Presentado por: Katia Ortiz
EN BUSCA DE LAS MEJORES
EN BUSCA DE LAS MEJORES
PR
PR
Á
Á
CTICAS DE AUDITORIA
CTICAS DE AUDITORIA
Mejores Prácticas en
Mejores Prácticas en
Evaluación de Riesgos en una
Evaluación de Riesgos en una
Empresa de
Empresa de
Telecomunicaciones
Telecomunicaciones
Del 4 al 7 de Agosto del 2011
Hard Rock Hotel, Bávaro, República Dominicana
Katia Ortiz
Katia Ortiz
-
-
MAI, MAG, CPA
MAI, MAG, CPA
Vicepresidente Auditor
Agenda
2.
2.
Algunos Conceptos sobre Riesgo
Algunos Conceptos sobre Riesgo
3.
3.
Fases de Implantaci
Fases de Implantaci
ó
ó
n
n
4.
4.
Sistema de Evaluaci
Sistema de Evaluaci
ó
ó
n de Riesgos en
n de Riesgos en
Tricom
Tricom
5.
5.
Lecciones Aprendidas y Conclusi
Lecciones Aprendidas y Conclusi
ó
ó
n
n
1.
Presentado por: Katia Ortiz
Compartir con ustedes nuestra
Compartir con ustedes nuestra
experiencia en la implantación
experiencia en la implantación
del modelo de evaluación de
del modelo de evaluación de
riesgos en la empresa de
riesgos en la empresa de
telecomunicaciones y entrete
telecomunicaciones y entrete
-
-nimiento Tricom.
nimiento Tricom.
Objetivo
Agenda
2.
2.
Algunos Conceptos sobre Riesgo
Algunos Conceptos sobre Riesgo
3.
3.
Fases de Implantaci
Fases de Implantaci
ó
ó
n
n
4.
4.
Sistema de Evaluaci
Sistema de Evaluaci
ó
ó
n de Riesgos en
n de Riesgos en
Tricom
Tricom
5.
5.
Lecciones Aprendidas y Conclusi
Lecciones Aprendidas y Conclusi
ó
ó
n
n
1.
Riesgo Empresarial
Riesgo Empresarial
:
:
futuros eventos inciertos, los cuales
pueden influir en el cumplimiento de los objetivos de las
organizaciones, incluyendo sus estrategias financieras y
operacionales.
Algunos Conceptos
Proceso de Gestión de Riesgos
Proceso de Gestión de Riesgos
:
:
Es un proceso estructurado,
consistente y continuo que permite identificar, evaluar, medir y
reportar riesgos y oportunidades que pueden afectar el logro de
los objetivos de la organización.
*
*
ERM: Enterprise Risk Management
ERM: Enterprise Risk Management
Apetito por el Riesgo
Apetito por el Riesgo
:
:
Es el máximo nivel de riesgo que los
accionistas están dispuestos a aceptar.
a. Sirve para definir la estrategia.
b. Direcciona la asignación de recursos.
Presentado por: Katia Ortiz
Riesgo Operativo
Riesgo Operativo
:
:
se define como el riesgo
de pérdidas derivadas de fallas en los
procesos internos, en los sistemas, en la
actuación del personal, por eventos externos,
o por procesos internos no adecuados.
−
Gente:
Incumplimiento por desconocimiento o
intencional de políticas internas.
−
Procesos:
Deficiencias en los procesos o la
ausencia de estos.
−
Sistemas:
Caída o violación de los sistemas o
de las informaciones que manejan.
−
Externos:
Fuerzas naturales o humanas o de
la acción directa de terceros.
Algunos Conceptos
Evolución de la Gestión de Riesgos
Presentado por: Katia Ortiz
Algunos Conceptos
Ernst
Ernst
&
&
Young
Young
Radar de Riesgos por Sector
Radar de Riesgos por Sector
Presentado por: Katia Ortiz
Algunos Conceptos
Ernst
Ernst
&
&
Young
Young
Radar de Riesgos por Sector
Radar de Riesgos por Sector
Algunos Conceptos
Ernst
Ernst
&
&
Young
Young
Radar de Riesgos por Sector
Radar de Riesgos por Sector
Presentado por: Katia Ortiz
Algunos Conceptos
Ernst
Ernst
&
&
Young
Young
Radar de Riesgos por Sector
Radar de Riesgos por Sector
Algunos Conceptos
Ernst
Ernst
&
&
Young
Young
Radar de Riesgos por Sector
Radar de Riesgos por Sector
Presentado por: Katia Ortiz
http://www.ey.com/MX/es/Services/Advisory/10_riesgos_del_negocio_2010
Ernst
Agenda
2.
2.
Algunos Conceptos sobre Riesgo
Algunos Conceptos sobre Riesgo
4.
4.
