Un Enfoque de Auditoría Basada en Riesgos...basado en riesgos? • La Norma de Desempeño IAI...
Transcript of Un Enfoque de Auditoría Basada en Riesgos...basado en riesgos? • La Norma de Desempeño IAI...
Un Enfoque de Auditoría Basada en Riesgos
Omer Useche
PwC Costa Rica
Encuesta PwC
La auditoría interna debe estar alineada con las expectativas de sus grupos de interés con el fin de construir estratégicamente las capacidades adecuadas y elevar su rendimiento y valor
Responda las siguientes preguntas…
• ¿Su función se encuentra alineada con
las expectativas de sus grupos de
interés clave?
• ¿Se está alineado con respecto a los
riesgos críticos?
• ¿Espera lo suficiente de su función?
• Expectativas más altas requieren
mayores capacidades e inversión
Los hallazgos
• Existen diferencias significativas de
opinión entre las partes interesadas y
los CAE
• En promedio, sólo el 49% de los altos
directivos y el 64% de los miembros
del Consejo creen que la auditoría
interna está obteniendo buenos
resultados en el logro de las
expectativas
• Más de la mitad (55%) de los altos
directivos no creen que auditoría interna agrega un valor significativo
Encuesta PwC
2013 2014
Valor… Las partes interesadas tienen significativamente diferentes puntos de vista del valor de auditoría interna
56% de la junta directiva clasifica el rendimiento de AI como fuerte
64% de la junta directiva clasifica el rendimiento de AI como fuerte
60% de los miembros del Consejo creen que los riesgos son bien administrados
80% de los miembros del Consejo creen que los riesgos son bien administrados
Rendimiento… El
rendimiento ha mostrado una mejoría desde el año anterior, pero muchas de las funciones aún tienen el reto
Riesgos Críticos… Las
empresas están haciendo un
mejor trabajo en la Gestión de los Riesgos críticos desde entonces
Enfoque Tradicional
Plan de
Auditoría
Definir el Universo Auditable (ej. geografía, unidades
de negocio, etc.)
Identificar riesgos (Financieros, Operacionales,
Cumplimiento)
Evaluar el impacto de los riesgos dentro del universo
auditable
Enfoque tradicional “bottom-
up” basado en entrevistas a
los grupos de interés y sus
respectivos análisis. El
enfoque es en la cobertura
de áreas de riesgo identificadas,
geográficamente y por
operaciones de negocios
Dado que las empresas se mueven hacia la gestión del
riesgo empresarial, auditoría interna también debe
evolucionar - o arriesgarse a una propuesta de valor
disminuido
Modelo de Auditoría Interna
del Siglo 20
Aseguramiento de controles
basados en planes de
auditoría cíclicos o rutinarios
Modelo de Auditoría Interna
más común
Aseguramiento de controles
basado en un plan de
auditoría interna basado en
riesgos
Modelo de Auditoría Interna
centrado en riesgos
Aseguramiento de riesgos y
controles basados en la
efectividad de los procesos de
riesgo y control
implementados
“La Auditoría Interna tradicional probablemente disminuirá en valor si la
organización se mueve hacia la Gestión de Riesgos formal” Senior Executive, Rating Agency
Transformando la Auditoría Interna
Un enfoque integral para mejorar la
propuesta de valor de Auditoría
Interna, abordando dos dimensiones
estratégicas
Significativamente más valor
Materialmente Menor Costo
2. Proceso de mejora
y el aprovechamiento de
la tecnología
1. Realineación de la
cobertura de la auditoría
Creando Valor, Centrándose en las Áreas de
Mayor Riesgo y Mejora de la Cobertura
1. Alineando la cobertura de la
Auditoría
Cómo?
• Incorporando un modelo aceptado de
creación de valor y desempeño como un
punto de referencia para identificar
Riesgos
• Evaluando el Riesgo basado en su
impacto para promover o reducir el valor
de los grupos de interés
• Identificando los Riesgos emergentes
a través de la industria
• Creando un plan de auditoría priorizado
basado en resultados de una evaluación
de riesgos orientada en el valor
Significativamente más valor
Significativamente más valor
Materialmente Menor Costo
2. Proceso de mejora
y el aprovechamiento de
la tecnología
1. Realineación de la
cobertura de la auditoría
Las funciones de Auditoría Interna necesitan tener una
clara idea de dónde quieren estar posicionadas
8
Definiciones clave
Riesgo:
• Los riesgos son futuros eventos inciertos, los cuales pueden influir en el cumplimiento
de los objetivos de las organizaciones, incluyendo los objetivos estratégicos,
operacionales, financieros y de cumplimiento
Definiciones clave
Evaluación de Riesgo:
• La evaluación de Riesgos es un proceso de estimación de un coeficiente o grado de
riesgo. Puntuación asociada con cada unidad auditable dentro de la organización.
