auditoría, controles y riesgos: teoría...
TRANSCRIPT
1
Auditoría, Controles y Riesgos: Teoría General
Preparado Por:
Prof.: Arismendi E. Leong, CPA, MBA, CICA, ICC
2
Auditoría Interna
La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno
3
Auditoría Externa
Es aquella en la que un auditor independiente (externo) a la empresa emite una opinión, considerando todos los aspectos significativos, de si los estados financieros de la empresa están preparados razonablemente de acuerdo a un determinado marco de referencia de información financiera
4
Auditoría de SI
Es un proceso de valuación independiente y objetiva que asegura que la información ha sido procesada en una manera segura e íntegra, que
las operaciones son eficientes, efectivas y adecuadas, y se salvaguarda la
información
5
Planificación Estratégica Líneas de acción y dirección que ejecuta la
empresa para lograr una ventaja competitiva sostenible.
Misión, visión, valores.
Objetivos: precisos, medibles, qué, cuándo, compatibles con misión y visión, enfocados a lograr una ventaja competitiva sostenible
Se identifican los riesgos generales de la empresa y para cada función
Se establecen controles dentro de la empresa para mitigar los riesgos y garantizar el logro de los objetivos. Los auditores agregamos valor mediante nuestra revisión
Planificación Estratégica Misión: cuál es nuestra
labor o actividad en el mercado y el público al que va dirigida
Visión: enuncia qué quiere lograr la empresa en el futuro
Valores: son los principios éticos sobre los que se asienta la empresa para lograr su misión, visión y objetivos
Objetivos:resultados, situaciones o estados que una empresa pretende alcanzar, en un periodo de tiempo
¿Cómo deben ser nuestros objetivos?
7
8
Definición de Control Interno
Es un proceso en el que participa la Junta Directiva, la gerencia y el resto de los empleados, diseñado para proveer seguridad razonable para el logro de los objetivos en las siguientes categorías: Eficiencia y eficacia de las operaciones
Confiabilidad de la información financiera
Cumplimiento con leyes y reglamentos
Componentes: ambiente de control, evaluación de riesgos, controles, información y comunicación y seguimiento.
9
Tipos de Controles
Prevenir: minimiza el riesgo de ocurrencia de un evento
Detectar: detecta o corrige un evento indeseado que ocurrió
Dirigir: causan o propician la ocurrencia de un evento
Mitigar: para compensar parcialmente la falta de control por costo excesivo.
10
Tipos de Controles
Formales
Objetivos
Medibles
Mapeables
Procedimientos y políticas
Estructura Organización
Niveles de Autorización
Reconciliaciones
Inspecciones
Duros Informales
Subjetivos
Intangibles
Competencias
Integridad y ética
Valores
Liderazgo
Apertura
Suaves
11
Enfoque al Revisar los Controles
Adecuabilidad: si el sistema establecido provee una seguridad razonable de que los objetivos y metas de la organización se lograrán al mitigar los riesgos que atentan contra los objetivos
Efectividad: si el sistema esta funcionando según fue diseñado (autorización, monitoreo, comparación, documentación, supervisión, etc.)
