II. CSA PROGRAM INTEGRATION
Página 80
Cambios asociados al CSA
a) Cambio en la auditoria tradicional o riesgos administrativos.
b) Cambio en los valores y politicas organizacionales.
c) Cambios que potencialmente afectan a la organización y que se traducen en la necesidad de cambios en el control interno.
d) Los cambios implican que los gerentes aprendan nuevas habilidades y tengan cambios de actitud, lo que genera resistencia.
TECNICAS DE PRESENTACION PARA UNA INTEGRACION EXITOSA
Tips para el Workshop approach:
1) Preparación extenuante antes de los talleres.
2) Claramente explicar el proposito y beneficios del CSA.
3) Mantener al equipo enfocado.
4) Promover participación del equipo.
5) Promover retroalimentación acerca del proceso.
6) Reportar oportunamente los resultados.
Tips para el interview o survey approach:
1) Entrenar a los facilitadores CSA en las técnicas apropiadas, es decir, que sepan las preguntas apropiadas y como hacer dichas preguntas.
2) Asegurarse que los entrevistadores entiendan a la organización y a su gente.
3) Entender los temas y lenguaje técnico.
4) Entrevistar o encuestar a la gente apropiada.
5) Obtener el apoyo de la administración en el proceso de entrevistas, esto incluye, compartir los borradores de los cuestionarios y discutir las respuestas recibidas.
H. ORGANIZATIONAL RISK AND CONTROL PROCESSES
Riesgo - Incertidumbre de que un evento que ocurra pueda tener un impacto en la consecución de objetvios. Es medido en términos de consecuencias y probabilidad.
Control - Acción tomada por la administración para mejorar la administración de riesgos e incrementar la posibilidad de que los objetivos y metas sean alcanzados.
Rol de auditoria interna - Realizar pruebas para evaluar la efectividad de la organización en la administración de riesgos y sistemas de control.
Los elementos clave de los procesos organizacionales de riesgo y control son:
1. ADMINISTRACIÓN DE LA CALIDAD.
Incluye enfocada en clientes, compromiso de mejora continua de procesos, involucramiento activo de los empleados y la administración, aseveraciones de compromiso con la calidad.
Se puede lograr la mejora de calidad através del CSA.
2. ADMINISTRACIÓN DE RIESGOS.
El auditor interno debe de asistir, examinar, reportar y recomendar mejoras en los procesos de riesgos. Esto incluye desarrollar planes para mitigación de riesgos, identificando riesgos posibles, la relativa fuerza o debilidad de los controls internos. Los 5 objetivos clave de la administración de riesgos son: 1) Los riesgos se priorizan, 2) La administración determina el nivel de riesgo aceptable. 3) Las actividades de mitigación de riesgos se diseñan e implementan para llegar a los niveles de riesgos aceptables. 4) Actividades de monitoreo en curso son conducidas periodicamente 5) El Conejo recibe reportes periodicos de administración de riesgos.
El ERM (Enterprise Risk Management) definido en COSO, es el proceso diseñado para identificar los potenciales eventos que puede afectar a la entidad, y manejo de riesgos conforme al apetito de riesgos, proveyendo una seguridad razonables de que los objetivos serán logrados.
ERM provee capacidad para:
- Alinear el apetito al riesgo con la estrategia.
- Ligar crecimiento, riesgo y retorno.
- Mejorar las decisiones en respuesta al riesgo.
- Minimizar sorpresas operacionales y pérdidas.
- Identificar y manejar riesgos empresariales.
- Proveer respuestas integradas a los multiples riesgos.
- Ver oportunidades.
- Racionalizar capital.
3. AUDITORIAS AMBIENTALES, DE SALUD Y DE SEGURIDAD
Estos riesgos deben ser evaluados. Los tipos de exposición al riesgo que se deben evaluar incluyen:
- Estructuras organizacionales de reporte.
- Posibilidad de causar daños ambientales.
- Gastos solicitados por la agencia ambiental.
- Historial de lesiones o muerte.
- Registro de pérdidas por clientes.
- Episodios de publicidad negativa y perdida de imagen publica.
El auditor interno debe de asegurar que estos temas se revisen.
4. AUDITORIA INTERNA Y EXTERNA
La auditoria interna es una actividad de consultoria independiente, objetiva diseñada para dar valor y mejorar las operaciones de una organización.
Los tipos de procedimientos que deben de considerarse son:
- Investigación y revisión de materiales de referencia y antecedentes en metodologo de manejo de riesgos de la INDUSTRIA.
- Investigación de las practicas y tendencias actuales de la industria.
- Revisión de politicas corporativas y juntas del Consejo.
- Revisión de reportes de evaluación emitidos por la administración y los auditores.
- Revisión si estan completos los analisis de riesgos, acciones de remediación.
- Revisión de temas relacionados con riesgo que puedan indicar debilidades en las prácticas de administración de riesgo.
Si se observa que la administración esta aceptando mas riesgos que en el definido en sus politicas debe atender al estandar IIA 2600.
Se puede externalizar la auditoria y evaluar al auditor externo. Tipicamente las auditorias externas se basan en evaluar la integridad de los EF.
I- MECANISMOS DE RETROALIMENTACION DE CLIENTES.
Uno de los objetivos del CSA es obtener retro de las debilidades y fortalezas del sistema de control interno.
--ENTREVISTAS.
--ENCUESTAS.
--VOTO ELECTRONICO
J. METODOLOGIA DE PLANEACION ESTRATEGICA DEL PROGRAMA DE CSA
- Hacer mercadotecnia de los beneficios del CSA.
- Seleccionar el alcance que cumpla con los objetivos de la organizacion.
- Seleccionar y entrenar a los facilitadores de CSA.
- Determinar unidades de negocio e individuos a involucrarse.
- Desarrollar preguntas preliminares.
- Desarrollar preguntas para los talleres.
- Seleccionar participantes, indicar fechas, preparar material.
- Comunicar expectativas de la reunición de CSA.
- Eliminar gaps culturales que impidan la implementacion exitosa.
Se recomienda probar prototipo.
DOMINIO III. ELEMENTOS DEL PROCESO DE CSA
A. PRIORIDADES E INQUIETUDES DE LA ADMINISTRACION.
Para alinear las inquietudes de la administración, el CSA puede ayudar a las organizaciones a enfocar la atención de los equipos de trabajo en temas de riesgo y control que esten directamente relacionados con la mejora de procesos y cumplimiento de metas. Esto se hace enfocandose en las exposiciones de riesgo que pueden prevenir el cumplimiento de objetivos.
Algunos ejemplos son:
- Mejor entendimiento de los empleados de la responsabilidad, accountability, y control - CSA les ayuda a tomar propiedad de sus procesos.
- Uso mas eficiente de recursos - Si se trabaja en un proceso, hay mas posibilidad de eliminar desperdicios y mejorar la producción. CSA permite a los empleados identificar temas que afectar al proceso.
- Mejorar comunicación a todos los niveles. CSA crea una oportunidad para que los gerentes se junten y discutan temas clave.
- Incremento en la motivación de empleados. Los empleados son generalmente motivados si creen que sus opiniones y sugerencias son valoradas.
- Team building efectivo. Se trabaja en un ambiente caracterizado por la apertura, comunicación y respeto.
- Reducir riesgo de no cumplimiento. El proceso de CSA puede resultar en la idenficación de indicadores de fraude.
Algunas de las principales inquietudes del administración respecto al CSA:
A) Que las personas correctas estén involucradas.
B) Que los empleados efectivamente crean que su voz será escuchada.
C) Que los facilitadores estén debidamente entrenados.
D) Que los empleados entiendan lo que CSA puede hacer y lo que no.
E) Que los empleados sean motivados a superar su resistencia al cambio.
F) Que la administración acepte su responsabilidad de manejar los riesgos y los controles.
B. ROL DE LA ADMINISTRACION DE PROYECTO
Fases del PM y su relación con CSA:
1) PLANEACION. Definición de objetivos
2) DESARROLLO O IMPLEMENTACION. Llevar a cabo juntas, preparar equipamiento, invitar a miembros, recabar información.
3) REPORTEO. A pesar de que los proyectos de CSA no se extienden mas de 1 a 2 dias, es importante monitorear el progreso.
