2013 09 auditoria bc peru

Auditora interna basada en riesgos a la

operatividad del sistema de pagos

1

CEMLA - XII Reunin de Auditora Interna de Banca Central

Juan Villanueva Chang

Setiembre, 2013

BANCO CENTRAL DE RESERVA DEL PER 2

La auditora interna hoy..

Centrado en verificar la eficiencia y eficacia de los controles crticos de las operaciones y cumplimiento.

Adopta una funcin ms preventiva al asesorar y aconsejar para el logro de objetivos y obtener valor aadido.

Busca desarrollar una metodologa prctica que permita verificar el funcionamiento de los controles creados para mitigar los riesgos.

Forma parte de las barreras para lograr una eficiente gestin de riesgos y control y permita contribuir al buen gobierno corporativo.

BANCO CENTRAL DE RESERVA DEL PER

Definicin de Auditora Interna

Cdigo de tica

Normas Internacionales para la Prctica Profesional de

Auditora Interna

Documentos de posicionamiento

Consejos para la Prctica

Guas para la Prctica

Oblig

ato

rio

Mu

y r

ecom

endado

Marc

o Inte

rnacio

nal para

la P

rctica P

rofe

sio

nal de la A

uditor

a Inte

rna

Directrices auditora basada en riesgos - Consejo para la Prctica 2010-1: Objetivos del trabajo - Consejo para la Prctica 2010-2: Uso del proceso de gestin de riesgos en el Plan de Auditora Interna - Consejo para la Prctica 2200-2: Uso de un enfoque basado en riesgos, partiendo de los ms significativos (Top-down, Risk-based Approach) para identificar los controles que van a ser evaluados en el trabajo de auditora interna - Consejo para la Prctica 2210.A1-1: Evaluacin de riesgos en la planificacin del trabajo - GAIT for Business and TI Risk

- Rol de la Auditora Interna en la Gestin de Riesgos Empresariales 2004 - Las Tres Lneas de Defensa para una Efectiva Gestin de Riesgos y Control 2013

-Anlisis de la suficiencia de la gestin de riesgos Usando el ISO 31000 (Dic. 2010) - Formulacin y expresin de opiniones de auditora interna(Jul. 2011) - Coordinacin de la gestin de riesgos y el aseguramiento (Mar. 2012) - Seleccin, uso y creacin de modelos de madurez: Una herramienta para el aseguramiento y trabajos de consultora (Jul. 2013)

3


Documento de Posicionamiento UK-Ireland:

Auditora Interna Basada en Riesgos

Position Statement: Risk Based Internal Auditing (RBIA), emitido por el Instituto de Auditores Internos del Reino Unido e Irlanda el

2003.

Reconoce los malos entendidos para adoptar el cambio hacia una auditora interna basada

en riesgos

Ofrece algunas orientaciones sobre cmo acercarse a l.

Se precisa que el objetivo de RBIA es ofrecer garanta independiente a la Junta que:

Los procesos de gestin de riesgo puesto en prctica funcionan segn lo

previsto.


Documento de Posicionamiento UK-Ireland: Auditora Interna Basada

en Riesgos..

Que el proceso de gestin de riesgos tiene responsables. Las respuestas para mitigar los riesgos son adecuados y eficaces.

Que exista un buen marco de controles para mitigar los riesgos que la administracin desea tratar.

El documento seala puntos de atencin que deben ser auditados en la gestin de riesgos.

Un aspecto a resaltar es medir el grado de madurez de la gestin de riesgos por parte de los auditores. Esto permite resaltar el avance de tipo

de enfoque de auditora interna a desarrollar.

Se resalta que cada organizacin determina el nivel que desea lograr al implementar la gestin de riesgos.


Nivel de madurez de riesgos 1 y 2

Existe bajo nivel de coincidencia en el conocimiento de terminologa de riesgos y controles entre dueos de procesos, gestores de riesgos y auditores.

Nivel de madurez de

riesgos 3

Existe cierto grado de coincidencia en el conocimiento de terminologa de riesgos y controles entre dueos de procesos, gestores de riesgos y auditores.

Nivel de madurez de riesgos 4 y 5

Existe alto nivel de cultura de riesgos y controles. Se observa bastante similitud en el conocimiento de la terminologa de riesgos y controles entre dueos de procesos, gestores de riesgos y auditores.

