Impacto Función Auditoría Interna

Impacto Función
Auditoría Interna
Procesos Gobierno
Corporativo, Gestión de
Riesgos y Control Interno
Impacto Función Auditoría Interna
Nahun Frett
IMPACTO FUNCIÓN AUDITORIA INTERNA
EN LOS PROCESOS DE GOBIERNO CORPORATIVO,
GESTIÓN DE RIESGOS Y CONTROL INTERNO
Nahun Frett
MBA, CIA, CCSA, CRMA, CPA, CFE
Impacto Función Auditoría Interna
Nahun Frett
El Trabajo de Auditoría Interna
Se ha preguntado usted: ¿Qué es la auditoría interna?
¿Cuál es el impacto de la gestión de riesgos?
¿Cuáles son los requerimientos de las Normas?
La auditoría interna no es una simple labor, es mucho más que una profesión,
la auditoría interna es una filosofía de trabajo, una doctrina, un credo, en pocas
palabras somos una religión seglar. No somos un grupo técnico aislado, sino
una amplia gama de profesionales, que agrupan un conjunto de conocimientos
claves para ayudar a las organizaciones a alcanzar el éxito, no hablamos un
sólo tipo de idioma de negocios, sino que todos juntos formamos una unidad
de habilidades, destrezas y capacidades.
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento
y consulta, concebida para agregar valor y mejorar las operaciones de una
organización. Ayuda a una organización a cumplir sus objetivos aportando un
enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos, control y gobierno (Definición de acuerdo con
Normas Internacionales para la Práctica Profesional de la Auditoría Interna).
Las normativas que inciden directamente el trabajo de auditoría interna son:
Marco Internacional para la práctica profesional de la auditoría interna; COSO
(2013) y COSO ERM; Sox; e ISO.
El rol principal de auditoría interna es ayudar a nuestros clientes a solucionar sus
problemas, esto lo podemos hacer, a través de:
1. Realizar evaluaciones objetivas de sus operaciones y compartiremos ideas de
mejores prácticas.
2. Brindando consejos para mejorar controles, procesos y procedimientos,
desempeño, y gestión de riesgo.
3. Sugiriendo formas de reducir costos, mejorar ingresos e incrementar beneficios.
4. Proporcionando servicios competentes de consultoría, aseguramiento y facilitación.
Ahora bien, una pregunta esencial debe ser la siguiente:
¿Qué es un auditor Interno?
Un auditor interno es un entrenador sobre mejores prácticas de negocio, un defensor
de la ética y la transparencia, un conocedor de los riesgos que enfrenta su
organización, un experto en controles, un especialista en eficiencia y un socio de
negocio que resuelve problemas. Un Departamento de auditoría interna es un medio
que guía hacia información diversa, innovadora y relevante que ayude a resolver
problemas complejos. El riesgo
Impacto Función Auditoría Interna
Nahun Frett
Se ha preguntado usted alguna vez:
¿Qué trabajo realiza un departamento de Auditoría Interna?
1. ¿Quiénes somos?
Detalle los miembros de su departamento.
2. ¿Qué hacemos?

Realizamos evaluaciones objetivas de sus operaciones y compartiremos ideas
de mejores prácticas.

Brindamos consejos para mejorar controles, procesos y procedimientos,
desempeño, y gestión de riesgo.

Sugerimos formas de reducir costos, mejorar ingresos e incrementar beneficios.
3. ¿Qué buscamos?
Agregar valor, promover la excelencia y obtener resultados, a través de:

Participar proactivamente en los cambios que ocurren dentro de la organización.

Entender los riesgos gerenciales y su relación con las prioridades corporativas.

Desarrollar procesos de auditoría interna que brinden soluciones de negocio a
sus clientes y partes relacionadas.

Facilitar el proceso de compartir las mejores prácticas en su organización.
4. ¿Qué tipo de evaluaciones realizamos?
Realizamos los siguientes tipos de auditorías:
Operativa
Financiera
TI
5. ¿Cuáles servicios prestamos?
Proporcionamos servicios competentes de aseguramiento, consultoría, asesoría,
auto-evaluación y facilitación.
6. ¿Cuáles unidades de negocio evaluamos?
Detalle las empresas, unidades de negocios, procesos; departamentos y divisiones
que su departamento debe cubrir con su trabajo.
Impacto Función Auditoría Interna
Nahun Frett
Normas Práctica Profesional
Normas de Auditoría Interna mandatarias: Definición Auditoría Interna, Normas y el
Código de Ética. Normas no mandatarias pero fuertemente recomendadas: Guías,
Prácticas, Consejos para la Prácticas y Declaraciones de Posición. Las Normas de
Auditoría Interna están compuestas de la siguiente forma:
Normas Sobre Atributos










1000: Propósito, autoridad y responsabilidad
1100: Independencia y Objetividad
1120: Interacción directa con el consejo
1200: Aptitud y cuidado profesional
1210: Aptitud
1220: Cuidado profesional
1230: Desarrollo profesional continuo
1300: Programa de aseguramiento y mejora de la calidad
1311: Evaluaciones internas
1312: Evaluaciones externas
Normas Sobre Desempeño























