IV Congreso Nacional de Auditoría Interna · 2016-11-30 · Normas ISO relacionadas: ISO 31010, ISO 73 e ISO 31004. Normas que actualmente están en revisión y serán actualizadas

3er Congreso Nacional de Auditoría Interna

CONAI 2014


CONAI 2014

IV Congreso Nacional de Auditoría Interna

CONAI 2016

Noviembre 29, 2016

El Valor Continuo de la Auditoría Interna


CONAI 2014

Nueva Norma ISO 31000:2017; su impacto en las Tres Líneas de Defensa

Daniella Caldana Fulss

Abogado, Magíster en Contabilidad y Auditoría de Gestión

Certified Internal Auditor – CIA

Certified Government Auditing Professional – CGAP

Certification in Control Self-Assessment – CCSA

Certification in Risk Management Assurance – CRMA

Certified Fraud Examiner – CFE

Auditora General de Gobierno Consejo de Auditoría Interna General de Gobierno (CAIGG)


CONAI 2014

Sobre la conferencista • Representante Titular en el Comité Espejo ISO/ TC 262

Gestión del Riesgo. Instancia del INN que trabaja en la actualización de la norma internacional ISO 31000, para el año 2017.

• Experta Titular de Chile para el Mecanismo de Seguimiento de la Implementación de la Convención Interamericana contra la Corrupción (MESICIC).

• Cuenta con una vasta experiencia en la dirección de unidades de auditoría interna y en la implementación de modelos de gestión de riesgos en organizaciones públicas. Anteriormente fue consultora del Banco Interamericano del Desarrollo – BID, en materias de auditoría interna gubernamental.

• Ha participado como docente en las universidades de Chile, de Santiago de Chile, Diego Portales y Alberto Hurtado, en temas de su especialidad.

• Autora y coautora de artículos sobre temas de auditoría interna, tecnologías emergentes, gobierno electrónico, auditoría interna y gestión de riesgos.

• A nivel internacional ha sido conferencista en diversos congresos y seminarios.

Daniella Caldana Fulss CIA, CGAP, CCSA, CRMA, CFE

Auditora General de Gobierno

Consejo de Auditoría Interna General de Gobierno (CAIGG)


CONAI 2014

Agenda

Introducción

Conceptos sobre Riesgos en las Organizaciones

Aspectos generales sobre ISO 31000:2017

Principales Cambios incluidos en la ISO 31000:2017

Impactos de la Norma ISO 31000:2017 en el Modelo “Las

Tres Líneas de Defensa para una Efectiva Gestión de

Riesgos y Control”

Conclusiones

Reflexiones Finales


CONAI 2014

Introducción

El Consejo de Auditoría Interna General de Gobierno (CAIGG), es

parte del Comité Espejo ISO/TC 262 Gestión del Riesgo. Instancia del

Instituto Nacional de Normalización (INN), que trabaja con The

International Organization for Standardization (ISO), en la actualización

de la norma internacional ISO 31000, para el año 2017.

Esta presentación está dirigida principalmente a auditores internos y

auditores externos del sector privado y público, encargados de riesgos,

miembros de comités de auditoría y comités de riesgos, así como a

directivos y ejecutivos de áreas operacionales.

Entre los beneficios que obtendrá la audiencia de la presentación, se

encuentra conocer los principales aspectos de la Norma ISO

31000:2017 y cómo sus componentes fundamentales, pueden

contribuir con “Las Tres Líneas de Defensa para una Efectiva Gestión

de Riesgos y Control”.


CONAI 2014

Riesgos en las Organizaciones

Fuente imagen: Risk Appetite and Risk Tolerance

The Institute of Risk Management

Gobierno Corporativo

Riesgo Inherente y Residual

Incumplimiento de Objetivos

Probabilidad e Impacto

Controles Claves

Evento

Exposición

Apetito y Tolerancia al Riesgo

Retornos y Recompensas

...…….

