CEMLA: XI Reunin de Auditores Internos de Banca Central

Gua para una metodologa

de auditora basada en
riesgos

Juan Villanueva Chang

Setiembre, 2011

La creatividad e Innovacin
Adelantarse

Una persona creativa es gil y flexible

Tiene libertad de pensar, expresar y
actuar sin miedo
La constante en la vida es el cambio

Capacidad de
sntesis

Participando de la curiosidad intelectual

Capacidad de tomar las cosas de
distintas fuentes
Integrarlas en algo coherente

Ver la
oportunidad

Desarrollar capacidad de observacin

Estar receptivos a las impresiones que
nos vienen del interior y exterior

Las ideas no duran mucho. Hay que hacer algo con ellas
Santiago Ramn y Cajal

Objetivo del tema

El presente trabajo da pautas de como elaborar una metodologa de
auditora con base en riesgos.
Se aplica en la elaboracin del plan anual de auditora y la fase de
planeamiento para elaborar una auditora (Risk based audit planning).

La presente gua no es nica ni obedece a un estndar en particular.

La meta consiste en disear un programa de auditora centralizado en
los riesgos crticos del negocio.
El cambio metodolgico debe ser progresivo en tanto se fortalezca la
cultura de gestin de procesos y riesgos en la organizacin.

La auditora moderna
Evaluar y mejorar la eficacia de los procesos de gobierno, riesgos
y control

Gobierno
Riesgos
Planeamiento de auditora
basada en riesgos

Control

Qu es auditora basada en
riesgos?
La auditora basada en riesgos es un proceso, un
acercamiento, una metodologa y una actitud en torno al
tema.
La manera ms simple de definir una auditora basada en
riesgos consiste en revisar las cosas que realmente importan
en su organizacin.
Otra manera de trabajar la auditora basada en riesgos es
con la ayuda de la teora de proceso
Fuente: Phil Griffiths (2009) en su documento Risk Based Auditing

mbito de aplicacin de la
metodologa
Primera Etapa: La entidad se encuentra desarrollando
los primeros niveles del proceso de gestin de riesgos
(Establecer el contexto, identificacin y anlisis de
riesgos).
Segunda Etapa: La entidad ha culminado en desarrollar
los niveles del proceso de gestin de riesgos (Establecer
el contexto, identificacin, anlisis y evaluacin de
riesgos) y ha puesto en prctica el tratamiento al riesgos

Plan Anual de auditora basada en

riesgos
Procesos crticos de relevancia segn tamao del impacto de
riesgo (Dueos de procesos o Gerencia de Riesgos).
Antigedad de ltima auditora.
Proceso no auditado segn cadena de valor y nuevo enfoque.
Sugeridas por dueos de procesos o por Alta Direccin.
Criticidad: Carencia de controles, alta rotacin de personal,
cambio de funciones, procedimientos, eventos recientes,
denuncias, etc
Exposicin a eventos externos e internos de la organizacin.
Criterio propio de auditores (resultados de CSA, importancia
de resultados de recomendaciones)

Mtricas de Procesos Auditables

Universo
de
procesos

Unidad
Organizacional

Proceso 1

XXXX

Proceso 2

XXXXX

Responsables

Gasto
Operativo

ltima
Auditora

Factor
Tamao

Factor
Control

Factor
CSA

Riesgo Crtico
Corporativo 1/

Riesgo
tratado

Riesgo
residual

Proceso 3
Proceso 4
Proceso n
1/ Informacin proporcionada por la Gerencia de Riesgos

Escala de Factor CSA

(Mnima prioridad de auditora)
A = Alto
4.001 - 5.000
B = Medio
3.501 - 4.000
C = Bajo
3.001 - 3.500
D = Inadecuado 0.000 - 3.000

(Mxima prioridad de auditora)

El factor de CSA introduce la puntuacin
sobre la marcha de los componentes de
control interno segn los dueos del
proceso, obtenida mediante talleres de
autoevaluacin de control.

