1. CONTEXTUALIZACIÓN DEL PROBLEMA 2.3 Planificación Una adecuada planificación de auditoría deberá seguir los lineamientos metodológicos sugeridos por los estándares y marcos de referencias nacionales e internacionales para la práctica de auditoría. La normativa emitida por la Superintendencia de Bancos y Seguros en referencia a la planificación de auditoría, menciona ciertos puntos que deben estar considerados en su elaboración para reducir el riesgo verificar la efectividad de los controles implementados por la Organización los cuales deben mitigar los riesgos. Dichos puntos de enfoque deben ser de cubiertos por el Auditor cuando se encuentre elaborando la planificación: Cuando la Organización financiera tiene un sistema de gestión de riesgos adecuado, el auditor puede depositar una mayor confianza en este análisis de riesgo y sobre esta base desarrollar el plan de auditoría basado en riesgos, sin que esto signifique que no se realicen evaluaciones adicionales por parte del auditor para verificar o complementar la evaluación de riesgos. En caso de que la Organización no cuente con un sistema de gestión de riesgos adecuado o de menor desarrollo, el auditor deberá efectuar su propio análisis de riesgo que le permita planificar con base a los riesgos organizacionales evaluados. (SBS, 2015). De conformidad con lo establecido en la normativa vigente que rige las actividades y procesos de revisión del Auditor, el enfoque de auditoría debe estar basado en las mejores prácticas de evaluación, administración y gestión de riesgos, conocimiento teórico que permitirá determinar los criterios necesarios en la elaboración de la metodología de planes de auditoría basada en riesgos y así definir las prioridades del negocio. SBS (2015) menciona que: De conformidad con el cuarto inciso del artículo 8, Sección III, Capítulo II, Título XXI, Libro 1 de la Codificación de Resoluciones de la Superintendencia de Bancos y de la Junta Bancaria; La auditoría basada en riesgos consiste en un conjunto de procesos mediante los cuales la auditoria provee aseguramiento independiente al Directorio, acerca de: 39 Si los procesos y medidas de gestión del riesgo que se encuentran implementadas están funcionando de acuerdo a lo esperado; Si los procesos de gestión son apropiados y están bien diseñados; y, Si las medidas de control de riesgos que la gerencia ha implementado son adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio. (p.492) El trabajo, gestión y metodología aplicada por el auditor interno en el ejercicio de sus labores y en la emisión de informes, deberá observar lo establecido en: Codificación de resoluciones de la Superintendencia de Bancos y Seguros del Ecuador. Marco Internacional para la Práctica Profesional de la Auditoría Interna Normas Internacionales de Auditoría Código de ética emitido por The Institute of Internal Auditors (IIA) y Guías de Auditoría de Tecnológica Global (GTAG) del Instituto de Auditores Internos, complemento como mejor práctica. Disposiciones emitidas por el Information Systems Audit and Control Association (ISACA) – complemento como mejor práctica. (SBS, 2015). La normativa y prácticas que rigen la labor del auditor interno, están contenidas en lo establecido por la Superintendencia de Bancos y Seguros del Ecuador, en el Marco Internacional para la Práctica Profesional de la Auditoría Interna y en las Normas Internacionales de Auditoría. Dichas normativas establecen que, el enfoque de la planificación del auditor interno, además de las revisiones a los estados financieros, gestión y cumplimiento de normativa aplicable al negocio, debe estar basado en riesgos. Whittington & Pany (2003) mencionan que para la planificación de auditoría es necesario el conocimiento detallado del negocio que permita conforme la experiencia del auditor, enfocarse en una estrategia de auditoría global, determinando de forma correcta la materialidad y con esta base concluir sobre la razonabilidad de los estados financieros. 