2000: Administración actividad auditoría interna
2010: Planificación
2020: Comunicación y aprobación
2030: Administración de recursos
2040: Políticas y Procedimientos
2050: Coordinación
2060: Informe a la alta dirección y al consejo
2110: Gobierno
2120: Gestión de riesgos
2130: Control Interno
2201: Consideraciones de planificación
2210: Objetivos del trabajo
2220: Alcance del trabajo
2230: Asignación recursos para el trabajo
2300: Desempeño del trabajo
2310: Identificación de la información
2320: Análisis de la información
2330: Documentación de la información
2340: Supervisión del trabajo
2410: Criterios para la comunicación
2420: Calidad de la comunicación
2500: Seguimiento del proceso
2600: Comunicación de la aceptación del riesgo por parte alta dirección.
Impacto Función Auditoría Interna
Nahun Frett
Riesgo
Los problemas se convierten en oportunidades cuando las personas correctas trabajan
juntas para solucionarlos. Los auditores internos somos en pocas palabras, un socio
estratégico del negocio, el cual agrega valor a la gerencia.
Es de todos conocido que las Normas Internacionales para el Ejercicio Profesional de
la Auditoría Interna emitido por The Institute of Internal Auditors (IIA), exigen que:

El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los
objetivos, las operaciones o los recursos de la organización.

El director ejecutivo de auditoría debe establecer planes basados en los riesgos, a
fin de determinar las prioridades de la actividad de auditoría interna.

La actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de
los procesos de gestión de riesgos.
¿Cómo realizamos nuestro trabajo?
El epicentro de la función de auditoría interna es el riesgo. El director ejecutivo de
auditoría debe establecer planes de trabajo basados en los riesgos, a fin de determinar
las prioridades de la actividad de auditoría interna. Dichos planes deberán ser
consistentes con las metas de la organización. Esto significa que:
El director ejecutivo de auditoría es responsable de desarrollar un plan basado
en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la
organización, incluyendo los niveles de aceptación de riesgos establecidos por la
dirección para las diferentes actividades o partes de la organización. Si no existe
tal enfoque, el director ejecutivo de auditoría utilizará su propio juicio sobre los
riesgos después de consultar con la alta dirección y el Consejo.
El plan de trabajo de la actividad de auditoría interna debe estar basado en una
evaluación de riesgos documentada, realizada al menos anualmente. En este proceso
deben tenerse en cuenta los comentarios de la alta dirección y del Consejo.
Sin embargo, en la práctica el cumplimiento con estos requerimientos representa, sin
lugar a dudas, uno de los principales desafíos para cualquier departamento de auditoría
interna. En muchas ocasiones no existe un enlace real entre los riesgos y el enfoque de
nuestro trabajo, por lo que se hace necesario descubrir el eslabón perdido. El
Enterprise Risk Management (ERM) es una herramienta que ayuda en el proceso de
toma de decisiones claves para la sobrevivencia de las organizaciones, por lo que los
auditores internos estamos llamados a jugar un rol protagónico en el proceso de
mejoramiento y desarrollo de un adecuado sistema de gestión de Riegos.
Impacto Función Auditoría Interna
Nahun Frett
“El riesgo en sí mismo no es malo; lo que es malo es que el riesgo esté
mal administrado, mal interpretado, mal calculado, o lo que es lo mismo,
incomprendido” Suzanne Lagarbe. Jefa de Riesgos del Royal Bank of Canadá
El modo más efectivo que conozco de empezar con un riesgo en mente consiste en dar
respuesta a las siguientes interrogantes:
¿Realiza su Departamento una evaluación de riesgo anualmente?
Su metodología de auditoría contiene un proceso de evaluación de riesgos formal de
todas las entidades auditables que forman parte de su universo de auditoría. El nivel de
riesgo asignado debe basarse en la probabilidad y la materialidad de la los riesgos
inherentes y residuales, prestando atención a los controles establecidos.
¿Cuál es su universo de auditoría?
El Universo de auditoría es una lista de todas las auditorías posibles que pudieran
realizarse. El DEA puede obtener información sobre el universo de auditoría de parte
de la alta dirección y el consejo de administración. El universo de auditoría puede
incluir componentes del plan estratégico de la organización. Al incorporar esos
componentes, el universo de auditoría considerará y reflejará los objetivos del plan
general de negocios. Los planes estratégicos probablemente también reflejarán la
actitud de la organización hacia el riesgo y el grado de dificultad para cumplir con los
objetivos planificados.
El universo de auditoría estará normalmente influenciado por los resultados del proceso
de gestión de riesgos. El plan estratégico de la organización tiene en cuenta el
ambiente en el cual opera la organización. Estos mismos factores ambientales
probablemente impactarán en el universo de auditoría y la evaluación del riesgo
relativo.
El DEA prepara el plan de auditoría de la actividad de auditoría interna basándose en el
universo de auditoría, informaciones recibidas de la alta dirección y el consejo de
administración, y una evaluación de riesgos y exposiciones que afectan a la
organización. Los objetivos clave de auditoría son usualmente los de proporcionar a la
alta dirección y al consejo de administración aseguramiento e información que les
permita cumplir con los objetivos de la organización, incluyendo una evaluación de la
eficacia de las tareas de evaluación de riesgos que realiza la dirección.
El universo de auditoría y el plan de auditoría relacionado se mantienen actualizados
de modo de reflejar los cambios en la dirección de la gestión, objetivos, énfasis y
enfoques. Es aconsejable evaluar el universo de auditoría al menos una vez al año con
el fin de que refleje las estrategias y la dirección más actualizadas de la organización.
En algunas situaciones, los planes de auditoría pueden tener que actualizarse más
frecuentemente (por ejemplo, trimestralmente), en respuesta a los cambios en los
negocios, operaciones, programas, sistemas y controles de la organización.
Empezar con un riesgo en mente
Impacto Función Auditoría Interna
Nahun Frett
Principios Gestión de Riesgos
Los auditores internos usan la Norma ISO 31000 con la finalidad de evaluar la
efectividad del sistema de gestión de riesgo implementada por la organización.
Esta Norma establece que todo proceso de gestión de riesgo debe:
Crear y proteger el valor
Contribuye a la consecución de objetivos así como a la mejora de aspectos tales
como la seguridad y salud laboral, cumplimiento legal y normativo, protección
ambiental, etc.
Estar incorporada en todos los procesos
No debe ser entendida como una actividad aislada sino como parte de las actividades
y procesos principales de una organización.
Ser parte del proceso para la toma de decisiones:
La gestión del riesgo ayuda a la toma de decisiones evaluando la información sobre
las distintas alternativas de acción.
Ser usada para tratar con la incertidumbre
La gestión de riesgo trata aquellos aspectos de la toma de decisiones que son
inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
Ser estructurada, sistemática, y oportuna
Contribuye a la eficiencia y consecuentemente, a la obtención de resultados fiables.
Basada en la mejor información disponible
Los inputs del proceso de gestión de riesgos están basados en fuentes de
información como la experiencia, la observación, las previsiones y la opinión de
expertos.
Adaptarse a su entorno:
Hecha a su medida, alineada con el contexto externo e interno de la organización y
con su perfil de riesgo.
Considerar factores humanos y culturales
Reconoce la capacidad, percepción e intenciones de la gente, tanto externa como
interna que pueda facilitar o dificultar la consecución de los objetivos de la
organización.
Ser transparente, inclusiva, y relevante
La apropiada y oportuna participación de los grupos de interés y, en particular, de los
responsables a todos los niveles, deben asegurar que la gestión del riesgo
permanece relevante y actualizada.
Dinámica, sensible al cambio, e iterativa
La organización debe velar para que la gestión de riesgos detecte y responda a los
cambios de la empresa. Conocer como ocurren los acontecimientos externos e
internos, cambio del contexto, nuevos riesgos que surgen y otros que desaparecen.
Facilitar la mejora continua de la organización:
Las organizaciones deberían desarrollar e implementar estrategias para mejorar
continuamente, tanto en la gestión del riesgo como en cualquier otro aspecto de la
organización.
Impacto Función Auditoría Interna
Nahun Frett
Normas Profesión Auditoría Interna Aplicables a Gestión de Riesgos
En las Normas se emplean términos a los que se han dado determinados
significados que están definidos en el Glosario. Por ejemplo, en las Normas se
utiliza la palabra debe para indicar un requisito incondicional, y la palabra
debería en los casos en que se espera su cumplimiento cuando se aplica el juicio
