Professional Documents
Culture Documents
Noviembre de 2015
INSTRUCTOR
Cuenta con mas de (15) aos de experiencia en Auditora y
Consultora, en Firmas de Auditora - Deloitte And Touche -
Ernst & Young, en esta ltima como Gerente de Consultora
en Riesgos y Negocios y Gerente de Proyectos de
Outsourcing de Auditoria Interna, (3) aos como Gerente
Senior de Auditoria y de Control Interno en HSBC Colombia
S.A (4) aos como Gerente de Gestin de Riesgos Operativo
SOX Continuidad de Negocio en Banco Popular.
Expectativas de la Materia.
Objetivos
Obligatorios
Profesional de Auditora Interna
Cdigo de tica
Documentos de Posicin
3
Anlisis del Riesgo.
4 Establecer la probabilidad y el
5 impacto de la materializacin del
riesgo a los objetivos.
6
7 Evaluacin del Riesgo.
Establecer prioridades de
8 tratamiento (evitar, aceptar,
compartir, reducir).
Mapa de Riesgo Inherente
Objetivos Relacionados
Identificacin de Riesgos
Comunicacin y Consulta
Monitoreo y Revisin
Anlisis del Riesgo
Es un modelo que describe como se desarrollan las Son los procesos esenciales de la entidad, destinados a llevar a
actividades de una empresa siguiendo el concepto de cabo las actividades que permitan ejecutar efectivamente las
cadena, esta compuesta por distintos eslabones que polticas y estrategias relacionadas con la calidad de los
forman un proceso econmico, en cada eslabn se productos o servicios que ofrecen a sus clientes.
agrega valor que es en trminos competitivos la
cantidad que los consumidores estn dispuestos a Procesos de apoyo o soporte:
pagar por un producto o servicio.
Son aquellos que soportan y apoyan a los procesos estratgicos
y productivos, se encargan de proporcionar personal
competente, mantener las condiciones de operatividad y
funcionamiento, coordinar y controlar la eficacia del
desempeo administrativo y la optimizacin de los recursos.
Establecimiento del Contexto
Mega o Macroproceso: Agrupamiento lgico al ms alto nivel de los procesos que dan
una visin global del funcionamiento de la organizacin.
Objetivo del proceso: Es el resultado que una organizacin espera alcanzar en el desarrollo y operacionalizacin
concreta de su misin y visin. El objetivo debe ser mensurable para poder efectuar su seguimiento a travs del
tiempo.
Alcance del proceso: Es la frontera del proceso: dnde comienza y dnde termina. El alcance permite establecer
los procesos como interactan entre s, en este caso tambin se contempla las entradas y salidas.
Comienzo o inicio: actividades con la cuales se da inicio al proceso
Fin / Final / Terminacin : actividades con las cuales finaliza el proceso
Entradas del Proceso: Son los insumos que ingresan al proceso para poder desarrollar una y/o varias
actividades especficas.
Salidas del proceso: Son los resultados del desarrollo de las actividades del proceso, que en algunas
oportunidades son las entradas de otros procesos. Las salidas no necesariamente se dan al finalizar el
proceso.
Flujo de Actividades: Es agrupacin de actividades, ordenadas de acuerdo con una secuencia lgica establecida.
Establecimiento del Contexto
A su vez la cadena de valor apoya el nivel de documentacin requerida en los
Mapas de Riesgo.
Macro-procesos
Procesos Mapas
Procedimiento
Establecimiento del Contexto
1 Especficos.
Para evitar interpretaciones, y van
asociado directamente a los resultados y
beneficios cuantificables.
2 Medibles.
Deben establecerse indicadores en un
horizonte de tiempo para poder
determinar con precisin y objetividad su
cumplimiento.
3 Alcanzables
Deben ser realistas y factibles de lograrlo,
4 Relevantes con los recursos que se tienen.
Deben estar asociados a los
objetivos estratgicos y coherentes 5 Delimitados en el tiempo
entre si. Ejemplo:
Incluyen fechas especificas del
Realizar los pagos de impuesto de
objetivo o su terminacin implcita
en el ao fiscal.
manera oportuna, correcta y segn
los requerimientos normativos
establecidos por la normatividad.
Establecimiento del Contexto
Definiendo Objetivos?