Escala de Factor Control

ESCALA FACTOR TAMAO
(Tamao mximo)
5= Ms de 5,0 mill
4= Entre 1,01 y 5,0 mill
3= Entre 101 y 1,0 mill
2= Entre 11 y 100 mil
1= Entre 0 y 10 mil.
(Tamao Mnimo)
El factor de tamao considera el
criterio de relevancia segn el valor de
las actividades o tareas del proceso.

(Riesgo mximo de control)

5= Alto
Ms de 21
4= Superior
16 a 20
3= Medio
11 a 15
2= Mnimo
5 a 10
1= Ninguno
0a 4
(Riesgo mnimo de control)
El factor de control es el resultado de
la cantidad de debilidades de control
detectadas en ltima auditora.

Mtricas de Procesos Auditables

Universo
de
procesos

Exigencia
legal,
normativa

Proceso 1

XXXX

Proceso 2

XXXXX

Alineamiento
Estratgico 2/

Objetivos
de Control
Interno 3/

Componente
de Control
Interno 4/

Cantidad de debilidades
de control segn perfil
de riesgos 5/

Pruebas de auditora 6/
Tcnica
Integral

Tcnica selectiva
Muestreo
estadstico

Muestreo no
estadstico

Proceso 3
Proceso 4
Proceso n

2/
3/
4/
5/
6/

Vinculacin con el objetivo y actividad estratgica vigente.

Priorizar de acuerdo a su naturaleza a que tipo de objetivo de control interno es factible analizarlo.
De acuerdo a su naturaleza sobre que tipo de componentes de control interno se debe analizar.
Vincular las debilidades de control al perfil de riesgos de la organizacin.
Por la caracterstica de los elementos a ser revisados identificar el tipo de muestreo a emplear.

Planeamiento de auditora
basada en riesgos

Contexto externo

Alcance por procesos

Trabajo en equipo
Lluvia de ideas
Diagramacin de flujo
Teora de procesos
Benchmarking
Talleres CSA
Perfil de riesgos crticos (Unid.
Riesgos)
Tcnica Delphi
Causa efecto
Mapeo de controles

INFORME

TRABAJO DE CAMPO

PROGRAMA DE AUDITORIA
ENFOCADO EN RIESGOS CRITICOS

Contexto interno

FASE DE PLANEAMIENTO

Reporte
alineado a la
cultura de
riesgos de la
organizacin

10

Fases de planeamiento de auditora

basada en riesgos
Diseo proceso
auditables

Debilidades de
control segn
autoevaluacin

Planeamiento

Mapa de
controles y
elaboracin de
programa

Trabajo de
campo

Elaboracin
de informe

Seguimiento

Pruebas de auditora en riesgos

sensibles
Resultados de
gestin de
riesgos
dueos
procesos

Inventario de
amenazas o
causas de
riesgos

Debilidades
de control

11

Diseo del proceso auditable

Fase
planeamiento
Diseo
proceso
auditables

Planeamiento

Objetivo

Actividades

Tener conocimiento
detallado de
funcionamiento de
procesos auditable
para formular primeras
hiptesis de posibles
debilidades de control

Levantamiento de informacin:
Procedimientos, MOF, referencia de
benchmark, revisin papeles de trabajo
pasados, entrevistas, etc
Diagramacin y descomposicin del procesos
(Actividades, tareas)
Trabajo en equipo para entendimiento
conjunto de la materia auditable

Entregables

Ejemplo

Diagramas de
Flujo/Jerrquico,
matriz de
descomposicin de
procesos en
actividades y tareas

DIAGRAMACION DE ACTIVIDADES Y TAREAS

CDIGO ACTIVIDAD B:

B1

Negociacin y
Ejecucin de
Operaciones

B2

B3

Anlisis de mercados
y tasas y precios
referenciales

Determinacin de
niveles de liquidez
para la inversin

B4

Negociacin y
Ejecucin en firme de
las operaciones

Generacin de
rdenes de pago

TAREAS:

Conciliar los reportes

contables y registros
internos para establecer
montos a invertir.
Establecer mrgenes
disponibles a invertir en las entidades del exterior
segn lmites
disponibles.
Fijar niveles de
desviacin autorizados
por Alta Direccin.
-

Obtener informacin
oportuna de los mercados,
comentarios tcnicos y
noticias de los servicios de
informacin.
Informes peridicos de los
principales brokers y
bancos de inversin.
Anlisis para tomar
decisiones con base en la
informacin disponible y
pautas del Comit de
Inversiones.
Determinar los montos y
perodo de vigencia para las
negociaciones.

