Módulo Auditoría Interna-SC-2

5/17/2018 Módulo Auditoría Interna-SC-2 - slidepdf.com

http://slidepdf.com/reader/full/modulo-auditoria-interna-sc-2 1/69

DIPLOMADO AUDITORÍAMÓDULO

AUDITORÍA INTERNA

FacilitadorLic. Gerardo M. Mateo Dicló, CPA, MAG, CIA.

Santo Domingo, R. D.Noviembre, 22 - 2011

Filial San Cristóbal



• Introducción a la Auditoría Interna (AI).

• Independencia e importancia de la AI.(como elemento de control empresarial).

• Normas Internacionales de AI.• Auditoría basada en Riesgos.• Preparación y presentación del Informe.• Seguimiento a los informes de AI.• Práctica.

MÓDULO DEAUDITORÍA INTERNA

CONTENIDO



Antecedentes:

Nuevo Marco Internacional para la Práctica Profesional de la AuditoríaInterna (del IIA - The Institute of Internal Auditors - Ene’09, Act. 2011).

•IPPF: International Professional Practices Framework

Sección INormativa Obligatoria:

•Definición de Auditoría Interna del IIA•Código de Ética del IIA

•Normas Internacionales para la Práctica Profesional de la AI

Sección IINormativa Rigurosamente Recomendada

•Consejos para la Práctica de la Auditoría Interna•Declaraciones de Posición•Guías Prácticas

AUDITORÍA INTERNA

CONTENIDO MÓDULO 1:

EL NUEVO ENFOQUE DE AUDITORÍA INTERNA



EL NUEVO ENFOQUE DEAUDITORÍA INTERNA

ANTECEDENTES

Globalización de los mercados

Valor agregado (cadena de valor)

Filosofía de “servicio” al cliente (Calidad Total)

Necesidad de reaccionar rápidamente a lascaracterísticas de los mercados

Cambio constante en los negocios Estructuras orgánicas planas y matriciales (roles y

trabajo en equipo)



EL NUEVO ENFOQUE DEAUDITORÍA INTERNA

ANTECEDENTES- CONT.

Avances en tecnología

Desarrollo y aplicación del concepto de “riesgos del negocio”

Aplicación de TI en AI:

• (CAT’s, integración con CSA, matrices de riesgos, P/Telectrónicos, e:mail, Web, etc).

Necesidad de AI especializados

• (TI, riesgos, enfoque de negocios, consultoría)

Necesidad de cambio de actitud del auditor

• (de “watch dog” a “consultor interno”)

Fraudes Institucionales

Crisis Financiera Global



“LA CRISIS IMPLICARÁ UNNUEVO ORDEN ECONÓMICO

MUNDIAL"

“..la crisis actual es perfecta, porque los

consumidores no consumen, los bancos no

prestan, los inversionistas no invierten, losgobiernos no recaudan y el comercioexterior no sólo no crece sino quedecrece…”

Vicente Bengoa, Secretario de Hacienda, Seminario Internacional de

Presupuesto Público, Sto. Dgo. 12-5-09



¿QUÉ DEBEMOS HACER?



¿QUÉ DEBEMOS HACER?



Nuevo Marco Internacional para la Práctica Profesional de laAuditoría Interna.

IIA - The Institute of Internal Auditors, Ene’2009 (Act. 2011)

IPPF: International Professional Practices Framework



SECCIÓN 1 – NORMATIVA OBLIGATORIA

Definición de Auditoría Interna:

La Auditoría Interna es una actividad independiente y

objetiva de aseguramiento y consulta, concebida paraagregar valor y mejorar las operaciones de unaorganización.

Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para

evaluar y mejorar la eficacia de los procesos de gestiónde riesgos, control y gobierno.



PUNTOS DESTACADOS EN LADEFINICIÓN DE AUDITORÍA

INTERNA

Reconocimiento de que la Auditoría Interna es unafunción de consultoría.

Énfasis en la necesidad de que Auditoría Interna agreguevalor a la organización.

Énfasis en la evaluación de los procesos de riesgos,controles y dirección/gobierno para mejorar suEficacia.