Evolucin de la cultura de riesgos y controles


Nivel de

Madurez

Caracterstica Enfoque de Auditora Interna Antecedentes

1. Incipiente No existe un enfoque de

gestin del riesgo

Iniciar el cambio paulatino del

enfoque tradicional de la auditora a

procesos.

2004: Se da inicio a establecer el alcance de las auditoras a nivel de macroprocesos y procesos.

A iniciativa de los auditores en la fase de planeamiento se da nfasis al uso de las tcnicas de causa efecto para elaborar el inventario de amenazas de riesgos de los procesos y

difundir el modelo de control interno COSO.

2. Conocido Existen esfuerzos aislados de

gestin de riesgos

Promover el enfoque de gestin de

riesgos a nivel organizacional y

establecer la planeacin de auditora

con base en procesos y evaluacin

de riesgos.

2005: Como complemento a las actividades anteriores, se recoge mediante talleres de CSA la percepcin de la marcha

de control interno por los dueos de los procesos.

3. Definido Existe un enfoque formal de

gestin de riesgos. Se tiene

definida y divulgada en toda la

organizacin la poltica y

metodologa de evaluacin de

riesgos.

Adoptar una metodologa de

auditora basada en riesgos tomando

en cuenta documentos de

posicionamiento y directrices del IIA.

2012: Se actualiza la metodologa de auditora basada en riesgos dando prioridad a los riesgos y controles identificados

por dueos de los procesos. Se emplea talleres de RCSA y

anlisis Bow - Tie para actualizar riesgos y controles y

precisar pruebas de auditora. Si no exista avance de

identificacin de riesgos y controles se apoya en la

elaboracin de matriz de controles y su juicio de anteriores

revisiones para centralizarse en los controles crticos.

4. Administrado El proceso de gestin de

riesgos se desarrolla en

forma frecuente y se

comunica para la toma de

decisiones.

Auditar los procesos de la

organizacin poniendo nfasis en

los control dbiles que resultan de la

evaluacin de la gestin de riesgos

5. Optimizado La gestin de riesgo y control

interno estn completamente

inmersos e identificados en

todas las operaciones y

procesos. Existen indicadores

para su medicin y monitoreo.

Auditar y otorgar aseguramiento

respecto al procesos de gestin

integral de riesgos y control interno.

Evaluar la gestin de construccin y

uso de los indicadores de medicin y

monitoreo.

Evolucin de la metodologa de auditora interna

basada en riesgos


Diagramacin y conocimiento de la materia

auditable

Adoptar el enfoque por procesos para determinar materia auditable.

Emplear tcnica de trabajo en equipo, consenso Delphi, lluvia de ideas, consulta

dueos de proceso, etc.

El equipo trata de obtener idea clara del funcionamiento actual y determinar el

universo de pruebas de auditora.


Diagramacin y conocimiento de la materia auditable.


Organizacin del sistema de pagos

interbancarios


Diagrama de flujo: Operatividad del sistema de

pagos

Anlisis Sistema de Pagos Administracin LBTR Liquidacin y Control de

Operaciones

Mensajes S.

Financiero

(Swift, fax)

Flujo, saldos

Cta Cte en

BCRP

Actualizar/modificar

normas y procedimientos

sistema de pagos

Reconocimiento de

acuerdo de pagos

Apertura

sistema LBTR

Gestin y liquidacin

de operaciones (CCE,

transferencias, etc)

Control depsitos

especiales y

plazo

Cierre S. LBTR

12

Resultado Mesa

Negociacin BCR

(Subastas, c/v

ME, colocacin

valores, etc)

Control

operaciones

cambiarias

Control

operaciones

valores emitidos

Control

operaciones

valores recompra

Registro pago

intereses encaje

Registro inst.

transf. fondos

inst. pblicas e

internacionales

Registro crdito

intradiarias

Entrada Entrada

Salida

Administracin de

facilidades

intradiarias LBTR

Monitoreo flujo

operaciones LBTR

Adicin/modificacin/

cancelacin ctas.

cte. LBTR

Canalizar inst.

