Auditoría continua como soporte para los indicadores claves de riesgos, controles y

procesos (KRI, KCI, KPI)

Wagner Roberto Pugliese, CIA, CCSA, CRMANasdaq BWise

Practice Leader, GRC Solutions - LatAm

Agenda

•SimilitudesydiferenciasentreAuditoríaContinuayMonitoreo;

•Objetivosdelnegocio,EstrategiaseKeyIndicators;

•Creacióndeenlaceentrelosindicadoresclavesylaaplicacióndelaestrategiadenegociosdelaempresa;

•Laconstruccióndeunprocesodegestiónderiesgoentiemporealporlas3líneasdedefensa;

•ResultadosEsperados.

Auditoría Continua y Monitoreo Continuo

AUDITORÍACONTINUA MONITOREOCONTINUO

OBJETIVOAbarcalos procesos quela gerenciapone en marchaparaasegurar quelas políticas,los procedimientos y losprocesos denegocios esténoperandodemanera efectiva.

Esun métodoutilizadoparallevar acaboevaluaciones decontrol yriesgo deformaautomáticaen unabasemásfrecuente.

FOCO

PREMISAS/VENTAJAS

Permitealos auditoresinternoscomprender completamentelos puntoscríticosdecontrol,reglas y excepciones

Seabordala responsabilidad delaadministración deevaluar la adecuación yla efectividad delos controles.

Debe estarestrechamentevinculadoaactividades degestióncomoel monitoreo del desempeño,el balanced scorecard y la gestiónderiesgos empresariales (ERM)

Loscasosdeerror y fraudesonreducidos significativamente,laeficiencia operacionalseincrementaylos resultadosfinales semejoran atravésdeunacombinación deahorrodecostos y unareducción en los pagosen exceso y fugasdeingresos.

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA

1220–Cuidadoprofesional

1220.A2AlejercereldebidocuidadoprofesionalelauditorinternodebeconsiderarlauZlizacióndeauditoríabasadaentecnologíayotrastécnicasdeanálisisdedatos.

Evolución de las herramientas vs frecuencia vs rango

Proceso Auditoría continua e Monitoreo Continuo

Herramienta deextracción

DataBase

Análisis dedatos

Resultados

AuditoriaInternaIssues

GestoresPlanesdeAcción

¿Cómo agregarvalorcon soporte dela Auditoría Continua?

Definición de Auditoría Interna

LaAuditoríaInternaesunaactividadindependienteyobjetivadeaseguramientoyconsulta,concebidaparaagregarvalorymejorarlasoperacionesdeunaorganización.Ayudaaunaorganizaciónacumplirsusobjetivos aportandounenfoquesistemáticoydisciplinadoparaevaluarymejorarlaeficaciadelosprocesosdegestiónderiesgos,controlygobierno.

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA

2120–GestióndelRiesgo2120.A1–Laactividaddeauditoríainternadebeevaluarlasexposicionesalriesgoreferidasagobierno,operacionesysistemasdeinformacióndelaorganización,conrelaciónalosiguiente:• Logrodelosobjetivosestratégicosdelaorganización,• Fiabilidaddeintegridaddelainformaciónfinancierayoperativa,• Eficaciayeficienciadelasoperacionesyprogramas,• Proteccióndeactivos,y• Cumplimientodeleyes,regulaciones,políticas,procedimientosycontratos.

2130-Control2130.A1–Laactividaddeauditoríainternadebeevaluarlaadecuaciónyeficaciadeloscontrolesenrespuestaalosriesgosdelgobierno,operacionesysistemasdeinformacióndelaorganización,respectodelosiguiente:• Logrodelosobjetivosestratégicosdelaorganización,• Fiabilidadeintegridaddelainformaciónfinancierayoperativa,• Eficaciayeficienciadelasoperacionesyprogramas,• Proteccióndeactivos,y• Cumplimientodeleyes,regulaciones,políticas,procedimientosycontratos.

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA

2200–PlanificacióndeltrabajoLosauditoresinternosdebenelaborarydocumentarunplanparacadatrabajo,queincluyasualcance,objetivos,tiempoyasignaciónderecursos.ElPlandebeconsiderarlasestrategias,losobjetivosyriesgosrelevantesparaeltrabajo.

