1 / 32

Auditoria basada en Riesgos Agosto 2 de 2013

COMITÉ DE ENLACE DE AUDITORÍA INTERNA DEL MUNICIPIO DE MEDELLÍN. Auditoria basada en Riesgos Agosto 2 de 2013. Justificación Gobierno, riesgo y control Las líneas de defensa frente a los riesgos corporativos Rol de la Auditoría Interna Criterios para priorizar el programa de auditorías

kaveri
Download Presentation

Auditoria basada en Riesgos Agosto 2 de 2013

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. COMITÉ DE ENLACE DE AUDITORÍA INTERNA DEL MUNICIPIO DE MEDELLÍN Auditoria basada en Riesgos Agosto 2 de 2013 Pág. 1

  2. Justificación • Gobierno, riesgo y control • Las líneas de defensa frente a los riesgos corporativos • Rol de la Auditoría Interna • Criterios para priorizar el programa de auditorías • Ejecución de auditoría basada en riesgos • Evaluación de controles Contenidos

  3. Quienes gestionan el riesgo de forma eficaz y eficiente tienen más probabilidad de alcanzar sus objetivos y hacerlo a menor costo, por ello, la gestión de riesgos debe formar parte de la cultura organizacional. • La Auditoría interna ayuda a la organización a ese cumplimiento de sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de gobierno, riesgo ycontrol 1. Justificación

  4. Gobierno es el proceso orientado por los socios y la Junta Directiva para autorizar, dirigir y supervisar su gestión con el fin de alcanzar los objetivos de una Empresa. 2. Gobierno, riesgo y control

  5. AMENAZA RIESGO SINIESTRO 2. Gobierno, riesgo y control Entendiendo el Riesgo Condición con potencial para causar daños o perjuicios -------------------------- Probabilidad de que ocurra algo Incertidumbre de que se presenten determinadas pérdidas --------------------------- Probabilidad de que se pierda algo Evento accidental que tiene consecuencias negativas --------------------------- Certeza de que ha ocurrido una pérdida Riesgo : f ( probabilidad, consecuencias )

  6. 2. Gobierno, riesgo y control Criterio de vulnerabilidad VULNERABILIDAD BAJA VULNERABILIDAD MEDIA VULNERABILIDAD ALTA

  7. Calificación de riesgos Frecuencia Severidad 2. Gobierno, riesgo y control Riesgo = F x DM + Op + IC + Vi + MA + SL + Me + Inf

  8. OBJETIVO Amenaza 2. Gobierno, riesgo y control RIESGO RIESGO NO IDENTIFICADO 1. IDENTIFICACIÓN 2. ANÁLISIS 3. VALORACIÓN 4. TRATAMIENTO REDUCCIÓN FINANCIACIÓN Evitar Aceptar Retención Activa Retención Pasiva Prevenir Retener Proteger Transferir Parcial Total El riesgo Las pérdidas

  9. 2. Gobierno, riesgo y control Calificación del riesgo

  10. 2. Gobierno, riesgo y control Rab Rab Control Rcc Rcc Tratamiento Rct

  11. La primera línea de defensa frente a los riesgos está conformada por la Alta Dirección. Las áreas o procesos tienen la propiedad y responsabilidad para evaluar, controlar y mitigar los riesgos y deben garantizar el mantenimiento de controles internos efectivos. • El Sistema de Control Interno es una responsabilidad de los Socios y de la Junta Directiva, de la dirección y de todo el personal de una entidad, diseñado con el objeto de proporcionar una seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: eficacia y eficiencia de las operaciones, fiabilidad de la información, cumplimiento de las leyes y normas aplicables y salvaguarda de sus activos. 3. Las líneas de defensa frente a los riesgos corporativos

  12. La segunda línea de defensa la constituyen algunas funciones especializadas como: • Gestión de Riesgos, esta función facilita y vigila la aplicación de las prácticas efectivas de gestión de riesgos, por parte de los propietarios de los riesgos y les ayuda a medir el nivel de exposición al riesgo y a comunicar información adecuada de los riesgos a la organización. • Cumplimiento,orientada a verificar el control de los riesgos de no conformidad con la aplicación de leyes y reglamentos externos e internos. • Otras funciones de características transversales a los procesos: Control Financiero, Seguridad, Calidad e Inspección. 3. Las líneas de defensa frente a los riesgos corporativos