Operacionales
Consecucin de la misin y visin
Proteccin de Activos.
Establecimiento del Contexto
Definiendo Objetivos?
Reporte (Informes)
Preparacin de informacin
til y confiable para uso de la
organizacin y las partes
interesadas.
Establecimiento del Contexto
Definiendo Objetivos?
Cumplimiento
Leyes y regulaciones aplicables.
Riesgo a Que?
Identificacin del Riesgo
Anlisis de Flujo de Proceso
Identificacin del Riesgo
Identificacin de Riesgos
Factores internos y
externos que ayudan a
Asociado al cumplimiento la materializacin del
de los objetivos. riesgo
Identificacin del Riesgo
Identificacin de Riesgos
RIESGO IMPACTO
Efecto del riesgo sobre
la organizacin
(ingresos, reputacin,
Asociado al cumplimiento satisfaccin de clientes
de los objetivos. emisin de la
informacin).
Critico
- Interrupcin de las operaciones por ms de 4 horas.
- Intervencin por parte de la Superintendencia de Bancos por
Incumplimientos legales y/o contractuales.
- Impacto que afecte la imagen negativamente en el mercado
relacionada con prcticas inseguras y/o irregulares.
- Prdida de informacin crtica de la Compaa y/o de terceros
que no se pueda recuperar.
Identificacin del Riesgo
Anlisis de Flujo de Proceso
Actividad: Especificacin de una secuencia parametrizada
la notacin es un rectngulo con las esquina redondeadas
Riesgo y Controles:
T alonario y
Macro-procesos
Procesos Mapas
Procedimiento
Identificacin del Riesgo
Matriz de Riesgos
Proceso No Riesgo Del Proceso Tipo de Riesgo Evento / Falla Factor de riesgo
1 2 6
3 4 5
El riesgo debe estar escrito en un lenguaje comn y comprensible para toda la Entidad.
Inoportunidad en la afiliacin.
Identificacin del Riesgo
Gestin de Impuestos
Gestin Financiera
Causa/Falla:
Anlisis del Riesgo.
Evaluacin del riesgo inherente riesgo bruto:
Es la evaluacin preliminar del riesgo, con la cual la Organizacin quiere conocer el nivel de exposicin
al mismo, sin tener en cuenta las medidas de mitigacin o los controles. En esta evaluacin se
involucran dos conceptos la probabilidad de ocurrencia y la magnitud del impacto.
Se convierte en una carta de navegacin para conocer y definir estrategias de gestin para
los riesgos.
Anlisis del Riesgo.
NIVEL DE IMPACTO
Anlisis del Riesgo.
Probabilidad de Ocurrencia
Magnitud de Impacto
Criterios Cualitativos
Corresponde a la evaluacin del efecto y la
consecuencia producida al materializarse un riesgo al Critico
interior de la entidad. Las variables que son tenidas en
- Interrupcin de las operaciones por ms de 4 horas.
cuenta para definir el impacto se encuentran divididas
en dos grupos: - Intervencin por parte de la Superintendencia Financiera de
Colombia por Incumplimientos legales y/o contractuales.
Cuantitativos: Aquellos criterios que miden el impacto - Impacto que afecte la imagen negativamente en el mercado
de los riesgos desde el punto de vista financiero. relacionada con prcticas inseguras y/o irregulares.
- Prdida de informacin crtica de la Compaa y/o de terceros
Cualitativos: Aquellos criterios que miden el impacto que no se pueda recuperar.
de los riesgos intangibles, que generalmente no son
fciles de medir desde el punto de vista financiero (Ej. Mayor
La reputacin (imagen, temas legales, prdida de
clientes, entre otros.) - Interrupcin de las operaciones entre 2 a 4 horas.
- Sanciones econmicas por incumplimiento de las normas
Los cinco niveles de impacto ubicados en el mapa de establecidas (operaciones / obligaciones contractuales).
riesgos son:
Crtico - Impacto que afecte negativamente la imagen en el mercado
relacionada con el servicio al cliente.
Mayor
Importante - Prdida de informacin crtica de la Compaa o de terceros
Menor que no se pueda recuperar fcilmente.
Inferior.
Anlisis del Riesgo.