4) SEGUIMIENTO. El proceso de CSA se puede madurar internamente.
C. OBJETIVOS DE NEGOCIO, PROCESOS, RETOS, Y AMENAZAS DEL AREA BAJO ESCRUTINIO.
El alcance basado en procesos del CSA contiene los siguientes pasos básicos:
- Definir objetivos.
- Identificar pasos.
- Identificar controles internos en el proceso.
- Identificar debilidades.
- Identificar riesgos especificos asociados con el proceso.
- Identificar posibles maneras de mejorar los controles para mitigar los riesgos definidos.
D. IDENTIFICACION DE RECURSOS
CSA puede generar costos iniciales adicionales (ligados a crear un equipo de auditoria interna). Algunas preguntas a considerar al implementar CSA son:
- Que tipo de técnica se usará.
- cuanto tiempo se dedicará al proceso completo
- Cuantos facilitadores se tendrán.
- Si los facilitadores necesitan entrenamiento.
- Cuanto entrenamiento se le debe dar a los participantes respecto a que es CSA
- Costo del equipo necesario para los talleres de CSA
- Otros gastos?
E. CULTURA ORGANIZACIONAL BAJO ESCRUTINIO
Aspectos de la cultura que los usuarios de CSA deben de saber:
- Cada cultura es única. Pueden existir subculturas y estas pueden complementarse o conflictuarse.
- Algunos aspectos de la cultura organizacional son predecibles dependiendo del tipo de negocio.
- Algunas culturas son más predecibles basadas en su ubicación geográfica.
- Algunos aspectos de la cultura organizacional son modeldeables o cambiables y otros no.
Los sistemas y controles sn muy dependientes de la cultura y actitudes de los empleados.
Si la moral es baja, los empleados no están alineados a los objetivos de la organización o los valores y ética no son prioridad, entonces el auditor debe reconocer algunos puntos criticos con respecto al uso del CSA:
- Participantes pueden ser hostiles.
- La información obtenida puede no ser confiable.
- Las prácticas de administración de riesgo pueden no ser efectivas o confiables.
- La sesión de CSA se puede enfocar en el enojo y frustación del empleado.
El lider de CSA debe de estudiar la cultura de la organización. Este estudio pudiera concluir que no se proceda con el CSA si el resultado es que no añadirá valor o si podría empeorar en una ya de por si disfuncional cultura.
También debe de identificar alguna barrera que impida cambios en la cultura. Cualquier aspecto de la cultura que cree disatisfacción de empleados o genere alta rotación debe de ser reevaluado.
F. TECNICAS DE DESARROLLO DE PREGUNTAS
Un elemento clave de los talleres de CSA es permitir que los empleados voten y expresen sus opiniones en los riesgos y controles presentes en una organización. Tener por tanto un set apropiado de preguntas bien redactadas. Estas preguntas pueden tomar la forma de ENUNCIADOS que los miembros votan.
Algunos ejemplos son:
LOS OBJETIVOS DE NUESTRO NEGOCIO SON ENTENDER NUESTRO TRABAJO EN EQUIPO E INTEGRARLO CON LAS METAS CORPORATIVAS GLOBALES. ¿Que tan de acuerdo estas con esta aseveración?
Respuestas posibles: Totalmente en desacuerdo, en desacuerdo, algo en desacuerdo, algo de acuerdo, de acuerdo, totalmetne de acuerdo.
Las preguntas deben de indicar positivamente, por ejemplo, "La compañía proporciona capacitación para que mejore mi desempeño" al contrario de "No recibo capacitación de mi trabajo".
Las preguntas deben de estar libres de tecnicismos innecesarios.
Las preguntas deben de estar libres de ambiguedades.
Las preguntas deben de organizarse por categoría.
Las preguntas no deben de manipular a los participantes hacia una respuesta en particular.
No debe de haber muchas preguntas.
Las preguntas pueden clasificarse en tres categorías: Generales o Core aplicables a todas las funciones, preguntas especificas para una función de negocios, y las preguntas relacionadas a alguna unidad de negocio que participe en el taller. Ver en página 105 y 106 algunas ejemplos de preguntas.
G. TECNOLOGIA QUE SUPORTA EL PROCESO DE CSA
En el dominio IIB se habla de las tecnologias que soportan al CSA.
h. TECNICAS Y HERRAMIENTAS PARA FACILITADOR
El rol del facilitador es ayudar a la administración y equipos de trabajo identificar los temas importantes y tomar decisiones. Los auditores internos están comunmente involucrados en CSA por su experiencia en los negocios de la organización y sus controles y riesgos relacionados.
El facilitador debe de educar a los participantes en los conceptos de riesgos y control.
I. DINAMICA DE GRUPO
CSA enfatiza su alcance hacia control e identificación de riesgos. El facilitador es responsable de ayudar al grupo a alcanzar los objetivos del taller. Si hay barreras significativas para este, entonces el análisis de la cultura organizacional inicial es inservible y no se debe de usar el CSA.
La ventaja del CSA sobre sesiones uno a uno es:
- Multiples ndividuos involucrados en diferentes partes del proceso pueden proporcionar un alto rango de experiencias y temas.
- Todos los miembros se benefician de las observaciones en la sesión.
- Foro abierto para ofrecer sus puntos de vista.
- Facilitar que los objetivos grupales se alineen con los de la organización.
Se sugiere:
- Mantener minuta.
- Controlar tiempo.
- Decir sus comentarios sin interrupciones.
- Resolver conflictos rapidamente.
- Buscar enfoque a las raices del problema, y no sus causas o sintomas.
J. SENSIBILIZACION AL FRAUDE
1. Banderas rojas / Sintomas de fraude
El entrenamiento relacionado a identificar indicadores de fraude debe comprometerse.
Algunos signos de fraude son:
Caracteristicas en la personalidad
- Cambios de comportamiento significativos.
- Actitud de confrotación hacia auditores.
- Negación para estar lejos de oficina.
- Problemas personales o deudas.
- Cambio en estilo de vida y hábitos.
Caracteristicas en la organización
- Controles internos débiles.
- Insuficiencia supervisión.
- Separación de actividades inadecuada.
- Liderazgo poco ético.
- Falta de política de fraude.
- Falta de la función de auditoria interna.
- La administración requiere una productividad irrazonable de los empleados.
- Desacuerdos entre empleados y patrón.
- Problemas de impuestos.
- Monitoreo inadecuado de aplicantes, vendedores y clientes.
- Libros contables dificiles de descifrar.
- Rotación de empleados extremadamente alta o baja en empleados clave.
Caracteristicas financieras.
- Cancelaciones y reembolsos excesivos.
- Excesivo numero de cuentas sin cobrar o limpieza de CXC
- Cheques viejos en conciliaciones bancarias.
- Ajustes sin aprobación.
- Cheques pagaderos a individuyos.
- Documentos faltantes, alterados o fotocopiados.
- Cheques en blanco perdidos.
- Domiclio de proveedor igual a domicilio de empleado.
- Numero de pagos inusual a un mismo proveedor.
- Comportamientos inusuales en depositos.
- Ajustes sin explicación en inventario o cuentas por cobrar.
Cuentas por pagar:
- Montos identicos recurrentes en el mismo proveedor.
- Los pagos a proveedores se incrementan sin razón.
- Falta de segregación de funciones entre quien proceso CXP y actualiza BD Proveedores, entre quien prepara cheques y los registra, y entre quien prepara cheques y los entrega.
- Sin documentación apropiada de cambios y ediciones en la base maestra de proveedores.
- Ajustes de abono excesivos para un proveedor emitidas por un departamento sin autorización.
- Sin reconciliación entre las subcuentas de proveeodres y el saldo global de la cuenta de mayor de proveedores.
- Supervisión insuficiente de la actividad de cuentas por pagar.
- Falta de documentación de las facturas para pago.
- Facturas pagadas inapropiadamente marcadas, permitiendo reprocesarlas.
- Acceso no restringido a cheques o equipo de firmado de cheques.
Signos de fraude: Recibos de cobranza.
- Resguardo inapropiado de efectivo (bajo llave o contraseña).
- Sin segregación de funciones entre quien recibe efecrtivo y el registro de cuentas de clientes.
- Depositos bancarios infrecuentes, permitiendo la acumulación de efectivo.
