EN BUSCA DE LAS MEJORES PRÁCTICAS DE AUDITORIA

(1)

Presentado por: Katia Ortiz

EN BUSCA DE LAS MEJORES

PR

Á

CTICAS DE AUDITORIA

Mejores Prácticas en

Evaluación de Riesgos en una

Empresa de

Telecomunicaciones

Del 4 al 7 de Agosto del 2011

Hard Rock Hotel, Bávaro, República Dominicana

Katia Ortiz

-

MAI, MAG, CPA

Vicepresidente Auditor

(2)

Agenda

2.

2. Algunos Conceptos sobre Riesgo

Algunos Conceptos sobre Riesgo

3.

3. Fases de Implantaci

Fases de Implantaci

ó

n

4.

4. Sistema de Evaluaci

Sistema de Evaluaci

ó

n de Riesgos en

Tricom

5.

5. Lecciones Aprendidas y Conclusi

Lecciones Aprendidas y Conclusi

ó

n

1.

(3)

Compartir con ustedes nuestra

experiencia en la implantación

del modelo de evaluación de

riesgos en la empresa de

telecomunicaciones y entrete

-

-nimiento Tricom.

nimiento Tricom.

Objetivo

(4)

Agenda

2.

2. Algunos Conceptos sobre Riesgo

Algunos Conceptos sobre Riesgo

3.

3. Fases de Implantaci

Fases de Implantaci

ó

n

4.

4. Sistema de Evaluaci

Sistema de Evaluaci

ó

n de Riesgos en

Tricom

5.

5. Lecciones Aprendidas y Conclusi

Lecciones Aprendidas y Conclusi

ó

n

1.

(5)

(6)

(7)

(8)

Riesgo Empresarial

:

futuros eventos inciertos, los cuales

pueden influir en el cumplimiento de los objetivos de las

organizaciones, incluyendo sus estrategias financieras y

operacionales.

Algunos Conceptos

Proceso de Gestión de Riesgos

:

Es un proceso estructurado,

consistente y continuo que permite identificar, evaluar, medir y

reportar riesgos y oportunidades que pueden afectar el logro de

los objetivos de la organización.

*

ERM: Enterprise Risk Management

Apetito por el Riesgo

:

Es el máximo nivel de riesgo que los

accionistas están dispuestos a aceptar.

a. Sirve para definir la estrategia.

b. Direcciona la asignación de recursos.

(9)

Riesgo Operativo

:

se define como el riesgo

de pérdidas derivadas de fallas en los

procesos internos, en los sistemas, en la

actuación del personal, por eventos externos,

o por procesos internos no adecuados.

−

Gente:

Incumplimiento por desconocimiento o

intencional de políticas internas.

−

Procesos:

Deficiencias en los procesos o la

ausencia de estos.

−

Sistemas:

Caída o violación de los sistemas o

de las informaciones que manejan.

−

Externos:

Fuerzas naturales o humanas o de

la acción directa de terceros.

(10)

Algunos Conceptos

Evolución de la Gestión de Riesgos

(11)

(12)

Algunos Conceptos

Ernst

&

Young

Radar de Riesgos por Sector

(13)

Algunos Conceptos

Ernst

&

Young

Radar de Riesgos por Sector

(14)

Algunos Conceptos

Ernst

&

Young

Radar de Riesgos por Sector

(15)

Algunos Conceptos

Ernst

&

Young

Radar de Riesgos por Sector

(16)

Algunos Conceptos

Ernst

&

Young

Radar de Riesgos por Sector

(17)

http://www.ey.com/MX/es/Services/Advisory/10_riesgos_del_negocio_2010

Ernst

(18)

Agenda

2.

2. Algunos Conceptos sobre Riesgo

Algunos Conceptos sobre Riesgo

4.

4. Sistema de Evaluación de Riesgos en

Sistema de Evaluación de Riesgos en

Tricom

5.

5. Lecciones Aprendidas y Conclusi

Lecciones Aprendidas y Conclusi

ó

n

1.

1. Objetivo

Objetivo

3.