Vale Más Una Imagen Que Mil Palabras…

Conceptos Relacionados


CONAI 2014

Gestión de Riesgos Corporativos

“Un proceso para identificar, evaluar, manejar y controlar

acontecimientos o situaciones potenciales, con el fin de

proporcionar un aseguramiento razonable respecto del

alcance de los objetivos de la organización”(2)

“Un proceso efectuado por el consejo de administración

de una entidad, su dirección y restante personal, aplicable

a la definición de estrategias en toda la empresa y

diseñado para identificar eventos potenciales que puedan

afectar a la organización, gestionar sus riesgos dentro del

riesgo aceptado y proporcionar una seguridad razonable

sobre el logro de los objetivos”(3)

E

I

R

G

S

O

Algunas Definiciones

“Acciones coordinadas para dirigir y controlar una

organización en lo relativo al riesgo”(1)

(1) ISO 73:2009, (2) IPPF – THEIIA, (3) COSO ERM


CONAI 2014

Marcos Conceptuales Para la Gestión de Riesgos

Algunas organizaciones que han emitido marcos

para la gestión de riesgos:

The International Organization for

Standardization (ISO)

Committee of Sponsoring Organizations of the

Treadway Commission (COSO)

The Information Systems Audit and Control

Association (ISACA)

The Risk Management Society (RIMS)

Federation of European Risk Management

Associations (FERMA)

Open Compliance and Ethics Group (OCGE)…

Un Marco (Framework) constituye un conjunto estandarizado de conceptos,

prácticas y criterios para enfocar un tipo de problemática particular, que

sirve como referencia para enfrentar y resolver nuevos problemas de índole

similar.


CONAI 2014

ISO 31000:2017. Gestión de Riesgos - Marco y

Proceso - Directrices

Fuente imagen: International

Organization of Standardization


CONAI 2014

Actualiza la versión 2009. Se espera que esté publicada durante el segundo semestre del año 2017. La norma no exige certificación.

Proporciona directrices sobre cómo establecer y mantener un marco de gestión de riesgos que puede ser adoptado por cualquier tipo de organización, gama de actividades, estrategias, procesos, funciones, proyectos, productos, servicios, etc.

Proporciona un enfoque común en favor de otras normativas que tratan sobre riesgos específicos y/o sectores, y no las sustituye.

Normas ISO relacionadas: ISO 31010, ISO 73 e ISO 31004. Normas que actualmente están en revisión y serán actualizadas en el 2017.

ISO 31000:2017. Gestión de Riesgos - Marco y Proceso - Directrices


CONAI 2014

Evaluación de Riesgos

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos

Tratar los Riesgos

Mo

nito

reo

y Re

visión

Co

mu

nic

ació

n y

Co

nsu

lta

Establecer el Contexto

1.- Crea valor y lo protege

2.- Parte integral delos Procesos de la Organización

3.- Parte de la toma de decisiones

4.- Trata explícitamente la incertidumbre

5.- Sistemática, estructurada y adecuada

6.- Se basa en la mejor información disponible

7.- Se adapta

8.- Integra los factores humanos y culturales

9- Transparente y participativa

10.- Dinámica, iterativa y responde a los cambios

11.- Facilita la mejora continua y el desarrollo permanente de la organización

Proceso de Gestión de Riesgos

Principios de la Gestión de Riesgos

Marco de Trabajo para la Gestión de Riesgos

Implementación de la Gestión del

Riesgo

Mejora Continua del Marco

Diseño del Marco de

Gestión de Riesgos

Mandato y Compromiso

Monitoreo y Revisión del

Marco

ISO 31000:2009 (NCh ISO 31000:2012). Gestión de Riesgos -

Principios y Directrices

Cláusula 3 Cláusula 4 Cláusula 5


CONAI 2014


Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos

Tratar los Riesgos

Mo

nito

reo

y Re

visión

Co

mu

nic

ació

n y

Co

nsu

lta


1.- Crea valor y lo protege 2.- Integración 3.- Enfoque Estructurado 4.- Adaptable 5.- Inclusiva 6.- Dinámica y responde a los cambios 7.- Se basa en la mejor información disponible 8.- Factores humanos y culturales 9.- Facilita la mejora continua


Principios de la Gestión de Riesgos

Marco de Trabajo para la Gestión de Riesgos

Mejoramiento

Diseño

Liderazgo y Compromiso

Evaluación


Cláusula 4 Cláusula 5 Cláusula 6

Implementa-ción


CONAI 2014

Principios de Gestión del Riesgo


Proveen las bases de la gestión de riesgos, comunican el valor y explican la intención

y propósito de la gestión de riesgos en la organización.