- Cortos frecuentes de efectivo en caja.
- Fluctuaciones constatntes en los saldos de las cuentas de bancos.
- Corte de caja antes del fin de turno.
- Copias faltantes en los recibos prenumerados.
- Insuficiente supervisión de la actividad diaria de cajeros.
Signos de fraude: Cuentas por cobrar
- Falta de responsabilidad en la emisión de números de factura.
- Falta de segregación de funciones entre quien procesa las facturas de cuentas por cobrar y quien registra las facturas en contabilidad.
- Falta de políticas y procedimientos para limpieza de saldos.
- Ajustes frecuentes, no documentados, no aprobados de las cuentas de clinets.
- Falta de reconciliación entre las subcuentas de clientes y el libro mayor de cuentas por cobrar.
- Supervisión insuficiente de la antigüedad de saldos.
- Sin restricción al acceso de las subcuentas y cuenta de mayor de clientes.
Signos de fraude: Inventario.
- Saldos acreedores en las cuentas de inventario.
- Excesiva limpieza de saldos sin apropiada documentación o aprobación.
- Acceso no restringido a las área de almacenamiento por terceros.
- Sin política de identificación de material para ventas, obsoleto, o excedente.
- Sin segregación de funciones entre quien recibe o envía el material, quien registra en las cuentas de inventario, y quien identifica los materiales obsoletos o excedentes y quien lo vende.
- Sin política de niveles de inventario a mantenerse.
- Insuficiente supervisión de las cuentas de inventario, limpieza o acceso físico.
- Falta de toma de inventarios regulares efectuado por terceros con independencia.
2. CANALES DE COMUNICACIÓN E INVESTIGACION
La administración es responsable no solo de establecer y mantener un sistema efectivo de control interno pero de comunicar los controles y su importante.
Los auditores internos son responsables de evaluar la necesidad de investigaciones por fraude
Un sistema de control efectivo debe de frenar las violaciones y fraudes. Hay muchas maneras en que las organizaciones pueden comunicar los controles y la importancia de adherirse a ellos:
- Top mgt debe de mostrar una actitud positiva a los controles internos.
- La compañía debe de tener políticas escritas que describan los códigos de conducta y las actividades prohibidas. También debe de indicar como manejar las violaciones.
- La compañía debe de establecer y mantener políticas que aseguren que las transacciones son adecuadamente autorizadas.
- Los mecanismos de información deben asegurar que la información que proveen a la administración sea confiables y adecuados.
- La compañía debe de requerir una productividad razonable para no dar lugar a practicas inescrupulosas para obtener metas.
- La compañía debe contar con políticas de monitoreo de sus empleados, vendedores, incluyendo revisión de antecedentes y seguridad.
Los auditores internos tienen las siguientes responsabilidades de reporteo:
- Notificar a top mgt de cualquier violación.
- Llevar a cabo trabajo de auditoría incluyendo impacto de la violación.
- Escribir reportes que muestren los hallazgos y acciones correctivas.
- Consultar a experto legal para el manejo de evidencia.
3. RESPONDIENDO A EVIDENCIA.
Las metas para guardar la integridad en una investigación son:
- Establecer que una pérdida ocurrió y la organización estuvo en riesgo.
- Identificar quien cometió la violación.
- Recuperar los activos perdidos.
- Prevenir nuevas violaciones.
Los pasos básicos para conducir una investigación de fraude incluyen:
- Determinar el tamaño de la violación, incluyendo identificar aquellos empleados que pudiendo preverla fallaron en reconocerla o reportarla.
- Determiinar la experiencia y conocimiento del equipo investigador.
- Designar procedimientos de investigación adecuados.
- Coordinar actividades de investigación.
- Asegurar que se guarden todos los estandares en relación a la documentación, referenciación y cadena de custodia de la evidencia obtenida.
- Mantener profesionalismo.
El reporte final de investigación sirve tres propósitos:
1) Explicar la naturaleza, alcance e impacto de la violación.
2) Explicar las acciones tomadas, particularmente contra los perpetradores.
3) Recomendar cambios en control y mejoras en procesos para atacar la causa del fraude.
Este reporte final debe de contener:
- Resumen del caso y detalles de la gente involucrada.
- Descripción detallada y cronologica de los eventos.
- Detalles de los pasos tomados en la investigación.
- Estimación de las pérdidas.
- Explicación detallada de la evidencia.
- Descripción de los controles comprometidos.
- Recomendaciones para acciones correctivas.
K. HERRAMIENTAS DE EVALUACION /ANALITICAS Y TECNICAS.
- ANALISIS DE TENDENCIAS. Comparativas de información actual con la de otros períodos.
- SINTESIS DE INFORMACIÓN. Sintetizar información proveniente de varias fuentes para llegar a conclusiones acerca de procesos de negocio, riesgos y controles.
- ESCENARIOS. Desarrollar posibles eventos y proyectar los resultados.
L. FORMULACIÓN DE RECOMENDACIONES O PLANES DE ACCIÓN.
Los resultados de los talleres de CSA deben de presentarse a top mgt en un reporte final. Se manentiende que es un reporte de auditoria. El reporte es producto del trabajo del equipo y debe de ser presentado como tal. Si se requiere un trabajo con recomendaciones del auditor, este debe de prepararse por separado.
Los planes de acción deben de tener las siguientes características:
- Práctico. Relacionarse al probelma y corrresponder con las metas de la organización.
- Realista. Deben de considerar las limitaciones actuales de recursos tales como numero de personal, conocimiento, tiempo y costo.
- Eficientes en costo. Solo sugerir cambio necesario para resolver el problema evitando extras o refinamientos.
- Especifico. Las recomendacines deben de especificar las funciones que se necesitan cambiar.
M. NATURALEZA DE LA EVIDENCIA.
Los siguientes términos aseguran una adecuada evidencia de auditoria.
SUFICIENCIA. Si hay suficiente evidencia.
COMPETENCIA. Se refiere a la validez y confiabilidad de la evidencia. Las fuentes independientes normalmente proveen mejor evidencia que la no independiente. Buenos controles generalmente proveen mejor evidencia que controles débiles. La evidencia obtenida directamente es mejor que la obtenida indirectamente. Los documentos originales son mejores que las copias.
RELEVANCIA Determinación de que la evidencia tiene una relación lógica con el hallazgo.
La evidencia debe de clasificarse:
EVIDENCIA DOCUMENTAL.
EVIDENCIA ANALITICA. Incluye cálculos, interpretaciones y comparaciones.
EVIDENCIA TESTIMONIAL. Obtenida de individuos através de observaciones orales o escritas.
EVIDENCIA FÍSICA. Incluye fotografías, mapas, muestras físicas.
Su clasificación también puede ser:
EVIDENCIA PRIMARIA O DIRECTA. Provee prueba directa sin requerirse una prueba o análisis adicional.
EVIDENCIA SECUNDARIA. Requiere el uso de evidencia adicional o el desarrollo de conclusiones.
EVIDENCIA CORROBORATIVA. Ayuda a los otros dos tipos de evidencia de manera indirecta. No tiene el poder para soportar una conclusión por si misma.
N. TECNICAS DE REPORTEO Y CONSIDERACIONES
Los resultados del CSA deben de resumirse en un reporte final a la administración. Se recomienda los reportes por escrito. La información tipica incluida en los reportes es: a) Riesgos relacionados con el proceso o función, fortalezas y debilidades de control interno, oportunidades y recomendaciones de mejora, barreras para implementar mejoras sugeridas, resumen de las preguntas de CSA y sus resultados, resumen de temas discutidos, comentarios de los miembros, comparaciones con estudios de CSA anteriores, gráficos con resultados, comentarios del facilitador y de los participantes de las fortalezas y debilidades del proceso.
En algunos casos, la sesión de CSA descubre temas sensibles que no deben de esperar a un reporte y que deben de informarse de inmediato.
O. TECNICAS MOTIVACIONALES
Tecnicas que ayudan a la aceptacion del CSA.
- Ligar objetivos del CSA con los de la administración.
- Seleccionar areas con alto involucramiento de empleados
- Buscar un "patrocinador"
Se sugiere hacer actividades previas al taller para divulgar a que se refiere el CSA.