Magnitud de Impacto
Criterios Cualitativos
Corresponde a la evaluacin del efecto y la
consecuencia producida al materializarse un riesgo al Importante
interior de la entidad. Las variables que son tenidas en - Llamados de atencin o requerimientos realizado por los
cuenta para definir el impacto se encuentran divididas entes reguladores.
en dos grupos:
- Interrupcin de las operaciones entre 1 y menor a 2 horas.
Cuantitativos: Aquellos criterios que miden el impacto - Inoportunidad de la informacin ocasionando retrasos en las
de los riesgos desde el punto de vista financiero. labores de las reas o en la respuesta a los entes reguladores.
- Reproceso de actividades y aumento de la carga operativa
Cualitativos: Aquellos criterios que miden el impacto (ejecutar nuevamente actividades de los procesos por errores
de los riesgos intangibles, que generalmente no son operativos).
fciles de medir desde el punto de vista financiero (Ej. - Impacto que afecta negativamente la imagen con los clientes.
La reputacin (imagen, temas legales, prdida de
clientes, entre otros.) Menor
Los cinco niveles de impacto ubicados en el mapa de - Interrupcin de las operaciones menor a 1 hora.
riesgos son: - No afecta la oportunidad de la informacin de manera
Crtico significativa, no altera el funcionamiento de las reas
Mayor receptoras y procesadoras de informacin.
Importante - Incremento entre el 10% y el 20% del numero de reclamos
Menor formulados por los clientes.
Inferior.
Anlisis del Riesgo.
Anlisis del Riesgo.
Evaluacin del Riesgo.
Matriz de Riesgos
Severidad
Riesgo Del Tipo de Evento / Factor de
Proceso No Probabilidad Impacto del Riesgo
Proceso Riesgo Falla riesgo
Inherente
7 8 9
7 8 Impacto:
Probabilidad:
El impacto del riesgo sin tener en cuenta los controles asociados y de acuerdo con los
Calificacin de la probabilidad de
criterios cuantitativos o cualitativos definidos
ocurrencia del riesgo sin tener en
cuenta los controles asociados.
En este punto, se tienen en cuenta los criterios para calificacin de riesgos definidos.
En este punto, se tienen en cuenta 9 Severidad del Riesgo Inherente:
los criterios para calificacin de De acuerdo a la calificacin de probabilidad e impacto inherente, se asigna la severidad
riesgos definidos. del riesgo
Evaluacin del Riesgo.
Se establece el Mapa de Riesgo Inherente
R3 Presentar informes y reportes internos o externos con informacin errada o de manera inoportuna. (Riesgos de Liquidez, Crdito y Mercado).
Evaluacin del Riesgo.
Mapa de Riesgo Inherente
Riesgo
Probable o Alta
(4) 4 20 100 500 2500 Inherente
Alto
Eventualmente Riesgo
o Baja 2 10 50 250 1250 Inherente
(2) Bajo
Rara Vez
o Muy baja 1 5 25 125 625
(1)
Impacto
Resultado
10 BAJO
10 < y 75 MODERADO
75 < y 500 ALTO
625 EXTREMO
Tratamiento del Riesgo.
Identificar las opciones de mitigacin de riesgo
Identificar las opciones para mitigar/tratar los riesgos consiste en realizar la evaluacin de
dichas opciones, preparar los planes de mitigacin de riesgos y su implementacin. Sin
embargo, la Organizacin puede decidir aceptar el riesgo sin tomar acciones adicionales
Transferir Posibles
estrategias
Apetito Reducir establecidas
de Riesgo por la
Direccin de
Evitar
la Entidad.
Aceptar
Tratamiento del Riesgo.
Tratamiento del Riesgo.
