610 likes | 854 Views
RIESGO Y CONTROL ENFOQUE DE AUDITORIA. QUE SON LOS RIESGOS. Aunque existen muchas y variadas definiciones para el tema de administración de riesgos, no hay una única definición comúnmente aceptada o formalizada globalmente....a continuación se presentan algunas definiciones.
E N D
RIESGO Y CONTROL ENFOQUE DE AUDITORIA
QUE SON LOS RIESGOS Aunque existen muchas y variadas definiciones para el tema de administración de riesgos, no hay una única definición comúnmente aceptada o formalizada globalmente....a continuación se presentan algunas definiciones. La posibilidad que algo suceda y que podría tener un impacto sobre los objetivos. Está medido en términos de consecuencias y probabilidad de ocurrencia. Estándar ASNZ 4360 Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Guía de la administración del riesgos DAFP
RIESGO DE PERCEPCIÓN AL RIESGO Es cuando el Concejo de Directores / Junta Directiva o la Alta Gerencia de una organización, administra o toma decisiones condicionadas por la percepción que tienen los individuos frente al concepto de riesgo, es por ello que frente a un mismo negocio o toma de decisiones un individuo incurrirá en un mayor riesgo que otro solo por su percepción al riesgo.
TENDENCIAS ACTUALES • Un mercado totalmente globalizado y por ende altamente competitivo que exige de sus participantes la oferta de productos innovadores , lo que requiere de ajustes muy rápidos en la tecnología y procesos que los soportan. • Deterioro de valores en la sociedad, aumento del desempleo y la delincuencia y por lo tanto incremento en las incidencias de fraudes. • El incremento de uso de canales virtuales para la realización de operaciones, con el incremento de los riesgos de fraudes electrónicos originado tanto de fuentes internas como externas. • El aumento de fusiones y adquisiciones con el consecuente riesgo de desajustes en las estructuras organizativas y sistemas.
TENDENCIAS ACTUALES • Implantación de metodologías para mejorar la Calidad en los procesos y el servicio al Cliente. • El nuevo Marco Regulatorio en materia de control, riesgos y gobierno corporativo que exige la implantación de las mejores prácticas en materia de control interno así como la adopción de una metodología de gestión de Riesgos Operacionales que minimice el capital en riesgo para cubrir este concepto.
METODOLÓGICO GESTIÓN DE RIESGOS Plan Estratégico de Riesgos Operacionales • Misión, visión y objetivos estratégicos • Estructura Organizativa • Plan de Trabajo Inicial (Plan Piloto) MONITOREO SEGUIMIENTO MAPEO IDENTIFICAR LAS FUENTES DE RIESGOS DE PROCESOS ANALIZAR RIESGOS Determinar Probabilidad Determinar Impacto Estimar nivel de riesgo PRIORIZAR RIESGOS GESTION DE LOS RIESGOS • Evaluar opciones de tratamiento, incluyendo análisis de costo-beneficio • Seleccionar mitigaciones y preparar plan de mitigación • Implantar plan
El universo de riesgos Toda organización se encuentra expuesta a diferentes tipos de riesgo… sin importar su estructura o actividad, el riesgo siempre estará presente día a día….