profesional, a menos que las circunstancias justifiquen un desvío.
A. Las Normas exigen que nuestro trabajo esté basado en riesgos
El director ejecutivo de auditoría debe establecer planes de trabajo basados en
los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna.
Dichos planes deberán ser consistentes con las metas de la organización.
Interpretación:
El director ejecutivo de auditoría es
responsable de desarrollar un plan basado
en riesgos. Para ello, debe tener en
cuenta el enfoque de gestión de riesgos
de la organización, incluyendo los niveles
de aceptación de riesgos establecidos por
la dirección para las diferentes actividades
o partes de la organización. Si no existe
tal enfoque, el director ejecutivo de
auditoría utilizará su propio juicio sobre los
riesgos después de consultar con la alta
dirección y el Consejo.
El plan de trabajo de la actividad de
auditoría interna debe estar basado en
una evaluación de riesgos documentada,
realizada al menos anualmente. En este
proceso deben tenerse en cuenta los
comentarios de la alta dirección y del
Consejo.
El director ejecutivo de auditoría debería
considerar la aceptación de trabajos de
consultoría que le sean propuestos,
basándose en el potencial del
trabajo para mejorar la gestión de riesgos,
añadir valor y mejorar las operaciones de
la organización. Los trabajos aceptados
deben ser incluidos en el plan.
Impacto Función Auditoría Interna
Nahun Frett
Roles y responsabilidades de auditoría interna respecto al proceso de gestión de
riesgo.
Rol Auditoría Interna en ERM
La Figura de la página anterior presenta una variedad de actividades de gestión de
riesgo empresarial y se indica cuáles son los roles que debe desempeñar una función
de auditoría interna profesional y, lo que es igualmente importante, cuáles son los roles
que no debe llevar a cabo. Los factores principales a tener en cuenta para determinar
el rol de la auditoría interna se basan en evaluar si la actividad amenaza de alguna
manera la independencia y objetividad de la función de auditoría interna, y si es
probable mejorar los procesos de gestión de riesgos, control y gobierno de la
organización.
Técnicas Usadas
Define las técnicas que podemos usar para obtener evidencia sobre la efectividad del
proceso de gestión de riesgos:
Observaciones
Entrevistas
Revisiones de documentos
Resultados de auditorías anteriores
Descansar en trabajo realizado por otros
Técnicas analíticas
Mapeo de procesos
Muestreo estadístico
Revisión y evaluación de modelos de riesgos
Impacto Función Auditoría Interna
Nahun Frett
Evaluación Control Interno
Una vida sin riesgo es una vida gris, pero una vida sin control probablemente será una
vida corta. Bertrand Russell
¿Qué es el Control Interno?
Es todo aquello que apoya a las personas en sus esfuerzos para alcanzar los
objetivos de la organización: Habilidades, procesos, información, sistemas,
políticas, trabajo en equipo, liderazgo, recursos, estructura, comunicación y
procedimientos.
¿Por qué es importante el Control Interno?
Es importante por que nos permite:
a) Promover y optimizar la eficiencia, eficacia, transparencia y economía en las
operaciones de la entidad, así como la calidad de los servicios públicos que presta;
b) Cuidar y resguardar los recursos y bienes del Estado contra cualquier forma de
pérdida, deterioro, uso indebido y actos ilegales, así como, en general, contra todo
hecho irregular o situación perjudicial que pudiera afectarlos;
c) Cumplir la normatividad aplicable a la entidad y sus operaciones;
d) Garantizar la confiabilidad y oportunidad de la información;
e) Fomentar e impulsar la práctica de valores institucionales;
f) Promover el cumplimiento de los funcionarios o servidores públicos de rendir cuenta
por los fondos y bienes públicos a su cargo y/o por una misión u objetivo encargado
y aceptado.
COSO Definición de Control Interno
El control interno es un proceso, efectuado por la junta directiva, administración y
demás personal de una entidad, diseñado para proporcionar una seguridad razonable
respecto al logro de objetivos relacionados a operaciones, reporte y cumplimento.
Categorías de Objetivos (sin cambio):
Operacionales: Eficacia y Eficiencia en la operaciones, incluyendo objetivos de
desempeño, financieros y operacionales, y la salvaguarda de activos
Reporte: Reporte Interno y Externo, Financiero y no Financiero y puede incluir
confianza, puntualidad, transparencia, u otros términos determinados por los
organismos reguladores, Normas o políticas internas
Cumplimiento: Cumplimiento de leyes y regulaciones
Impacto Función Auditoría Interna
Nahun Frett
17 Principios Básicos de un Sistema de Control Interno Efectivo
En gran aporte del nuevo Marco COSO 2013 es la identificación de 17 condiciones o
principios que son indispensable para el desarrollo de un sistema de control interno
efectivo. Estos son:
Entorno de Control
1. La Organización ha de demostrar su compromiso con la integridad y los valores
éticos.
2. El Consejo de Administración debe demostrar independencia en la gestión y ejercer
la supervisión del desarrollo y ejecución del control interno.
3. La alta dirección debe establecer, con la supervisión del Consejo de Administración:
la estructura, líneas de reporte, autoridad y responsabilidad en la consecución de
objetivos.
4. En sinfonía con los objetivos, la Organización debe demostrar su compromiso para
atraer, desarrollar, y retener personas competentes.
5. En la consecución de los objetivos, la Organización debe disponer de personas
responsables para atender sus responsabilidades de Control Interno.
Evaluación de Riesgos
6. La Organización ha de especificar los objetivos con suficiente claridad para permitir
la identificación y evaluación de los riesgos relacionados.
7. La Organización debe identificar y evaluar sus riesgos.
8. La Organización gestionará el riesgo de fraude.
9. La Organización debe identificar y evaluar los cambios importantes que podrían
impactar en el sistema de control interno.
Actividades de Control
10. La Organización ha de seleccionar y desarrollar actividades de control que
contribuyan a la mitigación de los riesgos para el logro de sus objetivos.
11. La Organización seleccionará y desarrollará Controles Generales sobre Tecnología
de la Información
12. La Organización implementa sus actividades de control a través de políticas y
procedimientos adecuados
Impacto Función Auditoría Interna
Nahun Frett
Información y Comunicación
13. La Organización ha de generar la información relevante para respaldar el
funcionamiento de los otros componentes de Control Interno.
14. La Organización compartirá internamente la información, incluyendo los objetivos y
responsabilidades para el control interno, necesaria para respaldar el
funcionamiento de los otros componentes de Control Interno.
15. La Organización comunicará externamente las materias que afecten al
funcionamiento de los otros componentes de Control Interno.
Actividades de Monitorización
16. La Organización llevará a cabo evaluaciones continuas e individuales, con el fin de
comprobar si los componentes del control interno están presentes y están
funcionando.
17. La Organización evalúa y comunica las deficiencias de control interno.
Aspectos Importantes:
Estos Principios que lógicamente introducen ciertos cambios en los componentes del
Control Interno, de los que destacaríamos el correspondiente a la evaluación de los
riesgos que, a partir que ahora, han de incluir los conceptos de velocidad y persistencia
de los riesgos como criterios para evaluar la criticidad de los mismos.

