Metodología para la elaboración de planes de auditoría que permita identificar y priorizar de manera oportuna las revisiones a los entes auditables cuyos riesgos podrían generar grandes pérdidas a Diners Club del Ecuador

UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL

DIRECCIÓN GENERAL DE POSGRADOS

TRABAJO DE GRADO

PARA LA OBTENCIÓN DEL TÍTULO DE:

MAGISTER EN AUDITORÍA Y FINANZAS

“METODOLOGÍA PARA LA ELABORACIÓN DE PLANES DE AUDITORÍA QUE

PERMITA IDENTIFICAR Y PRIORIZAR DE MANERA OPORTUNA LAS

REVISIONES A LOS ENTES AUDITABLES CUYOS RIESGOS PODRÍAN GENERAR

GRANDES PÉRDIDAS A DINERS CLUB DEL ECUADOR”

AUTOR:

OSCAR NICOLÁS PADILLA MORALES

DIRECTORA:

MSc. LUCY DEL CARMEN VEGA MARTÍNEZ

2

DECLARATORIA DE ORIGINALIDAD

Yo, Oscar Nicolás Padilla Morales, declaro que la presente investigación es de mi autoría y fue

realizada bajo la dirección de la Msc. Lucy Vega.

Mi proyecto de tesis es original y no constituye plagio o copia alguna, de ser comprobado lo

contrario me someto a las disposiciones legales pertinentes.

3

DEDICATORIA

Este trabajo se lo dedico a mi familia, quienes me han apoyado incondicionalmente sacrificando

de su tiempo para permitirme llegar a este momento. Todo el ánimo, la fuerza y el amor que me

entregaron durante todo el proceso es algo que no lo puedo agradecer con nada, les entrego

todo mi corazón, amor y ahora mi tiempo, gracias eternas.

4

AGRADECIMIENTOS

Gracias eternas a mi Dios por permitirme llegar a este momento y ayudarme en todo lo que hago.

También es necesario agradecer a todas las personas que me ayudaron a alcanzar este objetivo,

gracias por todo el apoyo, paciencia, ánimo de ayudar desinteresadamente, por estar ahí cuando

les necesitaba, a mis compañeros y amigos de maestría, gracias por todo.

Un agradecimiento especial Lucy Vega quien con su profesionalismo y experiencia me supo

guiar en la elaboración de la presente tesis.

5

INDICE

Contenido

Página

RESUMEN

... 9

ABSTRACT

... 9

CAPITULO I

... 9

1.

CONTEXTUALIZACIÓN DEL PROBLEMA

... 10

1.1.

Objetivos de la investigación

... 11

1.1.1

Objetivo general ... 11

1.1.2

Objetivos específicos ... 11

1.2.

Hipótesis

... 11

1.3.

Justificación

... 11

CAPITULO 2

... 13

MARCO TEÓRICO

... 13

2.1

Antecedentes de la Investigación

... 13

2.2

Fundamentación Teórica o Bases Teóricas

... 14

2.2.1

Riesgo ... 17

2.2.2

Control Interno ... 26

2.2.3

El control ... 33

2.2.4

El control interno tiene limitaciones ... 34

2.3

Planificación

... 38

2.4

Fundamentación Legal

... 41

CAPITULO III

... 43

METODOLOGÍA APLICADA

... 43

3.1.

Metodología de la investigación

... 43

3.1.1

Nivel de la investigación ... 43

3.1.2

Método de la investigación ... 43

3.1.3

Técnicas de investigación ... 46

3.1.4

Universo de estudio y muestra ... 46

3.1.5

Técnica de muestreo ... 47

3.1.6

Presentación de resultados ... 47

6

RESULTADOS

... 48

4.1

Descripción del modelo actual de planificación de la auditoría

... 48

4.1.1

Organigrama institucional en el que se presenta la ubicación del área y su reporte ... 48

4.1.2

Personal del área de auditoría... 49

4.1.3

Criterios utilizados por el personal para la elaboración del plan ... 51

4.1.4

Metodología actual utilizada para la elaboración del plan ... 58

4.1.5

Conformación del plan de auditoría ... 60

4.1.6

Procesos de alto riesgo no evaluados ... 63

CAPITULO V

... 65

PROPUESTA DE METODOLOGÍA PARA ELABORAR PLANES DE AUDITORÍA

.... 65

5.1

Método de evaluación, ponderación y grado de importancia de los procesos en la institución.

... 65

5.2

Factores de riesgo:

... 65

5.2.1

Mapa de procesos y matriz de riesgos institucional ... 66

5.2.2

Impacto en los procesos críticos de la organización ... 66

5.2.3

Impacto sobre las iniciativas estratégicas de la organización ... 67

5.2.4

Cumplimiento regulatorio organismos de control - impacto en prevención de lavado de activos. ... 69

5.2.5

Resultados de Auditorías del último año ... 71

5.2.6

Tiempo no auditado... 71

5.3

Ponderación y escala de medición:

... 72

5.3.1

Valoración de los Factores de Riesgo y niveles de impacto ... 72

5.4

Identificación de los Entes auditables

... 74

5.4.1

Niveles de Criticidad: ... 74

5.4.2

Matriz de niveles de riesgo ... 76

5.4.3

Matriz de efectividad de controles ... 80

5.4.4

Resultados de la aplicación de la metodología de entes auditables ... 82

CAPÍTULO VI

... 87

CONCLUSIONES Y RECOMENDACIONES

... 87

6.1

Conclusiones

... 87

6.2

Recomendaciones

... 90

7

INDICE DE FIGURAS

Figura 1. Proceso de tratamiento de riesgos

... 24

Figura 2. Costos de las medidas de reducción del riesgo

... 26

Figura 3. Control Interno y Administración de riesgos

... 27

Figura 4. Organigrama institucional 2014

... 48

Figura 5 Nuevos procesos 2014

... 52

Figura 6 Insumos planificación actual

... 53

Figura 7 Conocimiento de procesos no evaluados

... 56

Figura 8 de Categoría pregunta 9

... 57

Figura 9 Porcentaje de tiempo por tarea plan 2014

... 62

Figura 10 Matriz de niveles de riesgo completa

... 79

Figura 11 Distribución de procesos según su riesgo evaluado

... 83

Figura 12 Distribución de procesos por riesgo y por cada Gerencia Nacional

... 84

INDICE DE TABLAS

Tabla 1 Personal de Auditoría desde el 2010

... 49

Tabla 2 de Categoría pregunta 1

... 52

Tabla 3 de Categoría pregunta 3

... 53

Tabla 4 de Categoría pregunta 4

... 54

Tabla 5 de Categoría pregunta 5

... 54

Tabla 6 de Categoría pregunta 6

... 55

Tabla 7 de Categoría pregunta 7

... 55

Tabla 8 Procesos con desviaciones

... 58

Tabla 9 - 25 procesos de riesgo alto no evaluados año 2014

... 63

Tabla 10 - 22 procesos de riesgo alto no priorizados

... 64

Tabla 11 Procesos no finalizados iniciados al finalizar 2014

... 64

Tabla 12 Factor matriz de riesgo

... 66

Tabla 13 Factor de procesos críticos de la Organización

... 67

Tabla 14 Iniciativas estratégicas

... 68

Tabla 15 Factor de iniciativas estratégicas

... 69

Tabla 16 Factor impacto en prevención de lavado de activos

... 70

8

Tabla 18 Factor de tiempo no auditado del proceso

... 72

Tabla 19 Ponderación de los factores de riesgo

... 72

Tabla 20 Nivel de impacto de los factores

... 73

Tabla 21 Niveles de criticidad de los factores de riesgo

... 75

Tabla 22 Parámetros de medición del control

... 81

Tabla 23 Rangos de medición del control

... 82

Tabla 24 Total de procesos - riesgos por Gerencia Nacional

... 84

Tabla 25 Macroprocesos categorizados según el riesgo obtenido de la medición

... 85

Tabla 26 Riesgos a ser evaluados en 2015

... 86

Tabla 27 Asignación de procesos para revisión en el 2015

... 86

INDICE DE ANEXOS

Anexo 1 Experiencia del personal que fue entrevistado

94

Anexo 2 Preguntas de la entrevista

...96

Anexos 3 Matriz de efectividad de controles

...98

9

RESUMEN

El objetivo principal de esta investigación es el identificar y priorizar las revisiones de

procesos-entes auditables, disminuyendo la subjetividad del proceso actual basado en el criterio,

reemplazándolo con la evaluación de factores de riesgo, dando como resultado el plan de

auditoría basado en riesgos. El enfoque que se utilizó es el empírico deductivo. La muestra del

estudio es intencional con cinco participantes con importante experiencia en el área de Auditoría

y la responsabilidad directa de planificar. La herramienta utilizada fue la entrevista y para la

recolección de datos se utilizó la tabla de categorías. Como resultado se pudo determinar que la

planificación de auditoría se realiza principalmente basada en el criterio experto del auditor, al

igual que el análisis de riesgo, adicionalmente no se realiza priorización de auditorías por su

criticidad. La investigación permite concluir que es necesaria la implementación de la

metodología de entes auditables basado en factores de riesgo que permite identificar entes

auditables y priorizar su revisión según la criticidad que prevenga posibles pérdidas a la

Organización.

ABSTRACT

10

CAPITULO I

1.

CONTEXTUALIZACIÓN DEL PROBLEMA

Para la elaboración de planes de auditoría en Diners Club se considera principalmente el

criterio y experiencia del equipo directivo del área. Sin embargo, a pesar de que dicho equipo

puede contar con conocimiento normativo de auditoría, no se puede garantizar que en la

elaboración del plan de auditoría, exista una selección objetiva de los procesos a ser revisados y

de la prioridad correcta que se establezca. Dando como resultado la posibilidad de que se

seleccionen procesos o entes auditables que no alerte de manera temprana de situaciones de

riesgo para la Organización.

Actualmente, la determinación de procesos a evaluar por parte de auditoría, no se sustenta

en una metodología específica diseñada para considerar la cadena de valor de la Organización y

los intereses de los accionistas, sino que está basada en criterios expertos de sus participantes.

En la Organización se han presentado varias interrogantes y debates entre las gerencias

sobre la planificación de auditoría y cuáles son las justificaciones para revisar los diferentes entes

y procesos, especialmente de aquellas áreas en donde se ha recargado un gran porcentaje de

revisiones. Si bien la independencia de la función no debe verse afectada ni comprometida bajo

ningún concepto, si es importante justificar y sustentar de manera competente el por qué y para

qué de las revisiones de Auditoría en un período determinado.

La falta de una metodología formalmente documentada ha generado dependencia del

personal que elabora el plan de auditoría, que en caso de no contar con mencionado personal

experto, el plan podría o no considerar procesos que involucren riesgos esenciales.

Los organismos de control internos y externos, así como las Gerencias de la

Organización, requieren de los sustentos que justifiquen que el plan de auditoría se ha diseñado

considerando los principales riesgos.

11

La metodología que será motivo de esta investigación deberá considerar todos estos

análisis previos para profundizar sobre cómo y qué herramientas utilizar para planificar con base

en riesgos.

1.1.

Objetivos de la investigación

1.1.1

Objetivo general

Establecer una metodología para la elaboración de planes de auditoría, que permita

identificar y priorizar de manera objetiva y oportuna los entes auditables a ser revisados, en

función del riesgo a generar grandes pérdidas a Diners Club del Ecuador.

1.1.2

Objetivos específicos

1.

Identificar los entes o procesos auditables del plan de auditoría que no fueron revisados y/o

evaluados, a pesar de presentar riesgos importantes.

2.

Establecer los elementos metodológicos para identificar los entes y procesos críticos o con

riesgo alto, a ser revisados y/o evaluados en un plan de auditoría.

3.

Determinar el grado de incidencia de la rotación del personal estratégico del área en la

elaboración del plan de auditoría.

1.2.

Hipótesis

Si el área de Auditoría cuenta con una metodología de planificación basada en factores de

riesgo, tiene mayores posibilidades de identificar los procesos críticos e importantes, a diferencia

de las áreas de auditoría que determinan los procesos de revisión basadas en el conocimiento y

experiencia del/los encargado/s de la planificación.

1.3.

Justificación

12

el área podrá enfocar sus esfuerzos hacia las evaluaciones con mayor importancia y que los

informes y/o reportes que emita agreguen más valor a la administración y le permitan la toma de

decisiones sobre la gestión de riesgos de manera oportuna.

La metodología de planificación de auditoría determinará los entes auditables, previo a

una evaluación de los riesgos y la efectividad de los controles de cada proceso como resultado

final de la ejecución del plan, permitiendo a la Organización conocer cuáles pueden ser las

debilidades presentes en los controles y la retroalimentación oportuna para corregirlos.

La metodología de determinación de entes auditables por medio de factores de riesgo

permitirá minimizar la subjetividad del criterio del auditor en determinar qué entes y en qué

período revisarlos, sustentando así un criterio basado en riesgos y que será retroalimentado de

manera anual con los resultados del plan del año previo.