Sistema de Evaluación de Riesgos en
Sistema de Evaluación de Riesgos en
Tricom
Tricom
5.
5.
Lecciones Aprendidas y Conclusi
Lecciones Aprendidas y Conclusi
ó
ó
n
n
1.
1.
Objetivo
Objetivo
3.
Presentado por: Katia Ortiz Identificación Document. Controles Identificación Document. Controles Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación
Fase 1
Fase 1
Fase 2
Fase 2
Fase 3
Fase 3
Monitoreo
Continuo
Monitoreo
Continuo
Remediación y Prueba Remediación y PruebaGerencia,
Comité de Auditoría
Auditores Internos
Fase 4
Fase 4
Fase 5
Fase 5
Fases de Implantación
Sistema Evaluación de Riesgos
Fase 1/5: Definir Alcance y Planificar
TEXT
1. Planificar
Proyecto
2. Organizar
Equipo
3. Identificar
Herramientas
4. Identificar
Cuentas
Materiales
5. Identificar
los Procesos
6. Identificar
los Sistemas
Sistema Evaluación de Riesgos
Presentado por: Katia Ortiz
1.1 Planificar Proyecto
Informática
Finanzas
Auditoría
Interna
1.2 Organizar el Equipo
Operaciones
Presidencia
Sistemas y
Procedimientos
Junta de
Directores
Equipo de revisión:
10 integrantes
Presentado por: Katia Ortiz
COSO - ERM
1.3 Identificar Marco de Referencia y Herramientas
• Modelo
abierto
de riesgos en base a eventos (Modelo de
Identificación).
• Identificación de Riesgos por
Gestores
.
• Evaluación según
impacto
/ severidad y
probabilidad
de
ocurrencia / frecuencia.
• Cuantificación
económica
de los Riesgos.
• Tolerancia al riesgo definida conjuntamente con los
Gestores
.
• Seguimiento
continuo
.
Presentado por: Katia Ortiz
Software COBIT
COSO - ERM
Fase 1/5: Definir Alcance y Planificar
Software ERA
®
ERA ® “Enterprise Risk Assessor”
Factores Cualitativos:
Salvaguarda de Activos
Determinación de Provisiones
Preparación de Reportes Financieros
Naturaleza y composición de la cuenta
Volumen de transacciones, complejidad y Homogeneidad
Transacciones con partes relacionadas
Factores Cuantitativos:
Cuentas contables sobre RD$10MM anual
1.4 Identificar Cuentas Materiales
Presentado por: Katia Ortiz
1.5 Identificar los Procesos
Fase 1/5: Definir Alcance y Planificar
• Proceso de Ventas
• Proceso de Instalación
• Proceso de Compras
• Proceso de Inventario
• Proceso Revisión Cuentas Contables
• Proceso de Contabilidad
• Proceso de Inventario
• Proceso de Activos Fijos
• Proceso de Facturación
• Proceso de Pago Comisiones
• Proceso de Nómina
1.6 Identificar los Sistemas
Fase 1/5: Definir Alcance y Planificar
• Ordenes de Servicios
• Facturación
• Rating
• Comisiones
• Contabilidad
• Inventario
• Activos Fijos
• Nómina
• Ordenes de Compra
• Pagos
• Entre otros
Presentado por: Katia Ortiz Identificación Document. Controles Identificación Document. Controles Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación
Fase 1
Fase 1
Fase 2
Fase 2
Fase 3
Fase 3
Monitoreo
Continuo
Monitoreo
Continuo
Remediación y Prueba Remediación y PruebaGerencia,
Comité de Auditoría
Auditores Internos
Fase 4
Fase 4
Fase 5
Fase 5
Fases de Implantación
Sistema Evaluación de Riesgos
1. Evaluar
Riesgo a Nivel
de Entidad
2. Evaluar
Riesgos de las
Cuentas
3. Relacionar
Cuentas con
Procesos
TEXT
4. Identificar
Riesgos de los
Procesos
5. Evaluar el
Entorno de
Control
6. Evaluar
Tecnología de
Información
Fase 2/5: Evaluación y Definición
Sistema Evaluación de Riesgos
Presentado por: Katia Ortiz
Técnicas utilizadas:
9
Levantamiento del Mapa de Procesos
9
Entrevistas y Reuniones
9
Análisis Flujos de Procesos
9
Identificación de Indicadores de Riesgos
Fase 2/5: Evaluación y Definición
Fase 2/5: Evaluación y Definición
Presentado por: Katia Ortiz
Presentado por: Katia Ortiz
Categoría
de Riesgo Sub-categoría de Riesgo 1 Sub-categoría de Riesgo 2
Incendio Inundación
Otros de la naturaleza (geológicos / meteorológicos) Desastres civiles
Falla de transporte Falla de energía
