Auditoría continua como soporte para los indicadores claves de riesgos, controles y
procesos (KRI, KCI, KPI)
Wagner Roberto Pugliese, CIA, CCSA, CRMANasdaq BWise
Practice Leader, GRC Solutions - LatAm
Agenda
•SimilitudesydiferenciasentreAuditoríaContinuayMonitoreo;
•Objetivosdelnegocio,EstrategiaseKeyIndicators;
•Creacióndeenlaceentrelosindicadoresclavesylaaplicacióndelaestrategiadenegociosdelaempresa;
•Laconstruccióndeunprocesodegestiónderiesgoentiemporealporlas3líneasdedefensa;
•ResultadosEsperados.
Auditoría Continua y Monitoreo Continuo
AUDITORÍACONTINUA MONITOREOCONTINUO
OBJETIVOAbarcalos procesos quela gerenciapone en marchaparaasegurar quelas políticas,los procedimientos y losprocesos denegocios esténoperandodemanera efectiva.
Esun métodoutilizadoparallevar acaboevaluaciones decontrol yriesgo deformaautomáticaen unabasemásfrecuente.
FOCO
PREMISAS/VENTAJAS
Permitealos auditoresinternoscomprender completamentelos puntoscríticosdecontrol,reglas y excepciones
Seabordala responsabilidad delaadministración deevaluar la adecuación yla efectividad delos controles.
Debe estarestrechamentevinculadoaactividades degestióncomoel monitoreo del desempeño,el balanced scorecard y la gestiónderiesgos empresariales (ERM)
Loscasosdeerror y fraudesonreducidos significativamente,laeficiencia operacionalseincrementaylos resultadosfinales semejoran atravésdeunacombinación deahorrodecostos y unareducción en los pagosen exceso y fugasdeingresos.
NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA
1220–Cuidadoprofesional
1220.A2AlejercereldebidocuidadoprofesionalelauditorinternodebeconsiderarlauZlizacióndeauditoríabasadaentecnologíayotrastécnicasdeanálisisdedatos.
Evolución de las herramientas vs frecuencia vs rango
Proceso Auditoría continua e Monitoreo Continuo
Herramienta deextracción
DataBase
Análisis dedatos
Resultados
AuditoriaInternaIssues
GestoresPlanesdeAcción
¿Cómo agregarvalorcon soporte dela Auditoría Continua?
Definición de Auditoría Interna
LaAuditoríaInternaesunaactividadindependienteyobjetivadeaseguramientoyconsulta,concebidaparaagregarvalorymejorarlasoperacionesdeunaorganización.Ayudaaunaorganizaciónacumplirsusobjetivos aportandounenfoquesistemáticoydisciplinadoparaevaluarymejorarlaeficaciadelosprocesosdegestiónderiesgos,controlygobierno.
NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA
2120–GestióndelRiesgo2120.A1–Laactividaddeauditoríainternadebeevaluarlasexposicionesalriesgoreferidasagobierno,operacionesysistemasdeinformacióndelaorganización,conrelaciónalosiguiente:• Logrodelosobjetivosestratégicosdelaorganización,• Fiabilidaddeintegridaddelainformaciónfinancierayoperativa,• Eficaciayeficienciadelasoperacionesyprogramas,• Proteccióndeactivos,y• Cumplimientodeleyes,regulaciones,políticas,procedimientosycontratos.
2130-Control2130.A1–Laactividaddeauditoríainternadebeevaluarlaadecuaciónyeficaciadeloscontrolesenrespuestaalosriesgosdelgobierno,operacionesysistemasdeinformacióndelaorganización,respectodelosiguiente:• Logrodelosobjetivosestratégicosdelaorganización,• Fiabilidadeintegridaddelainformaciónfinancierayoperativa,• Eficaciayeficienciadelasoperacionesyprogramas,• Proteccióndeactivos,y• Cumplimientodeleyes,regulaciones,políticas,procedimientosycontratos.
NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA
2200–PlanificacióndeltrabajoLosauditoresinternosdebenelaborarydocumentarunplanparacadatrabajo,queincluyasualcance,objetivos,tiempoyasignaciónderecursos.ElPlandebeconsiderarlasestrategias,losobjetivosyriesgosrelevantesparaeltrabajo.