40 En relación a lo antes mencionado, será necesario para el desarrollo de esta investigación la utilización entre otros la siguiente normativa interna de la sociedad financiera a ser considerada la cual es parte del marco teórico ya que justifica aquellos procesos o entes de mayor relevancia para el negocio y que deben aportar en la metodología que guie al auditor en la elaboración de dicho plan. Plan estratégico de la Organización: Esta planificación que fue elaborada para 5 años mantiene 8 iniciativas estratégicas que se han ido desarrollando y soportando por las áreas y sus procesos. Plan de continuidad del negocio: El plan de continuidad basado en normativas internacionales y buenas prácticas de continuidad y alta disponibilidad, determina cuales son los procesos críticos que no pueden dejar de estar funcionales por un período prolongado de tiempo ya que esta afectación pudiera impactar de manera negativa y ocasionar grandes pérdidas al negocio. Matriz de riesgo institucional: La metodología de evaluación de riesgo de la Organización deberá ser un insumo para determinar y valorar los riesgos de los entes auditables en la metodología a elaborar. Para la elaboración de la metodología de planificación será necesario incorporar los criterios normativos anteriormente citados ya que su fundamento será el riesgo del negocio considerando los diferentes factores que prioricen los procesos de la Organización. En este contexto, la definición de un método para la identificación de entes auditables que conformen la planificación de auditoría, mediante la evaluación de factores de riesgo, proporcionan a la Unidad de Auditoría Interna un marco que reducirá la subjetividad y enfocaría y direccionaría sus revisiones con énfasis en aquellos procesos de mayor nivel de riesgo. 41 Conforme lo expuesto, podemos determinar que en función de la metodología de elaboración de planes de auditoría con base en riesgos, será posible la identificación y priorización de entes auditables a ser evaluados por la unidad de Auditoría. Habiendo revisado la documentación científica previamente descrita, la cual requiere que la planificación de auditoría se realice evaluando previamente el riesgo y evidenciando debilidades en el proceso de planificación, es necesario desarrollar una metodología de planificación de auditoría que ayude a priorizar los entes auditables basado en componentes o pilares de riesgo y un método que permita la evaluación de los controles en cuanto a su efectividad. 2.4 Fundamentación Legal El auditor debe cumplir con los requisitos de calificación exigida por el ente de control en cuanto a su competencia y suficiencia para afrontar las labores asignadas en la misma ley. Adicionalmente debe presentar informes y reportes establecidos por la Ley General de Instituciones del Sistema Financiero y en la Codificación de Resoluciones de la Superintendencia, es decir, informes trimestrales de su gestión, que deben incluir al menos el resumen de los resultados de las diferentes revisiones, observaciones, recomendaciones y seguimiento posterior. Así también deberá presentar un informe sobre el seguimiento de las actividades de riesgo operativo y la implementación de la normativa correspondiente. El auditor deberá responder por toda resolución que el ente de control requiera una mayor explicación o ampliación de los contenidos de tales informes. La normativa que debe cumplir el auditor es la emitida por la Superintendencia de Bancos y Seguros del Ecuador misma que toma como base el Marco Internacional para la Práctica Profesional de la Auditoría Interna y las Normas Internacionales de Auditoría. Dichas normativas instan al auditor a planificar con base en el riesgo no dejando de considerar el balance con la estrategia y la eficiencia de los procesos de una Institución. SBS (2014) menciona que: De conformidad con el cuarto inciso del artículo 8, Sección III, Capítulo II, Título XXI, Libro 1 de la Codificación de Resoluciones de la Superintendencia de 42 Bancos y de la Junta Bancaria; La auditoría basada en riesgos consiste en un conjunto de procesos mediante los cuales la auditoria provee aseguramiento independiente al Directorio, acerca de: - Si los procesos y medidas de gestión del riesgo que se encuentran implementadas están funcionando de acuerdo a lo esperado; - Si los procesos de gestión son apropiados y están bien diseñados; y, - Si las medidas de control de riesgos que la gerencia ha implementado son adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio. (p.492) Toda gestión realizada por el auditor en el desarrollo de sus labores deberá considerar la siguiente normativa y regulación nacional e internacional: Codificación de resoluciones de la