13

CAPITULO 2

MARCO TEÓRICO

2.1

Antecedentes de la Investigación

Las investigaciones realizadas al respecto de la planificación de auditoría, mencionan

que esta debe ser basada en los riesgos de la institución y ceñida a los principios de objetividad e

independencia de la función.

El análisis de riesgos se ha convertido en un paso fundamental para el proceso de

planificación y priorización de tareas del área de auditoría, los conceptos mencionados en varios

estudios, investigaciones y normativas determinan la importancia de planificar considerando los

procesos críticos, factores de riesgo y una exhaustiva búsqueda del entorno que pueda afectar al

negocio y su normal desempeño.

Barroso (2011) En su estudio, menciona cuáles son las principales consideraciones y

resultados a esperar de la planificación del auditor. Adicionalmente, menciona que la

planificación de auditoría debe originarse a partir de una evaluación del riesgo que viene del

resultado del conocimiento exhaustivo del negocio. Según su análisis una planificación

adecuada, es el inicio para un desarrollo de auditoría exitoso, poniendo el foco en aquellos

procesos, áreas y/o servicios de mayor riesgo, pero sobre todo al conocer todos estos elementos

determinar la estrategia más apropiada a seguir.

El proceso de planificación es fundamental para el desarrollo de la auditoría basada en

riesgos, al mismo tiempo debe ser un proceso que involucre una adecuada retroalimentación de

los diferentes factores cambiantes en el negocio sin que esto quiera decir que la planificación no

es un proceso rutinario.

Molero & Polo (2014) afirman que

14

de su realización; la dirección de la auditoría – factores significativos, conocimientos previos, y la

naturaleza, momento y extensión de los recursos necesarios. (p.100).

El auditor debe realizar su planificación con un enfoque integral, conociendo los objetivos del

negocio y las iniciativas estratégicas que se implementarán a futuro, adicionalmente debe tener

conocimiento de los procesos determinados como críticos cuyos resultados de auditoría de años

pasados hayan tenido alguna observación. El auditor debe efectuar una planificación que

mantenga un estrategia global de auditoría, de manera que se realice de forma eficaz y que

permita dedicar la debida atención a las áreas más importantes y críticas para determinar y

ayudar a resolver posibles problemas o brechas de control (García, Novejarque & Zorio, 2013).

2.2

Fundamentación Teórica o Bases Teóricas

Es importante determinar las variables que intervienen en la investigación y cuya

interrelación permitirá enfocar la solución más adecuada a la problemática planteada.

La primera variable hace referencia a

la metodología a utilizar en la elaboración de

planes de auditoría que permita y garantice la identificación y priorización de entes auditables

como segunda variable.

Conforme lo expuesto, podemos determinar que en función de la metodología de

elaboración de planes de auditoría con base en riesgos, será posible la identificación y

priorización de entes auditables a ser evaluados por la unidad de Auditoría.

IAASB (2005) afirma que la planificación debe estar basada en riesgos y con esa

medición será posible identificar prioridades o revisiones con un mayor riesgo para evaluar,

revisiones conforme la estrategia y mestas de la Organización. El plan anual debe hacer

referencia y enlazar con los principales riesgos clave, basado en su proceso de gestión de riesgos.

15

Esto debido a que el auditor tendrá que estar en la capacidad de: i) identificar los riesgos

de los procesos de la Organización aquellos que no han sido identificados previamente, ii)

solicitar la inclusión de estos en la matriz de riesgos institucional, iii) recomendar controles que

mitiguen efectivamente esos riesgos, iv) asesoramiento a las áreas sobre el mejoramiento e

identificación de oportunidades de mejora sobre los procesos de la Organización, v) verificar y

revisar las características de la información en los sistemas informáticas, referentes a integridad,

confiabilidad, exactitud, confidencialidad, etc., vi) verificar que los procedimientos de

continuidad del negocio se cumplan y sean probados, vii) conocer y evaluar los procedimientos

de escritorios limpios y resguardo de información, viii) asesorar a la Organización sobre la

clasificación de los activos de información de acuerdo a su sensibilidad y criticidad.

Las recomendaciones y evaluaciones del auditor deben orientarse a la mejora continua en

el proceso del Gobierno, el aseguramiento de la gestión, la coordinación de actividades y

comunicación de riesgos a los entes de control internos y externos.

Al planificar el Auditor debe considerar: que su labor debe estar enfocada principalmente

en los riesgos de la Organización, por eso es muy importante el seguimiento de los resultados de

auditorías anteriores, y la confirmación de la implementación de recomendaciones tanto como de

la regularización de desvíos presentados en los procesos. La planificación deberá estar orientada

a revisiones cuyo enfoque sea transversal a la Organización desde el origen del proceso hasta su

culminación, pasando por las diferentes áreas e intervinientes.

Whittington & Pany (2003) mencionan que para la planificación de auditoría es necesario

16

Según la normativa que guía el proceder del auditor, su labor debe estar enmarcada a

agregar valor a la Organización, guardando los principios de objetividad e independencia de la

función.

El auditor deberá contar con la competencia requerida para el cargo, conocimiento teórico

que le permita elaborar planes de auditoría basados en riesgos y determinación adecuada de los

tiempos a incurrir en cada tarea asignada.

Una vez conocido el marco teórico normativo externo sumado a buenas prácticas, llegar a

establecer los factores de riesgos necesarios e incluirlos en la metodología de planificación de

auditoría y asegurar que los procesos a revisar son de importancia relevante para el negocio y

cuyo período para evaluar es el correcto.

Adicionalmente, será necesario evaluar toda ley, resolución y/o normativa expedida por

los entes reguladores para determinar su adecuado cumplimiento y evitar riesgos de sanciones,

multas o cese de operaciones.

La documentación y normativa interna a ser considerada para el desarrollo de esta

investigación la cual es parte del marco teórico ya que justifica aquellos procesos o entes de

mayor relevancia para el negocio y que deben aportar en la metodología que guie al auditor.

Plan estratégico de la Organización: Esta planificación que fue elaborada para 5 años

mantiene 8 iniciativas estratégicas que se han ido desarrollando y soportando por las áreas y sus

procesos.

Plan de continuidad del negocio: El plan de continuidad basado en normativas

internacionales y buenas prácticas de continuidad y alta disponibilidad, determina cuales son los

procesos críticos que no pueden dejar de estar funcionales por un período prolongado de tiempo

ya que esta afectación pudiera impactar de manera negativa y ocasionar grandes pérdidas al

negocio.

17

Matriz de riesgo institucional: La metodología para valoración de riesgos utilizada por la

Organización para determinar la matriz de riesgos, deberá ser un insumo para determinar y

valorar los riesgos de los procesos-entes auditables en la metodología a elaborar.