EL MAPA DE LA PLANEACION ESTRATEGICA VISION RIESGOS OPORTUNIDADES FUERZAS DEBILIDADES MISION OBJETIVOS INSTITUCIONALES VENTAJAS COMPETITIVAS FACTORES CRITICOS DE EXITO VALORES ORGANIZACIONALES ESTRATEGIAS CORE COMPETENCIAS O COMPETENCIAS CLAVE OBJETIVOS OPERACIONALES ( SCORECARD) COMPETENCIAS DEL PERSONAL EVALUACION DEL DESEMPEÑO
Enfoques Contemporáneos de Validación (Auditoría) Enfoque Integral de Desempeño Gerencial # # Estructura de Auditoría Stakeholders Plan de Implementación Principios y Estrategia VisiónyValores Objetivos, targets & KPIs Mejorar la Estructura de Auditoría Aprender Revisión de Principiosy Estrategias Revisíon de la Visión Revisión deEfectividad del Sistema Actividades deImplementación Hacer Lineamientosde Reporte Medición y Seguimiento Stakeholders Reporte Interno y Externo Seguimiento
Enfoques Contemporáneos de Validación (Auditoría) Sistemas Integrados de Informacióny Reportes Valores yMisión “Stakeholders”Externos Estrategia yGobiernoCorporativo “Stakeholders”Externos Operaciones Estándares deMedición yReporte “StakeholdersExternos” Áreas de Negocio Conductores de Cambio Desempeño Revisión y retroalimentación Financiero No Financiero Problemas en el Desempeño
Enfoques Contemporáneos de Validación • (Auditoría) Enfoque de Riesgos en Procesos Críticos Entendimiento del Negocio “Stakeholders”Internos y Externos Objetivos & estrategias Cómo encaja el negocio Parámetros Riesgos Asociados con los reportes de información no financiera (“Riesgo Total”) Cómo responde la organización a tales riesgos) (Gerencia y Control del Riesgo) Riesgo Residual Pruebas de Auditoría REPORTE DE OPORTUNIDADES DE MEJORAMIENTO AUDITORÍA
INTERESADOS Sombrilla del Gobierno Corporativo Consejo de Directores Actividades de Aseguramiento (Auditores Internos y Externos) Proceso del Enterprise Risk Management Alta Gerencia Dueños de Riesgos Adm. Riesgos Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
Responsabilidades del consejo: Identificar y entender las necesidades de los interesados Determinar y evaluar los posibles resultados de las actividades del negocio Ser conscientes y concordar con el apetito de riesgo de la empresa Definir el nivel de tolerancia relativa a posibles resultados adversos Delegar la autoridad a la gerencia Establecer los requerimientos de información y comunicación Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
Responsabilidades de la Alta Gerencia: Identificar los procesos y actividades críticas Identificar el umbral del monitoreo de riesgo que justifica su delegación Delegar la responsabilidad, autoridad y rendición de cuentas a los apropiados dueños de riesgos Establecer los requerimientos de información y comunicación para los dueños de riesgos Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
Responsabilidades de los dueños de riesgos: Las actividades de administración de riesgos están diseñadas eficazmente para administrar los riesgos relacionados dentro de las tolerancias especificadas Asegurar que la administración de riesgos funciona como se espera Monitorear las actividades de administración de riesgos para determinar, en forma oportuna, las anomalías y las divergencias de los resultados esperados Comunicar todos los resultados oportunamente a la alta gerencia Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
Responsabilidades del auditor: Evaluar si las actividades de administración de riesgos se han diseñado de manera efectiva Determinar si las actividades de administración de riesgos están operando tal y como fueron diseñadas Evaluar si las afirmaciones de los dueños de riesgos a la alta gerencia re: administración de riesgos son exactas Evaluar si la información de la alta gerencia al consejo es completa y exacta Identificar cualquier área de gobierno o riesgo que actualmente no esté siendo cubierto por el proceso de ERM Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo
Apetito de Riesgo • Estrategia • Ganancias • Modelo de Negocio • Objetivos Estratégicos • Metas Anuales • Organizacional • Cultura • Estructura Evaluación de Riesgos Análisis de Riesgos Estrategia de Riesgos Infraestructura de Riesgos Auditoría y Administración de Riesgos
Auditoría y Administración de RiesgosEtapas de la Evaluación de Riesgos La cultura y estructura organizacional de la compañía forman la última entrada en el proceso de ERM, sin embargo, existen tres etapas básicas: • Identificar: técnicas para identificar eventos que son indicativos de riesgos • ¿Cuáles son los riesgos que podrían afectar el éxito de una empresa? • Evaluación: importancia del riesgo • ¿Qué impacto tendría cada uno de estos riesgos en la empresa? • ¿Cuán probable es que el riesgo ocurra? • ¿Cuánta tolerancia tiene la empresa para permitir que el riesgo se produzca? • Filtración: filtrar los riesgos hasta bajar, a un número manejable de riesgos claves
Auditoría y Administración de Riesgos Etapa del Análisis de Riesgos • Fuentes de riesgos: ¿Dónde ocurre el riesgo? (Externo a la organización o interno dentro de una de las empresas, localidades, procesos, etc.) • Conductores de riesgos: ¿Qué causa que el riesgo ocurra y por qué? • Mediciones de riesgos: ¿Cómo puede el riesgo ser medido, cómo sabrá la compañía que el riesgo está ocurriendo y a qué extensión?