2201–ConsideracionessobreplanificaciónAlplanificareltrabajo,losauditoresinternosdebenconsiderar:• Lasestrategiasyobjetivosdelaactividadqueestásiendorevisadaylosmediosconlos
cualeslaactividadcontrolasudesempeño;• Losriesgossignificativosdelosobjetivos,recursosyoperacionesdelaactividadylos
mediosconloscualeselimpactopotencialdelriesgosemantieneaunnivelaceptable;• Laadecuaciónyeficaciadelosprocesosdegobierno,gesZónderiesgosycontroldela
actividadcomparadosconunenfoqueomodelorelevante• Lasoportunidadesdeintroducirmejorassignificativasenlosprocesosdegobierno,gesZón
deriesgosycontroldelaactividad.
NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA
2210–Objetivosdeltrabajo
2210.A3–Serequierencriteriosadecuadosparaevaluarelgobierno,lagesZónderiesgosyloscontroles.Losauditoresinternosdebencerciorarsequeladireccióny/oelConsejohanestablecidocriteriosadecuadosparadeterminarsilosobjetivosymetashansidocumplidos.Sifueraapropiado,losauditoresinternosdebenutilizardichoscriteriosensuevaluación.Sinofueraapropiado,losauditoresinternosdebenidentificarcriteriosdeevaluaciónadecuadosjuntoconladireccióny/oelConsejo.
COSO ERM – ENTERPRISE RISK MANAGEMENTALIGNING RISK WITH STRATEGY AND PERFORMANCE
Objetivos, Estrategia e Key Indicators
Objetivo Estrategia Apetitoporel Riesgo KPIeMetas KCIeKRI
Objetivo EstrategiaApetitoporel Riesgo KPIeMetas KCIeKRI
Objetivo Estrategia Apetitoporel Riesgo KPIeMetas KRIeKCI
CEO
VicePresidente
Director
Cascadadelos objetivosdela empresaparatodaslas áreas....
OBJETIVO
KPI KCI KRI
ESTRATEGIA
! RIESGOSPROCESOSYPRESUPUESTO
Conocer los objetivos y estrategias
KEY RISK INDICATOR (KRI)
KeyRiskIndicators (KRI)
BenchmarkingExterno
Objetivos/Estratégia Stakeholder Regulatório
PolíticasPerdaseIncidentes
OutrosInputsdeRisco
• Businessplan• Objetivosde
Negócio• Métricasde
Performance
• Clientes• Comercial• Empregados• Outros
• RequerimentosLegais
• Políticas
• Perdas• Incidentes
• DadosdeTerceiros• CenáriosdeRisco
• Concorrentes• Boaspráticas
• KRIesunamedidaparaindicarla presenciapotencial,nivel otendencia deunriesgo.Un KRIesantedetodounaherramienta demedición y,sobrela basedelamedición,ayuda en la tomadedecisión sobrequé dirección seguir.
KEY RISK INDICATOR (KRI)
ObjetivoseEstrategia Riesgo
Causa
KRI
Performance
Apetito porel riesgo
Proceso
Controles
Consecuencia
Factor deriesgo
KEY PERFORMANCE INDICATOR (KPI)
• Indicador para monitorear y evaluar el progreso de las medidas de performance(metas) definidas a partir de los objetivos y estrategias de la organización.
• Responder a la pregunta: estamos logrando nuestros niveles de performancedeseados?
Objetivo Presupuesto xCumplido
Metas(KPI)
AjustedeHC/Procesos /Tercerización
Estrategia A
Estrategia B
Estrategia C
Proceso
KEY CONTROL INDICATOR (KCI)
Objetivo/Estrategia
Controle-------------
KCI
Proceso-------------
KPI
Revisión dela Evaluación deRiesgos y el Apetito
RiesgosApetito-------------
KRI
• KCI’s se utilizan para evaluar si los controles tienen suficiente eficacia paraalcanzar los objetivos establecidos.
• El papel de KCI’s es asegurar que las respuestas apropiadas se activan de unamanera apropiada a una situación peligrosa identificada por KRI’s.
• KCI’s típicos cubrem la fiabilidad de la información financiera, el número deasuntos de auditoría o índices de aseguramiento de la calidad del producto.