transferencia

recursos

Cobro tarifas uso

LBTR

Revisin recursos de

recuperacin por

sanciones

Autorizacin

funcionamiento empresas

servicio de canje y

compensacin ESEC

Aprobacin reglamentos

internos s. pagos y

estatutos de ESEC

Verificacin cumplimiento

entregables (C. 012-2010

BCRP)

Estadsticas, reportes

sistema de pagos


Universo de

pruebas de

auditora


Familiarizarse con modelo COSO ERM

/ ISO 31000 y taxonoma

Obtener un mtodo estndar para medir

la madurez de la gestin de riesgos

Medir grado de madurez de riesgos

Modelo de Madurez de Riesgos (RMM) 1997

ndice de madurez de Riesgos de Aon 2001

Lectura de Mapas de Riesgos

Evaluar reportes de identificacin y

evaluacin de riesgos

Definir nivel de madurez de riesgos por

auditores

Evaluar madurez del riesgo

14


Evaluar madurez del riesgo.


Modelos de gestin de riesgos


Jerarqua de riesgos en sistema de pagos

Tipo de riesgo Descripcin

Estratgico Reputacin

Financiero Crdito: Incumplimiento contraparte Liquidez: Interrupcin de pagos (Sistmico)

Operacional Personas: Ausencia personal idneo (Enfermedad, cuarentena o prevencin

contagio)

Procesos: Fraude interno externo, prcticas y seguridad deficientes

TI: Daos en plataforma de mensajera e integridad de

transacciones en aplicativos, alteracin

o fallos en los sistemas externos

Legal Eventos externos

Perfil de riesgos sistema de pagos

SLMV Rueda de Bolsa y Valores del Tesoro

CCE Cheques y

transferencia de crdito

LBTR Mensajes Swift

Riesgo externo de

entidades financieras:

Estratgico Financiero

Operacional

Riesgo externo de


Estratgico Financiero

Operacional

Riesgo compartido

entre BCRP y


Estratgico Operacional

17


Identificacin y evaluacin de riesgos

Identificacin: El proceso, riesgo y subprocesos que afectan el tipo de

riesgos. Causa de origen del

riesgo, detalle e impactos.

Anlisis y evaluacin: Origen de control para mitigar riesgo,

controles detectivos y controles

para mitigar el impacto.

Valoracin: El riesgo inherente, residual y calificacin.

Tratamiento: Acciones sugeridas para reducir riesgos, semforo para

mapa de riesgos y acciones para

reducir el impacto.


Datos para precisar pruebas de auditora

Medir que controles funcionen, no estn duplicados o no cubra

costo beneficio, alcance el nivel de apetito al riesgo

Revisar el cumplimiento de tratamiento de riesgos segn su

importancia para mejorar los controles


PROCESO1. Apertura del Sistema LBTR

2. Transferencias Interbancarias X

3. Transferencias de fondos del y al exterior X

4. Liquidaciones de Operaciones de Mercado Abierto X

5. Liquidaciones de Operaciones ALADI X

6. Liquidacin de Operaciones de Gestin del Circulante X

7. Compensaciones Interbancarias X

8. Cierre del Sistema LBTR

ORIGEN DEL RIESGO (CAUSA)

CONTROLES PARA MITIGAR

ORIGEN

RIESGO INHERENTE

ControladoNo Controlado X

TRATAMIENTO: ACCIONES

SUGERIDAS PARA REDUCIR LA

PROBABILIDAD

RIESGO BAJO (ACEPTABLE)

RIESGO MODERADO (ACEPTABLE)

RIESGO ALTO

5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)

2.El BCRP cuenta con un seguro para casos en los cuales la institucin pueda

ser demandada por terceros ante fallas operacionales. No se pudo obtener

informacin detallada del seguro, incluyendo el monto maximo de

cobertura.