Para la elaboración de la metodología de planificación será necesario incorporar los

criterios normativos anteriormente citados ya que su fundamento será el riesgo del negocio

considerando los diferentes factores que prioricen los procesos de la Organización.

En este contexto, la definición de un método para la identificación de entes auditables

que conformen la planificación de auditoría, mediante la evaluación de factores de riesgo,

proporcionan a la Unidad de Auditoría Interna un marco que evitaría la subjetividad y enfocaría

y direccionaría sus revisiones con énfasis en aquellos procesos de mayor nivel de riesgo.

2.2.1

Riesgo

2.2.1.1

El Riesgo de Auditoría

El riesgo de auditoría puede presentarse en cualquier instancia de una evaluación o

examen de auditoría practicado a un área o proceso de un negocio, dicho riesgo inicia en la

planificación ya que existe la posibilidad de que en el proceso de elaboración del plan de

auditoría no sean considerados temas críticos o aun siendo considerados en la planificación no

sean evaluados en el tiempo adecuado previo a impedir una posible materialización de dicho

riesgo.

18

IASB (2005) afirma que; la planificación debe estar basada en riesgos esta acción

contribuirá a determinar el orden de revisión de auditoría. El plan anual debe hacer referencia y

enlazar con los principales riesgos clave, basado en su proceso de gestión de riesgos.

El personal que ejecute el plan, debe ser, suficiente y efectivamente asignado para

cumplirlo. Adicionalmente; como resultado de la aplicación del plan basado en riesgos, el

Auditor debe:



Identificar y evaluar posibles riesgos que afecten a la Institución.



Evaluar la efectividad del control y recomendar su fortalecimiento y mejora continua.



Revisar y analizar el estatus de implementación del Gobierno Corporativo.



Evaluar los procesos de operación, aplicaciones y sistemas de información de la

Organización, procurando el resguardo y respaldo de la información.



Evaluar la seguridad, confiabilidad, integridad, segregación de funciones para la

utilización, modificación y eliminación de información operativa y financiera.



Alinear la planificación a la estrategia de la Organización, normativa vigente y estándares

de auditoría. Las recomendaciones y evaluaciones del auditor deben orientarse a la

mejora continua en el proceso del Gobierno, el aseguramiento de la gestión, la

coordinación de actividades y comunicación de riesgos a los entes de control internos y

externos.

19

SBS (2015) menciona que todo incumplimiento u ocultamiento, falsedad, encubrimiento,

no apegado a la realidad de la Organización, el auditor será sancionado con la descalificación de

y no podrá seguir en funciones por el tiempo que determine el ente de control.

El riesgo de no detectar irregularidades es mayor que el de no descubrir errores, ya que

normalmente la irregularidad va acompañada de actuaciones tendentes a ocultarlo, tales como

colusiones, falsificaciones, omisiones deliberadas en el registro de transacciones o justificaciones

inadecuadas al auditor. (Herranz, 2006, p.2)

Para poder minimizar este riesgo, es necesario conocer sobre sus tres componentes y así

determinar los controles a ser aplicados que permitan una gestión adecuada del riesgo que

genere los resultados esperados.

2.2.1.2

Componentes del riesgo de auditoría

Riesgo Inherente:

es el riesgo de que sucedan errores significativos y que estos sean

parte de la actividad que se realiza, son propios del negocio. Al riesgo inherente también se lo

conoce como aquel que es anterior a la implementación de controles por parte de la

administración de una organización.

Todo proceso, acción/actividad, emprendimiento, etc., tiene un riesgo implícito el cual podrá

ser gestionado conforme lo indicado por (COSO ERM, 2004), con controles y otras formas de

tratamiento.

La susceptibilidad de un saldo de cuenta o clase de transacciones a una representación errónea

que pudiera ser de importancia relativa, individualmente o en el agregado cuando se acumule con

representaciones erróneas en otros saldos o clases, suponiendo que no hubiera un control interno

relacionado” (Federación Internacional de Contabilidad, 2007, p.96)

Para ejemplificar lo mencionado podemos citar a dos partidas contables cuyo riesgo inherente es

mayor debido a que los montos contabilizados para una empresa se basan en juicios,

proyecciones, criterio experto (Mesen, 2009). Es decir el riesgo de que estas partidas se

encuentren mal registradas es propio ya que se basan en cierta subjetividad.

20

riesgos, cuando estos no están implementados de forma correcta existe la posibilidad de

materialización del riesgo.

Riesgo de Detección

: Posibilidad de que fallas previamente identificadas por el control

interno de una Organización no sean advertidas por el auditor a causa de falta de revisión,

inadecuada determinación del alcance de las pruebas, o no incluirlas en la planificación de

auditoría. Estos errores pueden generar riesgo sobre el trabajo de auditoría y afectar el prestigio y

competencia del auditor.

El riesgo de que un auditor no detecte una representación errónea que exista en una

aseveración y que pudiera ser de importancia relativa, ya sea en lo individual o cuando se

acumula con otras representaciones erróneas” (Federación Internacional de Contabilidad,

2007, p.105)

Los riesgos que el auditor no puede controlar son los dos primeros: Inherente y de Control, ya

que estos son generados por el negocio. No así el riesgo de detección que es de entera

competencia.

2.2.1.3

Evaluación de riesgos

La visión y diagnóstico total sobre cómo está una Organización, se la obtiene realizando

una evaluación del riesgo, ya que los objetivos están atados a riesgos que pueden limitar el

alcanzarlos.

El IIA por sus siglas en inglés (Institute of Internal Auditors) plantea que toda

Organización se enfrenta a diferentes riesgos de procedentes de fuentes externas e internas y

define a este como “la posibilidad de que ocurra un acontecimiento y tenga un impacto en el

alcance de los objetivos” (IIA, 2011, p.59).

21

de evaluación de riesgo, menciona que el riesgo generalmente es evaluado con una doble

perspectiva, probabilidad e impacto, usando una combinación de métodos cualitativos y

cuantitativos.

Según el DICCIONARIO DE LA REAL ACADEMIA DE LA LENGUA la probabilidad

es la razón entre el número de casos favorables y el número de casos posibles de un proceso

aleatorio, e impacto, es el efecto producido en la opinión pública por un acontecimiento, una

disposición de la autoridad, una noticia, una catástrofe, etc. Basados en estos 2 conceptos

podemos afirmar que una evaluación de riesgos permitirá evidenciar si un evento puede ocurrir y

cuyo efecto o impacto puede impedir la consecución de un objetivo.

El estándar utilizado por la Organización para evaluar sus riesgos es

Australian/NewZealand AS/NZ 4360 (1999) el cual menciona que como resultado de esta

evaluación de riesgos deberá existir una lista de riesgos con un grado de prioridad para una

acción o control posterior.