Superintendencia de Bancos y Seguros del Ecuador. Marco Internacional para la Práctica Profesional de la Auditoría Interna Normas Internacionales de Auditoría Código de ética emitido por The Institute of Internal Auditors (IIA) y Guías de Auditoría de Tecnológica Global (GTAG) del Instituto de Auditores Internos, complemento como mejor práctica. Disposiciones emitidas por el Information Systems Audit and Control Association (ISACA) – complemento como buena práctica 43 CAPITULO III METODOLOGÍA APLICADA 3.1. Metodología de la investigación Para el desarrollo de la metodología de planificación de auditoría cuyo enfoque es la identificación de entes auditables para Diners Club del Ecuador, a través de factores de riesgo, se consideraron datos cuantitativos así como también cualitativos, los cuales permitieron determinar los riesgos inherentes que se ajusten a la realidad de cada proceso. Al valorar los riesgos desde la perspectiva de auditoría fue necesario minimizar la subjetividad que este proceso conlleva a través de características previamente establecidas en los factores de riesgo con un peso específico para cada amenaza o grupo de amenazas que afecten al proceso. 3.1.1 Nivel de la investigación Esta investigación de carácter descriptiva que inició con la obtención de material bibliográfico, documental y bases científicas con el fin de enriquecer los conocimientos a través de estudios formales sobre la problemática planteada inicialmente y que sirvió como base para el desarrollo del trabajo. Las documentación principal para la obtención de esta información fue la planificación de auditoría y el análisis de riesgos, que guiaron el desarrollo de la metodología para identificación de entes auditables por medio de factores de riesgo para Diners Club del Ecuador lo cual es un aporte para la Organización y la planificación de auditoría en cumplimiento de la norma vigente. 3.1.2 Método de la investigación Utilizando el método teórico, se analizaron estudios sobre metodologías de planificación de auditoría con énfasis en riesgos, métodos y buenas prácticas de evaluación de riesgos e investigaciones sobre la evaluación de efectividad del control. 44 Adicionalmente a esta documentación, también se revisó la normativa vigente del Libro 1 de la Superintendencia de Bancos y Seguros del Ecuador y toda aquella ley que esté dirigida al sector financiero para planificación de auditoría interna y su cumplimiento sea obligatorio. Se realizó una evaluación preliminar del entorno de auditoría en la Organización para conocer cómo lleva a cabo sus procesos de planificación y priorización de actividades del área, con el fin de determinar el alcance de cobertura logrado sobre los procesos críticos de la Organización. A través del método empírico se efectuaron entrevistas con el personal que elabora el plan anual de auditoría incluyendo aquellos que dejaron de ser parte del área y mantenían dicha responsabilidad, esto con el fin de obtener información referente al enfoque utilizado para planificar en años anteriores e incorporar en la metodología posibles consideraciones que le agreguen valor. Como parte del método empírico se elaboró un cuestionario que fue aplicado en la entrevista al personal que realiza la planificación de Auditoría, este cuestionario buscó identificar cuáles son los criterios utilizados para la planificación de auditoría, con lo cual se podrá deducir las oportunidades de mejora que son necesarias para potenciar la planificación. La entrevista consta tiene 10 preguntas de las cuales 3 son cerradas, 3 abiertas, 2 de selección y 2 mixtas (cerrada/abierta) para cada una de las categorías se ponderó el resultado según la cantidad de respuestas para obtener el análisis final, con esto determinar los rangos de medición y poder realizar la valoración de riesgo de forma adecuada, tratando de disminuir la subjetividad que tiene este proceso al ser cualitativo. Este es un punto importante ya que al final de la medición obtenemos datos cuantitativos del proceso cualitativo inicial, es decir transformamos a números las respuestas cualitativas. 