Tratamiento del Riesgo
Manejando
riesgo
suma valor
ptimo Valor
Expuesto y Control para
destruyendo Minimizar
valor
riesgo
Bajo
Desinformado Gerenciado Obsesionado
1. Se le ha presentado a la entidad en el transcurso del 2014, ocho 8 eventos de riesgo materializados por
suplantacin de clientes que solicitan cartera de crdito y que han representado una perdida de 30.000
dlares al ao, sobre una utilidad de 2.500.000 dlares. Al evaluar las alternativas a implementar la alternativa
que existe para garantizar que esto no pase por el Gerente de Crdito es :
2. Existen indicios que hay personas que estn reportando horas extras trabajadas despus de la salidad (5:30 pm)
sin trabajarlas y en muchos de los casos ya se han ido de la organizacin, y reportan horas extras como si
estuvieran laborando. Al Analizar los rubros mensuales de la nomina el pago de horas extras asciende
mensualmente a 1.500 dlares mensuales de una nomina de 730.000 Dlares mensuales, la entidad esta
evaluando para mitigar este riesgo dentro se sus alternativas instalar un identificador de llegada y salida de los
funcionarios a travs de huellas que permita identificar y cotejar con el reporte de horas extras las entradas y
salidas del personal, los equipos y la instalacin en las zonas de trabajo cuestan 30.000 dlares, y un
mantenimiento mensual de 1.250 dlares. Usted que accin tomara : Aceptar el Riesgo / Evitar el Riesgo /
Compartir o transferir / Reducir o Mitigar el Riesgo.
Tratamiento de Riesgos
3. En el ao 2014, la entidad tuvo 150 eventos de perdida materializados por adulteracin o pago de cheques
ficticios que ascendieron a 800.000 dlares, el 10% de sus ingresos, al realizar las investigaciones
correspondientes se llego a la conclusin de que los controles se realizaron, pero el papel y las firmas eran de
muy buena calidad y a simple vista del cajero o con los lquidos de seguridad era difcil identificar su
adulteracin, la empresa a la fecha tiene una propuesta de la empresa Chequeando, que son expertos peritos
en seguridad y deteccin de firmas y documentacin fraudulenta y estn proponiendo a la entidad prestar el
servicio de revisin de cheques por un valor mensual de 4.000 dlares mensuales y en caso de que se presente
algn ilcito por adulteracin la Empresa chequeando reconoce el pago al Banco de los dineros que le
llegaran a defraudar. Usted que accin tomara: Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir /
Reducir o Mitigar el Riesgo.
Tratamiento de Riesgos
RIESGOS MEDIDAS
ANTES DE
MEDIDAS
Inherente
EVITAR
RIESGOS
DESPUES DE
MEDIDAS
No Hay Riesgo
Tratamiento de Riesgos
RIESGOS MEDIDAS
ANTES DE
MEDIDAS
Inherente
REDUCIR
COMPARTIR
RIESGOS
DESPUES DE
MEDIDAS
Tratamiento de Riesgos
CONTROLES
PREVENTIVOS
E
F
E
C
T
I
V
I
D
El control se ejerce sin
Automtico
A intervencin de personas a
D
travs de un sistema
programado
Tratamiento de Riesgos
Tratamiento de Riesgos
DISEO EJECUCION
Informacin
Ayuda en la actualizada y de
Formacin de referencia para
Nuevo Personal el resto de
empleados
Aporta Claridad
a las funciones.
(quien, que,
como, cuando,
evidencia).
Constituye un Establece
medio para expectativas de
conservar el desempeo y
conocimiento de conducta.
la organizacin
Tratamiento de Riesgos
3. Qu busca hacer el control (objetivo) 6. Evidencia de la ejecucin del control (La firma no es evidencia
suficiente de que un control se ejecuto)
Tratamiento de Riesgos
Como debe estar redactado un control en una matriz de riesgos, para que desde
la lectura se pueda hacer una idea preliminar del diseo del control y que
realmente sea un control:
Frecuencia Que
Cuando
Quien
El Profesional de Nomina mensualmente a partir de la segunda semana del cierre del mes, realiza los
cuadres de saldos de cuentas de nomina (vacaciones, sueldos, bonificaciones, horas extras, pasivos
pensionales, etc.) comparando los saldos reportados en el aplicativo SRH Vs Saldos contables del
aplicativo PEOPLE SOFT, en caso de observar diferencias solicita las justificaciones o correcciones,
como evidencia del control deja conciliacin en Excel con las justificaciones a las diferencias en caso
que existan.
Como Que pasa si hay Evidencia
excepciones.
