Upload
imelda-barrio
View
109
Download
0
Embed Size (px)
Citation preview
Wilda Rodríguez Vázquez, CFEOscar A. Luna Díaz, MBA
25 de octubre de 2002
Evaluación de Riesgo, Complemento Esencial en la Auditoría Interna
OFICINA DEL CONTRALOR DE P.R.Oficina de Auditoría Interna
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Durante la presentación se discutirán los siguientes temas:
• Concepto de Riesgo
• Control Interno
• Evaluación de Riesgo Nivel Organizacional (Macro) – Areas Auditables
– Determinación de los factores de riesgo
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
(Cont.) Temas a presentarse
– Selección de la escala de riesgo
• Cuestionario de Control para las áreas auditables.
• Evaluación de Riesgo Nivel de Auditoría (Micro) *
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Riesgo
• Es la probabilidad de que un evento o acción pueda afectar adversamente a la organización.
• El riesgo es una medida de incertidumbre que envuelve las consecuencias y posibilidad de que un evento ocurra.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Riesgo
• Consecuencias– Son los resultados tangibles del riesgo en las
decisiones, eventos o procesos.– Las consecuencias pueden variar en severidad
dependiendo de los siguientes factores:• Exposición
• Tipo de debilidad, amenaza o riesgo
• Duración
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Riesgo
• Los Estandares para la Práctica Profesional de la Auditoría Interna se refieren a las consecuencias como el efecto del riesgo.– Los efectos del riesgo pueden incluir:
• Desiciones erroneas de la gerencia por la utilización de información incorrecta, incompleta o poco confiable.
• Contabilidad inapropiada
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Riesgo
• Fallar en salvaguardar adecuadamente los activos.
• Insatisfacción del cliente, publicidad negativa y daño a la reputación de la organización.
• Fallar en adoptar políticas, planes y procedimientos organizacionales o no cumplir con leyes y reglamentos.
• Utilización de recursos inefectiva o ineficientemente
• Fallar en cumplir con los objetivos y metas de la organización.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Riesgo
• Riesgos de la Organización:– Son los riesgos inherentes de tener activos en
funcionamiento para alcanzar los objetivos establecidos. (Riesgos normales de la organización sin considerar los efectos del sistema de control interno).*
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Control Interno
• Es un proceso utilizado por la Gerencia (Junta de Gobierno, Administración) para proveer seguridad razonable en cuanto al logro de los objetivos en las siguientes categorias:– Efectividad y eficiencia de las operaciones– Confiabilidad de la información financiera– Cumplimiento con Leyes y Reglamentos
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Control Interno
• Componentes de control interno:– Ambiente de control– Evaluación de riesgo– Actividades de Control– Comunicación e Información– Monitoreo
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Control Interno
• Los controles internos se pueden clasificar como:– Preventivos
• Son controles que intentan disminuir o prevenir la ocurrencia de eventos no deseados. Son proactivos y ayudan a prevenir pérdidas.
– Ejemplos: Segregación de tareas, Autorizaciones, Documentación y Control físico sobre los activos.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Control Interno
– Detectivos:• Son controles que intentan descubrir o detectar actos
no deseados. Proveen evidencia para una pérdida que ha ocurrido, pero no previenen la ocurrencia de dicha pérdida.
– Ejemplos: Revisiones, Análisis de varianzas, Reconciliaciones, Inventarios y Auditorías.