Relacionados con

Organización

y Gestión

2, 8 y 9

Relacionados

con Gobierno

1, 2, 3, 7 y 8

Relacionados con

Implementación

4, 5, 6 y 8



CONAI 2014

Marco de Trabajo para la Gestión del Riesgo

Comprende los acuerdos para diseñar, implementar, monitorear, revisar y mejorar

continuamente la gestión de riesgos en la organización.

El liderazgo y compromiso de

la dirección establece la

intención de la organización

para gestionar el riesgos

Desarrollar estrategias para

Implementar:

El marco de gestión de

riesgos

El proceso de gestión de

riesgos

Comprensión de la

organización y su contexto

Establecimiento de la política

de gestión de riesgos

Asignación de roles y

responsabilidades

Integración de la gestión de

riesgos

Establecimiento de la

comunicación interna y externa,

y mecanismos de información

Asegurar que la gestión de

riesgos es efectiva en la

organización

Adaptación y Mejora

continua de la idoneidad,

adecuación y eficacia del

marco en la organización

Mejoramiento

Diseño


Evaluación

Implementa-ción



CONAI 2014


Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos

Tratar los Riesgos

Mo

nito

reo

y Re

visión

Co

mu

nic

ació

n y

Co

nsu

lta



Identificar las fuentes de

riesgo, áreas de impactos,

eventos; sus causas y sus

posibles consecuencias

Monitoreo y revisión de las

actividades en forma

continua, periódica e

independiente en todas las

fases del proceso

Establecer propósito,

alcance, criterios de riesgos

y el entorno interno y

externo de la organización

para la gestión de riesgos

Comunicación y consulta con

las partes externas e internas

en todas las fases del proceso

Comprender cómo se desarrolla

el riesgo. Medir consecuencias

y probabilidades

Determinar si los riesgos son

aceptables o no para la

organización. Compara con

criterios de riesgos

Elegir entre diferentes opciones

para responder a los riesgos e

implementarlas


Provee un enfoque consistente y sistemático para evaluar y tratar los riesgos. Debe

estar integrado en todas las actividades de la organización.

Registro y Reporte

FHC: Factores humanos y culturales

FHC

FHC

FHC

FHC

FHC

FHC

FHC


CONAI 2014

Principales Cambios incluidos en la ISO 31000:2017

Gestión de Riesgos - Marco y Proceso - Directrices




CONAI 2014

Principales Cambios en relación a la versión 2009


El principio “Factores humanos y

culturales” adquiere gran relevancia en

la nueva norma, destacándose que

estos factores influyen

significativamente en cada nivel y etapa

de la gestión de riesgos.

La nueva ISO cambiará de nombre, desde ISO 31000:2009.

Principios y Orientaciones, a ISO 31000. Marco y Proceso –

Directrices.

En el contenido de la nueva norma se hace

referencia explícita a la ISO Guía 73:2009

Vocabulario. En la versión del 2009 no ocurría lo

anterior.

En el componente “Principios” los 11 principios se

han agrupado en la nueva versión en solo 9.


CONAI 2014


El componente “Proceso de Gestión de

Riesgos” se mantiene sin mayores

cambios en la nueva versión de la

norma.

Existen cambios en la estructura general de la norma ISO

31000, tal es el caso de los 29 términos y definiciones,

contenidos en la versión 2009, de los cuales en la nueva

versión quedarían solo 18 de ellos.

El esquema que representa el “Marco de Trabajo”

cambió producto de la importancia que adquiere el

elemento “Mandato (liderazgo) y Compromiso”. Este

se convierte en el centro del Marco y todos los

elementos que lo componen deben relacionarse con

él, en todo momento.

Principales Cambios en relación a la versión 2009


CONAI 2014

Anexo A – Evaluando Progresos


Evaluación usando los “Principios” de la

Norma ISO 31000.

Evaluación utilizando “Elementos Claves”

de la Norma ISO 31000.

