Auditoria basada en la Administracion del Riesgos - Abar
-
Upload
william-caicedo-diaz -
Category
Documents
-
view
427 -
download
1
description
Transcript of Auditoria basada en la Administracion del Riesgos - Abar
11/04/23 Preparado por: William Caicedo Diaz 1
EL ERROR... ESE FLAGELO DEFINICIÓN DE RIESGO TIPOS DE RIESGOS ADMINISTRACIÓN DEL RIESGO CASO PRÁCTICO
AUDITORIA BASADA AUDITORIA BASADA EN LA ADMINISTRACION EN LA ADMINISTRACION
DE RIESGOS - ABARDE RIESGOS - ABAR
11/04/23 Preparado por: William Caicedo Diaz 2
EL ERROR HUMANO… ESE FLAGELO
EL ERROR ES INHERENTE AL SER HUMANO…
LA CUESTIÓN ES, NO SOBREPASAR LA CUOTA DIARIA.
John NigroJohn Nigro
11/04/23 Preparado por: William Caicedo Diaz 3
Cada error que cometemos es una oportunidad para aprender. EmersonEmersonSi cierras la puerta a todos los errores, dejarás por fuera la verdad. TagoreTagore
El mayor error que puede cometer un hombre es vivir con miedo a cometer otro error. E. E. HubbarHubbarCometer un error y no corregirlo, es otro error. ConfucioConfucio
CONTROL: Mide lo que se pueda medir, y lo que nó, ¡hazlo ¡hazlo
medible!medible!
11/04/23 Preparado por: William Caicedo Diaz 4
Por los defectos de los demas, el sabio corrige los propios. Pubilio CiroPubilio CiroCuando seas consciente de que lo hecho quedó bien realizado, entonces y solo entonces, mejóralo. T.A. EdisonT.A. Edison
Equivocarse…Equivocarse… Es el riesgo inherente de quienes toman decisiones…
W. CaicedoW. Caicedo
CONTROL: ¡Mide lo que se pueda medir, y lo que nó, hazlo
medible!
11/04/23 Preparado por: William Caicedo Diaz 5
CONOCIMIENTO
ACCESO
TIEMPO
OPORTUNIDAD
NECESIDAD
IMPUNIDAD
PRESIÓN
MOTIVACIÓN
=
=
+
11/04/23 Preparado por: William Caicedo Diaz 6
UN GRAVE PROBLEMA
11/04/23 Preparado por: William Caicedo Diaz 7
“ PROBABILIDAD DE OCURRENCIA DE UN HECHO QUE ME GENERA DAÑO O BENEFICIO“
“ PROBABILIDAD DE TENER UN RESULTADO DIFERENTE A LO ESPERADO ”
DEFINICIÓN DE RIESGO
11/04/23 Preparado por: William Caicedo Diaz 8
Riesgo de Aceptación Incorrecta o de Rechazo Incorrecto
11/04/23 Preparado por: William Caicedo Diaz 9
ADMINISTRACIÓN DE RIESGOS
(1) IDENTIFICACIÓN
(2) EVALUACIÓN: Proceso general de estimar la magnitud de un riesgo y decidir si éste es tolerable o no. (NTC OHSAS 18001)
(3) CONTROL: Prevención , Corrección, Detección y Financiación
(4) ACTUALIZACIÓN CONTROLES
(5) SEGUIMIENTO Y RETROALIMENTACIÓN
11/04/23 Preparado por: William Caicedo Diaz 10
Identificación de los Identificación de los riesgosriesgos
Una buena técnica es emplear las siete W: Qué, cuándo, cómo, dónde, cuanto, por qué, quién(es).