Tratamiento de Riesgos
Conozca
Conozca y analice
sus procesos y elelestado
conjunto con sus
de la gestores de riesgos
documentacin. los Mapas de
Componentes
de la Riesgos de los
ficha tcnica procesos a cargo.
actualizados
Evale los resultados de los Conozca las las fallas ocasionadas que dieron origen al evento de riesgo.
eventos de riesgo reportados por Establezca en conjunto con los gestores de riesgo, planes de accin y
la Unidad de Riesgo Operativo. oportunidades de mejoramiento de los controles.
Organismos De Control
Alta Direccin
Auditora Externa
1 Lnea de defensa 2 Lnea de defensa 3 Lnea de defensa
Controles Financieros
Medidas Seguridad
Controles
d de Gestin de Riesgos
De Auditoria Interna
Gerencia
Control
Calidad
Interno
Inspeccin
Cumplimiento
Comunicacin y Consulta
O
&
M
Seguridad de Informacin
Riesgos
Nov / 22 / 2014
Contenido
Introduccin.
Auditoria Tradicional VS Auditoria Actual.
Entendiendo la Gestin de Riesgos.
Plan Anual de Auditoria Basado en Riesgos.
Etapas de la Auditoria y Aplicacin de la Auditoria Basada en
Riesgos:
a. Planeacin preliminar de cada trabajo de auditoria.
b. Desarrollo y ejecucin de la auditoria.
c. Informe y seguimiento.
d. Programa de Aseguramiento y Mejora de la Calidad en
el Trabajo de Campo de la Auditoria.
Plan Anual de Auditoria
Basada en Riesgos
2010 Planificacin
Consejo para la Prctica
El director ejecutivo de
2010-1:
auditora interna debe
El proceso de
establecer planes
planificacin implica el
basados en los riesgos, a establecimiento de:
fin de determinar las Metas
prioridades Programas de trabajo
Planes de personal y
presupuestos financieros
Dichos planes debern Informes de actividad
ser consistentes con las
metas de la organizacin
Contenido
58 Subprocesos
POSTULACION Y REGISTRO
Anual de
CULTURA Y BIBLIOTECA
Interna
PAGOS
GESTION FINANCIERA
RECAUDO
GESTION CONTABLE
GESTION TRIBUTARIA
Requerimientos PRESTACIONAL
COMPRAS Y CONTRATACION
ADMINISTRACION DE RECURSOS
Significativos Plan P YP
PROGRAMAS ESPECIALES
Moderado
Alto
Anual de
EDUCACION EDUCACION INFORMAL Alto
Moderado
Requerimientos PRESTACIONAL
COMPRAS Y CONTRATACION
ADMINISTRACION DE RECURSOS
Alto
Alto
DIRECCIONAMIENTO ESTRATEGICO
Subproceso
PLANEACION ESTRATEGICA
ADMINISTRACION DE PROYECTOS
Nivel De Riesgo Inherente
Alto
Extremo
AUDITORIA INTERNA Alto
GESTION DE CALIDAD
GESTION DE RIESGOS
GESTIN DE CALIDAD
MERCADEO
Alto
Alto
Alto
COMERCIALIZACION VENTAS Alto
27 de
Comit Si Auditoria PLANIFICACION DEL SERVICIO Planificacin del Servicio
AFILIACION Y REGISTRO
POSTULACION Y REGISTRO
Alto
Alto
Alto
RECAUDO Extremo
Rotacin
27 de
Comit Si Auditoria 7 GESTIN DE DEFENSA JUDICIAL
8 GESTIN DE PLANES DE MEJORAMIENTO
y la Direccin.
9 GESTIN DE REQUERIMIENTOS
Requerimientos
12 Si 10 GESTIN DEL RIESGO Y CONTINUIDAD DEL NEGOCIO
de Ley Para la 11 GESTIN ESTRATEGICA
Auditoria Interna. 12 GESTIN PRESUPUESTAL
2. ESTABLECIMIENTO DEL PLAN ANUAL
DE AUDITORIA INTERNA.
Plan Anual de
Universo
58 de
Procesos
Auditoria Ao 2015 Un Ao (1)
Auditoria Interna
Dos Aos (2)
Hallazgos y No
Oportunidades Nivel de Riesgo
Tres Aos (3)
de Mejora Inherente del
Significativos Plan Cuatro aos (4)
Proceso
Identificados Anual de
Auditoria
Interna
Un Ao (1)
Plan de Requerimientos del
Rotacin
27 de
Comit Si Auditoria Un Ao (1)
y la Direccin. Si
Requerimientos Dos Aos (2)
12 Si
de Ley Para la Tres aos (3)
Auditoria Interna.