P. TECNICAS DE SEGUIMIENTO
Auditoria interna debe de dar seguimiento. Auditoria externa también debe de involucrarse.
Q. CONSIDERACION DE TIPO LEGAL, REGULATORIO Y ETICO
Un especialista en CSA debe de presentar información que sea necesario para presentar un verdadera representación de los temas cubiertos. El código de ética obliga a indicar cualquier tema que si no se menciona, puede distorsionar las actividades bajo revisión.
R. MIDIENDO EFECTIVIDAD DEL PROGRAMA DE CSA
Se deben de hacer encuestas para evaluar si la organización percibe que las mejoras son resultado del CSA.
DOMINIO IV
OBJETIVOS DEL NEGOCIO Y DESEMPEÑO ORGANIZACIONAL
A. PROCESO DE PLANEACION ESTRATEGICA Y OPERACIONAL
Planeación estratégica es el proceso en el que la organización determina como se encamina en los próximos años (a donde va), los objetivos para lograr (que necesito hacer para conseguirlo), los métodos que usara para llegar ahí (como lo voy a hacer), y los métricos de desempeño (como voy a medir mi exito).
El plan estratégico es un documento formal que comunica a la organizción la estrategia de largo plazo , y es una guía para las opreaciones diarias.
El plan estratégico debe de contener:
- Misión
- Visión
- valores
- Objetivos organizacionales
- Analisis de fortalezas y debilidades
- Factores de riesgo y barreras para encontrar objetivos
- Estrategias de largo plazo
- Planes para alcanzar objetivos
- Recursos necesarios
- Necesidades presupuestales
- Habilidades necesitadas
- Métricos de desempeño
- Descripción de las técnicas de evaluación
La metodología CSA puede usarse para diseñar el Plan Estratégico.
Los cuatro principales pasos para la elaboración de un proceso de planeación estratégica:
Paso 1. Desarrollar enunciados que aseveren lo que la entidad piensa alcanzar (en la forma de misión y objetivos).
Paso 2. Desarrollar planes especificos para alcanzar los objetivos, los cuales contienen objetivos medibles y el cronograma de implementación. Los planes deben de describir los procesos, habilidades, tecnologías, y recursos requeridos.
Paso 3. Comunicar el plan al staff afectado.
Paso 4. Monitorear el plan y su efectividad. Los planes son herramientas dinámicas.
Una característica de los planes estratégicos es que son de largo plazo. siendo el plazo de 3 a 5 años el más común y hasta 10 años.
B. FIJACION DE OBJETIVOS
Los objetivos son metas que la organización debe de alcanzar para lograr su propósito con una misión, visión y valores articulados.
MISIÓN. Definir el propósito básico, a quien sirven, lo que busca alcanzar, que lo hace único, cual es su importancia, y que problemas sociales busca influenciar. Su longitud está entre un renglón y un párrafo.
VISIÓN
Es una descripción breve de como la organización quisiera alcanzar su mejor escenario.
Son expresiones idealistas de las mas altas aspiraciones de la organización.
VALORES
El enunciado de valores describe la filosofía base o principios operativos clave.
Despues de definir MISIÓN, VISIÓN y VALORES la compañía debe de realizar un análisis SWOT (sTRENGHTS, WEAKNESSES, OPPORTUNITIES AND THREATS). Los factores externos que pueden afectar la organización son: Acciones por competidores, cambios económicos, demografía o cambios sociales, avances tecnologicos, cambios legislativos, eventos globales. Los factores internos que pueden afectar los objetivos son: Cambios en las quotas de producción, pérdidas o ganancias de grandes contratos o clientes, cambios de políticas organizaciones, cambios presupuestales o de recursos, cambios tecnológicos, recortes o cambios de personal.
Las páginas 134-136 incluyen preguntas para abordar los cambios externos e internos del SWOT.
C. METRICOS DE DESEMPEÑO
Permiten monitorear la eficiencia operativa, calidad de servicio, satisfacción del cliente, y costos relacionados. Es comunmente dificil determinar los niveles apropiados de desempeño ya que los interesados tiene diferentes valores y diferentes ideas de que constituye un desempeño adecuado. Las siguientes son guías al respecto:
- Usar métricos familiares que capturen multiples dimensaiones de desempeño.
- Mediciones deben de enforcarse en los aspectos medibles del desempeño.
- Mediciones deben de ser suficientemente comprehensibles para alcanzar conclusiones válidas.
- Una compañía no deben de gastar mucho dinero en medir los aspectos menores del desempeño.
- Mediciones deben de actualizarse.
- Los métricos deben de ser confiables, relevantes, oportunos, fáciles de entender, comparables, consistentes, completos y controlables.
Categorías de métricos de desempeño:
- Métricos de esfuerzo.Cuantificar el cantidad de recursos utilizados para un servicio o programa. Inputs pueden ser financieros o no financieros.
- Métricos financieros. Gastos para items como salarios, materiales, y equipo relacionados con la producción.
- Métricos no financieros. Número de recuross necesitados para producir un producto sin considerar su elemento financiero, por ejemplo, número de personal o equipo, número de cajeros.
-Métricos operativos. Evaluar el uso de inputs (esfuerzo) para alcanzar outputs (logros). También son conocidos como métricos de eficiencia. Pueden estar ligados a productividad output dividido con input; costo unitario input dividido por output.
- Los métricos output pueden ser cuantitivos o cualitativos.
D. ADMINISTRACIÓN DE DESEMPEÑO
Se refiere a asegurar que todos estén trabajando de una manera óptima para lograr los objetivos de la organización.
Un elemento clave es el PLAN DE DESEMPEÑO el cual incluye:
- Objetivos de desemeño medibles y realistas que definen el nivel de desempeño para cada unidad de negocios.
- Descripción de como los objetivos serán alcanzados.
- Descripción de los procesos, recursos, habilidades y tecnología necesitada.
- Presupuesto financiero.
- Indicadores de desempeño.
Los REPORTES DEL PROGRAMA DE DESEMPEÑO son usados para medir el progreso.
E. RECOLECCION DE INFORMACION Y TECNICAS DE VALIDACION
VALIDACION DE INFORMACION Involucra asegurar que la infomarción utilizada para los indicadores de desempeño es cierta y objetivamente medida.
VERIFICACION DE INFORMACION Asegurar que la inforamción de desempeño es precisa, suficiente y confiable.
Los auditores deben de entender los indicadores de desempeño.
Métodos comunes de recolección de información en desempeño incluyen:
- Rastreo manual y resumen de actividades.
- Recolección rutinaria de información ya sea por entradas y cargas de sistema automatizadas.
- Muestreo de información de agencia.
- Pruebas robotizadas y observadores entrenados..
- Cálculos basados en tendencias historicas.
- Escalas de calificiación fotograficas.
- Pruebas técnicas.
- Inspección física.
Algunas técnicas para validar la información de desempeño utilizadas por los auditores internos son:
- Desviaciones o patrones.
- Razones de desviaciones de los valores esperados.
- Comparativo con indicadores de otras divisiones.
- Análisis de razones o proporciones (ratio analysis)
- Análisis costo beneficio
- Análisis de costo efectividad
- Análisis de regresión. Relación estadística entre dos o más variables.
- Data envelopment analysis (DEA). Análisis de multiple input /multiple output. Se utiliza para evaluar desempeño de sucursales bancarias, hospitales, colegios, entre otros.
- Series de tiempo.
- Benchmarking.
- Evaluación de programa. Permite ayudar en desarrollar políticas principales y decisiones presupuestales. Los dos tipos de evaluación son: 1) Evaluaciones sumativas, se enfocan en los resultados y en responder a la pregunta de que hubiera pasado si el programa no existiera. Los métodos utilizados para analizar información son análisis de contenido, formatos de resumen de contacto 2) Evaluaciones formativas, para determinar los componentes que negativamente afectan la efectividad o que no agregan valor. Algunas técnicas son modelake, focus groups, observaciones, entrevistas, análisis etnográfico, juicio de expertos, etc.
En la página 145 aparecen algunas preguntas que se pueden hacer para validar los reportes de desempeño.