(19)

Presentado por: Katia Ortiz Identificación Document. Controles Identificación Document. Controles Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación

Fase 1

Fase 2

_{Fase 2}

Fase 3

_{Fase 3}

Monitoreo

Continuo

Monitoreo

Continuo

Remediación y Prueba Remediación y Prueba

Gerencia,

Comité de Auditoría

Auditores Internos

Fase 4

Fase 5

Fases de Implantación

Sistema Evaluación de Riesgos

(20)

Fase 1/5: Definir Alcance y Planificar

TEXT

1. Planificar

Proyecto

2. Organizar

Equipo

3. Identificar

Herramientas

4. Identificar

Cuentas

Materiales

5. Identificar

los Procesos

6. Identificar

los Sistemas

Sistema Evaluación de Riesgos

(21)

1.1 Planificar Proyecto

(22)

Informática

Finanzas

Auditoría

Interna

1.2 Organizar el Equipo

Operaciones

Presidencia

Sistemas y

Procedimientos

Junta de

Directores

Equipo de revisión:

10 integrantes

(23)

COSO - ERM

1.3 Identificar Marco de Referencia y Herramientas

(24)

• Modelo

abierto

de riesgos en base a eventos (Modelo de

Identificación).

• Identificación de Riesgos por

Gestores

.

• Evaluación según

impacto

/ severidad y

probabilidad

de

ocurrencia / frecuencia.

• Cuantificación

económica

de los Riesgos.

• Tolerancia al riesgo definida conjuntamente con los

Gestores

.

• Seguimiento

continuo

.

(25)

Software COBIT

COSO - ERM

Fase 1/5: Definir Alcance y Planificar

Software ERA

®

ERA ® “Enterprise Risk Assessor”

(26)

Factores Cualitativos:

Salvaguarda de Activos

Determinación de Provisiones

Preparación de Reportes Financieros

Naturaleza y composición de la cuenta

Volumen de transacciones, complejidad y Homogeneidad

Transacciones con partes relacionadas

Factores Cuantitativos:

Cuentas contables sobre RD$10MM anual

1.4 Identificar Cuentas Materiales

(27)

1.5 Identificar los Procesos

Fase 1/5: Definir Alcance y Planificar

• Proceso de Ventas

• Proceso de Instalación

• Proceso de Compras

• Proceso de Inventario

• Proceso Revisión Cuentas Contables

• Proceso de Contabilidad

• Proceso de Inventario

• Proceso de Activos Fijos

• Proceso de Facturación

• Proceso de Pago Comisiones

• Proceso de Nómina

(28)

1.6 Identificar los Sistemas

Fase 1/5: Definir Alcance y Planificar

• Ordenes de Servicios

• Facturación

• Rating

• Comisiones

• Contabilidad

• Inventario

• Activos Fijos

• Nómina

• Ordenes de Compra

• Pagos

• Entre otros

(29)

Presentado por: Katia Ortiz Identificación Document. Controles Identificación Document. Controles Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación

Fase 1

Fase 2

_{Fase 2}

Fase 3

_{Fase 3}

Monitoreo

Continuo

Monitoreo

Continuo

Gerencia,

Comité de Auditoría

Auditores Internos

Fase 4

Fase 5

Fases de Implantación

Sistema Evaluación de Riesgos

(30)

1. Evaluar

Riesgo a Nivel

de Entidad

2. Evaluar

Riesgos de las

Cuentas

3. Relacionar

Cuentas con

Procesos

TEXT

4. Identificar

Riesgos de los

Procesos

5. Evaluar el

Entorno de

Control

6. Evaluar

Tecnología de

Información

Fase 2/5: Evaluación y Definición

Sistema Evaluación de Riesgos

(31)

Técnicas utilizadas:

9 Levantamiento del Mapa de Procesos

9 Entrevistas y Reuniones

9 Análisis Flujos de Procesos

9 Identificación de Indicadores de Riesgos

Fase 2/5: Evaluación y Definición

(32)

Fase 2/5: Evaluación y Definición

(33)

(34)

(35)

Categoría

de Riesgo Sub-categoría de Riesgo 1 Sub-categoría de Riesgo 2

Incendio Inundación

Otros de la naturaleza (geológicos / meteorológicos) Desastres civiles

Falla de transporte Falla de energía

Falla en telecomunicaciones externas Interrupción en el suministro de agua Indisponibilidad del edificio

Otro

Riesgo Regulatorio Regulador cambia reglas en la industria / país Guerra

Expropiación de activos Negocio bloqueado

Cambio en el régimen impositivo Otros cambios en la ley

Otro Externos

Riesgo Político / de Gobierno Desastres y Fallas en Servicios Públicos de Infraestructura

(36)

Preguntas que nos Ayudarán a Identificar los Riesgos

(37)

(38)

Evaluamos el impacto de los riesgos identificados usando la

siguiente escala:

(39)

Evaluamos la probabilidad de que ocurran los riesgos usando la

siguiente escala:

(40)

Fase 2/5: Evaluación y Definición

1-5 1-4 1-3 1-2 1-1 2-5 2-4 2-3 2-2 2-1 3-5 3-4 3-3 3-2 3-1 4-5 4-4 4-3 4-2 4-1 5-5 5-4 5-3 5-2 5-1 Probabilidad de Ocurrencia

Magnitud del Impacto

1 Insignificante 2 Menor 3 Moderado 4 Mayor 5 Catastrófico Casi Certeza 5 Probable 4 Posible 3 Improbable 2 Raro 1

Matriz de Impacto Vs. Probabilidad

Muy Alto

Alto

Moderado

Bajo

(41)

Fase 2/5: Evaluación y Definición

Controlar

Compartir

Mitigar y Controlar

Aceptarlo

Riesgo Alto

Riesgo Moderado

Bajo Riesgo

Bajo

(Remota)

Muy Alto

Alto

(Probable)

I

M

P

A

C

T

O

PROBABILIDAD

(42)

Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación

Fase 1

Fase 2

_{Fase 2}

Monitoreo

Continuo

Monitoreo

Continuo

Gerencia,

Comité de Auditoría

Auditores Internos

Fase 4

Fase 5

Fases de Implantación

Sistema Evaluación de Riesgos

Identificación Document. Controles Identificación Document. Controles

Fase 3

(43)

Fase 3: Identificación y Documentación

Software ERA

-2. Evaluar

Diseño Control

según

COSO

1. Identificar

Controles de

Riesgos

275 Riesgos

590 Controles

(44)

Identificación Document. Controles Identificación Document. Controles Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación

Fase 1

Fase 2

_{Fase 2}

Fase 3

_{Fase 3}

Monitoreo

Continuo

Monitoreo

Continuo

Gerencia,

Comité de Auditoría

Auditores Internos

Fase 5

Fases de Implantación

Sistema Evaluación de Riesgos

Fase 4

(45)

Fase 4: Prueba y Remediación

1. Diseñar

Pruebas y

Programas de

Auditoría

2. Ejecutar

las Pruebas

de Control

3. Comunicar

Resultados

4. Corregir las

Deficiencias

(46)

Identificación Document. Controles Identificación Document. Controles Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación

Fase 1

Fase 2

_{Fase 2}

Fase 3

_{Fase 3}

Gerencia,

Comité de Auditoría

Auditores Internos

Fase 4

Fases de Implantación

Sistema Evaluación de Riesgos

Monitoreo

Continuo

Monitoreo

Continuo

Fase 5

(47)

Fase 5: Monitoreo

1. Desarrollar

Sistema de

Monitoreo

3. Monitoreo

Continuo

2. Diseñar

Sistema de

Consecuencias

(48)

Agenda

2.

2. Algunos Conceptos sobre Riesgo

Algunos Conceptos sobre Riesgo

5.

5. Lecciones Aprendidas y Conclusi

Lecciones Aprendidas y Conclusi

ó

n

1.

1. Objetivo

Objetivo

4.

4. Sistema de Evaluaci

Sistema de Evaluaci

ó

n de Riesgos en

Tricom

3.

(49)

Junta de Directores /

Staff Ejecutivo

Aprueba y Distribuye recursos

Responsables

Vicepresidentes Directores Gerentes

Unidades de Negocio

Auto-evaluaciones Implementa Cambios

Administra el Riesgo

Monitoreo Continuo

Planes de Acción de los Informes de Auditoría

Aseguramiento

Evalúa el proceso

Revisa las auto-evaluaciones

Prueba los Controles

Auditoría Interna

9 Políticas

-Procedimientos

ERM en Tricom

(50)

▫

Manual de Normas de Conducta.

▫

Comité de Cumplimiento de

Normas de Conducta.

▫

Canales de denuncias.

▫

Formulario de Declaración

Normas de Conducta.

▫

Sistema Acciones Significativas.

▫

El Staff Ejecutivo fomenta el

cumplimiento de normas,

políticas y procedimientos y de la

administración de riesgo.

1. Ambiente de Control

▫

Los riesgos inherentes de los

principales procesos de las

operaciones de la base financiera

de la empresa están

documentados en el Software

ERA, bajo el marco de referencia

de COSO y SOX.

▫

Las operaciones de Tecnología de

Información (TI) están

documentadas en el Software

COBIT Advisor.

2. Evaluación de Riesgo

ERM en Tricom

Mecanismos de Control Interno

(51)

▫

Website en Intranet con las

políticas y procedimientos

accesible a los Colaboradores.