2201–ConsideracionessobreplanificaciónAlplanificareltrabajo,losauditoresinternosdebenconsiderar:• Lasestrategiasyobjetivosdelaactividadqueestásiendorevisadaylosmediosconlos

cualeslaactividadcontrolasudesempeño;• Losriesgossignificativosdelosobjetivos,recursosyoperacionesdelaactividadylos

mediosconloscualeselimpactopotencialdelriesgosemantieneaunnivelaceptable;• Laadecuaciónyeficaciadelosprocesosdegobierno,gesZónderiesgosycontroldela

actividadcomparadosconunenfoqueomodelorelevante• Lasoportunidadesdeintroducirmejorassignificativasenlosprocesosdegobierno,gesZón

deriesgosycontroldelaactividad.

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA

2210–Objetivosdeltrabajo

2210.A3–Serequierencriteriosadecuadosparaevaluarelgobierno,lagesZónderiesgosyloscontroles.Losauditoresinternosdebencerciorarsequeladireccióny/oelConsejohanestablecidocriteriosadecuadosparadeterminarsilosobjetivosymetashansidocumplidos.Sifueraapropiado,losauditoresinternosdebenutilizardichoscriteriosensuevaluación.Sinofueraapropiado,losauditoresinternosdebenidentificarcriteriosdeevaluaciónadecuadosjuntoconladireccióny/oelConsejo.

COSO ERM – ENTERPRISE RISK MANAGEMENTALIGNING RISK WITH STRATEGY AND PERFORMANCE

Objetivos, Estrategia e Key Indicators

Objetivo Estrategia Apetitoporel Riesgo KPIeMetas KCIeKRI

Objetivo EstrategiaApetitoporel Riesgo KPIeMetas KCIeKRI

Objetivo Estrategia Apetitoporel Riesgo KPIeMetas KRIeKCI

CEO

VicePresidente

Director

Cascadadelos objetivosdela empresaparatodaslas áreas....

OBJETIVO

KPI KCI KRI

ESTRATEGIA

! RIESGOSPROCESOSYPRESUPUESTO

Conocer los objetivos y estrategias

KEY RISK INDICATOR (KRI)

KeyRiskIndicators (KRI)

BenchmarkingExterno

Objetivos/Estratégia Stakeholder Regulatório

PolíticasPerdaseIncidentes

OutrosInputsdeRisco

• Businessplan• Objetivosde

Negócio• Métricasde

Performance

• Clientes• Comercial• Empregados• Outros

• RequerimentosLegais

• Políticas

• Perdas• Incidentes

• DadosdeTerceiros• CenáriosdeRisco

• Concorrentes• Boaspráticas

• KRIesunamedidaparaindicarla presenciapotencial,nivel otendencia deunriesgo.Un KRIesantedetodounaherramienta demedición y,sobrela basedelamedición,ayuda en la tomadedecisión sobrequé dirección seguir.

KEY RISK INDICATOR (KRI)

ObjetivoseEstrategia Riesgo

Causa

KRI

Performance

Apetito porel riesgo

Proceso

Controles

Consecuencia

Factor deriesgo

KEY PERFORMANCE INDICATOR (KPI)

• Indicador para monitorear y evaluar el progreso de las medidas de performance(metas) definidas a partir de los objetivos y estrategias de la organización.

• Responder a la pregunta: estamos logrando nuestros niveles de performancedeseados?

Objetivo Presupuesto xCumplido

Metas(KPI)

AjustedeHC/Procesos /Tercerización

Estrategia A

Estrategia B

Estrategia C

Proceso

KEY CONTROL INDICATOR (KCI)

Objetivo/Estrategia

Controle-------------

KCI

Proceso-------------

KPI

Revisión dela Evaluación deRiesgos y el Apetito

RiesgosApetito-------------

KRI

• KCI’s se utilizan para evaluar si los controles tienen suficiente eficacia paraalcanzar los objetivos establecidos.

• El papel de KCI’s es asegurar que las respuestas apropiadas se activan de unamanera apropiada a una situación peligrosa identificada por KRI’s.

• KCI’s típicos cubrem la fiabilidad de la información financiera, el número deasuntos de auditoría o índices de aseguramiento de la calidad del producto.

Revisión/Ajustes

CREACIÓN DE ENLACE ENTRE LOS INDICADORES CLAVES Y LA APLICACIÓN DE LA ESTRATEGIA DE NEGOCIOS DE LA EMPRESA

Objetivo Target Variación aceptableen la performance

ApetitoalRiesgo

- IncrementarlasventasdelproductoCapitalización

- 30%decrecimiento dela cartera –basemm/aaaa

- 5%a7%en elaño

- 1%deventascanceladas

- Pérdidas dehastaun 5%

CREACIÓN DE ENLACE ENTRE LOS INDICADORES CLAVES Y LA APLICACIÓN DE LA ESTRATEGIA DE NEGOCIOS DE LA EMPRESA

- Objetivo:Incrementarlas ventasdel productoCapitalización em30%

Produto:

Processo:

Risco:

FatordeRisco:

Controle:

Capitalización

Cancelación deVentas

Riesgo OperativoPráticasComerciales Inadecuadas

Ventasforzadas

Existencia documentodesolicitud decancelación deventas

KPI’SRELACIONADOS

KPI1:

KPI2:

KPI3:

Qtde.VentasCanceladasQtde.VentasTotales(-) VentasCanceladas

Meta:___%/ano

ValorVentasCanceladasXPresupuesto (___%)

=___%

ValorVentasCanceladasValorVentasTotales(-)ValorCancelación(+-)Impuestos ecostos

=___%

KCI

KCI1: Existencia documentodesolicitud decancelación deventas

KRIA:Pérdidas VentasCanceladasXApetitoaoRiesgo porcancelacióndeventas

B:ReclamosporRegión,Sucursal,empleado emotivos

C:Pérdidas comacciones civiles eIndemnizaciones pagas

AUDITO

RÍACO

NTINUA

CREACIÓN DE ENLACE ENTRE LOS INDICADORES CLAVES Y LA APLICACIÓN DE LA ESTRATEGIA DE NEGOCIOS DE LA EMPRESA

Estructura de Procesos, Riesgos, Controles y Indicadores

CREACIÓN DE ENLACE ENTRE LOS INDICADORES CLAVES Y LA APLICACIÓN DE LA ESTRATEGIA DE NEGOCIOS DE LA EMPRESA

Control

PérdidasconventasCanceladas 10%

ReclamosporRegión,Sucursal… 5%

123KPérdidascom accionesciviles…

Process

Documentodesolicituddecancela…

Control Name KCIIssues

Process Name

CancelacióndeVentas

KPIKPI%

KPI_Qtde.VentasCanceladas

KPI_Valor VentasCanceladas

KPI_Valor VentasCanceladasxPresupuesto

5%

3,5%

200K

Dashboards - EjemplosKEY RISK INDICATOR (KRI)

Seguimiento del volumen de mensajes electrónicos transitados por la empresa, con el objetivo de identificar la fuga de datos.

Dashboards - EjemplosKEY PERFORMANCE INDICATOR (KPI)

Acompañamiento mensual del tiempo medio de atención (Plazo regulatorio 10 días)

Dashboards - EjemplosKEY CONTROL INDICATOR (KCI)

Monitoreo de la efectividad de los controles

La construcción de un processo de gestión de riesgo entiempo real por las 3 lineas de defensa

Requisitos:

• Rolesestablecidas paralas 3líneasdeDefensa;

• Elementosparacriación deproceso Integrado,e

• Gobierno Corporativo.

Líneas de Defensa

La construcción de un entorno integrado

§ Elementosnecesarios:

§ Objetivoseestrategias dela empresa;

§ Diccionario deRiesgos;

§ Diccionario deProcesos (Cadena deValor);

§ Diccionario deControles;

§ Como?

§ Definición delos objetivoseestrategia porla administración dela empresa;

§ Identificación y mapeo deprocesos dela empresa;

§ Identificación y evaluación delos controlesclave;

§ Identificación y mitigación delos ofensoresdepérdidas operativas;

§ Criación deIndicadoresdeRiesgos (KRI),dePerformance(KPI)y deControles(KCI).

Gestión y Monitoreo de Riesgo por las 3 Líneas de Defensa

KEYRISKINDICATOR

KEYPERFORMANCEINDICATOR

Vehículo legal

Segregación pornegocio

Proceso

Riesgo

Controle

KEYCONTROLINDICATOR

ComitédeRiesgo<ApetitoalRiesgo>

Gestión deobjetivosestratégicosyoperativos

Efetivo

Inefetivo

Issues/Tasks

Factorderiesgo

Objetivosdel negocio,Estrategias

Revisión/Ajustes

BOARD<Objetivos>

Auditoría

Con

tinua

Resultados Esperados

• Evaluación dinámica de riesgos y controles• Seguimiento de las metas / estrategias de la compañía de manera

integrada;• Ganancia de productividad, con la eliminación de redundancias en el

trabajo en las tres líneas de defensa;• Disminución del costo de cumplimiento;• Alineación con las mejores prácticas y mayor consistencia y calidad;• Metodologías de prueba estandarizadas, e• Fortalecimiento del ambiente de controles internos / compliance;

WAGNER ROBERTO PUGLIESEPractice Leader, GRC Solutions - LatAmwagner.pugliese@bravogrc.com+55 11 98639-7819

Preguntas y Respuestas