EN BUSCA DE LAS MEJORES PRÁCTICAS DE AUDITORIA · 2012-07-10 · Presentado por: Katia Ortiz Vicepresidente Auditoría Interna Tricom EN BUSCA DE LAS MEJORES PRÁCTICAS DE AUDITORIA

Presentado por: Katia OrtizVicepresidente Auditoría Interna Tricom

EN BUSCA DE LAS MEJORES EN BUSCA DE LAS MEJORES PRPRÁÁCTICAS DE AUDITORIA CTICAS DE AUDITORIA

Mejores Prácticas en Mejores Prácticas en Evaluación de Riesgos en una Evaluación de Riesgos en una

Empresa de Empresa de TelecomunicacionesTelecomunicaciones

Del 4 al 7 de Agosto del 2011Hard Rock Hotel, Bávaro, República Dominicana

Katia Ortiz Katia Ortiz -- MAI, MAG, CPAMAI, MAG, CPAVicepresidente AuditorVicepresidente Auditoríía Internaa Interna


Agenda

2.2. Algunos Conceptos sobre RiesgoAlgunos Conceptos sobre Riesgo

3.3. Fases de ImplantaciFases de Implantacióónn

4.4. Sistema de EvaluaciSistema de Evaluacióón de Riesgos en n de Riesgos en TricomTricom

5.5. Lecciones Aprendidas y ConclusiLecciones Aprendidas y Conclusióónn

1.1. ObjetivoObjetivo


Compartir con ustedes nuestra Compartir con ustedes nuestra experiencia en la implantación experiencia en la implantación del modelo de evaluación de del modelo de evaluación de riesgos en la empresa de riesgos en la empresa de telecomunicaciones y entretetelecomunicaciones y entrete--nimiento Tricom.nimiento Tricom.

Objetivo


Agenda










Riesgo EmpresarialRiesgo Empresarial: : futuros eventos inciertos, los cuales pueden influir en el cumplimiento de los objetivos de las organizaciones, incluyendo sus estrategias financieras y operacionales.

Algunos Conceptos

Proceso de Gestión de RiesgosProceso de Gestión de Riesgos: : Es un proceso estructurado, consistente y continuo que permite identificar, evaluar, medir yreportar riesgos y oportunidades que pueden afectar el logro de los objetivos de la organización. * * ERM: Enterprise Risk ManagementERM: Enterprise Risk Management

Apetito por el RiesgoApetito por el Riesgo: : Es el máximo nivel de riesgo que los accionistas están dispuestos a aceptar.

a. Sirve para definir la estrategia.b. Direcciona la asignación de recursos.c. Alinea personal, procesos e infraestructura.


Riesgo OperativoRiesgo Operativo:: se define como el riesgo de pérdidas derivadas de fallas en los procesos internos, en los sistemas, en la actuación del personal, por eventos externos, o por procesos internos no adecuados.

− Gente: Incumplimiento por desconocimiento o intencional de políticas internas.

− Procesos: Deficiencias en los procesos o la ausencia de estos.

− Sistemas: Caída o violación de los sistemas o de las informaciones que manejan.

− Externos: Fuerzas naturales o humanas o de la acción directa de terceros.