– Ambos tipos de controles son esenciales para un sistema de control interno efectivo.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Control Interno
• ¿Cómo se identifican y manejan los riesgos en la organización?– Un sistema de control interno efectivo permite
que la gerencia valore, monitoree y maneje los riesgos más importantes
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
IdentificarIdentificarRiesgosRiesgos
Medir yMedir yAnalizarAnalizarRiesgosRiesgos
MonitoreoMonitoreoActividadesActividadesde Controlde Control
ImplementarImplementarActividadesActividadesde Controlde Control
EstablecEstablecer er ObjetivoObjetivoss
Evaluación de Riesgo desde el Marco de Evaluación de Riesgo desde el Marco de Referencia de COSOReferencia de COSO
COSO= Committee of Sponsoring Organizations of the Treadway Commission
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• Es el método para identificar y valorar el riesgo en relación con el logro de los objetivos de la organización. Es un proceso sistemático que integra el juicio profesional sobre eventos o condiciones adversas que son probables en la organización.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• El Director de Auditoría Interna generalmente asigna la prioridad en el plan anual para aquellas actividades que resultan con mayor riesgo.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• La evaluación de riesgo consiste de :– Identificación de los riesgos
• Identificar y clasificar los riesgos de la organización y sus características.
– Medición de los riesgos• Medida de cuán severas pueden ser las
consecuencias y la posibilidad de ocurrencia.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
– Prioridades• Determinar que riesgos son más críticos para la
organización. Establecimiento del orden en que se colocan los riesgos dependiendo de la severidad de los mismos.
– Manejo del riesgo• Asegurar procedimientos de control y otras acciones
gerenciales para dirigir y controlar los riesgos identificados.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• El auditor interno utiliza la evaluación de riesgo para:– Desarrollar su plan de trabajo anual– Determinar las prioridades– Proveer orientación a las diferentes áreas dentro
de la organización
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• Clases de Evaluación de Riesgo:– Evaluación de Riesgo a nivel organizacional
(Macro)– Evaluación de Riesgo a nivel de auditoría
(Micro)
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• Evaluación de Riesgo a nivel organizacional (Macro)– El propósito de la evaluación de riesgo a éste
nivel es obtener información para la preparación de un plan anual que sea justificable, esté basado en las áreas de mayor riesgo de la organización, agrege valor y provea información a la gerencia.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• La evaluación de riesgo a nivel organizacional envuelve los siguientes pasos:– Identificar la unidades o actividades auditables– Determinar los factores de riesgo– Determinar el peso para los factores de riesgo– Asignar una escala de valores para los factores
de riesgo
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
– Evaluar las actividades auditables en relación con los factores de riesgo
– Determinar las actividades con mayor riesgo a las que se le da prioridad en la preparación del plan anual.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Actividades Auditables
• Actividades Auditables– La evaluación de riesgo a nivel organizacional
comienza identificando las actividades auditables y desarrollando un inventario de dichas actividades.
– Actividad auditable es una unidad, sistema o área la cual puede ser definida o identificada y sobre la cual el auditor puede realizar pruebas.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Actividades Auditables
• Actividades auditables pueden ser:– Unidades Organizacionales– Políticas o Procedimientos– Sistemas de Información– Contratos y Programas Federales– Procesos– Estados Financieros– Leyes y Reglamentos
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Actividades Auditables
• Niveles de Actividades Auditables– Agencias o Corporaciones con diversidad de
divisiones.– Agencias o Corporaciones con procesos
complejos.– Agencias o Corporaciones con múltiples
unidades de funciones similares.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)
• Una vez las actividades auditables son identificadas la evaluacion de riesgo a nivel organizacional envuelve:– Determinar los factores de riesgo– Otorgar peso a los factores– Desarrollar la escala para los riesgos
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Factores de Riesgo
• Determinación de Factores de Riesgo– Los factores de riesgo son el criterio utilizado
para evaluar las actividades auditables.– Los factores de riesgo seleccionados deben ser:
• Diversos en naturaleza y representativos de varios riesgos de la organización
• Indicativos de asuntos de mayor riesgo• Significativos• Razonables
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Factores de Riesgo
• Algunos ejemplos de factores de riesgo:– Tamaño, Complejidad o Liquidez– Presupuesto– Ambiente Interno– Ambiente de Control y Dirección– Sistema de Control Interno– Tiempo desde la última auditoría
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Asignación de Peso
• Asignación de peso a los factores de riesgo:– Algunos factores de riesgo seleccionados son
más importantes que otros. Mediante la otorgación de peso los factores más importantes tendran mayor impacto en la evaluación de riesgo.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Asignación de Peso
• Métodos para otorgar peso a los factores de riesgo:– Utilización de Muy Importante, Importancia
Promedio o Baja Importancia– Asignación a cada factor de riesgo de una
cantidad procentual a juicio hasta llegar a 100%– Asignación de puntuación a juicio a cada factor.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Escala de Valores
• Selección de la escala de riesgo:– Para evaluar cada actividad de auditoría con su
factor de riesgo es necesario asignar una escala a los factores.
