Observaciones de Auditoria: Transmitiendo Valor Agregado
1. Instituto de Auditores Internos de Nicaragua
Representante en Nicaragua de The Institute of Internal Auditors Global, IIA
Miembro de la Federación Latinoamericana de Auditores Internos, FLAI
IX Encuentro de Auditores Internos de Nicaragua 2014
Auditoria Interna: Área Vital para la Mejora Continua de los procesos claves de
las empresas y organizaciones
“Observaciones de Auditoria:“Observaciones de Auditoria:“Observaciones de Auditoria:“Observaciones de Auditoria:
Transmitiendo valor agregado”Transmitiendo valor agregado”Transmitiendo valor agregado”Transmitiendo valor agregado”
3. …una actividad independiente
y objetiva de aseguramiento y
consulta, concebida para
agregar valor y mejorar las
operaciones de una
organización...
AUDITORIA INTERNA
…una actividad independiente
y objetiva de aseguramiento y
consulta, concebida para
agregar valor y mejorar las
operaciones de una
organización...
AUDITORIA INTERNA
… mejorar las oportunidades para
lograr objetivos organizacionales,
identificación de mejora
operacional o reducir la exposición
a riesgos a través de servicios de
consultoría y aseguramiento.
5. Guillermo A. García, CPA, CIA, CFSA
• Progreso del plan anual de trabajo
• Solicitudes de la administración
• Recomendaciones aceptadas / implementadas
• Encuestas
• Uso del trabajo de AI por auditores externos
VALOR AGREGADO
Cómo lo medimos..?
6. Guillermo A. García, CPA, CIA, CFSA
- Reportes no son claros,
opiniones no están bien
soportadas y las
observaciones no son
fácil de comprender.
- El seguimiento
insuficiente o presenta
atrasos.
- No considera la
sostenibilidad de los
planes de acción.
7. Guillermo A. García, CPA, CIA, CFSA
• ¿Auditoria Interna entiende correctamente la
excepción de control?
• ¿Es una excepción en la ejecución del control
o en su documentación?
• ¿Es aplicable a toda la población o se limita a
un departamento, sucursal o área específica?
• ¿Cómo afecta los objetivos del proceso?
SITUACION IDENTIFICADA
es una excepción..?
8. Guillermo A. García, CPA, CIA, CFSA
• Issue (Observación):
• Efecto:
• Causa Raíz:
• Contexto:
MODELO IERC
transmitiendo valor agregado…
Que salió mal?
Cual es la falla de control?
Cual es el impacto?
Porque salió mal?
Información adicional que
contribuya a la
comprensión del lector
9. Guillermo A. García, CPA, CIA, CFSA
Causa Raíz: identifica y corrige resultados no
deseados.
¿Qué pasó?
¿Porqué? “5P”
¿Cómo lo evito nuevamente?
MODELO IERC
transmitiendo valor agregado…
11. Guillermo A. García, CPA, CIA, CFSA
• Describe el control que falló
• Desviación asociada a los riesgos auditados
• Impacto captura todos los riesgos potenciales
• Relación entre la causa raíz y el plan de acción
• Contexto permite entender el issue y su magnitud
MODELO IERC
algunas consideraciones…
12. Guillermo A. García, CPA, CIA, CFSA
Acciones correctivas que resuelven la situación
observada y mitigan la exposición al riesgo.
Acciones definidas
Controles compensatorios
Entregas (milestone)
Plazos
Responsabilidades
PLANES DE ACCION
cómo lo evito nuevamente..?
13. Guillermo A. García, CPA, CIA, CFSA
S: Específico
M: Medible
A: Alcanzable
R: Reliable (confiable)
T: Tiempo determinado
PLANES DE ACCION
cómo lo evito nuevamente..?
S: Específico
Que control debe ser
implementado o
reforzado?
Quien será el
responsable?
14. Guillermo A. García, CPA, CIA, CFSA
S: Específico
M: Medible
A: Alcanzable
R: Reliable (confiable)
T: Tiempo determinado
PLANES DE ACCION
cómo lo evito nuevamente..?
M: Medible
Auditable, entregables
claramente definidos
A: Alcanzable
Practico, razonable,
costo/beneficio, tomar
en cuenta el riesgo
15. Guillermo A. García, CPA, CIA, CFSA
S: Específico
M: Medible
A: Alcanzable
R: Reliable (confiable)
T: Tiempo determinado
PLANES DE ACCION
cómo lo evito nuevamente..?
R: Confiable
Resuelve el issue,
minimiza el riesgo
T: Tiempo determinado
Incluye un plazo para
su cumplimiento e
implementación.
16. Guillermo A. García, CPA, CIA, CFSA
¿Es el control correcto para mitigar el riesgo?
¿Lo realiza la persona adecuada en el nivel
adecuado?
¿El control se realiza en la etapa adecuada del
proceso?
¿El control es sostenible?
¿El control es evidente?
PLANES DE ACCION
efectividad del diseño..?
17. Guillermo A. García, CPA, CIA, CFSA
Definir la
severidad es
cuestión de juicio
del auditor.
CLASIFICACION DE LAS OBSERVACIONES
evaluando la severidad…
H
M
L
Alto
Medio
Bajo
Inefectivo
Efectivo
Rojo
Verde
1
2
3
4
18. CLASIFICACION DE LAS OBSERVACIONES
evaluando la severidad…
5
Otras observaciones de control que requieren la atención de la
administración y acciones correctivas a nivel de proceso.