La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en
la organización una vez este se ha materializado, es decir, hace referencia al
ritmo con el que se espera que la entidad experimente el impacto.

La persistencia de un riesgo hace referencia a la duración del impacto
después de que le riesgo se haya materializado.
COSO 2013 clarifica los requerimientos para un control interno efectivo

El control interno efectivo proporciona una seguridad razonable, no absoluta
sobre el logro de los objetivos y requiere que:
o Cada componente y cada principio relevante estén presentes y
funcionando
o Los cinco componentes estén operando juntos de una manera integrada

Cada principio es adecuado para todas las organizaciones, todos los principios
se presumen relevantes
Impacto Función Auditoría Interna
Nahun Frett
Descripción Componentes COSO
Ambiente de Control
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Supervisión y Seguimiento
Descripción de Componentes COSO
Ambiente de Control: Es el conjunto de normas, procesos y estructuras que sirven de
base para implementar y llevar a cabo el control interno en la organización. El ambiente
de control es la base para lograr un sólido sistema general de control interno.
Evaluación de riesgos: es un proceso dinámico e iterativo para identificar, evaluar y
tratar los riesgos que impidan el logro de los objetivos. Los riesgos se miden en
relación a la tolerancia al riesgo establecido.
Actividades de control: son las acciones establecidas a través de las políticas y
procedimientos que ayudan a mitigar los riesgos. Pueden abarcar una amplia gama de
actividades manuales y automatizadas.
Información y comunicación: es necesaria para llevar a cabo las responsabilidades
de control interno. La comunicación interna fluye hacia arriba, abajo, y en toda la
entidad. La comunicación externa proporciona información a las partes externas en
respuesta a requerimientos y expectativas.
Supervisión y Seguimiento: Son evaluaciones continuas o separadas utilizadas para
determinar si cada uno de los cinco componentes de control interno está presente y en
funcionamiento. Es frecuente y oportuno recurrir a evaluaciones independientes.
Aspectos importantes sobre el control interno:

El control interno efectivo proporciona una seguridad razonable, no absoluta
sobre el logro de los objetivos y requiere que:
o Cada componente y cada principio relevante estén presentes y
funcionando
o Los cinco componentes estén operando juntos de una manera integrada

Cada principio es adecuado para todas las organizaciones, todos los principios
se presumen relevantes
Impacto Función Auditoría Interna
Nahun Frett
Análisis de Cambios Más Importantes Surgidos en el Marco por Componentes
Componente 1: Ambiente de Control
1. La organización demuestra un compromiso con la integridad y los valores éticos.
2. La Junta Directiva demuestra independencia de la administración y ejerce
supervisión de la evolución y los resultados de los controles internos.
3. La Gestión se establece, con la supervisión de la Junta, estructuras, líneas de
reporte, y autoridades y responsabilidades apropiadas en el logro de los objetivos.
4. La organización demuestra el compromiso para atraer, desarrollar y retener
personas competentes en alineación con los objetivos.
5. La organización hace responsables a los individuos por sus responsabilidades de
control interno en la búsqueda de los objetivos.
Principales Cambios:
1. Se combinan 7 Factores de Control Interno en 5 Principios
2. Factor 4 y 7 no se incluyen:







La Filosofía de la Gestión y el estilo de funcionamiento
Políticas y Procedimientos de RRHH
Se demuestran los aspectos fundamentales del Ambiente de Control
Se expande en la discusión relacionada a roles de la estructura de
gobernanza
Se clarifica la expectativa de Integridad y Valores Éticos
Supervisión del riesgo y fortalecimiento entre riesgo y desempeño
Considera los controles internos a través de todas las complejidades dentro
de la estructura organizacional
Componente 2: Evaluación del Riesgo
6. La organización especifica objetivos con suficiente claridad para permitir la
identificación y evaluación de riesgos relacionados con los objetivos.
7. La organización identifica los riesgos para el logro de sus objetivos a través de
toda la organización y analiza los riesgos, como la base para determinar cómo
los riesgos deberían ser manejar.
8. La organización considera la posibilidad de fraude en su evaluación de riesgos
para el logro de los objetivos.
9. La organización identifica y evalúa los cambios que podrían afectar
significativamente el sistema de control interno.
Impacto Función Auditoría Interna
Nahun Frett
Principales Cambios:

Se enfoca al Componente Evaluación del Riesgo en los objetivos relacionados a
las Operaciones, Reporte y Cumplimiento

Se clarifica que la evaluación de riesgo incluye procesos para la identificación
del riesgo, análisis del riesgo y la respuesta al riesgo

Expande la discusión relacionada a la severidad del riesgo más allá de solo la
Probabilidad y el Impacto e incluye “Velocidad” y “Persistencia”
Componente 3: Actividades de Control
10. La organización selecciona y desarrolla actividades de control que contribuyen a
la mitigación de los riesgos para cumplir con los objetivos a un nivel aceptable.
11. La organización selecciona y desarrolla actividades generales de control en
relación a la tecnología para apoyar el logro de los objetivos.
12. La organización implementa actividades de control a través de políticas que
establecen lo que se está esperando así como también procedimientos que
crean políticas adecuadas.
Principales Cambios:

Los conceptos fundamentales no han cambiado, pero la referencia en relación a
tecnología ha cambiado muchos de los detalles

Refleja la evolución en la tecnología – conceptos más universales que incluyen
controles generales de Tecnología

Habla sobre la relación con los controles automáticos
Componente 4: Información y Comunicación
13. La organización obtiene, genera y/o utiliza información relevante y de calidad
para apoyar el funcionamiento de los controles internos.
14. La organización comunica internamente la información, incluyendo los objetivos
y responsabilidades del control interno, necesarios para respaldar el
funcionamiento de los controles internos.
15. La organización se comunica con partes externas sobre asuntos que afectan al
funcionamiento del control interno.
Principales Cambios:
–Se expande sobre el origen, volumen y forma de la información y comunicación
•Interna
•Externa
Impacto Función Auditoría Interna
Nahun Frett
–Procesamiento de data a través de sistemas de información
–Calidad de la información
–Comunicación de información al interior o exterior de la organización para el buen
funcionamiento de otros componentes de control interno
•Interior: Junta Directiva y Gerencia; Líneas de denuncia
•Exterior: Junta Directiva, Socios, accionistas, reguladores, clientes; líneas de denuncia
–Métodos de Comunicación
Componente 5: Actividades de Supervisión
16. La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o
por separado para determinar si los componentes del control interno están
presentes y en funcionamiento.
17. La organización evalúa y comunica las deficiencias de control interno de manera
oportuna a las partes responsables de tomar acciones correctivas, incluyendo la
alta gerencia y el Junta Directiva, según sea el caso.
Principales Cambios:

Evalúa los resultados de las actividades de supervisión

Comunica deficiencias a la Gerencia, Junta Directiva

Se ajusta el alcance y frecuencia de las evaluaciones separadas dependiendo
del riesgo

Evaluaciones continuas incluidas dentro de los procesos de negocio y se ajustan
a las condiciones cambiantes

Evaluadores deben tener el suficiente conocimiento para entender lo que se esta
siendo evaluado
Beneficios de COSO 2013

Mejora el Gobierno Corporativo

Expande el uso más allá de Reporte Financiero

Mejora la Calidad de la Evaluación del Riesgo

Fortalece los esfuerzos anti-fraude

Adapta los controles a las necesidades cambiantes del negocio

Gran aplicabilidad para varios modelos de negocios
Impacto Función Auditoría Interna
Nahun Frett
Forma de Recopilar evidencia - ¿Cómo realizamos las pruebas?
Entre los métodos más usados por los auditores internos se encuentran los siguientes:
Listas de Chequeo (Check List)
Consiste en contrastar o comprobar la
realidad contra una lista detallada de
elementos o conceptos elaborados
previamente.
Se emplea para identificar amenazas de
riesgos y evaluar la eficacia de
controles.Proceso:
• Se define alcance de la actividad.
• Elaborar lista de comprobaciones
generalistas o específicamente
desarrollada.
• El personal que participa en el uso de la
lista de comprobaciones debe seguir la
lista de referencia y responder a todas las
preguntas planteadas.
Reunión Lluvia de ideas
Usado para interpretar cualquier tipo de reunión o discusión en grupo. Implica
estimular la conversación libre en el grupo para obtener una opinión. Proceso:
• La reunión puede ser formal: cada persona debe dar una idea en su turno. Todos
deben expresar algo.
• La reunión pude ser informal: Las personas aportan ideas tan pronto como les
viene en mente.
• En ambos caso: Todos deben estar de acuerdo en la pregunta, no criticar ideas,
ser breves.
Impacto Función Auditoría Interna
Nahun Frett
Flujograma de Procesos Claves
Por ejemplo - Evaluación de la fiabilidad humana (HRA)
La evaluación de fiabilidad humana (HRA) trata de medir el error humano sobre el
funcionamiento del sistema. Se emplea para reducir el error humano en cualquier
fase de un proceso. En la industria de aviación el 70% de accidentes es inducido por
el error humano. Proceso:
•
•
•
•
Definición de clases de error humano.
Selección y análisis de las acciones humanas.
Representación lógica de diagramas.
Cuantificación y documentación.
Impacto Función Auditoría Interna
Nahun Frett
Análisis de Bow Tie
Es un modo simple esquemático de descripción y análisis de los senderos de las
causas y consecuencias de un riesgo. Se puede considerar como una combinación
de la lógica de un árbol de defecto que analiza la causa de un acontecimiento y un
árbol de acontecimiento que analiza las consecuencias. Usado para combinar
mecanismos de degradación de las consecuencias de fallas. Orientado más a
control de riesgos. Proceso:
•
•
•
•
•
Identificar un riesgo en particular
Catálogo de causas de acontecimientos
Mecanismos de fuentes de riesgo
Barreras para prevenir cada causa
Funciones para control de la dirección
Análisis Markov
Es una técnica cuantitativa que se utiliza
para describir el comportamiento de un
sistema en una situación dinámica. Describe
y predice los movimientos de un sistema
entre diferentes estados posibles con el
paso del tiempo. Aporta valor en sistemas
de movimiento de personal, inventarios,
comportamiento de clientes, etc.
Proceso:
•
•
•
•
•
Definición de conjunto de objetivos y
estados
Identificación de cada objetivo por
estado
Probabilidad de cambio de estado por
objetivos
Periodo de tiempo transcurrido
Elaboración de matriz probabilística
Impacto Función Auditoría Interna
Nahun Frett
Simulación de Monte Carlo
Técnica matemática computarizada que permite tener en cuenta el riesgo en el
análisis cuantitativo y toma de decisiones. Permite ver todos los resultados posibles
de las decisiones que se toman y evaluar el impacto del riesgo. Evalúa estados de
incertidumbre ante varias situaciones. Proceso:
•
•
•
•
Rango de valores (distribución de probabilidad)
Cálculo de valores aleatorios.
Efectuar una variedad de re cálculos.
Generar resultados de diferentes probabilidades.
Estadísticas y redes Bayesianas
Un procedimiento estadístico que utiliza datos de
distribución previos para evaluar la probabilidad
del resultado. El análisis Bayesian depende de la
exactitud de la distribución previa que deduzca
un resultado exacto. Bayesian conecta una red la
causa-y-efecto en la variedad de dominios
capturando las relaciones probables de variable
para provenir un resultado. Se emplea en
diagnóstico médico, exploración espacial,
economía, motores, etc. Proceso:
•
•
•
Especificar modelo de probabilidad y
parámetros.
Actualizar conocimiento de parámetros
desconocidos condicionando a los datos
observados.
Evaluar ajuste del modelo a los datos y la
sensibilidad de las conclusiones.
Impacto Función Auditoría Interna
Nahun Frett
Curva FN
La curva FN es una representación gráfica de la probabilidad de los eventos causar un
nivel de daño a una población específica. Frecuentemente estos se refieren a la
frecuencia de ocurrencia de un número dado de bajas.
La curva FN muestra la frecuencia acumulada (F) en la cual un número N de miembros
de la población serán afectados. Valores N altos que podrían ocurrir con una alta