  13. Auditoría Interna constituye la tercera línea de defensa y es el control de los controles. La Auditoría Interna, proporciona aseguramiento a los órganos de gobierno de la organización sobre la efectividad de la evaluación y gestión de riesgos, incluyendo la verificación de forma en que operan la primera y la segunda línea. • El IIA ha establecido un esquema de abanico que ilustra la actuación para Auditoría Interna dentro de la Gestión de Riesgos, de forma que delimita claramente su rol a las funciones de aseguramiento, y como mucho a las funciones de consultoría, pero en ningún caso debe asumir funciones ejecutivas en la definición, respuesta y gestión de los riesgos. 3. Las líneas de defensa frente a los riesgos corporativos

  14. 4. Rol de la auditoría en la gestión de riesgos

  15. De acuerdo con la declaración del Instituto Internacional de Auditores sobre el Rol de la Auditoría Interna en la Gestión del Riesgo Empresarial, se enmarca en tres grupo de actividades: • Roles fundamentales de la auditoría interna respecto al ERM: • Brindar aseguramiento respecto de los procesos de gestión de riesgo. • Brindar aseguramiento sobre la correcta evaluación de los riesgos. • Evaluar el reporte de riesgos claves. • Revisar la gestión de los riesgos claves. 4. Rol de la Auditoría Interna

  16. Roles legítimos de auditoría interna que deben realizarse con salvaguarda: • Facilitar la identificación y evaluación de riesgos. • Asesorar a la gerencia sobre respuesta a riesgos. • Coordinar actividades de ERM. • Consolidar reportes sobre riesgos. • Mantener y desarrollar el enfoque de gestión de riesgo empresarial. • Defender el establecimiento del ERM. • Desarrollar estrategias de gestión de riesgo para aprobación de la junta. 4. Rol de la Auditoría Interna

  17. Roles que auditoría interna NO debe realizar: • Establecer el grado de aceptación al riesgo. • Imponer procesos de gestión de riesgo. • Manejar el aseguramiento sobre los riesgos. • Tomar decisiones en respuesta a los riesgos. • Implementar respuestas a riesgos en nombre de la administración. • Tener responsabilidad de la gestión de riesgo. 4. Rol de la Auditoría Interna

  18. Se proponen algunos criterios objetivos y pasos a seguir para la identificación de las prioridades en la realización de un programa de auditorías, con el propósito de agregar un mayor valor y cubrir las necesidades de cada empresa, en materia de control, riesgo y cumplimiento. 5. Criterios para priorizar el programa de auditorías

  19. 5. Criterios para priorizar el programa de auditorías Pasos • Definir el universo auditable • Se debe determinar cual será la totalidad de procesos, proyectos, contratos o áreas a auditar. Se entiende por “Universo Auditable”, la totalidad de unidades de auditoría que se podrían realizar. • El “Ente o Unidad Auditable”, es cada uno de los posibles elementos o actividades a auditar. • Se recomienda tomar como universo auditable todos los procesos o áreas de la entidad, donde cada una de estas serán los entes o unidades auditables (Ej: Talento Humano, Contabilidad, Mercadeo, entre otros).

  20. 5. Criterios para priorizar el programa de auditorías 2. Aplicación de Variables Con base en el universo auditable, a cada unidad auditable se le aplican las siguientes variables, con su rango de calificación:

  21. 5. Criterios para priorizar el programa de auditorías • Cumplimiento de Indicadores del Cuadro de Mando Integral (CMI): Se refiere a los resultados de los indicadores del CMI relacionados con cada ente auditable o proceso (si no tiene indicadores no se califica). Se califica con base en el resultado de estos en el año inmediatamente anterior, con el siguiente rango: • Si el indicador está en verde, su calificación es 1 (Bajo) • Si el indicador está en amarillo, su calificación es 3 (Medio) • Si el indicador está en rojo, su calificación es 5 (Alto) • En el caso de que se tengan varios indicadores bajo la responsabilidad de un mismo proceso, se realiza una ponderación de los mismos.