NUEVO ENFOQUE DE LAAUDITORÍA INTERNA

Está orientado a:

Realizar revisiones que generen “alto valor

agregado”, en función de mejorar el desempeño delas áreas auditadas

Ayudar a la organización a identificar y evaluarsignificativas exposiciones de riesgo

Contribuir al fortalecimiento de los sistemas decontrol, de manejo de riesgos y de gobiernocorporativo.



FACTORES DEL NUEVOENFOQUE

1. Orientación de la auditoría hacia la evaluación y mejora delos procesos de riesgos, controles y gobierno corporativo

2. Prestar servicios de consultoría interna a la organización,para lo cual se requiere ver al auditado como un

“Cliente” o Usuario

3. Realizar labores de aseguramiento y cumplimiento

4. Desarrollar la cultura de Calidad Total y MejoramientoContinuo

5. Mejoramiento constante del producto de auditoría

6. Utilizar a la Auditoría como Plataforma de entrenamientopara Gerentes potenciales

7. Incorporación de tecnología



NUEVO ROL DEL AUDITOR INTERNO

Enfoque Tradicional

Protección de bienes Control

Monitoreo

Identificación

Reporte

Nuevo Enfoque

Valor Agregado Eficiencia Operacional

Soluciones pro-activas

Mejores prácticas

Transf. Conocimientos

Trabajo en equipo

Servicio de consultoría



2- CÓDIGO DE ÉTICA DEL IIAPROPÓSITO Y COMPONENTES

Promover una cultura ética en la profesiónde Auditoría Interna.

Componentes Principios:

Relevantes para la profesión y práctica

Reglas de Conducta: Normas de comportamiento que se espera

sean observadas por los auditores internos



CÓDIGO DE ÉTICA DEL IIA

PRINCIPIOS

Integridad: establece confianza y provee la base paraconfiar en su juicio.

Objetividad: al reunir, evaluar y comunicarinformación sobre la actividad o proceso examinado.Es una evaluación de todas las circunstancias paraformar sus juicios.

Confidencialidad: Respetar la información quereciben y no divulgar información sin la debidaautorización.

Competencia: Aplicar el conocimiento, aptitudes yexperiencia necesarios.




REGLAS DE CONDUCTA

1. Integridad, Los auditores internos:

1.1. Desempeñarán su trabajo con honestidad, diligencia y

responsabilidad.1.2. Respetarán las leyes y divulgarán lo que corresponda

de acuerdo con la ley y la profesión.

1.3. No participarán a sabiendas en una actividad ilegal o

de actos que vayan en detrimento de la profesión deauditoría interna o de la organización.

1.4. Respetarán y contribuirán a los objetivos legítimos yéticos de la organización.




REGLAS DE CONDUCTA

2. Objetividad, Los auditores internos:

2.1 No participarán en ninguna actividad o relación que

pueda perjudicar o aparente perjudicar su evaluaciónimparcial. Esta participación incluye aquellasactividades o relaciones que puedan estar en conflictocon los intereses de la organización.

2.2 No aceptarán nada que pueda perjudicar o aparenteperjudicar su juicio profesional.

2.3 Divulgarán todos los hechos materiales que conozcan yque, de no ser divulgados, pudieran distorsionar elinforme de las actividades sometidas a revisión.




REGLAS DE CONDUCTA

3. Confidencialidad, Los auditores internos:

3.1 Serán prudentes en el uso y protección de la

información adquirida en el transcurso de sutrabajo.

3.2 No utilizarán información para lucro personal o quede alguna manera fuera contraria a la ley o endetrimento de los objetivos legítimos y éticos de laorganización




REGLAS DE CONDUCTA

4. Competencia, Los auditores internos:

4.1 Participarán sólo en aquellos servicios para los

cuales tengan los suficientes conocimientos,aptitudes y experiencia.

4.2 Desempeñarán todos los servicios de auditoríainterna de acuerdo con las Normas para la PrácticaProfesional de Auditoría Interna.

4.3 Mejorarán continuamente sus habilidades y laefectividad y calidad de sus servicios.

NORMATIVA OBLIGATORIA



NORMATIVA OBLIGATORIA:3- NORMAS INTERNACIONALES

PARA LA PRÁCTICA PROFESIONAL DE LA AIPROPÓSITOS

Definir principios básicos que representen elejercicio de la auditoría interna.