• Ejemplo de escalas de valor:– Asignación de Bajo, Mediano o Alto Riesgo– Escala numérica basada en información
cualitativa.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)Escala de Valores
– Cont. Escala numérica• 1= Bajo riesgo5= Alto riesgo• 1= Sistema de control interno adecuado• 5= Sistema de Control interno inadecuado
– Escala numérica basada en información cuantitativa
• 1= <$10,000 5= >$100,000
– Tiempo desde la última auditoría• 1= Reciente 5= 5 años o más
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• Escala de valores utilizada para determinar los niveles de riesgo en la OCPR– 1-2 Bien Alto- Extremadamente Crítico– 3-4 Alto Riesgo- Crítico– 5-6 Posible Riesgo- Moderado– 7-8 Bajo Riesgo- Bueno– 9-10 Bien Bajo- Excelente
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)
• Para obtener información al realizar la evaluación de riesgo se deben considerar las siguientes fuentes:– Entrevistas con la Gerencia– Informes de Auditoría Anteriores– Sistema de Seguimiento de Recomendaciones– Investigaciones de la Gerencia
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Macro)
• Cont. Fuentes de Información:– Informes Financieros– Informes Anuales– Sistemas de Contabilidad– Cuestionarios *
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• Aquellas actividades con mayor riesgo deben recibir prioridad al preparar el plan de trabajo anual.– Factores a considerar al preparar el plan anual
de auditoría interna:• Personal disponible
• Presupuesto
• Metas u objetivos de ejecución o cumplimiento
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• Horas anticipadas para investigaciones u otros trabajos
• Peticiones de la gerencia
• Tamaño de las auditorías
• Deseo de que se cubran varias áreas de la organización
• Experiencia de los auditores
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo
• La evaluación de riesgo debe ser actualizada anualmente debido a:– Cambios en las actividades auditables– Surgimiento de nuevos riesgos– Cambios en las leyes y reglamentación
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• Evaluación de Riesgo a nivel de auditoría – Es la evaluación que se realiza en la etapa de
planificación de la auditoría, una vez se ha seleccionado la actividad que se va ha auditar. La evaluación de riesgo exitosa resulta en una auditoría que se enfocará en las áreas más críticas.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• La evaluación de riesgo a nivel de auditoría envuelve los siguientes pasos:– Identificar los procesos y objetivos para la
actividad a auditar.– Identificar los riesgos en relación con los
objetivos de la actividad.– Valorar los riesgos de acuerdo con su severidad
y a los objetivos
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
– Establecer la prioridad entre los riesgos de acuerdo con la evaluación.
– Identificar las acciones de la gerencia encaminadas a la reducción del riesgo (Establecimiento de controles internos).
– Determinar el impacto de la evaluación de riesgo a nivel de auditoría en relación con el programa de auditoría.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• Identificación de los procesos:– Dependiendo de la complejidad y naturaleza de
la actividad a ser auditada es beneficioso en primer lugar determinar los procesos claves, funciones y ciclos de la actividad. Esto provee el punto de partida para la identificación de los objetivos de la actividad auditada.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• Identificación de los riesgos en relación con los objetivos:– La fase de planificación de la auditoría incluye
la determinación del alcance, desarrollo de los objetivos y la reunión inicial con la gerencia.