Evaluación mediante la selección y uso

de un “Modelo de Madurez para la

Gestión de Riesgos”.

Este anexo contiene una guía de cómo usar los elementos de la norma,

como una base de revisión de su nivel de implementación y demostrar la

efectividad de la gestión de riesgos. Entre los métodos incluidos para

realizar tal tarea se encuentran:

Sin perjuicio del método de evaluación del progreso que

se utilice, la Norma ISO 31000 releva que el efecto de

los factores humanos y culturales siempre debe ser

considerado.


CONAI 2014

Este enfoque se basa en que para

ser plenamente eficaz, cualquier

proceso de gestión del riesgo debe

tener y cumplir con un conjunto

mínimo de principios o

requerimientos fundamentales.

Una evaluación sobre la base

de estos principios, buscará

evidencia para determinar en qué

medida estos se cumplen en el

proceso de gestión de riesgos en

una organización.


Método de Evaluación: Principios


CONAI 2014

Buscar evidencia a través de la

organización de cómo el principio

es aplicado a las actividades de

gestión de riesgos, productos y

resultados.

Método de Evaluación: Principios

Para usar este método se debería considerar lo siguiente:

Describir cómo el principio apoya los objetivos y prioridades.

Los resultados pueden ser valuados usando una escala de mediciòn

apropiada o usar dicha escala para identificar brechas.

Los resultados y brechas identificadas pueden ser usados para desarrollar

planes de mejora.


CONAI 2014

Método de Evaluación: Elementos Claves

Este método comprueba si

cada elemento clave de la

norma ISO 31000 existe y

es adecuada.

Es esencial para validar las

declaraciones de intención

de la dirección a través

de evidencia de

auditoría suficiente para

justificar que el

elemento está siendo

cumplido en la práctica.


CONAI 2014

Método de Evaluación: Elementos Claves

Para cada elemento clave de ISO 31000 se debería hacer las siguientes preguntas (extracto):

Pregunta Relación con elementos claves de la ISO 31000

Cláusula

a. ¿En qué medida se ha formalizado la gestión de riesgos?; por ejemplo; políticas, roles, diccionario, indicadores de desempeño y estratégicos, etc.

Liderazgo y Compromiso (5.2)

a. ¿En qué medida están incorporados los principios en la gestión de riesgos en la organización?

b. ¿Cómo la alta dirección demuestra compromiso para apoyar la gestión de riesgos?


(5.2)

…. …. ….


CONAI 2014

Los sistemas de gestión del riesgo inmaduros

producen muy poco rendimiento para la

inversión que se ha hecho y, a

menudo funcionan como una sobrecarga

de cumplimiento o una imposición, más

preocupados de la información sobre los

riesgos que de su tratamiento y gestión

efectiva.

Método de Evaluación: Modelo de Madurez

Este enfoque se basa en seleccionar y utilizar un modelo de

madurez, que permita evaluar si la calidad y eficacia del

proceso de gestión del riesgo de la organización, mejora con el

tiempo.


CONAI 2014


Para seleccionar un Modelo de Madurez se debería hacer las siguientes preguntas:

Pregunta Opción de Respuesta

¿Existe regulación o expectativas respecto de usar un modelo en particular?

Sí: Usar el modelo.

No: Compare opciones de modelos.

¿Las organizaciones similares usan este modelo en particular?, ¿Cuenta la industria con comparaciones disponibles?

Sí: Considerar usar este modelo.

No: Buscar opciones adicionales de modelos.

¿El modelo toma en cuenta la personalización y la escala para el tipo y tamaño de las operaciones?

Sí: Adaptar el modelo al tamaño de sus operaciones.

No: Considerar otras opciones.

¿El modelo reconoce la importancia de por qué su organización gestiona riesgos y hace preguntas buscando evidencia de ello?


No: Puede ser adaptado o modificado. Si no, considerar otras opciones.

¿Los elementos claves de revisar se alinean con elementos diseñados de la ISO 31000?


No: Puede ser adaptado o modificado. Si no, considerar otras opciones.


CONAI 2014

Se pueden definir estados de madurez para el sistema de riesgos, por

ejemplo, las categorías del Modelo de Madurez de Capacidades (CMM) -

Carnegie Mellon University.