Proporcionar un marco para ejercer y promoverun amplio rango de actividades de auditoríainterna de valor añadido.

Establecer las bases para evaluar el desempeño

de la auditoría interna.

Fomentar la mejora de los procesos yoperaciones de la organización.

NORMAS INTERNACIONALES



NORMAS INTERNACIONALESPARA LA PRÁCTICA PROFESIONAL DE LA AI

ESTRUCTURA:

Normas sobre Atributos,

Normas sobre Desempeño

Normas de Implantación



NORMAS INTERNACIONALESPARA LA PRÁCTICA PROFESIONAL DE LA AI

ESTRUCTURA:

Normas sobre Atributos: tratan lascaracterísticas de las organizaciones y laspersonas que prestan servicios de AI.

Normas sobre Desempeño: describen lanaturaleza de los servicios de AI yproporcionan criterios de para evaluar eldesempeño.

Las Normas de Implantación amplían lasNormas sobre Atributos y Desempeño,proporcionando los requisitos aplicables alas actividades de aseguramiento (A) y

consultoría (C).




PARA LA PRÁCTICA PROFESIONAL DE LA AI

ACTIVIDADES DE ASEGURAMIENTO(A) Y CONSULTORÍA(C).

Servicios de Aseguramiento: Tarea de evaluaciónobjetiva de evidencias, efectuada para expresar unaopinión o conclusión independiente; para una entidad,

operación, función, proceso, sistema u otro asunto.

La naturaleza y el alcance determinados por el auditorinterno. Existen tres partes.

Servicios de Consultoría: por Naturaleza son consejos, yson desempeñados a pedido de un cliente.

La naturaleza y el alcance están sujetos al acuerdo

efectuado con el cliente.



NORMAS INTERNACIONALES PARA LA PRÁCTICAPROFESIONAL DE LA AI

NORMAS SOBRE ATRIBUTOS

Normas sobre atributos

1000- Propósito, Autoridad y Responsabilidad

1010- Reconocimiento de la definición de auditoría interna, el Código de Ética y las Normas en el estatuto deauditoría interna.

1100- Independencia y Objetividad

1110- Independencia de la Organización

1111- Interacción directa con el Consejo

1120- Objetividad Individual

1130- Impedimentos a la Independencia u Objetividad

1200- Aptitud y cuidado profesional

1210- Aptitud

1220- Cuidado Profesional

1230- Desarrollo Profesional Continuo

1300- Programa de aseguramiento de la calidad

1310- Requisitos del Programa de Aseguramiento y mejora de la Calidad

1311- Evaluaciones Internas

1312- Evaluaciones Externas

1320- Reportar Sobre el Programa de aseguramiento y mejora de la Calidad

1321- Utilización de "Cumple con Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna"

1322- Declaración de Incumplimiento



NORMAS INTERNACIONALES PARA LA PRÁCTICAPROFESIONAL DE LA AI

NORMAS SOBRE DESEMPEÑO

Normas sobre desempeño

2000- Administración de la actividad de AI2010- Planificación2020- Comunicación y Aprobación2030- Administración de Recursos2040- Políticas y Procedimientos2050- Coordinación

2060- Informe a la alta dirección y al consejo2100- Naturaleza del trabajo2110- Gobierno2120- Gestión de Riesgo2130- Control2200- Planificación del trabajo2201- Consideraciones Sobre Planificación2210- Objetivos del Trabajos2220- Alcance del Trabajo

2230- Asignación de Recursos para el Trabajo2240- Programa de Trabajo.2300- Desempeño del Trabajo2310- Identificación de la información

Normas sobre desempeño – Continuación

2320- Análisis y Evaluación2330- Documentación de la Información2340- Supervisión del Trabajo2400- Comunicación de resultados2410- Criterios para la Comunicación2420- Calidad de la Comunicación2421- Errores y Omisiones2430- Uso de "Realizado de conformidad con las Normas Internacionalespara el Ejercicio Profesional de la Auditoría Interna"2431- Declaración de Incumplimientos con las Normas2440- Difusión de Resultados

2500- Supervisión del Progreso2600- Aceptación de los Riesgos por la Dirección.