DOMINIO V
IDENTIFICACIÓN DE RIESGOS
Para comprobar la relación entre riesgo y auditoria interna esta sección hace referencia al "International Standards for the Proffesional Practice of Internal Auditors":
Norma 1220 - Cuidado profesional. Ver 1220.A1 y A3.
Norma 2010 - 2010 Planeación. Para el establecimiento de planes basados en riesgo.
Norma 2020 - Comunicación y aprobación (de las actividades de auditoria interna).
Norma 2110 - Naturaleza del trabajo - La AI debe de contribuir a la administración de riesgos.
Norma 2110 - Manejo de riesgos - Evaluar riesgos y contibuir a la mejora de la admon. de riesgos.
Norma 2130 - Gobernabilidad (contribuir a).
Norma 2201 - Consideraciones de planeacion
Norma 2210 - Objetivo de compromiso
Norma 2500 - Monitoreo del progreso
Norma 2600 - Resolución de aceptación de riesgos de la administración. Aplica cuando el auditor interno considera que el riesgo admitido por la administración es inaceptable, lo que obliga primero a indicar a la administración y segundo al Consejo si el riesgo residual no se ha atacado.
A. TEORIA DEL RIESGO
1. DEFINIENDO RIESGO
Riesgo es un concepto utilizado para expresar la preocupación de los efectos probables de un ambiente incierto. Dado que el futuro es desconocido, cualquier rango de eventos puede tener una meta significativa en las metas y objetivos de la organización.
Las posibilidades positivas son llamadas oportunidades y las negativas, riesgos.
El riesgo es medido en términos de impacto y posibilidad.
Blac´s Law Dictionary. Riesgo es el elemento de incertidumbre en una empresa.
Riesgo residual - Riesgo remanente despues de que la administración tome acción para reducir el impacto.
Administración de riesgo - Proceso para identificar, atender, administrar, y controlar eventos potenciales de riesgo.
Asunción de riesgo - Si el demandante no se recupera de una lesión.
El riesgo es determinado como un continuum (amenazas u oportunidades) con pagos (positivos o negativos).
2. RELACIÓN DE RIESGO A LOS OBJETIVOS ESTRATEGICOS, OPERACIONALES Y PROCESUALES.
El riesgo está asociado en inversiones a un mayor retorno como recompensa. Los inversionistas deben de manejarlo en base a su tolerancia (apetito) al riesgo.
Texto de "Business Risk Assessment (BRA)": El BRA se refiere a entender los riesgos y oportunidades que afectan las metas de la organización. El riesgo es evaluado a tres niveles 1) Estratégico (5-10 años y enfocado a entendimiento de riesgos), procesual (período actual de las actividades de la organización y enfocado a administración del riesgo), operacional (usado en las operaciones del día a día, enfocado tanto a admon como entendimiento del riesgo).
Pasos para entendimiento del riesgo estratégico
1. Ganar entendmiento de los objetivos y metas de la organización examinando los documentos de la organización.
2. Escoger los riesgos estratégicos que son de mayor importancia para la organización: Operacional, fiscal, reputacional, de política, regulatorios, etc.
3. Definir los ambientes que son importantes para la organización: Político, tecnologico, legal, competidores, clientes, físico, mercados, proveedores, económico.
4. Crear series de matrices donde las areas de riesgo estratégico están en el eje superior y los ambientes en el eje lateral. Estas matrices deben de aparecer en series de tres, esto es, para cada objetivo identificado en el paso 1 debe de haber una matriz que se enfoque en corto, mediano y largo plazo.
5. Utilizando procesos creativos como lluvia de ifeas, escenarios, imaginar las amenazas y oportunidades para cada celda en la matriz. Dado que no cada ambiente afecta cada área estratégica puede haber celdas vacías.
6. Combinar los entendimientos de riesgo para cada objetivo en los tres horizontes de tiempo para obtener un enunciado combinado de riesgo.
Procedimientos.
A. Identificar riesgo, utilizando uno o más de los métodos de identificación de riesgo (analisis a exposición, analisis ambiental, o escenarios de amenazas).
B. Medir riesgo y desarrollar alternativas. Calificarlos en una escala de 1 a 5 y analizar las áreas con alto riesgo para desarrollar alternativas. Costear las alternativas.
C. Diseño del control. Escoger la alternativa que sea más cost-efffective.
D. Admon de riesgo. Monitorear riesgos y hacer ajustes.
ADMINISTRACION DEL RIESGO OPERACIONAL
Mitigación del día a día de los riesgos de seguridad y salud de los empleados. Es responsabilidad de los mandos medios. La metodología COSO ERM aborda este tema.
3. TOLERANCIA AL RIESGO, RIESGO RESIDUAL, Y EXPOSICIÓN.
La admon de riesgo incluye
entendimiento de riesgo y el proceso para actuar ante ese entendimiento. Esto involucra tres pasos:
1. Identificación del riesgo.
2. Medición del riesgo.
3. Priorización del riesgo.
Las decisiones de mitigación deben de ser:
- Evitar el riesgo.
- Controlar el riesgo (incluye aceptar parte de el).
- Compartir el riesgo.
Siempre habrá riesgo residual.
Através del entendimiento del riesgo, se determina la tolerancia al riesgo, se identifica el riesgo residual y se determina si excede a lo esperado, y se acepta el riesgo tolerable.
4. EVALUACIÓN DEL IMPACTO
EL Consejo debe de garantizar el establecimiento de procesos de gobierno corporativo. Los controles deben de asegurar que las siguientes condiciones existen:
- Confiabilidad e integridad de la información financiera.
- Efectividad y eficiencia de las operaciones.
- Salvaguarda de activos.
- Cumplimiento de leyes, reglas y contratos en las acciones y decisiones de la organización.
Los 5 objetivos de la administración de riesgos son:
- Los riesgos que nacen de las estrategias y actividades de la empresa son identificados y priorizados.
- La administración y el Consejo han determinado los niveles de riesgo aceptables para la organización.
- Las actividades de mitigación de riesgo son diseñadas e implementadas para reducir o administrar los niveles de riesgo para que sean aceptables.
- Las actividades de monitoreao son conducidas para reevaluar periodicamente el riesgo y la efectividad de los controles.
- El consejo y la administración reciben reportes periodicos de los resultados del procesos de admon de riesgos.
Sarox obliga además a:
- Registrar el Consejo de Revisión de Contadores publicos a donde deben de registrarse las compañías publicas.
- Legislación de auditoria estricta.
- Mayor responsabilidad corporativa para las acciones fraudulentas.
- Más estricta información de los Estados financieros, y guías éticas a la que los empleados senior deben adherirse.
- Guías para conflictos de interés.
- Métodos de seguridad para castigar los actos criminales.
B. MODELO DE RIESGO
COSO ERM
Modelo establecido en 2003 que promueve conceptos y técnias de CSA.
Su propósito es levantar un consistente conciencia de control y riesgo..
ERM, enterprise risk management, está definido como el proceso aplicada en la definición de estrategias através de toda la compañía, diseñado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos dentro de su apetito al riesgo, y proveer un entendimiento razonable en cuanto a el logro de los objetivos de la entidad.
El ERM mejora la capacidad para:
- Alinear el apetito al riesgo y la estrategia
- Relacionar el crecimiento, el riesgo y el retorno.
- Mejorar las decisiones en respuesta al riesgo.
- Minimizar las sorpresas y pérdidas operacionales.
- Identificar y administración riesgos multi departamentales.
- Proveer respuestas integradas a múltiples riesgos.
- Medir oportunidades, ganando entendimiento en como ciertos eventos representan oportunidades.
- Racionalizar capital.
ERM no es un fin en si mismo sino que está relacionado con el gobierno corporativo.
Los objetivos de la compañía pueden ser vistos en cuatro categorías.
- Estrategico.
- Operacional.
- Reporteo.
- Cumplimiento.
ERM consiste en 8 componentes interrelacionados:
1) Ambiente interno- Como el riesgo y el control son vistos por el personal.
2) Establecimiento de objetivos
3) Identificación de eventos
4) Entendimiento de riesgos
5) Respuesta al riesgo
6) Actividades de control
7) Información y comunicación.
8) Monitoreo.
ESQUEMA DE CONTROL INTERNO TRADICIONAL
Proceso diseñado para proveer seguridad razonable de que se cumplen los objetivos en términos de a) Control operacional, b) Control de reportes financieros y c) Control de cumplimiento.