Contenido
4. PROXIMOS PASOS
3. PLAN ANUAL DE AUDITORIA VS RECURSOS
Plan Anual de
Universo de
Auditoria Ao 2015
Auditoria Interna
Hallazgos y
Oportunidades Nivel de Riesgo
de Mejora Inherente del
Significativos Plan
Proceso
Identificados Anual de
Auditoria
Interna
Requerimientos del
Plan de Rotacin Comit de Auditoria
y la Direccin. Tota Horas Necesarias ESTIMADAS 29.344
Requerimientos
de Ley Para la
Total Horas Disponible Equipo de 20.526
Auditoria Interna. Auditores:
Diferencia (Tiempo Insuficiente). (9.088)
Se cubrir con Recursos Externos
Contenido
Conclusiones
Recomendaciones y Planes de
Accin. Norma 2410
c. Informe y Seguimiento.
Alcance
Las observaciones y
recomendaciones del trabajo
surgen de un proceso de
comparacin entre el criterio (el
estado correcto) y la condicin
(el estado actual).
c. Informe y Seguimiento.
Las observaciones y
recomendaciones se basan en los
siguientes atributos:
Las observaciones y
recomendaciones se basan en los
siguientes atributos:
Ejemplo : Observacin
Ejemplo : Recomendaciones
Las observaciones y
recomendaciones se basan en los
siguientes atributos:
Causa: La razn de la
diferencia entre las situaciones
esperadas y las reales.
Casos de la Vida Real
Lo que no se debe hacer
Casos de la Vida Real
Como hacerlo bien.
c. Informe y Seguimiento.
Las observaciones y
recomendaciones se basan en los
siguientes atributos:
Se pueden comunicar
recomendaciones para mejoras,
reconocimientos de desempeo
satisfactorio y acciones
correctivas.
c. Informe y Seguimiento.
Modelo de Ejemplo
Ejemplo Informe
Final
Calidad de la Comunicacin
Las comunicaciones
constructivas son tiles para el
cliente de trabajo y la organizacin,
y conducen a mejoras que son
necesarias.
Calidad de la Comunicacin
Redaccin de Hallazgos
para que:
Hallazgo - Ejemplo
Casos de la Vida Real
Lo que no se debe hacer
Casos de la Vida Real
Como hacerlo bien.
Calidad de la Comunicacin
Recomendaciones
Deben ser:
Ejercicio Practico:
Plan y Resultado
de la Prueba
Recomendaciones y Ejercicios
prcticos para la redaccin del
Informe de Auditoria.
Busque primero
comprender y luego ser
comprendido.
Recomendaciones y Ejercicios
prcticos para la redaccin del
Informe de Auditoria.
PORTAFOLIO DE SERVICIOS
OUTSOURCING DE AUDITORIA INTERNA
OUTSOURCING EN CONTROL INTERNO
OUTSOURCING EN LA ADMINISTRACIN DE LA GESTIN DE RIESGOS
OUTSOURCING EN DOCUMENTACIN DE PROCESOS
IMPLEMENTACIN DE SISTEMAS INTEGRADOS DE GESTIN ESTRATEGICA
FORTALECIMIENTO METODOLOGIA DE AUDITORIA INTERNA BASADA EN RIESGOS
FORTALECIMIENTO METODOLOGIAS DE GESTIN DE RIESGOS
(SARO-SARLAFT-SOX, FRAUDE Y CORRUPCIN)
FORTALECIMIENTO METODOLOGIAS DE ASEGURAMIENTO BASADO
EN LAS NORMAS DE ASEGURAMIENTO DE INFORMACIN
DIAGNOSTICO E IMPLEMENTACIN ISO 31000 2009 / COSO ERM
DIAGNOSTICO E IMPLEMENTACIN COSO 2013 / MECI 2014
EVALUACIN DE CALIDAD DE LA FUNCIN DE AUDITORIA INTERNA
DISEO Y EJECUCIN DE PRUEBAS PARA SOX
INTERVENTORIA EN PROYECTOS DE PROCESOS-RIESGOS-CONTROL-AUDITORIA