo diario de auditoría. Herramientas y Tecnologías: Conjunto de herramientas usadas por el departamento. Competencias Generales Impacto Función Auditoría Interna Patrón Comportamiento Destrezas Técnicas Nahun Frett Impacto Función Auditoría Interna Conocimientos Herramientas y Tecnologías Nahun Frett Impacto Función Auditoría Interna Nahun Frett Reflexión Final “La palabra imposible no está en mi vocabulario” Napoleón Bonaparte Que pensarían del término imposible: El Papa Francisco, Barak Obama, Steve Jobs, Carlos Slim, Michael Jordan o Mark Zuckerberg. A continuación presentamos dos mensajes poderosos de la exitosa campaña publicitaria de “Adidas: Nada es imposible”. “Imposible es sólo una palabra grande que pronuncian hombres pequeños a quienes les parece más fácil vivir en el mundo que les han dado, que explorar el poder que tienen para cambiarlo. Imposible no es un hecho. Es una opinión. Imposible no es una declaración. Es un reto. Imposible no es un potencial. Imposible es temporal. NADA ES IMPOSIBLE.” Traza un plan de acción y llévalo a la práctica. Crea la lista de tareas que necesitas realizar para poner tu proyecto en marcha. Ordénalas de mayor a menor importancia, y empieza a ejecutarlas. Define los tiempos en que debes acometer cada una de ellas. Empieza ya. El momento perfecto no existe, por lo que no te sientes a esperarlo. Cree su propia suerte, usando la teoría de las tres “T” (trabajo, trabajo y trabajo) es infalible. El atleta Gary Player lo describía muy bien cuando decía “cuanto más entreno, más suerte tengo”. Acelerar la velocidad con que se realiza el trabajo-Dar el máximo. Para finalizar compartimos un fragmento del discurso de Nelson Mandela (alguien que durante toda su vida pensó en el vocablo imposible) en el acto de juramentación como Presidente de Sudáfrica (1994-1999), quien pronunció las siguientes palabras del libro de Marianne Williamson "A Return to Love": "Nuestro más profundo temor no es ser inadecuados. Nuestro más profundo temor es que somos poderosos sin medida. Es nuestra luz, no nuestra oscuridad la que más nos asusta. Nos preguntamos, “¿Quién soy yo para ser brillante, hermoso, con talento o fabuloso? ". En realidad, ¿Quién eres tú para no serlo? Eres un hijo de Dios. Jugar a hacerte pequeño no le sirve al mundo. No hay nada iluminador en que te encojas para que las otras personas no se sientan inseguras a tu alrededor. Todos estamos destinados a brillar, como hacen los niños. Hemos nacido para hacer manifiesta la gloria de Dios que está dentro de nosotros. No está sólo en algunos de nosotros, está en todo el mundo. Y cuando dejamos que nuestra propia luz brille, inconscientemente damos permiso a otras personas para hacer lo mismo. Como estamos liberados de nuestro propio miedo, nuestra presencia automáticamente libera a otros." ¡¡¡¡¡¡¡¡¡Muchas Gracias y que el Señor los Bendiga!!!!!!!!!
© Copyright 2024 ExpyDoc