Revisión/Ajustes
CREACIÓN DE ENLACE ENTRE LOS INDICADORES CLAVES Y LA APLICACIÓN DE LA ESTRATEGIA DE NEGOCIOS DE LA EMPRESA
Objetivo Target Variación aceptableen la performance
ApetitoalRiesgo
- IncrementarlasventasdelproductoCapitalización
- 30%decrecimiento dela cartera –basemm/aaaa
- 5%a7%en elaño
- 1%deventascanceladas
- Pérdidas dehastaun 5%
CREACIÓN DE ENLACE ENTRE LOS INDICADORES CLAVES Y LA APLICACIÓN DE LA ESTRATEGIA DE NEGOCIOS DE LA EMPRESA
- Objetivo:Incrementarlas ventasdel productoCapitalización em30%
Produto:
Processo:
Risco:
FatordeRisco:
Controle:
Capitalización
Cancelación deVentas
Riesgo OperativoPráticasComerciales Inadecuadas
Ventasforzadas
Existencia documentodesolicitud decancelación deventas
KPI’SRELACIONADOS
KPI1:
KPI2:
KPI3:
Qtde.VentasCanceladasQtde.VentasTotales(-) VentasCanceladas
Meta:___%/ano
ValorVentasCanceladasXPresupuesto (___%)
=___%
ValorVentasCanceladasValorVentasTotales(-)ValorCancelación(+-)Impuestos ecostos
=___%
KCI
KCI1: Existencia documentodesolicitud decancelación deventas
KRIA:Pérdidas VentasCanceladasXApetitoaoRiesgo porcancelacióndeventas
B:ReclamosporRegión,Sucursal,empleado emotivos
C:Pérdidas comacciones civiles eIndemnizaciones pagas
AUDITO
RÍACO
NTINUA
CREACIÓN DE ENLACE ENTRE LOS INDICADORES CLAVES Y LA APLICACIÓN DE LA ESTRATEGIA DE NEGOCIOS DE LA EMPRESA
Estructura de Procesos, Riesgos, Controles y Indicadores
CREACIÓN DE ENLACE ENTRE LOS INDICADORES CLAVES Y LA APLICACIÓN DE LA ESTRATEGIA DE NEGOCIOS DE LA EMPRESA
Control
PérdidasconventasCanceladas 10%
ReclamosporRegión,Sucursal… 5%
123KPérdidascom accionesciviles…
Process
Documentodesolicituddecancela…
Control Name KCIIssues
Process Name
CancelacióndeVentas
KPIKPI%
KPI_Qtde.VentasCanceladas
KPI_Valor VentasCanceladas
KPI_Valor VentasCanceladasxPresupuesto
5%
3,5%
200K
Dashboards - EjemplosKEY RISK INDICATOR (KRI)
Seguimiento del volumen de mensajes electrónicos transitados por la empresa, con el objetivo de identificar la fuga de datos.
Dashboards - EjemplosKEY PERFORMANCE INDICATOR (KPI)
Acompañamiento mensual del tiempo medio de atención (Plazo regulatorio 10 días)
Dashboards - EjemplosKEY CONTROL INDICATOR (KCI)
Monitoreo de la efectividad de los controles
La construcción de un processo de gestión de riesgo entiempo real por las 3 lineas de defensa
Requisitos:
• Rolesestablecidas paralas 3líneasdeDefensa;
• Elementosparacriación deproceso Integrado,e
• Gobierno Corporativo.
Líneas de Defensa
La construcción de un entorno integrado
§ Elementosnecesarios:
§ Objetivoseestrategias dela empresa;
§ Diccionario deRiesgos;
§ Diccionario deProcesos (Cadena deValor);
§ Diccionario deControles;
§ Como?
§ Definición delos objetivoseestrategia porla administración dela empresa;
§ Identificación y mapeo deprocesos dela empresa;
§ Identificación y evaluación delos controlesclave;
§ Identificación y mitigación delos ofensoresdepérdidas operativas;
§ Criación deIndicadoresdeRiesgos (KRI),dePerformance(KPI)y deControles(KCI).
Gestión y Monitoreo de Riesgo por las 3 Líneas de Defensa
KEYRISKINDICATOR
KEYPERFORMANCEINDICATOR
Vehículo legal
Segregación pornegocio
Proceso
Riesgo
Controle
KEYCONTROLINDICATOR
ComitédeRiesgo<ApetitoalRiesgo>
Gestión deobjetivosestratégicosyoperativos
Efetivo
Inefetivo
Issues/Tasks
Factorderiesgo
Objetivosdel negocio,Estrategias
Revisión/Ajustes
BOARD<Objetivos>
Auditoría
Con
tinua
Resultados Esperados
• Evaluación dinámica de riesgos y controles• Seguimiento de las metas / estrategias de la compañía de manera
integrada;• Ganancia de productividad, con la eliminación de redundancias en el
trabajo en las tres líneas de defensa;• Disminución del costo de cumplimiento;• Alineación con las mejores prácticas y mayor consistencia y calidad;• Metodologías de prueba estandarizadas, e• Fortalecimiento del ambiente de controles internos / compliance;
WAGNER ROBERTO PUGLIESEPractice Leader, GRC Solutions - [email protected]+55 11 98639-7819
Preguntas y Respuestas