– Durante esta fase la evaluación de riesgo envuelve obtener información general sobre la actividad, incluyendo los objetivos y riesgos mayores de la actividad.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
– Determinación del alcance:• Un paso clave en la determinación del alcance de la
auditoría y los objetivos es la revisión de toda la información disponible en relación con el área a auditar.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• Valoración o medición de los riesgos:– Una vez los riesgos son identificados el
próximo paso es medirlos.– La medida del riesgo se realiza en dos
dimensiones:• Severidad de las consecuencias
– Mide la magnitud de un evento negativo. Es la exposición o el impacto negativo que el evento puede tener en la organización.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
– La severidad de las consecuencias puede ser medida utilizando:
» Escala Descriptiva
» Escala Cualitativa
» Escala Monetaria
» Riesgo en dolares
• Posibilidad de ocurrencia– Es la probabilidad o frecuencia de ocurrencia de un evento
de riesgo. Es la probabilidad sin considerar ningún procedimiento de control implantado por la gerencia.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
– La posibilidad de ocurrencia puede ser medida en términos cualitativos o cuantitativos:
» Descriptiva» Escala Cualitativa» Margen de Error
• Prioridad de los riesgos:– El establecimiento de la prioridad entre los
riesgos identificados depende de la severidad de las consecuencias y de la posibilidad de ocurrencia.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
– Métodos para establecer la prioridad entre los riesgos identificados:
• Prioridad relativa
• Clasificación absoluta
• “Matrix Ranking” (Orden utilizando una matriz matemática)
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• Una vez se establecen las prioridades– Se identifican las actividades de control– Evalúan los controles internos– Se determina como la evaluación de riesgo
afecta el resto de la auditoría.
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• Algunos ejemplos de riesgos:– Relacionados con los activos:
• Fraude o robo
• Desastres o accidentes
• Exposición
• Mantenimiento inadecuado
– Relacionados con las operaciones:• Compras
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de riesgo (Micro)
– Relacionados con las operaciones:• Compras
– Materiales que no cumplen con las especificaciones
– Confabulación
– Compras poco económicas
• Operaciones– Tardanzas en los servicios
– Calidad de servicio poco adecuada
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• Almacén– Inventario insuficiente para cubrir pedidos u órdenes
– Excedente de inventario
• Recursos Humanos– Reclutamiento de candidatos poco cualificados
– Adiestramiento inadecuado
• Finanzas– Información no actualizada o incompleta
– Falta de documentación
– Reconciliaciones incompletas o fuera de tiempo
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de riesgo (Micro)
– Relacionados con sistemas de información:• Actualización y Calidad de la información
– Errores, omisiones o duplicidad
– Información insuficiente o fuera de tiempo
• Seguridad y acceso a la información– Accesos no autorizados a los archivos
– Transacciones no autorizadas
• Resguardos y recuperación ante desastres– Pérdida de información crítica
– Interrupción de las operaciones
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Evaluación de Riesgo (Micro)
• Equipo y Programación– Sistemas insuficientes e inadecuados
– Implantación de sistemas inefectiva o fuera de tiempo
– Relacionados con ambiente externo e interno• Externo
– Nueva reglamentación
– Condiciones económicas
– Operaciones extranjeras ( condiciones económicas y políticas)
– Nueva tecnología y productos
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
• Interno- Nuevo personal
- Nuevos Sistemas de Información
- Rápido Crecimiento
- Nuevas Actividades, productos o servicios
- Reestructuraciones
- Limitaciones presupuestarias
Evaluación de Riesgo (Micro)
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
Conclusión
• Todos los funcionarios en la organización son responsables del control interno y la evaluación de riesgo;– El Director Ejecutivo, Administrador
– La Gerencia
– El Auditor Interno
Cincuenta años de servicios de calidad reafirman nuestro compromiso con la excelencia.
CONTAMOS CON SU COOPERACIÓN
PARA MEJORAR LA FISCALIZACIÓN
Y ADMINISTRACIÓN DE LA PROPIEDAD
Y LOS FONDOS PÚBLICOS
CONTAMOS CON SU COOPERACIÓN
PARA MEJORAR LA FISCALIZACIÓN
Y ADMINISTRACIÓN DE LA PROPIEDAD
Y LOS FONDOS PÚBLICOS