DIPLOMADO EN AUDITORÍAMÓDULO

AUDITORÍA INTERNA


Santo Domingo, R. D.

Noviembre, - 2011

MÓDULO DE







CONTENIDO



NORMATIVA RIGUROSAMENTE RECOMENDADACONSEJOS PARA LA PRÁCTICA

Consejos para la Práctica para Normas sobre atributos

1000-1 Estatuto de Auditoría Interna

1110-1 Independencia de la Organización

1111-1 Interacción directa con el Consejo

1120-1 Objetividad Individual

1130- Impedimentos a la Independencia u Objetividad

1200-Aptitud y cuidado profesional

1210-Aptitud1220-Cuidado Profesional

1230-Desarrollo Profesional Continuo

1300-Programa de aseguramiento de la calidad

1310-Requisitos del Programa de Aseguramiento y mejora de la Calidad

1311-Evaluaciones Internas

1312-Evaluaciones Externas

1321-Utilización de "Cumple con Normas Internacionales para el

Ejercicio Profesional de la Auditoria Interna"

Consejos para la Práctica para Normas sobre desempeño

2010-Planificación

2010-2 Uso del Proceso de Gestión de Riesgos en el Plan de Auditoría Interna (*1)2020-Comunicación y Aprobación

2030-Administración de Recursos

2040-Políticas y Procedimientos

2050-Coordinación

2050-2 Mapas de Aseguramiento. (*6)

2050-3 Confiar en el trabajo de ot ros proveedores de servicios de aseguramiento. (*10)

2060-Informe a la alta dirección y al consejo

2060-1 Informe a la alta dirección y al Consejo. (*13)

2110-1 Gobierno, Definición. (*15)

2110-2 Gobierno, Relación con Riesgo y Control. (*17)

2110-3 Gobierno- Evaluaciones. (*18)

2120-Gestión de Riesgo

2120-2 Gestión de Riesgos de la Actividad de Auditoría Interna. (*21)

2130-Control

2200-Planificación del t rabajo

2210-Objetivos del Trabajos

2230-Asignación de Recursos para el Trabajo

2240-Programa de Trabajo.

2300-1 Uso de la información de carácter personal durante el trabajo de AI. (*27)

2320-1 Procedimientos analíticos. (*29)

2330-Documentación de la Información

2330.A1-2 Garantizar el acceso a los registros de auditoría. (*32)

2340-Supervisión del Trabajo

2400-1 Consideraciones legales en la comunicación de los resultados. (*34)

2410-Criterios para la Comunicación

2420-Calidad de la Comunicación

2440-Difusión de Resultados

2440-2 Comunicación de información sensible dentro y fuera de la cadena de mando. (*36)2440.A2-1 Comunicaciones fuera de la organización. (*40)

2500-Supervisión del Progreso



NORMAS INTERNACIONALESPARA LA PRÁCTICA PROFESIONAL DE LA AINORMATIVA RIGUROSAMENTE RECOMENDADA

Trabajos en Grupo:

Normas Sobre Atributos

Normas Sobre Desempeño

Normas de Implantación

Consejos Para la Práctica

Ver Glosario




Declaraciones de Posición - Position Papers

PP- El rol de la auditoría interna en relación con la gestión de riesgos para

toda la empresa

PP- Alternativas de obtención de recursos para la función de auditoría interna

(outsourcing)




Guías Prácticas - Practice Guides

Título Vigencia

Formulando y Expresando la Opinión de Auditoría Interna Abril 2009

Auditando Negocios Externos Relacionados - May 2009


http://www.theiia.org/guidance/standards-and-guidance/ippf/practice-guides/gtag/






GUÍAS PRÁCTICAS - PRACTICE GUIDES

Guía Global de Auditoría de Tecnología de Información (TI) - GTAG (Global Technology Audit Guide)

PG GTAG-1 Information Technology Controls

PG GTAG-2 Change and Patch Management Controls: Critical for Organizational Success