Falla en telecomunicaciones externas Interrupción en el suministro de agua Indisponibilidad del edificio
Otro
Riesgo Regulatorio Regulador cambia reglas en la industria / país Guerra
Expropiación de activos Negocio bloqueado
Cambio en el régimen impositivo Otros cambios en la ley
Otro Externos
Riesgo Político / de Gobierno Desastres y Fallas en Servicios Públicos de Infraestructura
Preguntas que nos Ayudarán a Identificar los Riesgos
Evaluamos el impacto de los riesgos identificados usando la
siguiente escala:
Presentado por: Katia Ortiz
Evaluamos la probabilidad de que ocurran los riesgos usando la
siguiente escala:
Fase 2/5: Evaluación y Definición
1-5 1-4 1-3 1-2 1-1 2-5 2-4 2-3 2-2 2-1 3-5 3-4 3-3 3-2 3-1 4-5 4-4 4-3 4-2 4-1 5-5 5-4 5-3 5-2 5-1 Probabilidad de OcurrenciaMagnitud del Impacto
1 Insignificante 2 Menor 3 Moderado 4 Mayor 5 Catastrófico Casi Certeza 5 Probable 4 Posible 3 Improbable 2 Raro 1
Matriz de Impacto Vs. Probabilidad
Muy Alto
Alto
Moderado
Bajo
Presentado por: Katia Ortiz
Fase 2/5: Evaluación y Definición
Controlar
Compartir
Mitigar y Controlar
Aceptarlo
Riesgo Alto
Riesgo Moderado
Riesgo Moderado
Bajo Riesgo
Bajo
(Remota)
Muy Alto
Alto
(Probable)
I
M
P
A
C
T
O
PROBABILIDAD
Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación
Fase 1
Fase 1
Fase 2
Fase 2
Monitoreo
Continuo
Monitoreo
Continuo
Remediación y Prueba Remediación y PruebaGerencia,
Comité de Auditoría
Auditores Internos
Fase 4
Fase 4
Fase 5
Fase 5
Fases de Implantación
Sistema Evaluación de Riesgos
Sistema Evaluación de Riesgos
Identificación Document. Controles Identificación Document. Controles
Fase 3
Fase 3
Presentado por: Katia Ortiz
Fase 3: Identificación y Documentación
Software ERA
-2. Evaluar
Diseño Control
según
COSO
1. Identificar
Controles de
Riesgos
275 Riesgos
590 Controles
Identificación Document. Controles Identificación Document. Controles Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación
Fase 1
Fase 1
Fase 2
Fase 2
Fase 3
Fase 3
Monitoreo
Continuo
Monitoreo
Continuo
Gerencia,
Comité de Auditoría
Auditores Internos
Fase 5
Fase 5
Fases de Implantación
Sistema Evaluación de Riesgos
Sistema Evaluación de Riesgos
Remediación y Prueba Remediación y Prueba
Fase 4
Fase 4
Presentado por: Katia Ortiz
Fase 4: Prueba y Remediación
1. Diseñar
Pruebas y
Programas de
Auditoría
2. Ejecutar
las Pruebas
de Control
3. Comunicar
Resultados
4. Corregir las
Deficiencias
Identificación Document. Controles Identificación Document. Controles Evaluación Evaluación Definición Alcance y Planificación Definición Alcance y Planificación
Fase 1
Fase 1
Fase 2
Fase 2
Fase 3
Fase 3
Remediación y Prueba Remediación y Prueba
Gerencia,
Comité de Auditoría
Auditores Internos
Fase 4
Fase 4
Fases de Implantación
Sistema Evaluación de Riesgos
Sistema Evaluación de Riesgos
Monitoreo
Continuo
Monitoreo
Continuo
Fase 5
Fase 5
Presentado por: Katia Ortiz
Fase 5: Monitoreo
1.
Desarrollar
Sistema de
Monitoreo
3. Monitoreo
Continuo
2. Diseñar
Sistema de
Consecuencias
Agenda
2.
2.
Algunos Conceptos sobre Riesgo
Algunos Conceptos sobre Riesgo
5.
5.
Lecciones Aprendidas y Conclusi
Lecciones Aprendidas y Conclusi
ó
ó
n
n
1.
1.
Objetivo
Objetivo
4.
4.
Sistema de Evaluaci
Sistema de Evaluaci
ó
ó
n de Riesgos en
n de Riesgos en
Tricom
Tricom
3.
Presentado por: Katia Ortiz
Junta de Directores /
Staff Ejecutivo
Aprueba y Distribuye recursos
Responsables
Vicepresidentes Directores GerentesUnidades de Negocio
Auto-evaluaciones Implementa Cambios Administra el Riesgo
Monitoreo Continuo Planes de Acción de los Informes de Auditoría
Aseguramiento
Evalúa el proceso
Revisa las auto-evaluaciones
Prueba los Controles
Auditoría Interna
9 Políticas
-Procedimientos
ERM en Tricom
▫
Manual de Normas de Conducta.