frecuencia F poseen un interés significativo, debido a que estos podrían ser
inaceptables.
La curva FN es una forma de presentar un análisis de riesgos, lo cual podría ser muy
útil para la gerencia y para los diseñadores de sistemas por ayudar al proceso de toma
decisión sobre riesgos y niveles de seguridad. Esta es una forma de presentar
información sobre la frecuencia como las consecuencias de los riesgos en un formato
accesible. Su uso permite clasificar diferentes tipos de riesgos y asociarlos con una
actividad del sistema.
Impacto Función Auditoría Interna
Nahun Frett
Matriz Impacto – Probabilidad
Este método combina un análisis cualitativo y semi-cuantitativo de las consecuencias y
probabilidad de ocurrencia de un riesgo dado. Las escalas de ponderación más usadas
son 3-4-5.
Fortalezas:
Es relativamente fácil de usar.
Provee una evaluación rápida de los riesgos dentro de diferentes niveles.
Limitaciones:
La matriz solo puede ser usada en las circunstancias apropiadas, por lo que podría ser
difícil el sistema sea aplicable en todo del rango de operaciones de la organización.
Las escalas pueden ser difíciles de definir, proceso ambiguo.
El sistema es muy subjetivo.
Es difícil de combinar y comparar.
El riesgo no puede ser definido de forma agregada.
Impacto Función Auditoría Interna
Nahun Frett
Uso de la Tecnología
La tecnología desempeña un papel cada vez más importante en la función de
auditoría interna. Existen más y más herramientas disponibles que tienen en cuenta
una mayor productividad y eficiencia, lo cual permite dedicar menos tiempo a las
responsabilidades administrativas y más a los servicios de aseguramiento y consultoría
ofrecidos a los clientes. En el entrono actual caracterizado por avances tecnológicos,
las innumerables mejoras pueden convertirse fácilmente en un factor de distracción
pero, es importante tener presente que la tecnología debe de mejorar la productividad
de auditoría interna y no distraer su atención de la tarea.
Además de reducir la cantidad de tiempo dedicada a las responsabilidades
administrativas, las herramientas tecnológicas deben incrementar además la
productividad dentro del trabajo de auditoría interna permitiendo dedicar menos tiempo
a documentar, retener y acceder a documentos de respaldo.
La evolución de las tecnologías ha traído consigo numerosas aplicaciones que
permiten al departamento de auditoría gestionar sus proyectos, implementar papeles
electrónicos de trabajo, así como realizar el seguimiento de las incidencias detectadas
durante la auditoría. Mediante el adecuado uso de los diferentes programas que
existen en el mercado, podemos aumentar considerablemente el rendimiento de
nuestro trabajo, así como garantizar la existencia de un mejor entorno de control
interno y manejo de riesgos en nuestras organizaciones.
Las nuevas tecnologías han transformado de radicalmente, la forma en que hemos
concebido el trabajo de auditoría interna, debido a que nos permiten emplear una
plataforma flexible, integrada y funcional para ejecutar las tareas básicas de cualquier
tipo de revisión. A través de la automatización de los papeles de trabajo los auditores
pueden incrementar la eficiencia y productividad, mejorar la calidad del producto del
trabajo y agregar valor a la organización, debido a que logran:
1. Reducir el tiempo invertido en las auditorías. Al automatizar las tareas rutinarias, los
auditores internos pueden invertir su tiempo en actividades con valor agregado.
2. Adaptar el enfoque de trabajo a cualquier estructura, modelo o formato de trabajo
(COSO, CoCo, CSA, etc.)
3. Focalizar adecuadamente el tiempo invertido por los auditores en análisis,
interpretación y preparación de recomendaciones.
4. Estandarizar el proceso de auditoría, debido al uso de formatos, presentaciones y
explicaciones de marca comunes.
5. Flexibiliza el trabajo, debido a que con una misma herramienta se pueden realizar
diversos tipos de revisiones, tales como auditorías operativas, de cumplimiento y de
sistema de información.
6. Provee acceso a literatura técnica actualizada.
Impacto Función Auditoría Interna
Nahun Frett
Evaluación de riesgos
En el ámbito administrativo, las herramientas de evaluación de riesgos automatizadas
pueden brindarle a la función de auditoria interna un repositorio que tiene en cuenta
identificación, documentación y establecimiento de prioridades entre los riesgos, la
identificación de las áreas responsables por esos riesgos y las actividades de control
clave diseñadas para gestionar o mitigar dichos riegos. Estas herramientas
documentan además el universo de auditoría, reúnen información sobre diferentes
áreas de dicho universo y se utilizan para evaluar los riesgos específicos para dichas
áreas. Aun más, estas herramientas ayudan a priorizar la cantidad de riesgos que un
área específica genera a la organización, lo cual determina la frecuencia con que se la
audita. En consecuencia, las prioridades resultantes del universo de la auditoría
deciden el presupuesto, la programación, el plany los requerimientos de recursos.
Obtención de datos
Con frecuencia el auditor interno debe revisar grandes cantidades de datos. Esto puede
resultar muy difícil y consumir mucho tiempo si no se cuenta con la ayuda de la
tecnología. De la misma manera, las muestras pueden ser eficaces, prácticas y
privilegiadas. El muestreo puede también limitar la habilidad del auditor interno para