IDENTIFICACIN

RIESGO SUBPROCESOS AFECTADOS POR ESTE RIESGO

Administracin de Sistema LBTRNo poder liquidar transferencias interbancarias de cualquier

tipo

DETALLE DEL RIESGO: IMPACTOS

Caida del Sistema LBTR

Ocurre cuando: 1. No poder completar procesos de liquidacin ya iniciados

1. Dentro del servidor de aplicaciones del BCRP podra haber

conflictos que congestionen el servidor y lleven a la caida del

Sistema LBTR

2. BCRP es enjuiciado por ESF o tercera persona por prdidas

2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR

3. Error Tecnologico en el Sistema LBTR4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema

LBTR

4. Se produzca una falla en el nodo de comunicaciones del

BCRP

ANALISIS Y EVALUACIN

CONTROLES DETECTIVOS CONTROLES PARA MITIGAR IMPACTO

NINGUNO NINGUNO

1. Se aplica Sistema de Contingencia Extrema (acceso directo a la Base de

Datos)

VALORIZACION

RIESGO RESIDUAL CALIFICACIN

30 15

SEMAFORO DE ACUERDO A MAPA DE RIESGOSTRATAMIENTO: ACCIONES SUGERIDAS PARA REDUCIR EL

IMPACTO

1. El BCRP requiere contratar el servicio

de un "Consultor Externo" para evaluar

la infraestructura actual sobre la cual

funciona el Sistema LBTR y determinar

qu acciones debera tomar el BCRP para

mejorar la "Resistencia" de la

infraestructura, de acuerdo a las mejores

prcticas para estos Sistemas.

1. Perfeccionar Sistema de Contingencia Extrema. Esto implicara mejorar la

nueva versin del Sistema LBTR en la cual se ha implementado una interfaz

para acceder a la base de datos. Este subsistema est en un proceso de

mejora continua; sin embargo, el DALBTR considera conveniente desarrollar,

como siguiente paso, una interfaz para capturar directamente las

operaciones de los bancos, que en la actualidad en contingencia la envian

por facsimil.

2. Efectuar pruebas del Sistema de Contingencia Extrema con las ESFs, por lo

menos 4 veces al ao porque se requiere tener entrenado al personal del

DALBTR en situaciones de contingencia y de crisis.

3. Las Gerencias de la GOMEF y GTI tienen que firmar un Acuerdo de Nivel

de Servicio, en el cual se establecen los compromisos de la operatividad del

Sistema y su soporte, incluyendo los RTOs y la delimitacin de

responsabilidades. Con base a este acuerdo, tiene que modificarse la

Circular y el Reglamento que norma el servicio hacia terceros por parte del

BCRP.

4. La Gerencia Central de Administracin debera evaluar si las condiciones

del seguro con el que cuenta el BCRP cubren adecuadamente una potencial

prdida por demanda civil. Se sabe que el BCRP cuenta con un seguro del

tipo BBB.

RIESGO EXTREMO

Riesgo operacional TI


PROCESO1. Apertura del Sistema LBTR

2. Transferencias Interbancarias X

3. Transferencias de fondos del y al exterior X

4. Liquidaciones de Operaciones de Mercado Abierto X

5. Liquidaciones de Operaciones ALADI X

6. Liquidacin de Operaciones de Gestin del Circulante X

7. Compensaciones Interbancarias X

8. Cierre del Sistema LBTR

ORIGEN DEL RIESGO (CAUSA)

CONTROLES PARA MITIGAR

ORIGEN

RIESGO INHERENTE

ControladoNo Controlado X

TRATAMIENTO: ACCIONES

SUGERIDAS PARA REDUCIR LA

PROBABILIDAD

RIESGO BAJO (ACEPTABLE)

RIESGO MODERADO (ACEPTABLE)

RIESGO ALTO

5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)

2.El BCRP cuenta con un seguro para casos en los cuales la institucin pueda

ser demandada por terceros ante fallas operacionales. No se pudo obtener

informacin detallada del seguro, incluyendo el monto maximo de

cobertura.