(*) Fuente: Adaptado de Source HB158. Delivering Assurance Based On ISO 31000:2009 Risk Management -

Principles and Guidelines.

Ninguno Muy Poco Regular Bueno Completo

Muy poco o ningún cumplimiento con el requisito en cualquier forma.

Sólo limitado al cumplimiento con el requisito. La dirección apoya la intención pero el cumplimiento en la práctica es pobre.

Escaso cumplimiento con los elementos declarados. Ciertamente de acuerdo con la intención pero hay un limitado cumplimiento en la práctica.

La dirección suscribe completamente la intención, pero el cumplimiento es parcial en la práctica.

Cumplimiento absoluto con el elemento declarado - en la intención y en la práctica - en todo momento y en todo lugar.


Ejemplo:


CONAI 2014

En la práctica siempre será posible e incluso conveniente, usar más de un

método a la vez, para evaluar el progreso y eficacia de la gestión de riesgos

en la organización.

El objetivo general de esta

combinación de métodos es evaluar

en forma individual y conjunta; los

principios que sustentan la gestión

de riesgos, los elementos claves y el

modelo de madurez utilizado.

Método de Evaluación: Combinación de Métodos

Sin perjuicio del método utilizado, siempre deberá

evaluarse el efecto de los factores humanos y culturales

en la gestión de riesgos; ya sea a nivel de cada persona,

organizacional, sectorial o social.


CONAI 2014

Impactos de la Norma ISO 31000:2017 en el Modelo “Las

Tres Líneas de Defensa para una Efectiva Gestión de

Riesgos y Control”




CONAI 2014

Organismo de Gobierno/Consejo/Comité de Auditoría A

ud

itoría Exte

rna

Alta Dirección

Organ

ismo

s de

Co

ntro

l

Controles de Gerencia

Medidas de Control Interno

Controles Financieros

Seguridad

Gestión de Riesgos

Calidad

Inspección

Cumplimiento

Auditoría Interna

Línea de Defensa Línea de Defensa Línea de Defensa

Fuente: IIA – Declaración de Posición: Las Tres Líneas de Defensa para una Efectiva Gestión de Riesgos y Control

Modelo: Tres Línea de Defensa para una Efectiva Gestión de Riesgos y Control

Instituto de Auditores Internos Global - IIA


CONAI 2014

Au

dito

ría Extern

a

Organ

ismo

s de

Co

ntro

l


Seguridad

Gestión de Riesgos

Calidad

Inspección

Cumplimiento

Auditoría Interna

Línea de Defensa Línea de Defensa



Línea de Defensa

Organismo de Gobierno/Consejo/Comité de Auditoría

Alta Dirección

Organismos de Gobierno Corporativo y Alta Dirección(*)

(*) Pese a que los organismos de gobierno y alta dirección no son parte de las “tres líneas”, de todas forma se analiza.


CONAI 2014

Organismos de Gobierno Corporativo y Alta Dirección

Organismo de Gobierno/Consejo/

Comité de Auditoría

Alta Dirección

Rol: Responsables del Proceso de Gestión de Riesgos

y de establecer y aprobar estructuras y procesos para

gestionar los riesgos de acuerdo a los objetivos de la

organización.

Motiva su participación, apoyo y compromiso al

proceso de gestión de riesgos (Marco – Liderazgo y

Compromiso).

Fomenta la aprobación de políticas, roles y

funciones en todo el proceso de gestión de riesgos

(Marco – Diseño).

Contribuye a establecer una estructura de

comunicación y reportes desde las áreas operativas,

de cumplimiento y auditoría interna (Proceso).


CONAI 2014

Organismo de Gobierno/Consejo/Comité de Auditoría

Au

dito

ría Extern

a

Alta Dirección

Organ

ismo

s de

Co

ntro

l




Seguridad

Gestión de Riesgos

Calidad

Inspección

Cumplimiento

Auditoría Interna


Línea de Defensa: Gestión Operativa


CONAI 2014

Línea de Defensa: Gestión Operativa



Rol: “Propietarios” de los riesgos y su gestión.