Calidad: determina si los objetivos y metas se han logrado
Alcance: para determinar entorno y límites de la auditoría
12
Evaluación del Control Interno
Recolección de información, entrevistas, flujogramas
Cuestionario de riesgos y controles
Matriz para evaluar riesgos y
controles
Pruebas de cumplimiento de
los controles
Informe sobre fallas
Determinar Alcance de Auditoría
Mitos sobre los controles internos
Mito #1:
“Los controles internos inician con políticas y procedimientos firmemente establecidos”
Realidad:
“Los controles internos inician con un ambiente de control firmemente establecido”
Mito #2:
“Los controles internos son imposiciones de la Administración y de los auditores”
Realidad:
“Todos somos dueños y responsables de los controles internos”
13
Mitos sobre los controles internos
Mito #3: “Con controles internos robustos, podemos confiar de que no
habrá fraude y que habrá informes financieros exactos” Realidad: “Los controles internos proveen una seguridad razonable,
pero no absoluta, de que se alcanzarán los objetivos de la organización”
Mito #4: “Los controles internos quitan tiempo valioso para realizar las
actividades inherentes de la unidad o división” Realidad: “Los controles internos forman parte esencial de las
actividades inherentes de cada unidad o división”
14
Posibilidad de ocurrencia de un evento interno o
externo a la empresa y que
afecte sus objetivos
Definición de Riesgo
15
16
Conceptos del Riesgo
Apetito de riesgo: cantidad de riesgo que una organización está dispuesta a “aceptar” para alcanzar sus objetivos
Tolerancia al riesgo: máxima variación relativa que la organización está dispuesta a “aceptar” en relación al apetito de riesgo previamente establecido
Capacidad de Riesgo: cantidad y tipo de riesgo máximo que una organización es capaz de “soportar” en la persecución de sus objetivos
Modelo para evaluar riesgo:
Riesgo = Impacto x Frecuencia
Conceptos del Riesgo
17
Ejemplo Sencillo
Un auto admite una velocidad máxima de 200 km/h, pero su conductor, teniendo en cuenta su habilidad para
conducir, el tipo de vía, el clima y las condiciones del vehículo podría ir hasta a un máximo de 160 km/h.
Considerando que su objetivo es llegar a su destino lo antes posible pero en forma segura, el conductor decide ir
a 110 km/h respetando los límites establecidos.
Identifique: apetito, tolerancia y capacidad de riesgo
18
19
Tipos de Riesgos
Financiero
Operacional
Accidental Imagen
Estratégico
Tipos de Riesgo
Financiero: Crédito, liquidez y mercado (tasa de interés y de cambio, precio de los commodities, instrumentos financieros)
Operacional: Procesos, personal y sistemas
Accidental: Propiedades y personas
Estratégico: Toma de decisiones y el entorno
Imagen: Consecuencia de los anteriores, mala reputación
20
Fuentes de los Eventos de Riesgo
Fuentes Externas
Económicas: precios, nuevos competidores, capital
Social: cambios demográficos, percepción del producto
Política: nuevas elecciones, cambio en agenda política
Tecnológica: automatización, brechas
Ecológica: cambios climáticos
Fuentes Internas
Estrategia: desactualizada, no alineada, no existe
Estructura: cambios
Procesos: no satisfacen demandas de clientes
Personas: fraude, motivación, ética
Cultura: presión en logro de objetivos
Tecnología: desactualizados
21
Respuesta al Riesgo
Aceptar el riesgo (asume el impacto)
Intentar reducir el riesgo (implementa controles)
Transferir el riesgo (utiliza seguros)
Evitar el riesgo (se retira del ambiente que le genera el riesgo)
22
Rol de la Junta Directiva
• Entender la filosofía de riesgo y discutir y acordar con la Administración el apetito de riesgo
• Conocer si la Administración ha establecido un manejo efectivo e integral del riesgo, incluyendo los controles para mitigar el riesgo
• Revisar los riesgos identificados por la Administración y compararlo con el apetito de riesgo establecido
• Requerir de la Admon. actualizaciones de los riesgos más importantes y evaluar si la respuesta a estos riesgos es adecuada
23
Rol de auditoría interna • Dar aseguramiento del proceso de ERM y de
establecimiento de controles
• Facilitar la identificación y evaluación de los riesgo y controles
• Asesorar a la Administración sobre la respuesta al riesgo y los controles
• Evaluar los procesos de ERM y controles
• Revisar el manejo de los riesgos claves
• Mantener a la Junta Directiva informada sobre ERM y las desviaciones mayores a los controles
24
Rol del Empleado
Evaluar constantemente el riesgo a la luz de los objetivos de la empresa y diseñar, recomendar e implementar controles que mitiguen el riesgo de acuerdo al apetito establecido.
25
Líneas de Defensa
¿Por qué la gente comete fraude?
La gente puede cometer fraude!