IDENTIFICACIN

RIESGO SUBPROCESOS AFECTADOS POR ESTE RIESGO

Administracin de Sistema LBTRNo poder liquidar transferencias interbancarias de cualquier

tipo

DETALLE DEL RIESGO: IMPACTOS

Caida del Sistema LBTR

Ocurre cuando: 1. No poder completar procesos de liquidacin ya iniciados

1. Dentro del servidor de aplicaciones del BCRP podra haber

conflictos que congestionen el servidor y lleven a la caida del

Sistema LBTR

2. BCRP es enjuiciado por ESF o tercera persona por prdidas

2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR

3. Error Tecnologico en el Sistema LBTR4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema

LBTR

4. Se produzca una falla en el nodo de comunicaciones del

BCRP

ANALISIS Y EVALUACIN

CONTROLES DETECTIVOS CONTROLES PARA MITIGAR IMPACTO

NINGUNO NINGUNO

1. Se aplica Sistema de Contingencia Extrema (acceso directo a la Base de

Datos)

VALORIZACION

RIESGO RESIDUAL CALIFICACIN

30 15

SEMAFORO DE ACUERDO A MAPA DE RIESGOSTRATAMIENTO: ACCIONES SUGERIDAS PARA REDUCIR EL

IMPACTO

1. El BCRP requiere contratar el servicio

de un "Consultor Externo" para evaluar

la infraestructura actual sobre la cual

funciona el Sistema LBTR y determinar

qu acciones debera tomar el BCRP para

mejorar la "Resistencia" de la

infraestructura, de acuerdo a las mejores

prcticas para estos Sistemas.

1. Perfeccionar Sistema de Contingencia Extrema. Esto implicara mejorar la

nueva versin del Sistema LBTR en la cual se ha implementado una interfaz

para acceder a la base de datos. Este subsistema est en un proceso de

mejora continua; sin embargo, el DALBTR considera conveniente desarrollar,

como siguiente paso, una interfaz para capturar directamente las

operaciones de los bancos, que en la actualidad en contingencia la envian

por facsimil.

2. Efectuar pruebas del Sistema de Contingencia Extrema con las ESFs, por lo

menos 4 veces al ao porque se requiere tener entrenado al personal del

DALBTR en situaciones de contingencia y de crisis.

3. Las Gerencias de la GOMEF y GTI tienen que firmar un Acuerdo de Nivel

de Servicio, en el cual se establecen los compromisos de la operatividad del

Sistema y su soporte, incluyendo los RTOs y la delimitacin de

responsabilidades. Con base a este acuerdo, tiene que modificarse la

Circular y el Reglamento que norma el servicio hacia terceros por parte del

BCRP.

4. La Gerencia Central de Administracin debera evaluar si las condiciones

del seguro con el que cuenta el BCRP cubren adecuadamente una potencial

prdida por demanda civil. Se sabe que el BCRP cuenta con un seguro del

tipo BBB.

RIESGO EXTREMO


Valoracin del riesgo Riesgo inherente

Principales Controles:

- Revisin de pruebas sistema de contingencia extrema

- Vigencia de plizas de seguros para demanda por terceros por fallas operativas

- Vigencia y actualizacin de procedimientos

- Verificar funcionamiento de puntos de comunicacin

- Verificar mantenimiento de equipos e instalaciones

- Revisar correccin de eventos adversos


Cuestionario 1. incipiente 2. Conocido 3. Definido 4. Administrado 5. Optimizado

1. Cultura/Filosofa Organizacional 25% X

1.1 Cultura de gestin de riesgos

1.2 Responsabilidad en la gestin del riesgo

2. Liderazgo y compromiso 25% X

2.1 Poltica y marco de referencia de la gestin del riesgo

2.2 Papel y responsabilidades del la alta direccin

3. Integracin a los procesos del negocio 20% X

3.1 Alineamiento estratgico

3.2 Incluida en la medicin del desempeo y calidad del

servicio

3.3 Comunicacin interna y retroalimentacin sobre riesgos

4. Habilidades en gestin de riesgos 15% X

4.1 Capacitacin continua en gestin de riesgos

4.2 Estandarizacin y dominio de las tcnicas de evaluacin

de riesgos

5. Reporte y control 15% X

5.1 Controles

5.2 Documentacin

TOTAL 100% X

Cuestionario de medicin del nivel de

madurez de la gestin de riesgos

23


Taller de RCSA

Conocida la identificacin y evaluacin

de riesgos por dueos del proceso, se

procede a realizar dicho resultado

mediante taller de RCSA.

El objetivo es precisar el estado de los

controles y su tratamiento para mitigar

los riesgos.

Los talleres son con votacin annima

y asistencia de responsables de

procesos.

En esta etapa se puede obtener

nuevas pistas de riesgos y controles

no previstos anteriormente.