Establecer depsitos a plazo

en divisas, compra - venta de
divisas y valores, depsitos a
plazo en oro.
Determinar la posicin de las
transacciones.
Reconocer los intereses,
primas, descuentos.
Calcular los intereses o primas
ganados.
Ejecutar los pagos por
acuerdos financieros a
organismos.
Ejecutar los pagos por cuenta
de otras reas del Banco.
Efectuar transferencias de
fondos BCRP-Banca Local por
LBTR, ALADI, otros.

Verificar los datos para la

confirmacin de las
operaciones de las hojas de
trabajo de operaciones
realizadas en el da.
Imprimir los trminos de
negociacin en firme por
Dealing Systems de Reuters.
Recepcin y envo del Trade
Ticket- Bloomberg
confirmando la operacin de
valores.
Registrar las operaciones
en el Sistema Integral de
Registro y ejecucin de pasos
de control.

12

Debilidades de control segn autoevaluacin (CSA)

Fase
planeamiento

Objetivo
Identificar las
debilidades de control
segn percepcin de
dueos de procesos
auditable

Debilidade
s de
control
segn
autoevalu
acin

Planeamiento

Actividades
Preparar plan de trabajo de sesin CSA

Elaborar presentacin de difusin de control

interno
Cuestionarios para evaluacin de marcha de
componentes de control interno
Realizar sesin de taller de CSA
Elaborar informe ejecutivo y difundir a
cliente

Entregables
Debilidades de control
capturadas de
resultado de
evaluacin de
cuestionario CSA
relacionadas a perfil
de riesgos de la
entidad

Ejemplo

Ambiente de control
89.62 90

C U E S T IO N A R IO D E A U T O E V A L U A C I N D E L C O N T R O L IN T E R N O

F e c h a d e a u to c o n tr o l: 1 4 d e a b r il d e l 2 0 0 5
R e s p o n s a b le :
M a r c a r c o n ( X ) d o n d e c o r r e s p o n d a l a a p r e c i a c i n m s c e r c a n a d e l a u d i t o r . C o n ( 5 ) s e i n d i c a q u e e l s i s t e m a d e c o n t r o l i n t e r n o e s t e x c e l e n t e ( fu e r t e ) o q u e n o e x i s t e n i n g n e l e m e n t o
o j u i c i o d e v a l o r q u e p o n g a e n d u d a l a fo r t a l e z a d e l s i s t e m a d e c o n t r o l . C

I. A m b ie n te d e c o n tr o l

IN S IG N IF IC A N T E

M IN IM O

M E D IA

S U P E R IO R

A L T O

10%

85

80

E l a m b ie n te d e c o n tro l s e re fie re a l e s ta b le c im ie n to d e u n e n to rn o q u e e s tim u le e in flu e n c ie la s ta re a s d e l p e rs o n a l

re s p e c to a l d e s a rro llo d e s u s a c tiv id a d e s .
1

S e

E n e l p e r s o n a l e n c a r g a d o d e la s v e n t a s s e p e r c i b e q u e e x i s t e u n a a c t i t u d

p e rc ib e

que

e l p e r s o n a l i n v o lu c r a d o

e n la s o p e r a c i o n e s

d e v e n ta s

a c t u a n e n u n m a r c o d e i n t e g r i d a d y v a lo r e s t i c o s ?
p o s i t i v a s o b r e la n a t u r a le z a d e l c o n t r o l i n t e r n o ?
3

S e d i s t i n g u e q u e e s t n v i n c u la d o s lo s o b je t i v o s d e l p r o c e s o d e v e n t a s c o n
lo s o b je t i v o s e s t r a t g i c o s d e l N e g o c i o ?

75

S e o b s e r v a q u e e n t r e lo s e m p le a d o s d e la s r e a s v i n c u la d a s a l a s v e n t a s
e x i s t e u n a r e la c i n i n t e r p e r s o n a l a r m o n i o s a ?