Los componentes de control identificados por la AICPA son:
1) Ambiente de control.
2) Entendimiento de riesgos.
3) Información y comunicación.
4) Actividades de control
5) Monitoreo.
Un sistema de control efectivo provee información pertinente y oportuna.
COCO CRITERIA OF CONTROL (Canada)
La esencia del control es la mezcla entre el propósito, el compromiso, la capacidad y el monitoreo y aprendizaje. Los objetivos son la razón de existencia de una organización. Los objetivos pueden ser descritos en tres categorías: 1) Efectividad y eficiencia de la operación, 2) Confiablidad de los reportes internos y externos, 3) Cumplimiento de las leyes y regulaciones aplicacables y políticas internas.
COSO
PÁGINA 172 y 173 incluyen historia de COSO.
Se publicó el documento "Internal Control - Integrated framework" que define el control interno y no se limita a ICFR. Define que el control interno efectivo es responsabilidad de la administración y que requiere la participación de todas las personas en la organización.
Las dos metas principales de COSO son:
- Establecer una definición común de control interno.
- Proveer un estandar en el que las organizaciones pueden revisar sus sistemas de control.
COSO define al control interno como: Es un proceso hecho efectivo por el Consejo, directores, administración y otro personal, diseñado para proveer confianza razonable del cumplimiento de los objetivos en las siguientes categorías:
1) Efectividad y eficiencia de las operaciones.
2) Confiabilidad de los reportes financieros.
3) Cumplimiento de las regulaciones y leyes aplicables.
Esta definición refleja ciertos conceptos fundamentales:
- El control interno es un proceso. No es un fin en si mismo.
- El control interno es efectuado por gente. No son manuales ni políticas sino gente en todos los niveles de la organización.
- Se espera que el control interno otorga una garantía razonable no una garantía absoluta.
Los componentes interrelacionados del control interno son 5:
1) AMBIENTE DE CONTROL- Provee una atmósfera en el que las personas realizan sus actividades
2) EVALUACIÓN DE RIESGO. En este ambiente, la administración evalua riesgos para el cumplimiento de objetivos específicos.
3) ACTIVIDADES DE CONTROL. Las actividades de control son implementadas para ayudar asegurar que las directivas que enfrentan los riesgos son llevadas a cabo.
4) INFORMACIÓN Y COMUNICACIÓN. La información relevante es capturada y comunicada.
5) MONITOREO. Todo el proceso es monitoreado y modificado si las condiciones cambian.
C. ENTENDIENDO LOS RIESGOS INHERENTES EN LOS PROCESOS DE NEGOCIO COMUNES.
CSA promueve métodos para identificar y entender riesgos. Los talleres de CSA son un ejemplo de como asistir a identificar los riesgos.
El riego is inherente con cada actividad, en independencia de la existencia o efectividad de los controles. Por ejemplo, robo, pérdida o registro inadecuado de los recibos de cobranza in operaciones de efectivo.El
riesgo inherente son los posibles efectos adversos basados en el tipo de actividad, de recursos, monto de los activos o complejidad de las transacciones.
La vulnerabilidad o
control de riesgos, es alta si hay controles débiles y viceversa.
La evaluación de vulnerabilidad explicada en páginas de 176 a 178 busca determinar hasta que medida una área es susceptible a desperdiciar, abusar o fraudear por la naturaleza de su operación. Entender el ambiente de contorl es un factor importante para evaluar la vulnerabilidad. Las características de un ambiente de control efectivo incluyen que la administración comunique la importancia de los controles internos, enfatice la competencia, integridad y comportamiento ético; los empleados tienen claras sus responsabilidades y son responsables de su desempeño.
Algunos factores que incrementar el riesgo inherente en procesos comunes de negocio son:
- Pobre calidad de los sistemas de control de la organización.
- Líneas de autoridad poco claras.
- Procedimientos poco claros, inadecuados, no escritos o desactualizados.
- Pobre clima ético.
- Falta de competencia e integridad del personal.
- Alto nivel de complejidad.
- Segregación de funciones inadecuada.
- Restricciones de tiempo.
- Alto volumen de operaciones.
- Staff reducido o presupuesto reducido.
- Cambios de personal.
- Crecimiento rápido.
- Historial de problemas previos.
El libro "Risk management: changing the internal auditor's paradigm" indica los siguientes parámetros en riesgo de negocios básico:
- El gobierno corporativo es la respuesta estratégica de la organización al riesgo.
- El éxito en administrar el ambiente de control requiere: 1) Conocimiento del proceso de negocio 2) Marco de referencia y lenguaje para discutir riesgos entre gerentes y auditores. 3) Un proceso para abrir la imaginación acerca de riesgos significativos en procesos.
El cambio de paradigma sugerido por el libro indica lo siguiente:
a) Cambio de foco de la auditoría interna de controles internos a riesgos de negocio.
b) Cambio de respuesta del área de auditoria de reactivo a activo.
c) Cambio de evaluación de riesgo de factores de riesgos a planeación de escenarios.
d) Cambio de pruebas de auditoria de controles importantes a riesgos importantes.
e) Cambio de métodod de auditoria de enfasis en la prueba de controles a enfásis en que los riesgos estén cubeirtos.
El cambio en enfoque de control interno a riesgos ayuda a una menor fricción, un flujo más natural de la auditoria, etc. La auditoria basada en riesgos es potencialmente más rápida y más eficiente.
En página 183 hay un ejemplo de este tipo de auditoria.
Hay un movimiento por integrar los conceptos de CSA a la planeación estratégica, administración de riesgos, y gobierno corporativo en la auditoria interna.
D. APLICACIÓN DE TECNICAS DE IDENTIFICACION DE RIESGOS Y ASSESTMENT
La base de la administración de riesgo es implementar los procesos especificos para mitigar riesgos.
La auditoria basada en riesgos es un modelo que incorpora la relación de riegos operacional y objetivos de proceso. Está diseñada para incrementar la eficiencia de auditoria y su efectividad. La administración debe desarrollar una metodología de evaluación de riesgo. Esta metodología incluye:
- Perfiles de las operaciones más importantes y sus riesgos de negocio asociados.
- Uso de sistema de medición que ranquee y evalue los riesgos.
- Aprobación de la administración de las evaluaciones de riesgo.
- Un proceso que monitoree la evaluación de riesgos y que se actualice periodicamente.
La auditoria basada en riesgos requiere que el auditor:
1) Provea una garantía independiente en el manejo de riesgos..
2) Forme una opinión de si los controles son implementados y mantenidos para mitigar los riesgos importantes que la administración ha esta de acuerdo en enfrentar.
El "Practice Advisory 2210.A1-1: Risk assessment in engagement planning" indica que se debe de ajustar la auditoria a los riesgos propios de la actividad en revisión. Se debe de revisar antecedentes para determinar el impacto. Si es necesario, debe realizar una consulta para familiarizarse con las actividades, riesgos y controles. Esta consulta incluye entrevistas, visitas al sitio, revisión de reportes administrativos, diagramas de flujo, documentación de controles clave. Una conclusión de la consulta debe de emitirse. En la página 188 se indican los puntos a contemplar en la conclusión.
E. TECNICAS DE ADMINISTRACIÓN DE RIESGOS / ANALISIS DE COSTO BENEFICIO.
1. TRANSFERIR, MANEJAR Y ACEPTAR.
La administración de riesgos es una disciplina téncia con metas para proteger los activos y los ingresos mediante la eliminación, reducción o transferencia de las pérdidas potenciales antes de que estas ocurran.
La administración debe de elegir entre tres altenativas de cursos de acción:
- Transferir riesgos. Através de seguros o asociarse con organizaciones dispuestas a compartir el riesgo por una recompensa.
- Manejar o controlar el riesgo. Através de medidas preventivas como añadir personal a una función, instalar alarmas contra robo, incrementar frecuencia y nivel de supervisión, o implementar estandares más estrictos.
- Aceptar el riesgo. Cuantificar cuanta pérdida esta la organización dispuesta a aceptar.
2. ANALISIS DE IMPACTO O COSTO-BENEFICIO
Un método para enfrentar el impacto es através de la actividad de auditoria interna.