Algunos Conceptos


Algunos Conceptos

Evolución de la Gestión de RiesgosEvolución de la Gestión de Riesgos


Algunos Conceptos


Algunos Conceptos

ErnstErnst & & YoungYoung Radar de Riesgos por SectorRadar de Riesgos por Sector

http://www.ey.com/MX/es/Services/Advisory/10_riesgos_del_negocio_2010


Algunos Conceptos




Algunos Conceptos




Algunos Conceptos




Algunos Conceptos







Agenda


4.4. Sistema de Evaluación de Riesgos en Sistema de Evaluación de Riesgos en TricomTricom





IdentificaciónDocument.Controles

IdentificaciónDocument.ControlesEvaluaciónEvaluación

Definición Alcance y

Planificación


Planificación

Fase 1Fase 1 Fase 2Fase 2 Fase 3Fase 3

Monitoreo Continuo

Monitoreo Continuo

Remediación y

Prueba

Remediación y

Prueba

Gerencia, Comité de AuditoríaAuditores Internos

Fase 4Fase 4

Fase 5Fase 5

Fases de Implantación

Sistema Evaluación de RiesgosSistema Evaluación de Riesgos


Fase 1/5: Definir Alcance y Planificar

TEXT

1. Planificar Proyecto

2. Organizar Equipo

3. Identificar Herramientas

4. Identificar Cuentas

Materiales

5. Identificar los Procesos

6. Identificar los Sistemas



1.1 Planificar Proyecto



Informática

Finanzas

AuditoríaInterna

1.2 Organizar el Equipo

Operaciones

Presidencia

Sistemas y Procedimientos

Junta de Directores

Equipo de revisión:

10 integrantes



COSO - ERM

1.3 Identificar Marco de Referencia y Herramientas



• Modelo abierto de riesgos en base a eventos (Modelo de Identificación).

• Identificación de Riesgos por Gestores.• Evaluación según impacto / severidad y probabilidad de

ocurrencia / frecuencia.• Cuantificación económica de los Riesgos.• Tolerancia al riesgo definida conjuntamente con los Gestores.• Seguimiento continuo.


Software COBIT

COSO - ERM


Software ERA ®

ERA ® “Enterprise Risk Assessor”Software creado por la Empresa Methoware

1.3 Identificar Marco de Referencia y Herramientas


Factores Cualitativos:

Salvaguarda de ActivosDeterminación de ProvisionesPreparación de Reportes FinancierosNaturaleza y composición de la cuentaVolumen de transacciones, complejidad y HomogeneidadTransacciones con partes relacionadas

Factores Cuantitativos:

Cuentas contables sobre RD$10MM anual

1.4 Identificar Cuentas Materiales



1.5 Identificar los Procesos


• Proceso de Ventas• Proceso de Instalación• Proceso de Compras• Proceso de Inventario• Proceso Revisión Cuentas Contables• Proceso de Contabilidad• Proceso de Inventario• Proceso de Activos Fijos• Proceso de Facturación• Proceso de Pago Comisiones• Proceso de Nómina• Entre otros


1.6 Identificar los Sistemas


• Ordenes de Servicios• Facturación• Rating• Comisiones• Contabilidad• Inventario• Activos Fijos• Nómina• Ordenes de Compra• Pagos• Entre otros


Identificación Document.Controles

Identificación Document.ControlesEvaluaciónEvaluación


Planificación


Planificación


Monitoreo Continuo

Monitoreo Continuo

Remediación y

Prueba

Remediación y

Prueba


Fase 4Fase 4

Fase 5Fase 5




1. Evaluar Riesgo a Nivel

de Entidad

2. Evaluar Riesgos de las

Cuentas

3. Relacionar Cuentas con

Procesos TEXT

4. Identificar Riesgos de los

Procesos

5. Evaluar el Entorno de

Control

6. Evaluar Tecnología de Información

Fase 2/5: Evaluación y Definición



Técnicas utilizadas:

Levantamiento del Mapa de Procesos

Entrevistas y Reuniones

Análisis Flujos de Procesos

Identificación de Indicadores de Riesgos


Identificar Riesgos de los Procesos (eventos)



Modelo Corporativo de Análisis de Riesgos






Categoría de Riesgo Sub-categoría de Riesgo 1 Sub-categoría de Riesgo 2

IncendioInundaciónOtros de la naturaleza (geológicos / meteorológicos)Desastres civilesFalla de transporteFalla de energíaFalla en telecomunicaciones externasInterrupción en el suministro de aguaIndisponibilidad del edificioOtro

Riesgo Regulatorio Regulador cambia reglas en la industria / paísGuerraExpropiación de activosNegocio bloqueadoCambio en el régimen impositivoOtros cambios en la leyOtro

Externos

Riesgo Político / de Gobierno

Desastres y Fallas en Servicios Públicos de Infraestructura



Preguntas que nos Ayudarán a Identificar los Riesgos




Evaluamos el impacto de los riesgos identificados usando la siguiente escala:



Evaluamos la probabilidad de que ocurran los riesgos usando la siguiente escala:




1-51-41-31-21-1

2-52-42-32-22-1

3-53-43-33-23-1

4-54-44-34-24-1

5-55-45-35-25-1

Probabilidad de Ocurrencia

Magnitud del Impacto

1

Insignificante

2

Menor

3

Moderado

4

Mayor

5

Catastrófico

Casi Certeza 5

Probable 4

Posible 3

Improbable 2

Raro 1

Matriz de Impacto Vs. Probabilidad

Muy Alto

Alto

Moderado

Bajo



Controlar

Compartir Mitigar y Controlar

Aceptarlo

Riesgo Alto

Riesgo Moderado

Riesgo Moderado

Bajo Riesgo

Bajo (Remota)

Muy Alto

Alto (Probable)

IMPACTO

PROBABILIDAD


EvaluaciónEvaluaciónDefinición Alcance y

Planificación


Planificación

Fase 1Fase 1 Fase 2Fase 2

Monitoreo Continuo

Monitoreo Continuo

Remediación y

Prueba

Remediación y

Prueba


Fase 4Fase 4

Fase 5Fase 5





Fase 3Fase 3


Fase 3: Identificación y Documentación- Software ERA -

2. Evaluar Diseño Control según COSO

1. Identificar Controles de

Riesgos275 Riesgos

590 Controles






Planificación


Planificación


Monitoreo Continuo

Monitoreo Continuo

Gerencia, Comité de AuditoríaAuditores Internos Fase 5Fase 5



Remediación y

Prueba

Remediación y

Prueba

Fase 4Fase 4


Fase 4: Prueba y Remediación

1. Diseñar Pruebas y

Programas de Auditoría

2. Ejecutar las Pruebas de Control

3. Comunicar Resultados

4. Corregir las Deficiencias





Planificación


Planificación


Remediación y

Prueba

Remediación y

Prueba


Fase 4Fase 4



Monitoreo Continuo

Monitoreo Continuo

Fase 5Fase 5


Fase 5: Monitoreo

1. Desarrollar Sistema de Monitoreo

3. Monitoreo Continuo

2. Diseñar Sistema de

Consecuencias


Agenda







Junta de Directores / Staff Ejecutivo

Aprueba y Distribuye recursos

Responsables

Vicepresidentes

Directores

Gerentes

Unidades de Negocio

Auto-evaluacionesImplementa Cambios

Administra el RiesgoMonitoreo ContinuoPlanes de Acción de los

Informes de Auditoría

Aseguramiento

Evalúa el proceso

Revisa las auto-evaluaciones

Prueba los Controles

Auditoría Interna

Políticas -Procedimientos

ERM en Tricom


▫ Manual de Normas de Conducta.

▫ Comité de Cumplimiento de Normas de Conducta.

▫ Canales de denuncias.

▫ Formulario de Declaración Normas de Conducta.

▫ Sistema Acciones Significativas.

▫ El Staff Ejecutivo fomenta el cumplimiento de normas, políticas y procedimientos y de la administración de riesgo.

1. Ambiente de Control1. Ambiente de Control

▫ Los riesgos inherentes de los principales procesos de las operaciones de la base financiera de la empresa están documentados en el Software ERA, bajo el marco de referencia de COSO y SOX.

▫ Las operaciones de Tecnología de Información (TI) están documentadas en el Software COBIT Advisor.

2. Evaluación de Riesgo2. Evaluación de Riesgo

ERM en Tricom

Mecanismos de Control InternoMecanismos de Control Interno


▫ Website en Intranet con las políticas y procedimientos accesible a los Colaboradores.

▫ Check List de controles de auto-evaluación.

▫ Workflow solicitud y autorización de procesos.

▫ Infraestructura tecnológica estable y una robusta red interna y externa.

▫ Aplicaciones con “alarmas” de eventos críticos.

3. Actividades de Control3. Actividades de Control

▫ Logs de Auditoría en Base de Datos de aplicaciones críticas.

▫ Sistema de Prevención de Intrusos (IPS).

▫ Servidores y switches a la vanguardia de la tecnología.

▫ Notificación automática de hallazgos de Auditoría pendientes

▫ Control acceso automático a las instalaciones, alarmas y circuito cerrado.