Monitoreo

70

S e o b s e r v a q u e e l p e r s o n a l d e v e n t a s e x i s t e c o n f li c t o d e i n t e r e s e s ?

S e h a n d e t e c t a d o s i t u a c i o n e s d e u s o n o c o o r d i n a d o d e a lg u n a s v e n t a s ?

E s t n c la r a m e n t e e s t a b le c i d o s lo s n i v e le s d e r e s p o n s a b i li d a d y a u t o r i d a d

L a s t a r e a s e n e l r e a d e v e n t a s s e d e s e m p e a n d e a c u e r d o a la a u t o r i d a d

e n a lg u n a n o r m a t i v i d a d ? E s t n v i g e n t e s y a c t u a li z a d o s ?
y r e s p o n s a b i li d a d a s i g n a d a s ?

II. E v a lu a c i n d e r ie s g o s
La

e v a lu a c i n

de

d e s e n v o lv im ie n to

20%

rie s g o s

de

in v o lu c ra

la

la s v e n ta s , a s c o m o

la

d e te rm in a r la

base

p a ra

a n lis is

id e n tific a c i n

de

en

rie s g o s
fo rm a

re le v a n te s
que

ta le s

Evaluacin de riesgos
89.33

65

p a ra

el

rie s g o s

88

n o rm a l

deben

ser

m a n e ja d o s .
9

E x i s t e e v i d e n c i a d e q u e s e i d e n t i f i c a n y e v a lu a n c o n f r e c u e n c i a lo s r i e s g o s

10

d e la s a c t i v i d a d e s c o m p r e n d i d a s e n la s o p e r a c i o n e s d e v e n t a s ?
A l d e t e c t a r p r o b a b le s a m e n a z a s d e a lg n r i e s g o s e t o m a n

11

r p i d a m e n t e p a r a m i t i g a r lo s ?
L o s r i e s g o s d e t e c t a d o s c u e n t a n c o n p la n e s d e c o n t i n u i d a d s u f i c i e n t e ?

III. A c tiv id a d e s d e c o n tr o l
La

a c tiv id a d e s

de

re fie re n

la s

a c c io n e s

30%

c o n tro l s e

a c c io n e s q u e

re a liz a

e l p e rs o n a l p a ra

m i ti g a r l o s r i e s g o s b a jo s u

re s p o n s a b ilid a d .
12

S e p e r c i b e q u e lo s c o n t r o le s d i s p u e s t o s e n lo s p r o c e d i m i e n t o s s e v i e n e n

14

c u m p li e n d o ?
E x is te u n a a p r o p ia d a s e g r e g a c i n d e fu n c io n e s ?

15

E x i s t e n p la n e s d e c o n t i n g e n c i a s y e s t n f u n c i o n a n d o ?
m a n tie n e n

a c t u a li z a d a s

la s

p o lt i c a s

y p r o c e d im ie n to s ?

16

S e

17

e s c r ito ?
E x i s t e n s u f i c i e n t e s c o n t r o le s q u e a s e g u r e n e l x i t o d e la s a c t i v i d a d e s u

E s t n

por
1

o p e ra c io n e s ?
IN S IG N IF IC A N T E

0
M IN IM O

0
M E D IA

0
S U P E R IO R

Informacin y
comunicacin

87

Actividades de control
89.2

A L T O

14.10.2005
11.04.2006

13

Inventario de amenazas o causas de riesgos

Fase
planeamiento

Objetivo

Actividades

Identificar amenazas o
causas de riesgos para
priorizar pruebas de
acuerdo a mapa
frecuencia e impacto

Diagramacin de causa efecto para

identificar universo de amenazas o causas de
riesgo
Construir escalas de tablas para medicin en
mapas de frecuencia e impacto
Codificar universo de amenazas y seleccionar
aquellas de mayor preocupacin
Referenciar amenazas segn perfil de
riesgos de la entidad

Entregables

Ejemplo

Planeamiento

Inventari
o de
amenaza
so
causas
de
riesgos

Inventario y seleccin
de las amenazas o
causas de riesgo
donde focalizar las
pruebas de auditora