La estrategia de riesgo organizacional debe de estar reflejada en el diseño del plan de auditoria interna. Se debe de priorizar los riesgos utilizando alguno de los MODELOS DE RIESGO como pueden ser: Materialidad en dólar, liquidez de activos, competencia de la administración, calidad de los controles internos, grado de cambio o estabilidad, complejidad, etc.
Otro método es medir el riesgo através de una escala del 1 al 3 (bajo, medio y alto). Esta medición esta basada en ocurrencia, severidad de las consecuencias, temporalidad y duración del riesgo.
DOMINIO VI TEORIA DE CONTROL Y APLICACIONES
A. GOBIERNO CORPORATIVO, TEORIA DE CONTROL Y MODELOS
La administración es responsable del ambiente de control.
1. RESPONSABILIDAD DEL CONTROL
La Securities and Exchange Commission (SEC) impelmento medidas antifraude através de las Sarbanes Oxley 2002. El reporte de auditoria al control interno debe contener:
- Indicación de la responsabilidad de la administración de establecer y mantener un adecuado sistema de control interno sobre reportes financieros (ICFR).
- Enunciado que indique el framework utilizado para evaluar el sistema de control interno.
- Evaluación de la efectividad de los controles internos.
- Enunciado que indique que el auditor ha testimoniado esa evaluación de la efectividad.
El término ICFR es un proceso diseñado para que bajo la supervisión de los altos mandos, se provea seguridad suficiente de los FR.
El término GOBIERNO es la combinación de procesos y estructuras implementado por el Consejo para informar, dirigir, manejar, y monitorear las actividades de la organización hacia la consecución de objetivos.
La actividad de auditoria interna debe de evaluar y hacer recomendaciones de:a) Promover valores y ética; 2) Asegurar un efectivo desempeño organización; 3) Comunicar riesgo e información de control; 4) Coordinar las actividades entre el Consejo, los auditores externos e internos y la administración.
2. DEFINIENDO EL CONTROL
CONTROL se define como el proceso para proveer seguridad razonable respecto a la consecución de objetivos. Un SISTEMA DE CONTROLson las actividades que ayudan a asegurar que las estrategias y directivas se llevarán a cabo. Algunas actividades de control incluyen:
- Control físico sobre activos.
- Establecimiento de indicadores de desempeño.
- Segregación de funciones.
- Revisión de desempeño actual.
- Controles sobre el procesamiento de información.
- Adecuado ejecución y documentación de las transacciones y eventos.
- Acceso físico y lógico a los recursos y registros.
- Documentación apropiada de las operaciones.
Dos clasificaciones del control son:
- Controles contables.
- Controles administrativos.
AMBIENTE DE CONTROL
Es importante el tono ético de parte de la administración y el compromiso para contratar empleados competentes. La estructura afecta el ambiente de control dado que se requiere definir las areas clave de autoridad y responsabilidad y establecer líneas de reporte apropiadas. La descentralización hace más dificil contar con un ambiente de control consistente. Las diferencias de cultura, educación, comunicación y prácticas de contratación debilitan la efectividad del ambiente de control. También se afecta por la manera en que se delega autoridad. Las políticas de RRHH que establecen como contratar, orientar, entrenar, evaluar, aconsejar, promover, compensar y disciplinar el staff también lo afectan.
3. RELACIONES ENTRE RIESGO, CONTROL Y OBJETIVOS.
EVALUACIÓN DE RIESGO. Los métodos para identificar el riesgo incluyen rankeo, conferencias con administración, proyecciones, y planeación estratégica. El sistema de control interno d
ebe de responder a los cambios en riesgos dentro y fuera de la organización, e integrarse con la operación y no tratarse como un tema separado.
B. TECNICAS PARA DETERMINAR EL RASTREO DE REGISTROS DE CONTROL PARA LA ORGANIZACIÓN.
Los auditores necesitan revisar el sistema de control intenrno para asegurarse que los riesgos materiales son identificados y apropiadamente manejados con controles; determinar si los controles previenen fraudes, realizar pruebas para validar eficiencia, identificar debilidades, entre otras.
Los pasos para hacer la evaluación del control son:
Paso 1. Identificar los puntos de control (funciones donde un control especifico es realizado, por ejemplo, hacer una reconciliación)
Paso 2. Documentar el entendimiento del ambiente de control (através de memorandums, cuestionarios, checklists, diagramas de flujo).
Paso 3. Evaluar el nivel de control de riesgos (para determinar el nivel necesario de pruebas sustantivas).
Paso 4. Comunicar las condiciones reportables a la Administración (asuntos que llamaron la atención del auditor).
Hay varias metodologías para evaluar el control, entre ellos CoCO y COSO. Los dos objetivos principales de COSO son establecer una definición común de control interno y proveer un estandar a las organizaciones para evaluar sus sistemas de control.
C. RELACIÓN ENTRE LOS CONTROLES FORMALES E INFORMALES.
CONTROLES FORMATOS o CONTROLES DUROS son las herramientas documentadas y tangibles, como políticas y procedimientos, estructura organizacional, personal, reporteo y revisión interna.
CONTROLES INFORMALES o CONTROLES SUAVES administran aquellos intangibles tales como competencia, valores, apertura, liderazgo y expectativas.
CONTROLES DISCRECIONALES Están sujetos al juicio humano.
CONTROLES NO DISCRECIONALES Se administran automaticamente por un sistema y no pueden ser alterados o ignorados.
D. TÉCNICAS PARA EVALUAR LOS CONTROLES FORMALES (MANUALES O AUTOMATICOS).
Los controles manuales usualmente trabajan en conjunto con los controles automáticos.
Los controles automáticos complementan e incrementan la efectividad del empleado revisor, pero no lo reemplazan.
Dos métodos comunes para evaluar los controles internos son PRUEBAS DE CUMPLIMIENTO y PRUEBAS SUSTANTIVAS.
Las Pruebas de Cumplimiento verifican que los controles son apllicados en la manera en que son descritos en los diagramas de flujo. Las PRUEBAS SUSTANTIVAS buscan probar errores en el sistema de control interno.
Otra técnica es el uso de PROCEDIMIENTOS ANALITICOS DE AUDITORIA, los cuales sirven para identificar diferencias que no son esperadas, ausencia de diferencias esperadas, errores potenciales, irregularidades potenciales. Estos procedimientos incluyen comparativas, razones y proporciones, benchmarks.
E. TECNICAS PARA LA EVALUACION DE CONTROLES INFORMALES / AMBIENTE DE CONTROL
El revisor debe de enfocarse en lo adecuado del ambiente de control considerando la estructura organizacional, actitud de la administración hacia el control, integridad y ética; efectividad de las políticas y procedimientos; cultura organizacional; moral del staff, etc.
CSA ayuda a evaluar controles informales a diferencia de la auditoría interna tradicional. Algunos aspectos que aprovecha el CSA son:
- Las personas se vuelven capacitadas y experimentadas en evaluar riesgos y asociarlos con procesos de control.
- Los controles suaves o informales son mas facil identificados y evaluados.
- Las personas se motivan a tomar propiedad de los procesos de control de sus áreas.
F. TECNICAS DE CONTROL DE DOCUMENTACION.
1. Diagramas de flujo
Representación visual de como trabaja un proceso.
En página 218 aparecen los símbolos más utilizados para diagramas de flujo.
Algunas reglas de los diagramas son:
- El flujo es de arriba hacia abajo o de izquierda a derecha.
- TOdas las cajas deben de estar conectadas
- El punto de entrada de una caja debe de ser en la parte alta del símbolo.
- El punto de salida debe de estar en la parte baja del símbolo. Para símbolos de decisión existen dos puntos de salida.
- Los conectores deben usarase para conectar cortes en el diagrama (por ejemplo, por cambios de página).
- Todos los diagramas deben de empezar y terminar con un símbolo terminal.
2. Mapeo de procesos de negocio.
Es común que las organizaciones pierden enfoque global por un enfoque local o de área en la definición de los procesos y subprocesos, esto es, las áreas cuidan sus propios asuntos sin importar el efecto que genera en la organización dando una "mentalidad de silo" desconectada del resto. Incluso puede darse que las áreas compitan en vez de colaborar.