4
Observaciones de control que requieren la atención de la
administración y acción correctiva a nivel de producto o función.
3
Desviaciones a políticas o asuntos significativos de control a
nivel de una o mas sucursales.
2
Debilidades significativas de control que afectan a toda la
entidad legal. Se requiere la atención de la Gerencia Senior para
asegurar un plan de remediación efectivo.
1
Debilidades significativas de control que afectan a la franquicia,
o a mas de una entidad del grupo económico. Se requiere
atención de la Gerencia Senior para asegurar que los riesgos son
mitigados y un plan de remediación efectivo.
19. Guillermo A. García, CPA, CIA, CFSA
ISSUES IDENTIFICADOS POR EL NEGOCIO
autoevaluación u otras fuentes distintas de IA…
Reconoce la proactividad de la administración
en la identificación y resolución de asuntos de
control interno.
Las evidencias deberán ser provistas por el
negocio durante la etapa de planificación de
la auditoria.
Cualquier otra fuente distinta de IA.
20. Guillermo A. García, CPA, CIA, CFSA
Plan de acción
Recursos
Aprobaciones
Progreso
Debe cumplir con los 4 criterios:
ISSUES IDENTIFICADOS POR EL NEGOCIO
autoevaluación u otras fuentes distintas de IA…
21. Guillermo A. García, CPA, CIA, CFSA
Modelos de párrafos en el reporte de auditoria:
“La administración identificó el issue XXX en su
proceso de autoevaluación de controles,
documentó formalmente y aprobó el plan de
acción. La medida correctiva está en la dirección
correcta y se espera completarla antes de la
fecha límite.”
ISSUES IDENTIFICADOS POR EL NEGOCIO
autoevaluación u otras fuentes distintas de IA…
22. TRABAJOS DE VALIDACION
es sostenible el control..?
Plan de acción ha sido completado y la falla de
control ha sido resulta por la administración.
Dentro de los plazos acordados y de acuerdo al
nivel de severidad.
Aceptación de riesgos por la administración.
23. TRABAJOS DE VALIDACION
es sostenible el control..?
Severidad Escala de tiempo para la validación de issues
1 Dentro del mes siguiente a partir de que el negocio
comunico que ha implementado su plan de acción.
2 & 3 Dentro de los 3 meses siguientes a partir de que el
negocio comunico que ha implementado su plan de
acción.
4 Podría ser validado durante la siguiente auditoría.
Si el plan de acción no es suficiente o no es sostenible, el
issue debe cambiar su estado a “re-open”.
24. Ref. Severidad Observación e impacto
Plan de acción acordado, fecha de
cumplimiento y ejecutivo responsable
xxx 1/2/3/4/5 Escribir de acuerdo al modelo IERC: Escribir de acuerdo al modelo SMART
MCA Observación Especifico
S/N Efecto Medible
IBAM Causa Raíz Realizable
S/N Contexto Confiable
Razones para
no IBAM
Tiempo determinado
1/2/3/4 Responsable del plan de acción
Issue repetido Nombre y cargo
S/N Responsable del issue
SOX Nombre y cargo
S/N Fecha de vencimiento del issue
BASEL Fecha de cumplimiento del ultimo plan de acción
S/N Fecha para validación del issue
AML IA debe probar la sostenibilidad del control
S/N
MODELOS
25. MODELOS
Riesgos identificados incluidos
en el alcance de la auditoria
R/A/G Issue Ref. Debilidades identificadas
Riesgo 1 X Pag # Incluir una breve descripción del issue
Riesgo 2 X Pag # Incluir una breve descripción del issue
Riesgo 3 X Pag # Ninguna situación observada
Leyenda
G Certeza suficiente sobre la efectividad de los controles que mitigan el riesgo identificado.
A Certeza parcial sobre la efectividad de los controles que mitigan el riesgo identificado.
R Certeza insuficiente sobre la efectividad de los controles que mitigan el riesgo identificado.
Issues documentados en el proceso de autoevaluación Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
Identificados en la autoevaluación de controles de la
administración
x x x x x
No identificados en la autoevaluación de controles de la
administración
x x x x x
No aplica para ser evaluado por la administración x x x x x
Total Issues Sum(x) Sum(x) Sum(x) Sum(x) Sum(x)
26. MODELOS
Nivel1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
Issues: X X X X X
de los cuales están siendo atendidos por la administración: X X X X X
Tiempo para remediación (numero de días calendarios): X X X X X
Issues concurrentes: X X X X X
Efectividad general de los controles:
Controles claves diseñados y operando efectivamente según
resultados de la autoevaluación de la administración
Controles claves diseñados y operando efectivamente según
resultados de la auditoria
Efectividad del proceso de autoevaluación
Controles claves probados por Auditoria Interna que fueron
identificados en el proceso de autoevaluación
Autoevaluación de la administración coincide con los resultados
de Auditoria Interna
27. Guillermo A. García, CPA, CIA, CFSA
• 2420 – Calidad de las comunicaciones
…exactas, objetivas, claras, concisas,
constructivas, completas y oportunas. CP2420-1
IPPF
Marco Normativo…
Formalidad y el tono de las comunicaciones
Lenguaje técnico innecesario
Evitar presunciones
Considerar las repercusiones
28. Guillermo A. García, CPA, CIA, CFSA
• 2440 – Difusión de los resultados
… a las partes apropiadas. CP2440-2
IPPF
Marco Normativo…
Asuntos de ética / fraude
Opinión del área legal (confidencialidad)
Escalamiento
Regulaciones locales