Taller de RCSA.


Cuestionario dirigido

Consenso

por

auditados

y

auditores

Dinmica de talleres de RCSA

Reporte gestin de riesgos


Riesgo Tipo de riesgo Controles Votacin annima Observaciones

1 (Bajo)

2 3 4 5 (Alto)

Operacional:

Personas

Error registro de

transferencias en

sistema LBTR

Validacin dual al sistema

(concurrente)

X

Operacional:

Procesos

Demora

confirmacin

transferencias al

exterior

Conciliacin en lnea

Cumplimiento manual operativo

X

X

Operacional:

TI

Fallas al inicio en

sistema LBTR

Divulgar manual de contingencia

Delegacin de responsabilidades

Revisin de incidentes

X

X

X

Operacional:

TI

Fallas de

conectividad LBTR

Divulgar sistema CE

Realizar pruebas registro de

incidentes

X

X

X

X

n.n.n..

RCSA: Actualizacin de riesgos y controles con

dueos de proceso


Matriz de inventario de controles

Cuando no existe reportes de la

identificacin y evaluacin de riesgos

se intenta seleccionar los controles

crticos a travs de la matriz de

controles.

Se utiliza preferentemente el manual

de procedimientos y historial de

debilidades de control.

Se puede ayudar de la experiencia

en la hiptesis inicial de la materia

auditable y conocimiento del perfil de

riesgos del negocio.


Matriz inventario controles.


Registro de inventario de controles

Se toma de

inventario de

procedimientos

Se emplea un

estndar de

conceptos de

controles

- Segregacin de funciones

- Costo beneficio - Acceso a activos y archivos

- Verificacin y conciliacin

- Evaluacin de desempeo

- Rendicin de cuentas

- Documentacin fsica y virtual (Procesos,

actividades y tareas)

- Revisin (Procesos, actividades y tareas)


Anlisis Bow - Tie

Esta herramienta de evaluacin de

riesgos permite al equipo de

auditores fortalecer la decisin de

seleccin de los controles crticos,

conscientes que pueden ser an

dbil el resultado de las identificacin

y evaluacin de riesgos por los

dueos de los procesos.

Es un forma esquemtica simple de

describir y analizar las rutas de un

riesgo desde las causas hasta las

consecuencias.


Anlisis Bow Tie


Informacin

elaborada y

actualizada por el

equipo de auditores

desde el inicio del

cambio de

metodologa


Anlisis Bow - Tie: Revisin auditores

Riesgo

operacional

(No poder liquidar

transferencias

)

Causa 1:

Cada del LBTR

Consecuencia 1:

No poder ejecutar

liquidacin iniciada

Controles

preventivos

Controles

mitigantes o de

recuperacin

Causa 2:

Error tecnolgico

Consecuencia 2:

Unidades operativas

no pueden utilizar

sistema

Causa 3:

Fallas nodo de

comunicaciones

Causa 4:

Factores externos

(incendio,

recalentamiento)

Causa 6:

Error humano

desconocimiento

Consecuencia 3:

Excesiva carga

manual de personal

LBTR

Consecuencia 4:

Detener operatividad

LBTR

Consecuencia 5:

No poder completar

liquidaciones Causa 5:

Problemas de

conectividad Consecuencia 6:

Error en transferencias

Sis

tem

a C

ontinge

ncia

exte

rna

Perf

eccio

nar

el S

iste

ma

Continge

ncia

exte

rna

- Captura en informe de dueos de procesos

- Recogida de taller de RCSA

- Obtenida de anlisis Bow - Tie


Seleccin para el Programa de Auditora

2 Prioridad: Ms importantes del universo de pruebas de auditora

Diagramacin y conocimiento

de materia auditable

1 Prioridad: Pruebas de auditora para riesgos crticos

Seleccin de

controles crticos

Acciones tratamiento de riesgos


Desarrollo del Programa de Auditora

Planeamiento Trabajo de Campo Informe

Anlisis de cumplimiento y

sustantivas de las pruebas respecto

al control interno

Resultados de pruebas de auditora


Pruebas auditora sobre controles crticos

Riesgo Tipo de riesgo Controles Pruebas de auditora

Operacional:

Personas

Error registro de

transferencias en sistema

LBTR

Validacin dual al sistema

(concurrente)

- Revisar registro de incidente para

identificar mayores eventos

- Revisar el monitoreo de las

transferencias

Operacional:

Procesos

Demora confirmacin

transferencias al exterior

Conciliacin en lnea

Cumplimiento manual operativo

- Evaluar causas de incidentes

- Revisar cumplimiento normativo

Operacional: TI Fallas al inicio en sistema

LBTR

Divulgar manual de

contingencia

Delegacin de

responsabilidades

Revisin de incidentes

-Revisar registro de incidentes y

cumplimiento de medidas alternativas

- Evaluar las actas de mantenimiento

de servicio de mantenimiento al CER

Operacional: TI Fallas para extornar

operaciones compra/venta

M/E

Divulgar sistema CE

Realizar pruebas registro de

incidentes

-Evaluar muestra de incidentes

- Verificar uso y cumplimiento de

manual operativo

n.n.n..


Identificar pruebas de auditora que

requieren necesariamente de

muestreo estadstico o no

estadstico (alto volumen de

poblacin)

Elaboracin planes de muestreo

Conceptos proceso muestreo estadstico

Poblacin 1 100 000 transacciones LBTR (2010 2011)

Mtodo

muestreo

Atributos

Tamao

muestra

23 000 transacciones

Seleccin

muestra

Comando aleatorio (ACL)

Nivel

confianza

95%

Error

tolerable

3%

Precisin 2%


Criterios para medir efectividad de controles

Riesgo

Residual

Riesgo

Inherente

C1 + C2 + C3 + Cn

E1 E2 E3 E4 E5

C1 A B B C B

C2 B C C B B

Cn B C B A A

Efectividad de Controles

A= Optimizado

B= Administrado

C= Definido

D= Conocido

E= Incipiente

E1= Nivel de funcionamiento

E2= Estado de registro y documentacin

E3= Monitoreo continuo

E4= Sensibilidad en impacto de riesgo

E5= Frecuencia de incidentes

Apetito al riesgo


Controles crticos

Hiptesis preliminar

conocimiento materia

auditable

Resultados madurez de

riesgos

Matriz controles y/o taller RCSA

Programa de auditora Plan de muestreo Fase: Trabajo de

campo

Fase: Informe Resultados pruebas

auditora

40


Formulacin y expresin de opiniones de auditora interna

Jul. 2011

Mejoras de impacto en reportes de auditora

Opiniones sobre gobierno, riesgos y control:

Sistema global de control interno Cumplimiento controles Efectividad controles en rendimiento Efectividad controles en un proceso Cumplimiento de leyes

El resultado de una auditora puede ser hallazgos o debilidad de control. Entre las modalidades a mejor se encuentra el

grado de calificacin de la efectividad de los controles y

riesgos.

Los ms comunes son cdigos de colores (rojo, amarillo, verde) o escalas de grados (1 a 3, 1 a 5).

El alcance de la opinin se pude dar a nivel macro (toda la organizacin) o micro (procesos, actividades).

41


Mejoras de impacto en reportes de auditora..


Anexo

Desarrollo del Sistema de Pagos en el Per


Referencias

Assessing the Adequacy of Risk Management: Using ISO 31000 (2010) www.theiia.org

Formulating and Expressing Internal Audit Opinions (2011) www.theiia.org Coordinating Risk Management and Assurance (2012) www.theiia.org Selecting, Using and Creating Maturity Models: A Tool for Assurance and Consulting Engagements (2013) www.theiia.org

IIA Position Paper: The Role of Internal Auditing in Enterprise - Wide Risk Management (2004) www.theiia.org

IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control (2013) www.theiia.org

Position Statement: Risk Based Internal Auditing (2003) www.iia.org.uk Embracing Enterprise Risk Management (2011) www.coso.org Developing Key Risk Indicators to Strengthen Enterprise Risk Management (2010) www.coso.org

Enterprise Risk Management: Understanding and Communicating and Risk Appetite (2012) www.coso.org

Risk Assessment in Practice (2012) www.coso.org Gua: Definicin e implantacin de Apetito de Riesgo (2013) www.iai.es

Gracias

45

[email protected]

2013 09 auditoria bc peru

Documents