Auditoría y Administración de Riesgos Etapa de la Estrategia de Riesgos Una vez identificados los principales riesgos y los principales conductores de estos riesgos, es el momento de identificar y evaluar las estrategias de riesgo: • Evite el riesgo: despojándose, prohibiendo • Transferir el riesgo: asegurando, titulización, adquiriendo coberturas, subcontratando • Reducir el riesgo: estableciendo controles, estableciendo límites para transacciones • Aceptando el riesgo: auto asegurándose, monitoreando, técnicas de reacción • Explotar el riesgo: asumir riesgos más altos agregando volumen, oportunidades de arbitraje, etc.
Auditoría y Administración de Riesgos Un Proceso Continuo La administración de riesgos de la empresa no es un proceso estático de una sola vez Es un proceso continuo, en tiempo real que debe permanecer vivo dentro de la organización Es un cambio de cultura
Utilice la estrategia de la organización como base para la planificación de la auditoría Si la organización no tiene una estrategia, los auditores deben “PENSAR” la estrategia Los auditores deben considerar la estrategia en tres niveles distintos: Objetivos estratégicos Objetivos operacionales Objetivos de valores Auditoría y Administración de RiesgosEstrategias para Auditorías Basadas en Adm. de Riesgos
Objetivos Estratégicos Alinear con la estrategia de la compañía y están orientados hacia el futuro; preguntas/puntos claves son: Si tuviera recursos ilimitados, ¿qué iniciativas tomaría su área (negocio) para ayudar a la compañía logara cada uno de sus objetivos estratégicos? Reconociendo que ninguna área tiene recursos ilimitados, discutir qué barreras existen en la actualidad Personalizar cada una de las iniciativas a las opciones que pueden ser más realistas para implementar Evaluar el valor derivado de, y al, implementar cada opción Centrarse en las opciones más valiosas como objetivos a corto plazo Auditoría y Administración de RiesgosEstrategias para Auditorías Basadas en Adm. de Riesgos
Objetivos Operacionales Expresa las responsabilidades claves de un área; los objetivos Operacionales tienden a: Centrarse en las actividades corrientes, en oposición a iniciativas futuras Describir las tareas operacionales claves, tales como procesar o registrar transacciones Tener un elemento de exactitud, exhaustividad y/u oportunidad involucrado en la tarea Soportar múltiples áreas de una organización Se prestan a la medición detallada de los resultados Incluyen cumplimiento u otro requerimiento corporativo Auditoría y Administración de RiesgosEstrategias para Auditorías Basadas en Adm. de Riesgos
Objetivos Operacionales Preguntas claves a realizar: Al final del día/mes/año, ¿qué le da un sentido de logro con su trabajo? ¿Qué logros en su trabajo tienden a obtenerle reconocimiento por parte de su gerencia o clientes internos? Si usted hubiese tenido más tiempo/recursos, ¿qué usted haría diferente en su trabajo? ¿Por qué? Auditoría y Administración de RiesgosEstrategias para Auditorías Basadas en Adm. de Riesgos
Objetivos de Valores Conectar cómo se espera que actúe la gente a los valores generales de la compañía, comprender y enlazar los valores de la compañía con los objetivos de valor, preguntas/tareas claves: ¿Puede usted proveer un ejemplo de cómo exhibe cada uno de los valores de la compañía? ¿Qué tipos de acciones tiende la gerencia a reconocer o premiar? ¿Cómo espera usted que otros en la organización actúen cuando trabajen con usted? (por ejemplo en demostrar los valores de la compañía) Auditoría y Administración de RiesgosEstrategias para Auditorías Basadas en Adm. de Riesgos
El no poder obtener una buena comprensión de la estrategia de una empresa se traducirá en que el auditor formule hipótesis y conjeturas a la hora de decidir dónde destinar los recursos de auditoría. Entender que representa el éxito para la empresa, cuáles son las barreras para el logro de ese éxito, la forma en que la empresa administra esas barreras, y si las barreras son administradas a los niveles deseados ayudan al auditor determinar el enfoque de mayor valor agregado y proyectos apropiados y demuestra relevancia a la gerencia Auditoría y Administración de RiesgosEstrategias para Auditorías Basadas en Adm. de Riesgos