Adicionalmente, para que esta evaluación sea completa deberá contener el apetito de

riesgo el cual la administración estará dispuesta a tolerar antes de controlarlo.

2.2.1.4

Riesgo Residual

Anteriormente se había mencionado al riesgo inherente, que según lo mencionado en el

COSO II, “es el riesgo al cual la Organización se enfrenta en ausencia de acciones de la

Dirección para modificar su probabilidad o impacto” (COSO ERM, 2004, p.45). En cambio, el

riesgo residual es aquel que permanece como remanente de la aplicación de medidas que la

administración ha tomado sobre los riesgos inherentes de una organización.

22

2.2.1.5

Medición del Riesgo

Los riesgos generalmente son medidos por impacto y probabilidad o frecuencia, estas

dos medidas nos permiten identificar como el riesgo actúa sobre el objetivo Organizacional y

como poderlo mitigar para que su probabilidad de ocurrencia o su impacto en caso de

materializarse sean menores o manejables/asumibles. (IIA, 2011).

Según el AS/NZ 4360 (1999), la evaluación del riesgo compara el nivel de los riesgos

detectados contra los previamente establecidos. En consecuencia evaluaciones cualitativas serán

comparadas con criterios cualitativos previamente definidos, así también, si la evaluación es

cuantitativa, la comparación se realizará comparando los valores de riesgo asignados contra

criterios numéricos que pudieran ser expresados en un número, valor de fatalidad, frecuencia o

monetario (pérdida).

Cuando se realiza una evaluación del riesgo, se debe considerar que existe un

componente importante de subjetividad que es normalmente aportado por el personal que conoce

el proceso y el objetivo del negocio, dicho aporte puede ser cualitativo o cuantitativo, en caso de

ser cualitativo dependerá del criterio del evaluador. Las técnicas cuantitativas se aplican para

aquellos análisis en los cuales se dispone de información o estadísticas, que permitan

estimaciones de la probabilidad o el impacto.

Técnicas cualitativas: Si bien algunas evaluaciones cualitativas de riesgos se establecen

en términos de subjetivos y otras en términos objetivos, la calidad de estas evaluaciones

depende principalmente del conocimiento y juicio de las personas implicadas, su

comprensión de los acontecimientos posibles y del contexto y dinámica que los rodea.

(COSO ERM, 2004, p.48).

Técnicas cuantitativas: Las técnicas cuantitativas pueden utilizarse cuando existe la

suficiente información para estimar la probabilidad o el impacto del riesgo empleando

mediciones de intervalo o de razón. Los métodos cuantitativos incluyen técnicas

probabilísticas, no probabilísticas y de benchmarking. Una consideración importante en la

evaluación cuantitativa es la disponibilidad de información precisa, ya sea de fuentes

internas o externas, y uno de los retos que plantea el uso de estas técnicas es el obtener

suficientes datos válidos. (COSO ERM, 2004, p.52).

23

2.2.1.6

Gestión de los riesgos

El auditor debe conocer el enfoque de gestión de riesgos que tiene la Organización. El

nivel de aversión al riesgo de la alta dirección con el fin de planificar sus actividades evaluando

estas consideraciones en cuanto a las diferentes líneas de negocio y los niveles umbrales de

tolerancia para cada proceso. Existen cuatro maneras que permiten la gestión del riesgo, estas

son: Evitar, Minimizar, Compartir y/o Asumir:

2.2.1.7

Evitar

El riesgo puede ser evitado/eliminado únicamente si la organización no continúa con el

objetivo al cual el riesgo está atado. Partiendo del concepto mencionado anteriormente los

riesgos son inherentes al/los proceso (s) que se realiza (n), en este caso si la Organización no

quiere correr ese riesgo, debe evitar ejecutar el proceso, o prescindir de la unidad de negocio o

no seguir con tal iniciativa comercial.

2.2.1.8

Minimizar

El reducir el riesgo implica la implementación de controles que permitan la

diversificación de los riesgos, es decir la aplicación de políticas, procedimientos, procesos entre

otros, le permitirá a la Organización determinar límites que ayudarán a reducir el índice de

riesgo.

2.2.1.9

Compartir

24

2.2.1.10

Asumir – Retener

El aceptar el riesgo dependerá de la aversión al riesgo que tenga la administración, y

ligado a la capacidad de la Organización para provisionar posibles materializaciones de riesgos

identificados. El asumir el riesgo conlleva a no efectuar acción alguna en respuesta a los riesgos

inherentes o residuales. El siguiente gráfico identifica el flujo de proceso seguido por la

Organización basado en el estándar AS/NZ 4360, sobre el tratamiento al riesgo.

Figura 1. Proceso de tratamiento de riesgos

25

El reducir o minimizar el impacto o probabilidad de la materialización de los riesgos se lo

denomina control, y este puede estar orientado a disminuir la probabilidad, el impacto o ambos.

Los controles deben ser implementados para que los riesgos de la Organización no

superen el umbral establecido por la administración en la declaración de aversión al riesgo.

2.2.1.11

Implementación de planes de tratamiento del riesgo

El estándar AS/NZ 4360 (1999), recomienda que la responsabilidad del tratamiento a los

riesgos deba ser llevada a cabo por aquellos que tienen mayores posibilidades de controlar el

riesgo, es decir por el dueño del proceso o la persona a cargo del mismo.

Para que la implementación del plan de tratamiento al riesgo sea exitoso es necesario se

especifiqué el método seleccionado y la asignación de responsabilidades para ser posteriormente

monitoreados.

Luego de la implementación de controles permanecerá un riesgo residual del cual se

deberá tomar la decisión de la aplicación de nuevos controles para reducir más al riesgo o en el

caso correspondiente aceptarlo, compartirlo o evitarlo.

2.2.1.12

Costo de las medidas de reducción del riesgo

El impacto y probabilidad que pudiera causar un riesgo que llegara a materializarse en la

Organización, con las acciones de reducción aplicadas por la Administración, deberían ser

llevados a un nivel bajo tanto como sea razonablemente practicable. (AS/NZ 4360, 1999).

26

Cuando el costo total de implementación de los tratamientos del riesgo supera el

presupuesto planificado, será necesario identificar con claridad las prioridades de

implementación de dichos tratamientos al riesgo.

Figura 2. Costos de las medidas de reducción del riesgo

Fuente: AS/NZ 4360, (1999). Administración de Riesgos, p.18

2.2.1.13

Monitoreo y revisión

La normativa vigente indica que todos los niveles de la Organización dentro de sus

competencias deben dar seguimiento a las exposiciones al riesgo y la efectividad de los controles

implementados para mitigar dichos riesgos. SBS (2015).