El mapeo de procesos ayuda a entender como los procesos interactuan con un sistema, identificar y entender los procesos clave de la organización, identificar fallas de diseño de proceso y problemas sistémicos, evaluar que actividades añaden valor al cliente, distinguir entre procesos técnicos y sociales.
3. Tableros de control
Herramienta sofisticada basada en el monitoreo constante de las variaciones del proceso. Provee una representación gráfica del proceso y los áreas con problemas potenciales. Los tableros de control ayudan a mejorar productividad, reducir defectos de manufactura, prevenir ajustes innecesarios en el proceso, proveer información de diagnóstico.
Tipicamente se usan para monitorear una vaiarble del proceso y determinar si está fuera de control.
4. Cuestionarios de control.
Son utilizados para ganar un entendimiento superficial y general del ambiente de control.
ICQs o Internal Control Questionnaires son usados para clasificar controles especificos utilizados en un proceso. Las preguntas se diseñan para respuestas de SI / NO lo que ayuda a los auditores a identificar deficiencias. Los ICQs están estandarizados, y son fáciles de entender y modificar. Su defecto es que son muy generales y pierden foco por lo que se acostumbra sean un paso inicial en el proceso de CSA.
G. DISEÑO DE CONTROL
1. DEFINIENDO OBJETIVOS DE CONTROL
El objetivo de control es un enunciado con un resultado o proposito deseado para ser alcanzado con la implementación de procedimientos de control en una actividad en particular. Debe de estar relacionado a un factor de riesgo que debe mitigarse.
Algunos ejemplos son:
RIESGO OBJETIVO DE CONTROL TÉCNICA DE CONTROL
Robo de empleados Salvaguardar el inventario Instalar cámaras de seguridad
Devoluciones Mejorar el control de calidad Desarrollar un estructura de
excesivas para reparaciones control de calidad y asignar
responsabilidades
Los objetivos de control pueden ser estratégicos, operativos o de cumplimiento.
ESTRATEGICOS: Riesgos básicos de condiciones macroeconómicas, catastrofes naturales, problemas políticos, competición, legislación, impactos tecnológicos.
OPERATIVOS: Relacionados directamente con los procesos internos de operación.
CUMPLIMIENTO: Cumplimiento de leyes, reglamentos, estándares de la industria, y requerimientos regulatorios.
COBIT (Control objectives for information and related technology) se enfoca en auditar objetivos de control en tecnología. Los dominios del COBIT son: 1) Planeación y Organización (PO) el cual cubre tácticas de como la tecnología puede contribuir al logro de objetivos; 2) Adquisición e implementación, que cubre la identificación, desarrollo, adquisición e integración de soluciones de IT; 3) Entrega y soporte (DS), que incluye la entrega de los servicios requeridos y los procesos de soporte; 4) Monitoreo (MN).
2. DISEÑO DE CONTROL (E.G. PREVENTIVO, DETECTIVO, CORRECTIVO, INFORMAL Y FORMAL)
Los controles son usualmente clasificados en preventivos, detectivos, y correctivos.
PREVENTIVOS: Evitar la ocurrencia de un evento no deseado.
DETECTIVOS: Identificar eventos no deseados despues de que ocurrieron.
CORRECTIVO: Remediar las circunstancias que permitieron la actividad no autorizada.
Los costos asociados a implementar un control se incrementan en tanto nos movemos de PREVENTIVOS a DETECTIVOS y finalmente CORRECTIVOS, por ejemplo, es mas barato un antivirus que el costo para reparar un equipo infectado de virus.
El ambiente de control influencia el nivel de riesgo. Las características de un ambiente de control efectivo incluyen: a) La administración comunica la importancia del control interno a sus empleados; b) Empleados tiene claramente definidas sus responsabilidades; c) Empleados son "accountables" por su desempñeo; d) Un sistema esta disponible para monitorear los controles.
Los siguientes factores influencian el estado del ambiente de control:
- Historia de debilidades de control y violaciones.
- Como la organización valora la competencia, integridad, y comportamiento ético.
- Si la organización tiene un código de conducta y de ética fuertes y estos son comunicados consistentemente.
- Evaluación injutas o incosistentes.
3. COSTO / BENEFICIO
Los controles excesivos pueden ser tan problemáticos como los controles insuficientes, por ejemplo, la organización debe de evaluar el riesgo y después el diseño del control potencial no debe de ser más costoso que el riesgo mismo.
Ejemplos:
RIESGO / RESPUESTA DE CONTROL EXCESIVA / RESULTADO
Aumento en pérdida de activos / Auditoria semanal a inventarios /Costos de nómina excesivos
Escalación de decisiones de negocio pobres /Compleja revisión y aprobación / Oportunidades perdidas
Excesivo incumplimiento / Supervisión aumentada / Staff caro efectuando chequeos de bajo valor
Incremento en regulaciones / Revisión excesiva de procesos / Baja en productividad de personal clave
H. METODOS PARA JUZGAR Y COMUNICAR LA EFECTIVIDAD GENERAL DE UN SISTEMA DE CONTROL INTERNO
Documento " Internal control management and evaluation tool. Repite conceptos de ambiente de control, evaluación de riesgo, actividades de control, información y comunicación, monitoreo.
Especificos del ambiente de control
Los factores clave del ambiente de control son: a) Integridad y valores éticos, b) Compromiso con la competencia, c) Filosofía de la administración y estilo operativo (incluye actitud de la Admon. ante control presupuestal, toma de riesgos, reporteo operacional); d) Estructura organizacional; e) Asignación de autoridad y responsabilidad; e) Políticas y prácticas de RRHH; y f) Grupos de seguimiento
Establecimiento de objetivos generales de la entidad
La organización ha establecido objetivos que proveen una guía amplia de que piensa alcanzar, estos son comunicados; hay consistencia entre las estrategias operacionales y los objetivos; la compañía ha implementado una estrategia integrada de administración y un plan de evaluación de riesgos.
Establecimiento de objetivos a nivel de actividades
Los objetivos de actividades están alineados con los generales; refuerzan y son complementarios; son relevantes a los procesos; incluyen métricos; están identificados los que son críticos;
Identificación de riesgo
La admon identifica riesgos utilizando diferentes metodologías (en factores internos y externos) tanto a nivel de entidad como a nivel de actividades.
Análisis de riesgo
La admon hace un análisis del efectos de los riesgos y determina cuanto riesgo puede ser prudentemente aceptado.
Manejando riesgo durante cambios
La organización tiene mecanismos para anticipar, identificar, y reaccionar a los riesgos en cambios gubernamentales, economicos, de la industria, regulatorios, operativos que pueden afectar las metas poniendo especial atención en aquellos que presentan efectos dramáticos y generalizados.
Especificos de las actividades de control
Incluyen aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de desempeño, actividades de seguridad, y la producción de registros y documentación.
Especificos de información y comunicación
Los gerentes deben de contemplar que tan apropiaa es la información y sistemas de comunicación para las necesidades de la entidad y el grado en que cumplen los objetivos de control interno. La información pertinente es capturada y distribuida a la gente correcta con el suficiente detalle, la forma correcta y el tiempo apropiado.
Especificos del monitoreo
El monitoreo de control interno deben de evaluar la calidad del desempeño de los controles en el tiempo y asegurar que los hallazgos y recomendaciones de las auditorias son atendidos.
Es critico el concepto de autoevaluación y de evaluación externa en el Control Sef assestment.
CSA busca que la autoevaluación no sea solo labor del auditor interno sino de toda la administración y que el rol del auditor interno sea de un evaluador a un facilitador.
Monitoreo en curso
Se monitorea que los controles estén funcionando, que haya comunicación, que se estén supervisando, que se estén registrando, examinando las discrepancias, retroalimentando.
Resolución de auditoría
La administración busca resolución inmediata de los hallazgos de auditoría. Se recomienda leer el "INTERNAL CONTROL MANAGEMENT AND EVALUATIN TOoL".
https://www.gao.gov/new.items/d011008g.pdf
APENDICE B ESTANDARES INTERNACIONALES DE PRACTICA PROFESIONAL DE LA AUDITORIA INTERNA.
Me quede en página 233.
Ejemplo de examen:
https://www.pass-guaranteed.com/IIA-CCSA.htm
http://www.top-exam.com/IIA-CCSA.html