Entender como la gerencia monitorea los riesgos y entender sus indicadores claves de riesgos Buenos indicadores Claves de riesgos son: Relevantes Medibles Abordan cada objetivo claves Disponibles a tiempo Clara y ampliamente articulados Auditoría y Administración de Riesgos Evaluación de Riesgos a Nivel de Negocios
Análisis Estratégico Análisis de Procesos del Negocio • Enfoques Contemporáneos de Validación (Auditoría) Plataforma Metodológica • Enfoque Holístico • Basado en el Riesgo • Enfocado en el Proceso • Conocimiento de la Industria • Equipo multidisciplinario • Servicio continuo • Soporte tecnológico Evaluación del Riesgo Mejoramiento Contínuo Medición del Negocio
Enfoques Contemporáneos de Validación (Auditoría) Plataforma Metodológica (Cont.) Resultados Nivel Estratégico Universo de Auditoría Evaluación Estratégica del Riesgo Análisis de los Procesos del Negocio Análisis Estratégico Perfiles de Riesgo Reporte de Observaciones a Alto Nivel Plan de Auditoría Nivel Unidad / Proceso Programa de Auditoría Análisis de los Procesos del Negocio (Revisión) Análisis Estratégico (Revisión) Evaluación del Riesgo Unidad / Proceso Evaluación del control Papeles de Trabajo Evaluación del Desempeño del Negocio Reporte
Enfoques Contemporáneos de Validación (Auditoría) Plataforma Metodológica(Cont.) ACTIVIDADES DEL PROCESO RIESGOS CONTROLES • Cada riesgo se asocia con sus respectivos controles • de: • Informática • Atribuciones • Procedimientos • Documentación • Sistema de información gerencial • En equipo con los • participantes del proceso, se identifican riesgos clasificados en: • De negocio • Financieros • Operativos (incluye tecnología, logística) • De cumplimiento • Fraude
3 Alto C R I T I C I D A D D E L R I E S G O 2 3 2 1 Medio 1 2 3 Efectividad actual del control interno • Enfoques Contemporáneos de Validación (Auditoría) Plataforma Metodológica(Cont.) Riesgo CALIFICACIÓN DEL RIESGO P R O B A B I L I D A D 3 2 1 1 Bajo 1 2 3 Impacto En La Organización Probabilidad de Ocurrencia 0 Es improbable que ocurra 1 Es poco probable que ocurra 2 Ocurrencia media 3 Es altamente probable que ocurra Impacto en la Compañía 0 No impactaría 1 Sería de bajo impacto 2 Sería de mediano impacto 3 Sería de alto impacto Efectividad Actual del Control Interno 0 Cubre la totalidad del riesgo 1 Cubre en gran parte el riesgo 2 Cubre medianamente el riesgo 3 No existe ningún tipo de medida
Auditoría y Administración de RiesgosCapturando Resultados de la Evaluación de Riesgos
Clasificando los Riesgos Los riesgos primarios son aquellos en los cuadros 7,8 y 9 Representan los riesgos con mayor prioridad Requieren de ciclos cortos de auditoría Los riesgos secundarios son aquellos en los cuadros 4,5 y 6 Representan riesgos los cuales podrían requerir atención, muchas veces relacionados a riesgos primarios Eventualmente requieren de ciclos de auditoría menos frecuentes Los riesgos menores son aquellos en los cuadros 1,2 y 3 Representan riesgos que probablemente que no requieran atención alguna Pueden no ser tomadas en cuenta para los ciclos de auditoría (o ciclos de auditoría más largos) Auditoría y Administración de RiesgosCapturando Resultados de la Evaluación de Riesgos
Crear un universo de riesgos que identifique las barreras claves para el éxito de la compañía Entender las distintas características de los riesgos, incluyendo cuan cerca están del centro de la estrategia de la compañía Evaluar y priorizar los riesgos basados en el impacto, probabilidad y tolerancia al riesgo Determinar las acciones de la administración de riesgos y potenciales proyectos de auditoría, frecuencia y alcance de las distintas auditorias planificadas Auditoría y Administración de Riesgos Sumario
Información de antecedentes: Para fines de Mayor General la compañía está organizada en cuatro regiones El Contralor Corporativo tiene la responsabilidad final del proceso de cierre La compañía utiliza un sistema de Mayor General genérico La compañía tiene un comité de presentación el cual se reúne trimestralmente antes de la publicación de los estados financieros, el contralor corporativo es uno de los miembros Auditoría y Administración de Riesgos Caso de Estudio – Cierre de los Libros - Antecedentes