▫

Check List de controles de

auto-evaluación.

▫

Workflow solicitud y autorización

de procesos.

▫

Infraestructura tecnológica

estable y una robusta red interna

y externa.

▫

Aplicaciones con “alarmas” de

eventos críticos.

3. Actividades de Control

▫

Logs de Auditoría en Base de Datos

de aplicaciones críticas.

▫

Sistema de Prevención de Intrusos

(IPS).

▫

Servidores y switches a la

vanguardia de la tecnología.

▫

Notificación automática de hallazgos

de Auditoría pendientes

▫

Control acceso automático a las

instalaciones, alarmas y circuito

cerrado.

ERM en Tricom

Mecanismos de Control Interno

(52)

▫

Sistema de comunicación formal.

▫

Programa de “Embajadores de

Marca”.

▫

Intranet con informaciones sobre

departamentos, procesos, servicios,

etc.

▫

Plataforma de Extranet para

interacción con los Canales y

Distribuidores.

▫

Protocolo de Comunicación Áreas

de Servicios.

4. Información y Com.

▫

Supervisores disponen de check list

de controles para la ejecución del

Monitoreo Continuo.

▫

Sistemas de Información Gerencial.

▫

Evaluación del desempeño anual.

▫

Periódicamente Auditoría Interna

recibe retroalimentación sobre los

resultados de las rutinas de control

“check list” de los principales

procesos.

5. Supervisión

ERM en Tricom

Mecanismos de Control Interno

(53)

Vista Software ERA®

Vistas del Sistema de Evaluación de Riesgos

Áreas de Riesgo

(54)

Vistas del Sistema de Evaluación de Riesgos

Cuentas Contables

(55)

Vista Software ERA®

Vistas del Sistema de Evaluación de Riesgos

Pantalla de Riesgos

(56)

Vista Software ERA®

Vistas del Sistema de Evaluación de Riesgos

Pantalla relación Proceso

(57)

Vista Software ERA®

Vistas del Sistema de Evaluación de Riesgos

Pantalla Principal del Sistema

(58)

(59)

Agenda

2.

2. Algunos Conceptos sobre Riesgo

Algunos Conceptos sobre Riesgo

1.

1. Objetivo

Objetivo

3.

3. Fases de Implantaci

Fases de Implantaci

ó

n

5.

5. Lecciones Aprendidas y Conclusi

Lecciones Aprendidas y Conclusi

ó

n

4.

(60)

Gran alcance

Cronograma ajustado

Outsourcing en la implementación del proyecto?

Definición del Equipo de Trabajo

Elección del Software de documentación

Cambio cultural (Concienciar sobre Control Interno)

Implementación de un Proceso de Auto-evaluación

Manual de Normas de Conducta

Creación del Comité de Cumplimiento

Mantener el Modelo de Control Interno

(61)

Involucramiento de toda la Organización desde la

Junta de Directores hasta los niveles básicos

Adaptar la Organización a la cultura de Control

Interno. “El Control Interno es responsabilidad de

Todos”

Proceso Mejora Continua

Auto-evaluación de los controles

La documentación de los Procedimientos y

Políticas es vital para la agilización del Proceso

(62)

... Si tomas riesgos, podrías fallar.

Pero si no tomas riesgos,

seguramente fallarás. El riesgo

mayor de todos es no hacer

nada...

Jack

Welch

Ex

(63)

Gracias por su atención!!!

Katia Ortiz,

Vicepresidente Auditoría Interna

Tricom

Email:

Kortiz@tricom.com.do

Tels: 809-476-4060

(64)

Katia Ortiz,

Vicepresidente Auditoría Interna

Licenciada en Contabilidad, CPA, con Maestría en Auditoría Integral y Control

de Gestión de doble titulación en la Universidad APEC y Universidad de

Valencia. También posee una Maestría en Alta Gerencia (MAG) concentración

en Finanzas en la Universidad Intec. Diplomado en Auditoría Forense e

Investigación Legal y Diplomado en Alta Gestión Empresarial.

Más de 15 años de experiencia en Auditoría, ha desempeñado diferentes

cargos durante su carrera administrativa, desarrollada básicamente en Tricom,

importante empresa de telecomunicaciones y entretenimiento de la República

Dominicana, donde actualmente ocupa la posición de Vicepresidente de

Auditoria Interna & Calidad.

Cabe destacar su especialización en auditoría de telecomunicaciones, auditoría