El sistema que se implemente en la Organización para la administración integral de

riesgos deberá ser revisado y actualizado inmediatamente.

2.2.2

Control Interno

27

basada en criterio experto sea fundamentada en el conocimiento previo del balance establecido

entre el riesgo y el control que ha efectuado la Organización motivo de esta investigación.

Figura 3. Control Interno y Administración de riesgos

Fuente: COSO Report, (2005). Control Interno y Administración de Riesgos, p.7

2.2.2.1

Definición de control interno

El control interno busca apoyar a la Organización, mientras más robusto sea dicho

sistema, más conocimiento tendrán sobre sus riesgos y se administrarán de mejor forma. El

control interno debe ser aplicado por todos los niveles Organizacionales.

El control interno es un proceso efectuado por la dirección y el resto del personal de una

entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en

cuanto a la consecución de objetivos dentro de las siguientes categorías:



Eficacia y eficiencia de las operaciones.



Confiabilidad de la información financiera.



Cumplimiento de las leyes, reglamentos y normas que sean aplicables.

(Informe ejecutivo COSO, 2009, p.3)

28

quedarse en la generación de políticas, procedimientos, manuales, etc., sino que debe ser

evaluada, medida, observada y mejorada continuamente. Si bien el control interno es parte de

cada área de la Organización, y su medición, evaluación se hace en las mismas áreas, el área de

auditoría está llamada a verificar dicho control interno en su plan de trabajo anual.

SBS (2015), menciona que evaluará de manera integral los controles internos

implementados y que estos sean adecuados según la complejidad de la Organización, incluso

solicita implementar una unidad de control interno que cuente con el número de personas y

preparación para efectuar las revisiones pertinentes.

El control interno es un proceso integrado y dinámico que es adaptable a todo tipo y

tamaño de Organización, sin embargo cada Organización puede adaptar a su realidad el control

interno.

El informe COSO ERM (2011), determina los objetivos, el entorno, actividades de

control y supervisión, los mecanismos de comunicación e información que debe fluir desde la

alta gerencia hasta el personal y viceversa.

La normativa de la Superintendencia de Bancos y Seguros del Ecuador, insta al auditor a

evaluar el control interno de la Organización tomando como base metodologías y estándares

internacionales como son: COSO (Committee of Sponsoring Organizations), Basilea II (Comité

de Basilea), Cobit (Control Objectives for Information Systems and related Technology), este

último relacionado con los controles sobre aplicaciones, infraestructura y gobierno de tecnología

de la información.

2.2.2.2

El Control Interno tiene un objetivo:

29

El informe de Basilea para una supervisión bancaria adecuada menciona que el propósito

del control interno es asegurar que los negocios de las sociedades financieras y bancos sean

prudentes, los activos tengan salvaguardas y los pasivos estén controlados, que la contabilidad y

otros registros de información sean consistentes, íntegros, precisos y oportunos. (SBS, 2015).

Los objetivos del control interno se centrarán en los procesos del negocio que buscan

ejecutar la operativa y alcanzar las metas propuestas por el plan estratégico. Es necesario conocer

que todo aquello que pueda ser susceptible a un riesgo, para el proceso, será un objetivo de

control, es decir, si sobre este proceso se aplican controles se habrá aplicado dicho objetivo del

control interno. La aplicación de varios controles puede afectar la eficiencia de un proceso, esto

será necesario balancear dependiendo del apetito de riesgo que tenga la dirección y los objetivos

de control sean los requeridos.

Considerar los objetivos de cumplimiento respecto del cumplimiento legal y regulatorio

al que está sujeta una Organización financiera.

2.2.2.3

El control interno debe ser medible

El control interno por sí mismo no es suficiente para cubrir los riegos a los que se

encuentra expuesto un proceso, será necesario realizar ciertas actividades con el control para que

este pueda ser efectivo.

COSO ERM (2011), menciona que el control deberá ser evaluado de acuerdo a su

implementación y diseño, es decir, el control fue implementado y diseñado con un objetivo por

cumplir, la pregunta que debería hacer el auditor es: ¿El control cumple con el objetivo para el

cual fue creado?, si la respuesta es sí, el auditor deberá ejecutar pruebas que aseguren tal

aseveración, si no, el control deberá ser implementado y/o rediseñado nuevamente.

30

que el control permite asegurar que el proceso se realiza de forma correcta y mitigando los

riesgos inherentes.

Se considera al control interno como fuerte cuando este ha impedido que riesgos

significativos se hayan materializado, pero sobre todo, cuando el control es parte de la cultura

Organizacional, es decir, que todo el personal desde la presidencia ejecutiva hasta el oficial de

menor rango, hayan interiorizado que en toda la cadena de valor es necesario cumplir y hacer

cumplir los controles establecidos, que se conozcan los límites existentes, responsabilidades y

segregación de funciones para todo lo que se realiza en una institución regulada por la

Superintendencia de Bancos y Seguros del Ecuador.

Si el control interno funciona, el trabajo del auditor y las actividades de supervisión se

verán beneficiadas y solo se enfocarán en lo prioritario e importante.

2.2.2.4

Vigilancia y evaluación del control interno

Según COSO ERM (2011) la supervisión son exámenes y evaluaciones constantes de tipo

independiente a nivel de auditoría o internas como parte del control de cada área son necesarias

para evaluar que los componentes del control interno se encuentren funcionando de forma

apropiada. Así también los principios de supervisión bancaria efectiva declarados por Basilea

(1997).

SBS (2015), en la sección de normativa internacional y sobre la supervisión indicada por

el comité de Basilea.

31

Las actividades de supervisión independientes o auditorías, deben ejecutarse de forma periódica,

estas pueden variar su alcance de revisión incluso su frecuencia dependiendo de la criticidad de

los procesos, áreas, sucursales, etc., basados en un previo análisis de riesgos evaluando la

efectividad de los controles que los mitigan.

Los resultados de la supervisión se analizan y evalúan de acuerdo a los criterios

establecidos por el ente regulador, normativa interna y otras normativas internacionales, en el

caso de existir deficiencias, estas deben ser comunicadas a la dirección y junta general según

corresponda.

Es importante mencionar que cuando se habla de una entidad financiera, los grupos de

interés no son solo los accionistas y/o dueños, sino, todo aquel que tiene un valor representado

por un depósito, inversión, tarjeta de crédito o cualquier otro que sea parte de los servicios que

brinda. Es por esta razón que existe un control específico desde las entidades gubernamentales y

no gubernamentales que instan a las instituciones a mantener un control interno apropiado que no

solo proteja la inversión del accionista sino los intereses de todos estos grupos que lo conforman.