PG GTAG-3 Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment

PG GTAG-4 Management of IT Auditing

PG GTAG-5 Managing and Auditing Privacy Risks

PG GTAG-6 Managing and Auditing IT Vulnerabilities

PG GTAG-7 Information Technology Outsourcing

PG GTAG-8 Auditing Application Controls

PG GTAG-9 Identity and Access Management

PG GTAG-10 Business Continuity Management

PG GTAG-11 Developing the IT Audit Plan

PG GTAG-12 Auditing IT Projects

Guía para la Evaluación de Riesgos de TI - GAIT (Guide to the Assessment of IT Risk)

PG GAIT The GAIT Methodology

PG GAIT GAIT for IT General Control Deficiency Assessment

PG GAIT GAIT for Business and IT Risk



http://www.theiia.org/guidance/standards-and-guidance/ippf/practice-guides/gtag/gtag1/





































































MÓDULO 2

ENFOQUE HACIA EL MANEJO DERIESGOS



¿Qué es el Riesgo?




El Riesgo en gerencia y estrategia es unacontinuidad (riesgo y oportunidad) conresultados (negativos o positivos) y probabilidades ( posibilidad de ocurrenciay consecuencias).

La irrupción del manejo de riesgo comoun proceso organizacional claveproporciona a la auditoría interna una

oportunidad única de adaptar su enfoquehacia el riesgo.




Es un concepto utilizado para expresar

incertidumbre acerca de hechos o eventosy sus consecuencias, que podrían tenerefectos materiales sobre las metas yobjetivos de la organización



Evaluación de Riesgos

La Evaluación de Riesgos es la identificación yanálisis de los riesgos relevantes que puedenafectar el cumplimiento de los objetivos del

negocio, de manera que se obtengan las basespara determinar como deben ser manejadoslos riesgos.

El propósito del análisis o evaluación del

riesgo no es predecir el futuro sino entenderla incertidumbre y repartirla efectivamenteen los planes y decisiones



DIPLOMADO EN AUDITORÍAMÓDULO

AUDITORÍA INTERNA



29 de noviembre, 2011




Evaluación de RiesgosNorma 2120 - Gestión de riesgos

Consejos para la Práctica 2120-1 y 2120-2

Auditoría interna debe evaluar la eficacia y contribuir a lamejora de los procesos de gestión de riesgos

Los objetivos de la organización apoyan a la misión de la organización y están alineados con la misma,

Los riesgos significativos están identificados y evaluados,

Se han seleccionado respuestas apropiadas al riesgo que alinean losriesgos con la aceptación de riesgos por parte de la organización, y

Se capta información sobre riesgos relevantes, permitiendo al personal,la dirección y el Consejo cumplir con sus responsabilidades, y se comunicadicha información oportunamente a través de la organización.



Evaluación de Riesgos: Norma 2120

Consejos para la Práctica 2120-1 y 2120-2

2120 -1 - Consejo para la Práctica de Gestión de riesgos

Los procesos de gestión de riesgos son vigilados medianteactividades de administración continuas, evaluaciones por separado, o ambas….



Evaluación de Riesgos

Auditoría Interna debe:

Contribuir a la identificación de riesgos críticos del negocio

Tener un rol activo en cuanto a:

Evaluación de riesgos

Benchmarking y mejores práticas sobre riesgo

Identificación de oportunidades de mejora



PROCESO DE AUDITORÍA Y SU RELACIÓNCON EL MANEJO DE RIESGO

Principales características del modelo descrito:

Muestra los roles de la Gerencia de Riesgo y de laAuditoría Interna y su relación e interfase con ladirección (Corporate governance)

Muestra la importancia del enlace o contacto entre elproceso de planeación estratégica y los riesgos y entrelos lineamientos estratégicos de AI y los riesgos.

Se observa además la lógica relación que debe haberentre los planes de negocios y el plan anual deauditoría.

PROCESO DE AUDITORÍA Y SU



El Proceso de Planeación Estratégicaimpulsa la Planeación de la Auditoría y

esta, a su vez, contiene los elementosestratégicos de la organización.