▫
Comité de Cumplimiento de
Normas de Conducta.
▫
Canales de denuncias.
▫
Formulario de Declaración
Normas de Conducta.
▫
Sistema Acciones Significativas.
▫
El Staff Ejecutivo fomenta el
cumplimiento de normas,
políticas y procedimientos y de la
administración de riesgo.
1. Ambiente de Control
1. Ambiente de Control
▫
Los riesgos inherentes de los
principales procesos de las
operaciones de la base financiera
de la empresa están
documentados en el Software
ERA, bajo el marco de referencia
de COSO y SOX.
▫
Las operaciones de Tecnología de
Información (TI) están
documentadas en el Software
COBIT Advisor.
2. Evaluación de Riesgo
2. Evaluación de Riesgo
ERM en Tricom
Mecanismos de Control Interno
Presentado por: Katia Ortiz
▫
Website en Intranet con las
políticas y procedimientos
accesible a los Colaboradores.
▫
Check List de controles de
auto-evaluación.
▫
Workflow solicitud y autorización
de procesos.
▫
Infraestructura tecnológica
estable y una robusta red interna
y externa.
▫
Aplicaciones con “alarmas” de
eventos críticos.
3. Actividades de Control
3. Actividades de Control
▫
Logs de Auditoría en Base de Datos
de aplicaciones críticas.
▫
Sistema de Prevención de Intrusos
(IPS).
▫
Servidores y switches a la
vanguardia de la tecnología.
▫
Notificación automática de hallazgos
de Auditoría pendientes
▫
Control acceso automático a las
instalaciones, alarmas y circuito
cerrado.
ERM en Tricom
Mecanismos de Control Interno
▫
Sistema de comunicación formal.
▫
Programa de “Embajadores de
Marca”.
▫
Intranet con informaciones sobre
departamentos, procesos, servicios,
etc.
▫
Plataforma de Extranet para
interacción con los Canales y
Distribuidores.
▫
Protocolo de Comunicación Áreas
de Servicios.
4. Información y Com.
4. Información y Com.
▫
Supervisores disponen de check list
de controles para la ejecución del
Monitoreo Continuo.
▫
Sistemas de Información Gerencial.
▫
Evaluación del desempeño anual.
▫
Periódicamente Auditoría Interna
recibe retroalimentación sobre los
resultados de las rutinas de control
“check list” de los principales
procesos.
5. Supervisión
5. Supervisión
ERM en Tricom
Mecanismos de Control Interno
Presentado por: Katia Ortiz
Vista Software ERA®
Vistas del Sistema de Evaluación de Riesgos
Áreas de Riesgo
Áreas de Riesgo
Vistas del Sistema de Evaluación de Riesgos
Cuentas Contables
Presentado por: Katia Ortiz
Vista Software ERA®
Vistas del Sistema de Evaluación de Riesgos
Pantalla de Riesgos
Pantalla de Riesgos
Vista Software ERA®
Vistas del Sistema de Evaluación de Riesgos
Pantalla relación Proceso
Presentado por: Katia Ortiz
Vista Software ERA®
Vistas del Sistema de Evaluación de Riesgos
Pantalla Principal del Sistema
Pantalla Principal del Sistema
Presentado por: Katia Ortiz
Agenda
2.
2.
Algunos Conceptos sobre Riesgo
Algunos Conceptos sobre Riesgo
1.
1.
Objetivo
Objetivo
3.
3.
Fases de Implantaci
Fases de Implantaci
ó
ó
n
n
5.
5.
Lecciones Aprendidas y Conclusi
Lecciones Aprendidas y Conclusi
ó
ó
n
n
4.
Gran alcance
Cronograma ajustado
Outsourcing en la implementación del proyecto?
Definición del Equipo de Trabajo
Elección del Software de documentación
Cambio cultural (Concienciar sobre Control Interno)
Implementación de un Proceso de Auto-evaluación
Manual de Normas de Conducta
Creación del Comité de Cumplimiento
Mantener el Modelo de Control Interno
Presentado por: Katia Ortiz
Involucramiento de toda la Organización desde la
Junta de Directores hasta los niveles básicos
Adaptar la Organización a la cultura de Control
Interno. “El Control Interno es responsabilidad de
Todos”
Proceso Mejora Continua
Auto-evaluación de los controles
La documentación de los Procedimientos y
Políticas es vital para la agilización del Proceso
... Si tomas riesgos, podrías fallar.
... Si tomas riesgos, podrías fallar.
Pero si no tomas riesgos,
Pero si no tomas riesgos,
seguramente fallarás. El riesgo
seguramente fallarás. El riesgo
mayor de todos es no hacer
mayor de todos es no hacer
nada...
nada...
Jack
Jack
Welch
Welch
Ex
Presentado por: Katia Ortiz