45 Para determinar el riesgo de cada proceso fue necesario complementar al análisis de riesgo de la Organización, ya que no es igual medir el riesgo desde la perspectiva del Negocio que desde la visión de Auditoría. Tomando como base el análisis previo de la Organización, se incluyeron 5 factores de riesgo adicionales que pueden enriquecer la visión de Auditoría sobre cada proceso y a cada uno se le otorgó una ponderación según la importancia que tienen, esto bajo el criterio del auditor. En una medición de riesgo es importante considerar ciertos aspectos que para el caso de este análisis fue necesario evaluar, adicionalmente a los riesgos de cada proceso en la institución, temas referentes a la continuidad del negocio, regulación gubernamental, y los resultados de auditoría de años anteriores. Cada proceso fue calificado en una escala ordinal entre 1 y 5 siendo 1 el nivel más bajo y 5 el más importante o alto, esto apoyado de una matriz de conceptos generales que se encasilla en cada nivel de riesgo, esta guía es necesaria para otorgar dicha calificación. Cada una de las calificaciones en los 6 factores de riesgo fue multiplicada por la ponderación otorgada a cada factor, para luego ser sumada y obtener la calificación total, como resultado tenemos el nivel de riesgo del proceso o ente auditable según la metodología propuesta. Se revisó y analizó bibliografía referente a efectividad de controles, verificando las categorías utilizadas por diferentes autores, identificando cuales son las características más importantes del control y como pueden llegar a ser medidas al mitigar el riesgo. La matriz de efectividad de controles busca partir de un riesgo declarado e identificar si el control lo mitiga. Para lograr identificar de manera objetiva como el control mitiga el riesgo, este debe cumplir con algunas condiciones necesarias. Para lo cual se ha determinado 5 características o condiciones del control a ser medidas cuyo puntaje final sobre 5 es distribuido según la categoría más importante. Luego de distribuida la calificación sobre 5 puntos, correspondiente a cada una de las 5 características de efectividad del control se ha determinado que la calificación de cada 46 característica será entre cero (0) o el máximo valor otorgable a esa característica, es decir, si a la característica “Se encuentra documentado” se le otorgó los valores de 0 o 1.5, si el control está realmente documentado obtendrá 1.5 como calificación, si por el contrario no tiene documentación o la misma se encuentra parcialmente desarrollada se le otorgará el valor de 0 (cero) no se permiten valores intermedios. El resultado de la suma de los valores otorgados a las características, será utilizado como denominador del valor alcanzado de riesgo del proceso (entre 1 y 5 puntos), y así determinar objetivamente el riesgo residual de un proceso. Esta calificación sirve de insumo para el factor de revisiones de años anteriores de la metodología. 3.1.3 Técnicas de investigación Se efectuaron entrevistas a especialistas - expertos en materia de auditoría que nos guíen sobre como disminuir la subjetividad en los análisis de riesgos a ser aplicados a los entes auditables. Se utilizó la técnica de fichaje, la utilización de libros y artículos científicos Se elaboraron tablas para la recopilación de datos cualitativos de la evaluación de la planificación actual del área de Auditoría, determinando categorías con base en la repetición y determinando los porcentajes que cada categoría obtuvo en cada pregunta. Para la recopilación de información se realizaron entrevistas a 2 auditores generales de la institución y que ya no cumplen con esas funciones en la actualidad, adicionalmente identificamos al personal más representativo del área, el cual fue parte de la planificación 2014. 3.1.4 Universo de estudio y muestra El universo de estudio es todo el personal que elabora el plan de trabajo del área de auditoría de Diners Club del Ecuador, incluye aquellos que dejaron la Organización en los últimos 5 años. Se considerará a todo el personal mencionado. 47 3.1.5 Técnica de muestreo En esta investigación se utilizó el muestreo intencionado, debido al reducido número de personas a entrevistar. 3.1.6 Presentación de resultados En el siguiente capítulo se presentan los resultados, de aplicación de la metodología de entes auditables. 48 CAPÍTULO IV In document Metodología para la elaboración de planes de auditoría que permita identificar y priorizar de manera oportuna las revisiones a los entes auditables cuyos riesgos podrían generar grandes pérdidas a Diners Club del Ecuador (página 38-48)