ERM en Tricom



▫ Sistema de comunicación formal.

▫ Programa de “Embajadores de Marca”.

▫ Intranet con informaciones sobre departamentos, procesos, servicios, etc.

▫ Plataforma de Extranet para interacción con los Canales y Distribuidores.

▫ Protocolo de Comunicación Áreas de Servicios.

4. Información y Com.4. Información y Com.

▫ Supervisores disponen de check listde controles para la ejecución del Monitoreo Continuo.

▫ Sistemas de Información Gerencial.

▫ Evaluación del desempeño anual.

▫ Periódicamente Auditoría Interna recibe retroalimentación sobre los resultados de las rutinas de control “check list” de los principales procesos.

5. Supervisión5. Supervisión

ERM en Tricom



Vista Software ERA®Vistas del Sistema de Evaluación de Riesgos

Áreas de RiesgoÁreas de Riesgo



Vistas del Sistema de Evaluación de Riesgos

Cuentas ContablesCuentas Contables




Pantalla de RiesgosPantalla de Riesgos




Pantalla relación Proceso Pantalla relación Proceso –– Riesgo Riesgo -- ControlesControles




Pantalla Principal del SistemaPantalla Principal del Sistema



Vistas del Sistema de Evaluación de Riesgos TI


Agenda







Gran alcance Cronograma ajustadoOutsourcing en la implementación del proyecto?Definición del Equipo de Trabajo Elección del Software de documentaciónCambio cultural (Concienciar sobre Control Interno)Implementación de un Proceso de Auto-evaluaciónManual de Normas de ConductaCreación del Comité de CumplimientoMantener el Modelo de Control Interno

Desafíos del Proyecto


Involucramiento de toda la Organización desde la Junta de Directores hasta los niveles básicos

Adaptar la Organización a la cultura de Control Interno. “El Control Interno es responsabilidad de Todos”

Proceso Mejora Continua

Auto-evaluación de los controles

La documentación de los Procedimientos y Políticas es vital para la agilización del Proceso

Lecciones Aprendidas


... Si tomas riesgos, podrías fallar. ... Si tomas riesgos, podrías fallar. Pero si no tomas riesgos, Pero si no tomas riesgos, seguramente fallarás. El riesgo seguramente fallarás. El riesgo mayor de todos es no hacer mayor de todos es no hacer nada...nada...

JackJack WelchWelchEx Ex -- CEO General CEO General ElectricElectric


Gracias por su atención!!!Gracias por su atención!!!

Katia Ortiz, Katia Ortiz, Vicepresidente Auditoría Interna Tricom

Email: [email protected]

Tels: 809-476-4060809-301-0098


Katia Ortiz, Katia Ortiz, Vicepresidente Auditoría Interna

Licenciada en Contabilidad, CPA, con Maestría en Auditoría Integral y Control de Gestión de doble titulación en la Universidad APEC y Universidad de Valencia. También posee una Maestría en Alta Gerencia (MAG) concentración en Finanzas en la Universidad Intec. Diplomado en Auditoría Forense e Investigación Legal y Diplomado en Alta Gestión Empresarial.

Más de 15 años de experiencia en Auditoría, ha desempeñado diferentes cargos durante su carrera administrativa, desarrollada básicamente en Tricom, importante empresa de telecomunicaciones y entretenimiento de la República Dominicana, donde actualmente ocupa la posición de Vicepresidente de Auditoria Interna & Calidad.

Cabe destacar su especialización en auditoría de telecomunicaciones, auditoría bancaria, Auto-evaluación de Control Interno, así como, en la implementación de sistemas de evaluación de riesgo - control ERM (Enterprise Risk Management) basados en los estándares COSO, COBIT, Ley Sarbanes Oxley(SOX), así como implementación de Sistemas de Gestión de Calidad basado en ISO 9001:2008.

Ha sido conferencista invitada en diferentes universidades en República Dominicana.

Documents

EN BUSCA DE LAS MEJORES PRÁCTICAS DE AUDITORIA · 2012-07-10 · Presentado por: Katia Ortiz Vicepresidente Auditoría Interna Tricom EN BUSCA DE LAS MEJORES PRÁCTICAS DE AUDITORIA