Triángulo del Fraude
Hay presión o necesidad
Le encuentran razones al fraude
Tienen la oportunidad de hacerlo
Mito sobre el Fraude: “Nuestra gente no cometería un fraude”
Según encuesta de Ernst & Young, más del 85% de los fraudes son cometidos por personal interno. Los protagonistas del fraude suelen estar más cerca de lo que imaginamos (encuesta 2011)
Estadísticas Sobre el Fraude
28
• Las empresas pierden 5% de sus ingresos por el fraude
• Los fraudes perpetrados por hombres fueron cuatro veces más que los ejecutados por mujeres
• Pueden pasar 18 meses desde que se comete el fraude hasta que se detecta
• Entre mayor es el nivel de jerarquía del perpetrador mayor es el fraude. Gerentes 16 veces más.
• 40% de los fraudes se descubren por una denuncia
• 87% de los fraudes tiene que ver con apropiación indebida de activos
Posibles indicadores de fraude
Relativos al comportamiento humano:
Empleados que tienen un estilo de vida por encima de su ingreso
Empleados que controlan su trabajo celosamente. Nunca toman vacaciones y se rehúsan a ser relevados en sus puestos
Empleados que llegan primero y se van de último
Otros:
Faltantes, ajustes o aumentos injustificados en los
inventarios
Compras excesivas, gastos o reembolsos sin explicación
Documentos alterados
Algunos Controles Contra el Fraude
30
Identificación y gestión del riesgo de fraude
Fuerte cultura ética corporativa
Diseño adecuado de controles contra fraude
Monitoreo continuo
Conocer leyes y reglamentos
Software de auditoria
Protocolos de manejo y sanciones
Análisis de causa raíz
Comunicación abierta con grupos de interés
Monitoreo de actividades y finanzas de empleados claves
Monitoreo de contratistas
Líneas de denuncias
Protección a los denunciantes
Auditorias forenses
Programas de entrenamiento contra el fraude
P?
Ciclos de la Investigación
Recolección
Evaluación
Comparación Análisis
Difusión y uso
31
Fuentes de Información
Archivos y documentos propios
Organismos públicos y privados
Prensa
Internet
Empleados y personal
Informes especiales
Actividades y hechos
32
Obtención y Evaluación de Información
Inspecciones
Encuestas
Vigilancia y seguimientos
Operaciones encubiertas
Examen de documentos
Entrevista
Informantes
Basura
Infiltración
Imágenes
33
• Características de la Información
• Fiabilidad de la fuente • Relación de la info con
la fuente • Información validada • Soportada por otras
fuentes • Confirmada
34
Tipos de Auditorías Financieras: análisis de la actividad
económica según los métodos contables
Operativas: revisión comprensiva de la variedad de funciones para evaluar y mejorar la eficacia y eficiencia de las operaciones
Sistemas: evaluación de los controles de los sistemas de información
Forense: para detectar la existencia de fraude o transacciones ilícitas escondidas en los EF
Ambientales: sistema y cumplimiento de las leyes ambientales
35
Planeación de la Auditoría
Establecer los objetivos y el alcance
Obtener información del ente auditado
Establecer los recursos necesarios
Comunicarse con los que necesiten saber sobre la auditoría
Llevar a cabo una revisión de control interno y los riesgos para determinar alcance
Escribir el programa de auditoría
Establecer cómo, cuándo, y a quién se comunicarán los resultados
36
Características de la Evidencia de Auditoría
Suficiente: la necesaria para que otra persona pueda llegar a nuestros mismos hallazgos.
Competente: es confiable, de fuente independiente, se puede corroborar con otra información y es directa.
Relevante: guarda relación con lo que se quiere probar.
Útil: ayuda a probar el hallazgo y a la empresa a lograr sus metas.
37
Tipos de Evidencias de Auditoría
Analítica: conclusiones basadas en la información revisada.
Documentaria: la que existe en forma permanente - Cks, fact, contratos.
Física: observación e inspección del auditor.
Testimonial: obtenida del personal auditado (forma más débil de evidencia).
38
Procedimientos Analíticos
Definición: Comparar la información financiera y no financiera.
¿Qué identifican?: diferencias no esperadas o su ausencia, errores potenciales, actos ilegales, eventos inusuales.