• Las evaluaciones de Riesgo en AI se realizan normalmente focalizadas en:
Atención sobre las áreas de auditorías importantes
Asignación de los escasos recursos de auditoría a las áreas clave de auditoría
Priorización de las decisiones clave de la auditoría, como la frecuencia de la auditoría,
intensidad y tiempo
Enfoque de Auditoría Basada en Riesgos
Plan de
Auditoría
Identificar las actividades de creación de valor de
los Grupos de Interés
Entendiendo los Riesgos Empresariales
(Estratégicos, Financieros, Operaciones,
Cumplimiento)
Evaluar el Impacto de Valor de los Grupos de Interés
Enfoque basado en valor
de los Grupos de Interés
“Top-down” enfoque donde la
cobertura es generada por
situaciones que impactan
directamente el valor de los Grupos
de Interés, con enlaces claros y
explícitos a situaciones estratégicas
de la organización
Un Acercamiento a la Transformación de la
Auditoría Interna
Estrategia y Riesgo Gente Proceso Tecnología
Objetivos Estratégicos
• Entender cuáles son
los objetivos
estratégicos de la
organización
Valor de los grupos de
interés
• Entender cuáles
generadores de valor
existen dentro de la
organización
Riesgos estratégicos
• Entender cuáles
riesgos estratégicos
hay en la organización
Capacidades de
Evaluación
• Inventario de
habilidades existentes
• Realizar un análisis de
brechas
• Determinar idoneidad
de los recursos para
responder a los riesgos
claves
Gestión de Talento
• Uso de recursos
internos y externos
• Considerar la
implementación de un
modelo de rotación de
personal para atraer y
retener talento
Mejoras en el Ciclo de
Auditoría
• Alineación de la
Auditoría Interna con
los objetivos
estratégicos de la
organización y sus
riesgos
• Reducir el tiempo del
ciclo de auditoría
mediante la ejecución
de auditorías más
específicas
• Mejorar la
comunicación con los
interesados a través de
reportes impactantes y
concisos
Optimización de la
Tecnología
• Reducir el contenido de
trabajo de las
auditorías mediante el
aumento de la eficacia
de auditorías de
riesgo bajo
• Proveer monitoreo en
tiempo real de los
riesgos significativos
• Explorar áreas donde
la tecnología puede
simplificar o
estandarizar un
proceso
• Realizar pruebas de las
poblaciones enteras de
manera automatizada
¿Por qué realizar un plan de auditoría
basado en riesgos?
• La Norma de Desempeño IAI 2010.A1 establece que: “El plan de trabajo de la actividad
de auditoría interna debe estar basado en una evaluación de riesgos documentada,
realizada al menos anualmente. En este proceso deben tenerse en cuenta los
comentarios de la alta dirección y del Consejo”
Ejemplo de Matriz de Riesgo
Retos comunes en elaborar un plan de
auditoría basado en una evaluación de riesgos
• Falta de comprensión de los conceptos de riesgos
• Falta de conocimiento especializado (por ej. TI)
• Falta de tiempo para planificar (el ciclo de trabajo constante)
• Falta de apoyo de la alta gerencia y del Consejo (ej. Puro cumplimiento)
• Percepción errada de impacto de valor (o sea, que no haría mucha diferencia)
8 Atributos Fundamentales de la Auditoría Interna
Auditoría
Interna
Alineación de
negocios
Enfoque de
riesgo
Modelo de
talento
Gestión de las
partes
interesadas
Rentabilidad
Tecnología
Cultura de
servicio
Calidad e
innovación
El primer paso en el camino de la
generación de más valor es
alinearse con los interesados
Cuando más se espera,
auditoría interna tiene la
oportunidad de generar más
valor: ¿Estoy pidiendo lo
suficiente?
Altas expectativas requieren
incrementar capacidades:
¿Tenemos las capacidades
adecuadas?
Desarrollando la Alineación de un Conjunto
de Expectativas
Integrar riesgos y estrategias de
negocios
Alinear y ponerse de acuerdo sobre los
riesgos críticos a los que la organización
se enfrenta (fundamental)
Priorizar las expectativas sobre la
función de auditoría interna
Establecer expectativas más detalladas
alineadas a los ocho atributos
fundamentales
Construir una resiliencia en la
función de Auditoría Interna
Las necesidades futuras y cuestiones
emergentes y los riesgos; expectativas
del Regulador
Patrocinador importante e
indispensable
El Auditor Interno debe conducir la
discusión
Comunicación proactiva y
continua
Compartir de forma proactiva sus
expectativas, pero utilizando líneas
abiertas de comunicación
Desarrollo de las Capacidades para Cumplir
con las Expectativas
40
50
60
70
80
90
100
Controlesfinancieros
Generales deTI
El fraude y laética
Cumplimientoy regulación
(incluidos losreglamentosespecíficos)
Plataforma deTI específica
TI / seguridadcibernética
Continuidaddel negocio
Análisis dedatos
Privacidad dedatos
Proveedor de Aseguramiento Asesor de confianza
Habilidades fundamentales Habilidades avanzadas
El rol de asesores de confianza está funcionando a un nivel significativamente más alto
debido al plan cuyo propósito es obtener un conjunto de habilidades más valoradas por
la organización
.
Clientes
Aplicaciones - Interfaces
Proveedores
Gobierno Corporativo
Seguridad y Gestión de Usuarios
Manejador de Base de Datos
Sistema Operativo
LAN
WAN
Administración de Riesgos y Control
Ventas Compras Inventarios Contabilidad
Creación de valor, rentabilidad, eficiencia y gestión financiera
Ambiente de Control
“Las compañías que desarrollan fuertes programas de gobierno corporativo y
cumplimiento, ganan buena reputación y construyen organizaciones estratégicas y financieramente viables, garantizando un
valor al accionista a largo plazo”