Tomando como base lo expuesto en la supervisión del control interno es prioritario no

solo evaluar el control interno de la institución sino también el de todo aquel que sea un socio

estratégico y que si sufriera alguna deficiencia en su sistema de control y un riesgo atacara una

vulnerabilidad que ponga en riesgo la continuidad de sus operaciones, la Institución tenga

también un planes de contingencia como parte de su actividad de control a terceros.

2.2.2.5

Control interno efectivo

Según IIA (2011), la efectividad del control interno dependerá de 17 principios agrupados

en 5 categorías: i) entorno de control, ii) evaluación de riesgos, iii) actividades de control, iv)

información y comunicación y v) actividades de supervisión.

32

Organización deben ser promulgados, socializados y acatados. Principios como la independencia

entre los grupos de interés de accionistas y la administración sea practicado.

Así también las líneas de supervisión y determinación de segregación de funciones debe

ser claramente establecida y compuesta por profesionales competentes en cada una de las

funciones y cuya principal actividad sea la de cumplir con los objetivos Institucionales que le

fueron notificados.

La segunda categoría, la evaluación del riesgo: menciona que todos los objetivos de la

Organización deben estar claramente determinados, conocidos y de ser necesario explicados a

detalle a la Organización de manera tal que todos los conozcan y puedan ser parte de su

cumplimiento. Esto permitirá la identificación de riesgos que se interpongan para llegar al

objetivo y que todo aquel que conozca el objetivo pueda convertirse en quien alerte el posible

riesgo a materializarse.

En concordancia con la tercera categoría, actividades de control: insta a la Organización a

tener actividades que mitiguen riesgos, esos controles deberán ser los suficientes y necesarios de

manera tal que apoyen al logro del objetivo. Estos controles podrán apoyarse en la tecnología

para que se ejecuten siempre que el proceso se encuentre operativo, para este punto la

documentación del control es parte básica ya que servirá de consulta para los participantes de un

proceso o área.

La cuarta categoría, información y comunicación: menciona que todo proceso

informativo debe ser claro, sobre los objetivos, riesgos, controles y líneas de supervisión.

El objetivo de esta categoría planteada, busca mantener un equipo de colaboradores que

se encuentren informados y que la comunicación fluya desde la cabeza a toda la Organización y

toda información que deba ser conocida, pueda ser distribuida por los canales apropiados.

33

Y la categoría 5 referente a la supervisión: busca que la Organización tengo revisiones y

evaluaciones de su control interno de entes independientes para lograr la mayor objetividad

requerida en estos procesos.

Así también, los resultados de estos exámenes son comunicados a tiempo para ser corregidos

oportunamente

2.2.3

El control

El control en el proceso permite su medición oportuna para la detección de desviaciones

o riesgos que impidan la consecución del objetivo.

Cuando se menciona que un proceso está bajo control significa que este puede ser

analizado para conocer en donde están sus riesgos, y como dicho control podrá ser medido en

cuanto a su cumplimiento.

2.2.3.1

Clasificación de controles

Los controles dependiendo de su aplicación o rigor se clasifican en:

Control detectivo:

El diseño de este control permite evidenciar un hecho o resultado no

intencional de una actividad o proceso.

Control preventivo:

El diseño de este control permite evitar un evento o riesgo dentro de

una actividad o proceso.

34

2.2.3.2

Categorías del control

Los controles dependiendo de su implementación se clasifican en:

Control manual:

Son controles diseñados para ser aplicados por personas y que no

dependen del computador ni cualquier sistema automático.

Control automático:

Son controles diseñados para ser aplicados por computadoras.

2.2.3.3

Efectividad del control

El control implementado para mitigar riesgos debe ser evaluado/probado para comprobar

si efectivamente está cumpliendo la tarea asignada.

Consejo práctico 2130 1 - Control: Basado en los resultados de la evaluación de riesgos,

la actividad de auditoría interna debe evaluar la adecuación y eficacia de los controles que

comprenden el gobierno, las operaciones y los sistemas de información de la

organización. Esto debe incluir lo siguiente:



Confiabilidad e integridad de la información financiera y operativa.



Eficacia y eficiencia de las operaciones.



Protección de activos.



Cumplimiento de leyes, regulaciones y contratos. (IIA, 2013, p.98)

El área de Riesgo Operativo por parte de la Organización, deberá evaluar la efectividad del

control, así también la unidad de Auditoría para todos sus revisiones deberá con un método

objetivo, claro y medible, calificar al control por su efectividad, determinando en qué porcentaje

mitiga el riesgo declarado del proceso y qué acciones deberían reforzar el mismo para lograr la

efectividad deseada.

2.2.4

El control interno tiene limitaciones

35

identificación de estos errores, también se habla de una seguridad razonable, no absoluta, sobre

los estados financieros y también sobre el control interno.

Si bien el control interno no puede impedir que una Organización fracase, si debe

asegurar que los controles funciones de forma apropiada.

Las principales limitaciones que recoge COSO (2011), hacen referencia a: i) la falta de

claridad de los objetivos de la Organización, si bien estos están declarados, los mismos pueden

tener errores en su formulación y no sean claros o se encuentren a un nivel inapropiado, ii) las

personas que se encuentran en dirección pueden tener liderazgos no apropiados, como por

ejemplo asumir demasiados riesgos que no puedan ser cubiertos, iii) fallas intencionales o

acciones intencionadas para vulnerar el sistema de control interno de una Organización, iv) que

la dirección faltando a la ética vulnere el sistema de control interno para beneficio personal y

esto no se comunique a los grupos de interés, v) situaciones fuera del ámbito de control de una

Organización como pueden ser regulaciones gubernamentales, problemas en el sistema en este

caso sistema financiero, desastres naturales y otros que no está en la capacidad de control

interno.

Todas las mencionas son las restricciones del control interno que impiden el asegurar de

forma absoluta que los objetivos de la Organización serán alcanzados.

2.2.4.1

Efectividad de la operación

Auditoría deberá incluir en el plan anual de trabajo probar la efectividad de la operación

del control y si este se encuentra operando de acuerdo a su diseño y si las personas que revisan el

control cuentan con las competencias requeridas.

36

proporcionando alertas tempranas que permiten actuar oportunamente frente posibles riesgos en

el proceso.

Si bien la automatización de los controles ha traído beneficios importantes en cuanto al

cumplimiento del control, también han traído consigo nuevos riesgos, más complejos que

requieren de análisis expertos y calificados con la competencia requerida, de tal forma de

identificar los principales riesgos en los sistemas de información cuyos controles deberán

minimizar.