La técnica es comparar: período corriente con anterior y con presupuesto, información financiera y no financiera, otras organizaciones, industria, etc.
39
Pruebas de Transacciones
Están relacionadas con los ingresos, costos y gastos. Normalmente se realizan a través de muestreos.
Pruebas de cumplimiento: seguimiento del proceso. El sistema existe y funciona como fue planeado.
Pruebas sustantivas: exactitud y confiabilidad de los registros, validez, totalidad y precisión. Seguimiento de transacciones y recálculo.
Pruebas de transacciones excepcionales: se confirma información con terceros.
40
Pruebas de Balances
Relacionadas con los activos, pasivos y patrimonio.
Objetivos: existencia, totalidad, pertenencia, valuación, presentación.
Pruebas de activos: conciliaciones, confirmaciones, recálculo, observaciones.
Pruebas de pasivos y patrimonio: recálculo, confirmación.
41
Muestreo de Auditoría
Consiste en la aplicación de un procedimiento de cumplimiento o sustantivo a menos de la totalidad de las partidas que forman el saldo de una cuenta o clase de transacciones
Permiten al auditor obtener y evaluar la evidencia para llegar a una conclusión ya que la muestra es representativa de la población
Técnicas de selección para muestreo: al azar o aleatoria y sistemática (numérico y monetario).
El error tolerable: es el error máximo en el universo que el auditor estaría dispuesto a aceptar y a pesar de eso concluir que el resultado del muestreo ha alcanzado su objetivo de auditoria
42
Muestreo: Enfoque General
Saldos débitos: se prueban para aumentos indebidos. La dirección de la prueba es del mayor general hacia los documentos fuente.
Saldos créditos: se prueban para disminuciones indebidas. La dirección de la prueba es de los documentos fuente hacia el mayor general.
Hay excepciones: ej. CxP, CxC
43
Elementos de los Hallazgos de Auditoría
1. Condición: qué está pasando?, qué deficiencia, irregularidad o error hay?
2. Causa: porqué, cuándo, cómo paso, y quién es responsable de lo que pasa?
3. Criterio: qué debería estar pasando, que procedimiento o mejor práctica no se siguió?
4. Efecto: qué consecuencia real o potencial habrá?. Si es posible, cuantificar
5. Recomendación: acción correctiva sugerida para corregir la causa
44
Informe del Auditor
Informe, carta a la gerencia, o memorando.
Título
Destinatario
Fecha
Antecedentes
Objetivos y alcance
Resultados
Acciones correctivas
45
Qué es la Auditoría de SI
Es un proceso de valuación independiente y objetiva que asegura que la información ha sido procesada en una manera segura e íntegra, que
las operaciones son eficientes, efectivas y adecuadas, y se salvaguarda la
información (ISACA)
46
Clasificación de los Controles: Generales y de Aplicación
Controles Generales: se enfocan a la organización general del departamento y a las funciones de quienes intervienen en el desarrollo de sistemas
organizacionales: segregación de funciones
Operativos: identificación, duplicación, respaldos y recobros de los archivos
Desarrollo de programas: planeación, desarrollo, documentación, prueba e implementación
Controles del hardware: para su integridad
Acceso físico: sólo personal autorizado
47
Clasificación de los Controles
Controles de Aplicación: se refieren a los establecidos en la operación del sistema Entrada: data autorizada, usable,
identificable, no alterada
Procesamiento: funciona según fue planeado, no hay omisiones
Salida: la información es eficaz y sólo la recibe el personal autorizado
48
Guía de Investigación #1
Traer para la próxima clase la misión, visión, valores, objetivos y el organigrama de la empresa donde usted trabaja. Documentar brevemente (un párrafo) qué tan fácil o difícil le fue obtener esta información.
Si no puede conseguir el de su empresa consiga uno similar en Internet.
Si a su empresa le falta algo de lo solicitado, elabórelo de su experiencia. Debe traer todo lo solicitado.
Formato: Una hoja de presentación engrapada con la investigación (no folders)
Calificación: valor 100 puntos, evaluación por parte del profesor