Indicador clave de riesgo Autorización = todas las transacciones ejecutadas deber ser debidamente autorizadas Integridad y Exactitud = todas y sólo aquellas transacciones que ocurren durante el período deben ser registradas de manera oportuna y exacta Presentación y notas = las partidas en los estados financieros y sus respectivas notas son presentadas para proveer la debida transparencia Oportunidad = el cierre de los procesos debe ser completado de acuerdo al calendario para asegurar la presentación oportuna de los reportes externos Valuación = todas las valuaciones son valorizadas de acuerdo a GAAP Basados en lo anterior, el equipo de auditoría discute los niveles de tolerancia con la Alta Gerencia Auditoría y Administración de Riesgos Caso de Estudio – Cierre de los Libros – Riesgos claves
Junta directiva Responsabilidades dentro del Sistema de Control Órganos Internos Representante legal Comité de auditoría Auditoría interna Órganos Externos Revisor fiscal 9
Marco de Maduración del Control Interno - ¿En donde se encuentra usted? Etapas de maduración de los controles en las compañías No confiable Las actividades de control no están diseñadas o no están implementadas. El ambiente de control es impredecible. Monitoreado Controles estandarizados. Se evalúa periódicamente el diseño y la efectividad operacional y se reporta a la gerencia. Estandarizado Actividades de control diseñadas, implementadas y adecuadamente documentadas. Optimizado Los controles están integrados. Existe un monitoreo por parte de la gerencia en tiempo real, mejoramiento continuo. Informal Las actividades de control están diseñadas e implementadas pero no están documentadas adecuadamente. 3
Participar activamente en la planeación estratégica. Definir y aprobar las estrategias y políticas generales con el SCI. Responsabilidades de Junta Directiva frente al Sistema de Control Interno (Cont.) Establecer mecanismos de evaluación formal a la gestión de los administradores y sistemas de remuneración e indemnización atados al cumplimiento de objetivos. Definir claras líneas de responsabilidad y rendición de cuentas. Analizar el proceso de gestión de riesgo. Designar a los directivos de las áreas encargadas del SCI. Adoptar las medidas necesarias para garantizar la independencia del auditor interno. Conocer los informes relevantes respecto del SCI. Solicitar y estudiar, con la debida anticipación, toda la información relevante que requiera y solicitar asesoría experta, cuando sea necesario. 3
Requerir las aclaraciones y formular las objeciones. Aprobar los recursos suficientes para que el SCI cumpla sus objetivos. Responsabilidades de Junta Directiva frente al Sistema de Control Interno (Cont.) Efectuar seguimiento en sus reuniones ordinarias a través de informes periódicos que le presente el comité de auditoría, sobre la gestión de riesgos en la Compañía. Evaluar las recomendaciones relevantes sobre el SCI que formulen el comité de auditoría y los otros órganos de control interno y externos. Analizar los informes que presente el oficial de cumplimiento. Evaluar los estados financieros, con sus notas, antes de que sean presentados a la asamblea de accionistas o máximo órgano social. Presentar al final de cada ejercicio a la asamblea general de accionistas, junta de socios o máximo órgano social un informe sobre el resultado de la evaluación del SCI y sus actuaciones sobre el particular. Todas las decisiones y actuaciones que se produzcan en desarrollo de las atribuciones antes mencionadas deberán constar por escrito en el acta de la reunión respectiva y estar debidamente motivadas. 3
Definición y objetivo del Sistema de Control Interno Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva, la gerencia y el personal de la Compañía, para proveer aseguramiento razonable para alcanzar los siguientes objetivos: • Efectividad y eficiencia en las operaciones. • Cumplimiento de leyes y regulaciones internas y externas aplicables. • Confiabilidad en la información financiera. • Prevención del fraude • Desarrollar adecuadamente su objeto social y alcanzar sus objetivos, en condiciones de seguridad, transparencia y eficiencia.