extraer conclusiones efectivas. En dichos casos, las herramientas para la obtención de
datos pueden resultar indispensables debido a que tienen en cuenta el 100%, lo que
permite obtener resultados y conclusiones definitivos. Además, estas herramientas
pueden utilizarse como fuente de alimentación para la supervisión continua o la
detección de fraudes y los esfuerzos de prevención. Son recomendables el uso de
software como ACL e IDEA; y paquetes de Business Intelligence como QlikView.
Auditoría Continua
Las herramientas de supervisión automática, similares a las aplicaciones para la
obtención de datos, le permiten a la función de auditoría interna llevar a cabo de forma
más eficiente la auditoría continua ya que posibilitan la supervisión y evaluación de
grandes cantidades de datos (información). Si no se contara con este tipo de
herramientas esto no seria posible no práctico. La auditoría continúa a diferencia de las
auditorías periódicas, son todos los métodos utilizados por la función de auditoría
interna para llevar a cabo las actividades relacionadas con la auditoría de manera más
constante. Las actividades de auditoría continua frecuentemente respaldan o
complementan las auditorías periódicas, las evaluaciones de control o los procesos de
evaluación de riesgos realizados por la función de auditoría interna. Las herramientas
de supervisión automáticas también pueden mejorar los esfuerzos de comunicación
continua de la función de auditoría interna con la dirección al permitir proveer
información en tiempo real a cerca de eficacia de un proceso de control. La
disponibilidad de información oportuna acerca de la idoneidad y eficacia de los
controles puede resultar útil para auditoría interna al momento de revaluar las
prioridades para los servicios de aseguramiento y consultoría planificados,
maximizando, así la cobertura de auditoría obtenida del universo de auditoría.
Impacto Función Auditoría Interna
Nahun Frett
Capacidades y Competencias Necesarias para Auditor Interno
El IIA Global realizo un estudio que
presenta las competencias fundamentales
que todo auditor debe poseer y las
presentó en cinco categorías:
Competencias Generales: Destrezas
que son esenciales para desarrollar
ciertas tareas.
Patrón de Comportamiento: Acciones
que reflejan los estándares de conducta
que se espera que el personal cumpla.
Destreza Técnica: Conocimientos de
métodos relacionados con el campo de
auditoría.
Conocimientos: Manejo de áreas
esenciales para el trabajo diario de
auditoría.
Herramientas y Tecnologías: Conjunto
de herramientas usadas por el
departamento.
Competencias Generales
Impacto Función Auditoría Interna
Patrón Comportamiento
Destrezas Técnicas
Nahun Frett
Impacto Función Auditoría Interna
Conocimientos
Herramientas y Tecnologías
Nahun Frett
Impacto Función Auditoría Interna
Nahun Frett
Reflexión Final
“La palabra imposible no está en mi vocabulario” Napoleón Bonaparte
Que pensarían del término imposible: El Papa Francisco, Barak Obama, Steve Jobs,
Carlos Slim, Michael Jordan o Mark Zuckerberg. A continuación presentamos dos
mensajes poderosos de la exitosa campaña publicitaria de “Adidas: Nada es
imposible”.
“Imposible es sólo una palabra grande que pronuncian hombres pequeños
a quienes les parece más fácil vivir en el mundo que les han dado,
que explorar el poder que tienen para cambiarlo.
Imposible no es un hecho. Es una opinión.
Imposible no es una declaración. Es un reto.
Imposible no es un potencial. Imposible es temporal.
NADA ES IMPOSIBLE.”
Traza un plan de acción y llévalo a la práctica. Crea la lista de tareas que necesitas
realizar para poner tu proyecto en marcha. Ordénalas de mayor a menor importancia, y
empieza a ejecutarlas. Define los tiempos en que debes acometer cada una de ellas.
Empieza ya. El momento perfecto no existe, por lo que no te sientes a esperarlo.
Cree su propia suerte, usando la teoría de las tres “T” (trabajo, trabajo y trabajo) es
infalible. El atleta Gary Player lo describía muy bien cuando decía “cuanto más entreno,
más suerte tengo”. Acelerar la velocidad con que se realiza el trabajo-Dar el máximo.
Para finalizar compartimos un fragmento del discurso de Nelson Mandela (alguien que
durante toda su vida pensó en el vocablo imposible) en el acto de juramentación como
Presidente de Sudáfrica (1994-1999), quien pronunció las siguientes palabras del libro
de Marianne Williamson "A Return to Love":
"Nuestro más profundo temor no es ser inadecuados. Nuestro más profundo
temor es que somos poderosos sin medida. Es nuestra luz, no nuestra oscuridad
la que más nos asusta. Nos preguntamos, “¿Quién soy yo para ser brillante,
hermoso, con talento o fabuloso? ". En realidad, ¿Quién eres tú para no serlo?
Eres un hijo de Dios. Jugar a hacerte pequeño no le sirve al mundo. No hay nada
iluminador en que te encojas para que las otras personas no se sientan
inseguras a tu alrededor. Todos estamos destinados a brillar, como hacen los
niños. Hemos nacido para hacer manifiesta la gloria de Dios que está dentro de
nosotros. No está sólo en algunos de nosotros, está en todo el mundo. Y cuando
dejamos que nuestra propia luz brille, inconscientemente damos permiso a otras
personas para hacer lo mismo. Como estamos liberados de nuestro propio
miedo, nuestra presencia automáticamente libera a otros."
¡¡¡¡¡¡¡¡¡Muchas Gracias y que el Señor los Bendiga!!!!!!!!!