DIAGRAMA CAUSA - EFECTO

1. RIESGO OPERACIONAL PERSONAS
Hiptesis preliminar:
En la custodia y vigencia de los trminos y condiciones del
contrato habran deficiencias de cumplmiento.
Amenazas o causas
de riesgo

Legal

Desconocimiento
del entorno
jurdico

Imprecisin
organizativa
Procesos

Desinformacin
de archivos

FACTOR: 1.1 COMPETENCIA / ADECUACION /

CONOCIMIENTO

Efectos

Desconocimiento
de poderes de
firmas
autorizadas

Inoperatividad
del contrato

Inadecuada disponibilidad de recursos humanos

para ejecutar los procesos.

Falta de conocimientos, habilidades o actitudes de

personalidad.

Falta de disponibilidad o alejamiento del personal

clave.

Insuficiente conocimiento de la organizacin.

Falta de un apropiado entrenamiento del personal.

Negligencia

Desinters

Desconocimiento

Personas

Conocimiento inadecuado de clientes, productos y

prcticas de negociacin.

14

Mapa de controles y elaboracin del programa

Fase
planeamiento

Planeamiento

Mapa de
controles y
elaboraci
n de
programa

Objetivo

Actividades

Mediante el empleo de
mapas de frecuencia x
impacto seleccionar
debilidades de control
para centralizar
pruebas de auditora

Construir mapas de frecuencia e impacto con

amenazas o causas de riesgo seleccionadas
Tomar en consideracin estado de la
evaluacin de riesgos por dueos de proceso
Dar prioridad en la identificacin de las
pruebas de auditora a las amenazas ubicadas
en zona sensible de anlisis frecuencia e
impacto
Continuar elaborando pruebas de auditora
de acuerdo a capacidad operativa

Entregables

Ejemplo

Programa para
efectuar pruebas de
auditora alineado y
focalizado en los
riesgos sensibles

Anexo n 2

Constante

Habitual

Frecuente

Evaluar el funcionamiento de la estructura del control interno en el manejo de las operaciones de

inversiones internacionales, verificando que funcione continuamente y de acuerdo a los
lineamientos establecidos

Moderado

Objetivos especficos

Ocasional

Espordico

Remoto

Improbable

PROGRAMA DE AUDITORIA
Objetivo General

Crtico Desastro. Catastr.

10

20

50

C)
D)
E)

Inaceptable

Inadmisible

COD
OBJ
1

5
X

DESCRIPCIN DE LOS OBJETIVOS A CUBRIR

Comprobar que las operaciones de inversiones internacionales se
hayan efectuado de acuerdo a las polticas y lineamientos
aprobados por el Directorio para la administracin de la Reservas
Internacionales.
Comprobar que las medidas de control para mitigar los riesgos
han operado efectivamente durante el perodo bajo examen.
Comprobar que el rea de inversiones cuente con adecuado
soporte para el monitoreo, negociacin y registro de las
operaciones y que se cumplan los procedimientos establecidos.
Comprobar la documentacin del sustento contable de los
resultados de las operaciones de acuerdo a los usos y costumbre
y procedimientos establecidos en el manual de inversiones.
Examinar la vigencia y custodia de los contratos o estados de
control de los instrumentos financieros en favor del Banco.
Evaluar el estado e implementacin de las recomendaciones
formuladas por Auditora Interna y/o los rganos de control
externo.

De conformidad con la NAGU 3.10 Estudio y Evaluacin del control interno y el Manual de Auditora
Gubernamental MAGU; los objetivos del control interno son los siguientes:
A)
B)

Tolerable

Insignif. Marginal Grave

Aceptable

Promover la efectividad, eficiencia y economa en las operaciones y la calidad en los servicios;

Proteger y conservar los recursos pblicos contra cualquier prdida, despilfarro, uso indebido,
irregularidad o acto ilegal;
Cumplir las leyes, reglamentos y otras normas gubernamentales.
Elaborar informacin financiera vlida y confiable, presentada con oportunidad.
Promover una Cultura de Integridad, Transparencia y Respondabilidad en la funcin Pblica,
cautelando el correcto desempeo de los servidores.