En la actualidad la informática ha llevado a información de clasificación confidencial a la

internet y cuyos riesgos de acceso no autorizado se han multiplicado, los controles a ser

aplicados por expertos deben cubrir las necesidades que exige la actualidad y el desarrollo

creciente de la tecnología.

Existen algunos marcos de referencia que delimitan el accionar de las áreas de

Tecnología, dichos estándares buscan entre otros objetivos que los controles aplicados en los

sistemas de información e infraestructura de TI, aseguren y resguarden el activo de información

más valioso; la información que reposa en las bases de datos de la Organización, que para el caso

de estudio, dicha información no debe ser revelada sin autorización de su titular, esto normado

por regulación del ente de control local y las franquicias correspondientes.

Uno de los marcos de referencia sobre tecnología de la información más importantes por

su amplitud y concordancia con COSO ERM, es COBIT (siglas en inglés: Control Objectives for

Information and related Technology).

37

Cuando se menciona a la eficiencia, se refiere a la entrega de información optimizando

los recursos disponibles. Aprovechar las herramientas disponibles para obtener información

valiosa para determinar posibles fallas de control.

Otro de los criterios de la información es la confidencialidad, cuyo objetivo es la

protección de dicha información utilizando métodos de aseguramiento mediante hardware y

software disponible en el mercado. Uno de los retos de la TI es el brindar protección a la

información evitando que personal no autorizado tenga acceso a los servidores principales y

obtenga información confidencial que pueda ser divulgada sin autorización del titular como

solicita la regulación vigente, generando posibles reclamos de clientes y sanciones del ente

regulador que pudieran afectar al negocio en marcha.

Integridad de la información, se refiere a que la misma se encuentre completa y sea válida

cuyos cálculos y resultados están de acuerdo a lo esperado, mostrando la totalidad de los casos y

todos los valores registrados.

Disponibilidad, haciendo referencia a que esta se encuentre visible y transportable cuando

se la requiera, los controles asociados a este criterio, deberán considerar la redundancia,

procedimientos de respaldo, sitios alternos para alta disponibilidad y todo aquel mecanismo que

permita tener la información a disposición de la dirección cuando se la requiera.

Cumplimiento, refiriéndose a que todo sistema que se aplique sobre los datos deberá

contar con las normas regulatorias del país y región correspondiente, acatando toda regulación

impositiva y de transparencia.

38

2.3

Planificación

Una adecuada planificación de auditoría deberá seguir los lineamientos metodológicos

sugeridos por los estándares y marcos de referencias nacionales e internacionales para la práctica

de auditoría.

La normativa emitida por la Superintendencia de Bancos y Seguros en referencia a la

planificación de auditoría, menciona ciertos puntos que deben estar considerados en su

elaboración para reducir el riesgo verificar la efectividad de los controles implementados por la

Organización los cuales deben mitigar los riesgos. Dichos puntos de enfoque deben ser de

cubiertos por el Auditor cuando se encuentre elaborando la planificación:

Cuando la Organización financiera tiene un sistema de gestión de riesgos adecuado, el

auditor puede depositar una mayor confianza en este análisis de riesgo y sobre esta base

desarrollar el plan de auditoría basado en riesgos, sin que esto signifique que no se realicen

evaluaciones adicionales por parte del auditor para verificar o complementar la evaluación de

riesgos.

En caso de que la Organización no cuente con un sistema de gestión de riesgos adecuado

o de menor desarrollo, el auditor deberá efectuar su propio análisis de riesgo que le permita

planificar con base a los riesgos organizacionales evaluados. (SBS, 2015).

De conformidad con lo establecido en la normativa vigente que rige las actividades y

procesos de revisión del Auditor, el enfoque de auditoría debe estar basado en las mejores

prácticas de evaluación, administración y gestión de riesgos, conocimiento teórico que permitirá

determinar los criterios necesarios en la elaboración de la metodología de planes de auditoría

basada en riesgos y así definir las prioridades del negocio.

SBS (2015) menciona que:

39



Si los procesos y medidas de gestión del riesgo que se encuentran

implementadas están funcionando de acuerdo a lo esperado;



Si los procesos de gestión son apropiados y están bien diseñados; y,



Si las medidas de control de riesgos que la gerencia ha implementado son

adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el

Directorio. (p.492)

El trabajo, gestión y metodología aplicada por el auditor interno en el ejercicio de sus

labores y en la emisión de informes, deberá observar lo establecido en:



Codificación de resoluciones de la Superintendencia de Bancos y Seguros del

Ecuador.



Marco Internacional para la Práctica Profesional de la Auditoría Interna



Normas Internacionales de Auditoría



Código de ética emitido por The Institute of Internal Auditors (IIA) y Guías de

Auditoría de Tecnológica Global (GTAG) del Instituto de Auditores Internos,

complemento como mejor práctica.



Disposiciones emitidas por el Information Systems Audit and Control Association

(ISACA) – complemento como mejor práctica. (SBS, 2015).

La normativa y prácticas que rigen la labor del auditor interno, están contenidas en lo

establecido por la Superintendencia de Bancos y Seguros del Ecuador, en el Marco Internacional

para la Práctica Profesional de la Auditoría Interna y en las Normas Internacionales de Auditoría.

Dichas normativas establecen que, el enfoque de la planificación del auditor interno, además de

las revisiones a los estados financieros, gestión y cumplimiento de normativa aplicable al

negocio, debe estar basado en riesgos.

40

En relación a lo antes mencionado, será necesario para el desarrollo de esta investigación

la utilización entre otros la siguiente normativa interna de la sociedad financiera a ser

considerada la cual es parte del marco teórico ya que justifica aquellos procesos o entes de mayor

relevancia para el negocio y que deben aportar en la metodología que guie al auditor en la

elaboración de dicho plan.

Plan estratégico de la Organización: Esta planificación que fue elaborada para 5 años

mantiene 8 iniciativas estratégicas que se han ido desarrollando y soportando por las áreas y sus

procesos.

Plan de continuidad del negocio: El plan de continuidad basado en normativas

internacionales y buenas prácticas de continuidad y alta disponibilidad, determina cuales son los

procesos críticos que no pueden dejar de estar funcionales por un período prolongado de tiempo

ya que esta afectación pudiera impactar de manera negativa y ocasionar grandes pérdidas al

negocio.

Matriz de riesgo institucional: La metodología de evaluación de riesgo de la Organización

deberá ser un insumo para determinar y valorar los riesgos de los entes auditables en la

metodología a elaborar.

Para la elaboración de la metodología de planificación será necesario incorporar los

criterios normativos anteriormente citados ya que su fundamento será el riesgo del negocio

considerando los diferentes factores que prioricen los procesos de la Organización.