En los Estados Unidos la referencia más común es el informe COSO*, Control Interno - Un Marco de Trabajo Integrado. El control interno es un proceso -- efectuado por la junta directiva, la administración, y otro personal de una entidad -- diseñado para proporcionar seguridad razonable sobre el logro de los objetivos en las siguientes categorías: confiabilidad de la información financiera, eficacia y eficiencia de las operaciones, y cumplimiento con las leyes y regulaciones aplicables. Definiciones de Control Interno *Committee Of Sponsoring Organizations – Trade Comission
AUTOCONTROL Principios del sistema de Control Interno AUTOREGULACIÓN AUTOGESTIÓN 3
4. Elementos del Sistema de Control Interno Evaluación de Riesgos 3
Tono de la organización Estructura de negocios de la entidad La asignación de autoridad y responsabilidad Políticas y procedimientos consistentes Ideología y estilo operativo de la gerencia Políticas y prácticas de personal Programas para toda la entidad, tales como código de comportamiento y prevención de fraude Integridad y Valores Éticos Competencia Influye en la conciencia de control del personal Componente – Ambiente de Control
La esencia de cualquier negocio es su gente, sus atributos individuales, incluyendo la integridad, los valores éticos, y la competencia . El ambiente de control proporciona una atmósfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades de control. CONTROL INTERNO Componente – Ambiente de Control
La integridad y los valores éticos son elementos esenciales del ambiente de control que afectan el diseño, la dirección y la vigilancia de otros componentes de control interno. Componente – Ambiente de Control CONTROL INTERNO Integridad y Valores Éticos • La integridad es un pre-requisito para el comportamiento ético en todos los aspectos de la actividades de una empresa. • Los gerentes de empresas bien dirigidas han aceptado cada vez más el punto de vista de que ¨la ética vale la pena¨ el comportamiento ético es un buen negocio. • El comportamiento ético y la integridad de la dirección son un producto de la cultura corporativa. • Las políticas oficiales especifican lo que la dirección desea que suceda. • La cultura corporativa determina lo que en realidad sucede y cuáles reglas son obedecidas, combatidas o ignoradas. • Usualmente los principales ejecutivos de la organización, son las personas dominantes y son quienes con frecuencia fijan el propio tono y norte ético.
El ambiente de control y la cultura del control interno, deben ser influenciados en gran forma por la Junta Directiva o Consejo de Administración de la entidad y el Comité de Auditoria desde el Gobierno Corporativo. Componente – Ambiente de Control Junta Directiva y Comité de Auditoria CONTROL INTERNO Competencia La administración necesita especificar los niveles de competencia para los trabajos particulares y convertirlos en requisitos de conocimiento y habilidades. Filosofía Administrativa y Estilo de Dirección. La filosofía de dirección y estilo de operación afectan la forma como una empresa se maneja, incluyendo los tipos de riesgos de negocios aceptados. En la medida que se contribuya o permita el desarrollo de las operaciones de la organización fuera de un adecuado ambiente de control, así serán los resultados y logros obtenidos. Confusión, incredulidad respecto de los logros, incertidumbre respecto de las cifras presentadas en los Estados Financieros.