15

Producto final: Satisfaccin para

cliente
SNTESIS DE LA ACCION DE CONTROL
Macroproceso: Gestin de Recursos Humanos
Materialidad: Valor expuesto a riesgos (miles S/): 137 746
CSA: Percepcin previa del control interno segn dueos del proceso: (4.13 puntos) 21.05.2008

Diseo
proceso
auditables

CSA: Resultados de la Evaluacin segn dueos del Proceso

(Ante s de la Auditora)

Puntaje Final
INADECUADO

Componentes de control interno

Ambiente de control

Debilidades de
control segn
autoevaluacin

Planeamiento

Inventario de
amenazas o
causas de
riesgos

Mapa de
controles y
elaboracin de
programa

Trabajo de
campo

PESO

Evaluacin de riesgos

5%

Actividades de control gerencial

20%

Actividades de prevencin y monitoreo

5%

Sistemas de informacin y comunicacin

10%

Seguimiento de resultados

10%

Compromisos de mejoramiento

10%

Elaboracin
de informe

BAJO

0.000 - 3.000 3.001 - 3.500

M EDIO

ALTO

3.501 - 4.000

4.001 - 5.000

40%

1 5

Resultado de la Auditora
Fecha de trmino de la Accin de Control: 15.01.2009
Oportunidades de Mejora
(Amenazas)

Categora de
Riesgo

Precisar el cumplimiento de las retenciones por mandato judicial

Operacional: Legal

Formalizar el tipo de descuentos en la liquidacin por cese de trabajadores *

Operacional: Legal

Actualizar los expedientes de personal *

Operacional: Personas

Mejorar la informacin en las reseas laborales *

Operacional: Personas

Elaborar una poltica integral de gestin del Plan Anual de Capacitacin *

Operacional: Procesos

Actualizar el registro de la capacitacin *

Operacional: Personas

Definir el plazo para prcticas pre - profesionales *

Operacional: Personas

Desarrollar controles de acceso a los aplicativos informticos *

Operacional: TI

Establecer perfiles de acceso a los aplicativos segn funciones del puesto *

Operacional: TI

10 Efectuar peridicamente inventario de medicinas *

11 Actualizar la confirmacin de grados y/o ttulos de personal ingresante

Operacional: Personas

12 Formalizar el periodo de prueba del personal ingresante

Operacional: Personas

13 Demoras en las liquidaciones del Personal

*/ Pendientes de solucin

Operacional: Personas
Operacional: Personas

Mapa de debilidades de Control Interno

Componentes de Control
Interno

Objetivos de Control Interno

Nuevo Peso
Recursos
Confiabilidad Impulsar Rendicin de despus de la
Auditora
Operaciones Pblicos Cumplimiento Financiera Valores
Cuentas

Ambiente de Control

3, 4, 5, 7, 12

25%
5%

1, 2, 8, 9, 13

40%

Evaluacin de Riesgos
Actividades de Control Gerencial
Actividades de Prevencin y Monitoreo

10

10%
5%

Sistemas de Informacin y Comunicacin

Seguimiento de Resultados
Compromiso de Mejoramiento

6, 11

10%
5%

16

Mapa de debilidades de control por

tipo de riesgos
Componente de
Control interno

Tipo de riesgos

Estratgicos

Financieros

Operativos

Ambiente de control
Evaluacin de riesgos
Actividades de control

Informacin y comunicacin

Seguimiento

ESCALA DE MEDICION
ALTO

11 - Ms

MEDIO

6 - 10

BAJO

1-

17

Conclusiones
Este enfoque pone nfasis a la gestin estratgica, de riesgos y de
procesos. Evoluciona de acuerdo al avance de la gestin de riesgos.

Evita realizar o sustituir formalmente actividades que le competen

a la gestin de riesgos.
Fortalece el marketing del auditor ante sus clientes.
La metodologa evoluciona dependiendo del tamao y complejidad
de la entidad, perfil de conocimiento y apertura al cambio de
paradigma de los auditores.
El avance hacia una auditora basada en riesgos debe cuidar que
los gestores de riesgos y auditores reconozcan que sus mtodos de
trabajo no interfieren, por el contrario, fortalece sus actividades.

18

GRACIAS......

19