  22. 5. Criterios para priorizar el programa de auditorías • Participación en el Presupuesto de Ingresos o Egresos:Se refiere a la participación que tiene el proceso auditado dentro del presupuesto de ingresos o egresos, teniendo en cuenta los siguientes aspectos: • Si el presupuesto está entre el 0.001% y el 3.5%, se califica como 1 (Bajo) • Si el presupuesto está entre el 3.6% y el 10%, se califica como 3 (Medio) • Si el presupuesto es mayor al 11%, se califica como 5 (Alto)

  23. Contrato de Impacto Misional: Se refiere a aquellos procesos que tienen a cargo contratos relacionados directamente con la misión de la empresa, los cuales se calificarían de la siguiente manera: • Si el contrato no tiene relación con la misión de la empresa, sino que es de apoyo, se califica con 1 (Bajo). • Si el contrato afecta directamente la misión de la empresa, se califica con 5 (Alto). 5. Criterios para priorizar el programa de auditorías

  24. 5. Criterios para priorizar el programa de auditorías • Valor del Contrato:De acuerdo al sistema de contratación de la empresa, se debe establecer un rango en valores que determinan la calificación del contrato, así: • Contratos a hasta 100 SMLMV, se califica con 1 (Bajo) • Contratos mayores a 100 SMLMV y menor de 500 SMLMV, se califica con 3 (Medio) • Contratos Mayores a 500 SMLMV, se califica con 5 (Alto)

  25. Resultados Entes de Control (Contraloría):Se refiere a las deficiencias y hallazgos levantados por la Contraloría en su última auditoría realizada, con las siguientes calificaciones: • Si el resultado es cero hallazgos y deficiencias, el resultado es 1 (Bajo). • Si el resultado es más de una deficiencia administrativa, el resultado es 3 (Medio). • Si el resultado es más de una deficiencia fiscal o hallazgo fiscal, el resultado es 5 (Alto). 5. Criterios para priorizar el programa de auditorías

  26. Resultados • El resultado de la suma de las anteriores variables se compara contra una tabla con los siguientes valores: • Si el resultado es menor o igual a 9, su nivel es Bajo (B) • Si el resultado es mayor o igual a 10 y menor a 16, su nivel es Medio (M) • Si el resultado es mayor o igual a 17, su nivel es Alto (A) 5. Criterios para priorizar el programa de auditorías

  27. Resultados Periodicidad Auditorías De acuerdo con el resultado anterior, los niveles de cada proceso incluido en el universo auditable y la periodicidad de cada auditoría quedaría de la siguiente manera: 5. Criterios para priorizar el programa de auditorías

  28. 6. Ejecución de auditoría basada en riesgos

  29. Como un método para medir efectividad de los controles en cuanto a su diseño y operación, se proponen los siguientes atributos 7. Evaluación de Controles

  30. Descripción Variables Frecuencia de ejecución: ¿El control se aplica con la frecuencia establecida? (1) No (5) Si Cumplimiento de aplicación: ¿El control se está aplicando completamente? (1) Hasta el 40% (3) Del 40% al 80% (5) Mayor al 80% Documentación: ¿La forma de aplicación del control se encuentra completamente documentada y actualizada? (1) No documentado o desactualizado (5) Documentado 7. Evaluación de Controles

  31. Descripción Variables Asignación de responsable: ¿La responsabilidad de la ejecución del control está asignada y formalizada (documentada)? (1) No (5) Si Responsable idóneo: ¿El responsable del control tiene conocimiento y experiencia para su aplicación? (1) No tiene experiencia ni conocimiento. (3) Tiene experiencia o conocimiento parcial. (5) Tiene conocimiento y experiencia para su aplicación. 7. Evaluación de Controles

  32. Muchas Gracias Jorge Ivan Palacio Quintero Asesor en Gestión Metro de Medellin Ltda

More Related