Entrega un enfoque cohesionado y coordinado para

diseñar, estructurar e implementar la gestión de

riesgos en las áreas operativas (Principios, Marco y

Proceso).

Contribuye en la definición de roles y tareas

específicas en el proceso y cómo estas podrían ser

asignadas y coordinadas en las áreas operativas

(Marco y Proceso).

Contribuye a la implementación de acciones

correctivas del proceso y de los controles (Marco y

Proceso).


CONAI 2014

Línea de Defensa: Funciones de Gestión de Riesgos y Cumplimiento


ud

itoría Exte

rna

Alta Dirección

Organ

ismo

s de

Co

ntro

l



Auditoría Interna



Seguridad

Gestión de Riesgos

Calidad

Inspección

Cumplimiento

Línea de Defensa


CONAI 2014


Seguridad

Gestión de Riesgos

Calidad

Inspección

Cumplimiento

Línea de Defensa: Funciones de Gestión de Riesgos y Cumplimiento

Rol: Supervisión o monitoreo de los riesgos.

Aporta un enfoque cohesionado y coordinado, así

como métodos que ayudan a monitorear el

cumplimiento de la gestión de riesgos en la

organización (Principios, Marco y Proceso) (Anexo A).

Ayuda a retroalimentar y mejorar la efectividad de los

sistemas de gestión de riesgos en la organización

(Principios, Marco y Proceso) (Anexo A).

Contribuye a evitar brechas en la cobertura y

duplicaciones de trabajo con otras funciones de

control (Marco y Proceso).


CONAI 2014

Línea de Defensa: Auditoría Interna - Aseguramiento


ud

itoría Exte

rna

Alta Dirección

Organ

ismo

s de

Co

ntro

l


Seguridad

Gestión de Riesgos

Calidad

Inspección

Cumplimiento

Línea de Defensa

Auditoría Interna

Línea de Defensa



Línea de Defensa


CONAI 2014

Auditoría Interna

Línea de Defensa: Auditoría Interna - Aseguramiento

Rol: Aseguramiento Independiente de la Gestión de Riesgos.

Incluye estructuras que pueden ser utilizados como criterios

para realizar el aseguramiento, e informar de su resultado a

los organismos de gobierno y alta dirección (Principios,

Marco y Proceso) (Anexo A).

Aporta una serie de métodos de evaluación que pueden ser

adoptados (adaptados) en el trabajo de campo de

aseguramiento a la gestión de riesgos (Anexo A).

Los métodos de evaluación son consistentes con directrices

del IIA. Publicación: “Delivering assurance based on ISO

31000:2009 Risk management— Principles and guidelines” y

GP: “Assessing the Adequacy of Risk Management Using

ISO 31000” (Anexo A).

Contribuye a evitar brechas en la cobertura y duplicaciones

del trabajo de los auditores internos con las funciones de

control y monitoreo (Marco y Proceso).


CONAI 2014

Conclusiones

I S O


CONAI 2014

El desafío es determinar cuál es el enfoque a adoptar (adaptar), que agregue más valor al trabajo de aseguramiento a la gestión de riesgos: Método por; Principios, Elementos Claves, Nivel de Madurez, o Combinado.

La nueva ISO 31000:2017 presentará cambios interesantes, destacándose los factores humanos y culturales y la inclusión de métodos para evaluar el progreso de la implementación de la gestión de riesgos en la organización.

Cada una de “Las Tres Líneas de Defensa” se verá fortalecida con la implementación de los componentes fundamentales de la norma ISO 31000:2017 (Principios, Marco y Proceso).

Los métodos de evaluación del progreso incluidos en la ISO 31000:2017 están en línea con las directrices sobre aseguramiento a la gestión de riesgos ha entregado el IIA. Por lo que deberían ser aspectos prioritarios para los auditores internos.


CONAI 2014

Bueno, ahora ya sabe que libros llevar en sus vacaciones….


CONAI 2014

Gracias

Documents

IV Congreso Nacional de Auditoría Interna · 2016-11-30 · Normas ISO relacionadas: ISO 31010, ISO 73 e ISO 31004. Normas que actualmente están en revisión y serán actualizadas