Evidencia el cambio de enfoque de laauditoría basada en controles a la de

la auditoría basada en riesgo.

PROCESO DE AUDITORÍA Y SURELACIÓNCON EL MANEJO DE RIESGO



AUDITORÍA INTERNA



Diciembre 1, 2011














CASO PRÁCTICO



DIPLOMADO AUDITORÍAMÓDULO

AUDITORÍA INTERNA



Diciembre 6 - 2011


MÓDULO DE







CONTENIDO





EL PROCESO DE



EL PROCESO DEAUDITORÍA INTERNA

Auditoría InternaFases del Proceso de Auditoria



Fases del Proceso de Auditoria

Planificación del Trabajo de Auditoria• Identificación de Riesgos Claves del Proceso Auditado

• Identificación de Cambios en el Proceso• Asignación de Recursos y Herramientas• Definición del Alcance y Pruebas del Trabajo

Presentación al Área Auditada• Riesgos identificados y Puntos Importantes• Objetivos y Tiempos del Trabajo• Equipo de trabajo• Compromisos de las Fechas

Ejecución• Evaluación del Ambiente de Control• Determinación de Suficiencia y Debilidades de Control• Alineación de Riesgos Claves versus la Evaluación del Control Interno• Actualización del Programa de Auditoría

• Realización de las Pruebas

Discusión de hallazgos de auditoría y sus planes de acción

Finalización• Obtención planes de Acción en las fechas acordadas con el área auditada• Elaboración y circulación del Reporte de Auditoría• Seguimiento Planes de Acción

Auditoría Interna



Combinación del impacto y la probabilidad de ocurrencia

Nivel de Riesgo

1 2 3 4 5

1 1 2 3 4 5

2 2 4 6 8 10

3 3 6 9 12 15

4 4 8 12 16 20

5 5 10 15 20 25

PROBABILIDAD

I

M

P

A

C

T

O

VALORES NIVEL DE RIESGO

1 a 2 MUY BAJO

3 a 5 BAJO

6 a 12 MEDIO

15 a 20 ALTO

25 MUY ALTO

No realizar auditoria en el año

No realizar auditoria en el año

Realizarse una auditoria al año

Realizarse más de una auditoria al año

Frecuencia de la auditoria cuatrimestral

FRECUENCIA

EL INFORME DE AUDITORÍA



EL INFORME DE AUDITORÍAINTERNA

Normas: 2400, 2410, 2420, 2440

Cualidades que debe tener un buen informe de auditoría interna:

Debe ser un informe con una estructura y formato estándar

Debe ser lo más claro posible, preciso y conciso.

Es recomendable, en este sentido, la elaboración de un resumen ejecutivo quecomplemente el informe detallado.

En el informe se debe habilitar un espacio donde los responsables del área afectadapor la revisión cumplimenten su parecer sobre las recomendaciones identificadase incluyan los responsables de su implantación así como las fechas previstas parala misma.







Resumen…





Fundamento de la MatrizLa Matriz la basó en el método de Análisis de Riesgo con

un grafo de riesgo, usando la formula Riesgo =Probabilidad de Amenaza x Magnitud de Daño

La Probabilidad de Amenaza y Magnitud de Daño puedentomar los valores y condiciones respectivamente

1 = Insignificante (incluido Ninguna), 2 = Baja, 3 = Mediana, 4 = Alta

El Riesgo, que es el producto de la multiplicaciónProbabilidad de Amenaza por Magnitud de Daño, está

agrupado en tres rangos, y para su mejorvisualización, se aplica diferentes colores.

Bajo Riesgo = 1 – 6 (verde), Medio Riesgo = 8 – 9 (amarillo), Alto Riesgo = 12 – 16 (rojo)

Fuente: http://protejete.wordpress.com/descargas/









Mejores Prácticas de Auditoría Interna

Enfoque AI basado en riesgos

Enfoque hacia el cliente o usuario

Evaluación por parte de los usuarios

Enfoque de consultoría

Enfoque hacia optimización de procesos

Documentación y estandarización delproceso de Auditoría Interna

Uso de tecnología en AI

Uso de indicadores de desempeño




Documents

Módulo Auditoría Interna-SC-2