11/04/23 Preparado por: William Caicedo Diaz 11
ESCALA VALORACIÓN HUMANA
VALOR NIVEL DESCRIPCION
1Insignificante
Sin lesiones
2Marginal Leves sin
incapacidades
5 Grave Leves incapacidades
10 Critico Victima grave-
hospital
20Desastroso Varios graves- Un
muerto
50 Catastrofico Varios muertos
11/04/23 Preparado por: William Caicedo Diaz 12
ESCALA VALORACIÓN AMBIENTAL
VALOR NIVEL DESCRIPCION
1Insignificante
Sin Contaminación
2 Marginal Leves recuperables
5 GraveLeves o recuperables
10 CriticoGrave Recuperables M. Plazo
20 DesastrosoGrave Recuperab L. P.
50 CatastroficoGrave no recuperable
11/04/23 Preparado por: William Caicedo Diaz 13
ESCALA VALORACIÓN OPERACIONAL
VALOR NIVEL DESCRIPCION
1Insignificante
Menos de 8 horas
2 Marginal De 8 a 24 horas
5 Grave De 2 a 5 dias
10 Critico Entre 6 y 15 dias
20 Desastroso Entre 16 y 30 dias
50 Catastrofico Mas de 30 dias
11/04/23 Preparado por: William Caicedo Diaz 14
ESCALA VALORACIÓN FALTANTES INVENTARIO
VALOR NIVEL DESCRIPCION
1Insignificante
Menor de 200mil
2 Marginal Entre 200 y 500mil
5 GraveEntre 500mil y 1millon
10 Critico Entre 1 y 2millones
20 Desastroso Entre 2 y 5millones
50 Catastrofico Mas de 5 millones
11/04/23 Preparado por: William Caicedo Diaz 15
ESCALA VALORACIÓN IMAGEN
VALOR NIVEL DESCRIPCION
1 InsignificanteSolo en el Dpto o taller
2 Marginal Solo en la Empresa
5 Grave Externa a nivel local
10 CriticoExterna a Nivel regional
20 Desastroso Externa a nivel Nal.
50 CatastroficoExterna a nivel Internacional
11/04/23 Preparado por: William Caicedo Diaz 16
ESCALA VALORACIÓN SUSTRACCIÓN INFORMACIÓN
VALOR NIVEL DESCRIPCION
1Insignificante
<= 10% no crítica
2 Marginal>10%<30% no crítica
5 Grave>30% de inf no crítica
10 Critico <=10% inf crítica
20 Desastroso >10%<30% crítica
50 Catastrofico >30% iform crítica
11/04/23 Preparado por: William Caicedo Diaz 17
ESCALA VALORACIÓN PERDIDA PARTICIPACIÓN MERCADO
VALOR NIVEL DESCRIPCION
1Insignificante
Pérdida <=0.1%
2 MarginalPerdida >0.1%<0,5%
5 Grave Perdida >0,5%<2%
10 Critico Perdida >2%<5%
20 Desastroso Perdida >5%<10%
50 Catastrófico >10% del mercado
18
Evaluar Controles Existentes Evaluar protección que ofrecen
los controles seleccionados, por cada causa de riesgo crítico.
Para que sea Apropiada, se deben satisfacer por lo menos dos de los tres siguientes criterios:o ¿Beneficios mayores que los costos ?.o ¿Se cumple mezcla de tres tipos de controles:
Preventivo, Detectivo y Correctivo ?.o ¿Calificación Promedio por clase es superior a
3.5 ?
Identificación y Evaluación de Riesgos
11/04/23 Preparado por: William Caicedo Diaz
11/04/23 Preparado por: William Caicedo Diaz 19
Una definición de Control…
“Control es la acción que se ejerce sobre una causa de riesgo con el fin de reducir su probabilidad de ocurrencia o el impacto que puede generar su ocurrencia”.
11/04/23 Preparado por: William Caicedo Diaz 20
Relación entre Causas del Riesgo y ControlesObjetivo de los controles: Los controles
actúan sobre las causas del riesgo de tres maneras, mutuamente excluyentes:
a) Como control Preventivo. Para evitar la ocurrencia de la causa del riesgo, ó
b) Como control Correctivo. Controles claves que actúan durante el proceso y que permiten corregir las deficiencias.
c) Como control Detectivo. Controles claves que sólo actúan una vez que el proceso ha terminado.
11/04/23 Preparado por: William Caicedo Diaz 21
CLASIFICACICLASIFICACIÓÓN DEL CONTROL CLAVE.N DEL CONTROL CLAVE.DiseDiseñño del control: Oportunidad de la accio del control: Oportunidad de la accióón n del control (O):del control (O):
CLASIFICACICLASIFICACIÓÓN DEL CONTROL CLAVE.N DEL CONTROL CLAVE.DiseDiseñño del control: Oportunidad de la accio del control: Oportunidad de la accióón n del control (O):del control (O):
Clasificación Descripción
Preventivo (Pv) Controles claves que actúan antes o al inicio de un proceso.
Correctivo (Cr) Controles claves que actúan durante el proceso y que permiten corregir las deficiencias.
Detectivo (Dt) Controles claves que sólo actúan una vez que el proceso ha terminado.
22
Periodicidad en la acciPeriodicidad en la accióón del control (PD):n del control (PD):Periodicidad en la acciPeriodicidad en la accióón del control (PD):n del control (PD):
Clasificación Descripción
Permanente (Pe)
Controles claves aplicados durante todo el proceso, es decir, en cada operación.
Periódico (Pd) Controles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo
Ocasional (Oc) Controles claves que se aplican sólo en forma ocasional en un proceso.
11/04/23 Preparado por: William Caicedo Diaz
23
AutomatizaciAutomatizacióón en la aplicacin en la aplicacióón del control (A):n del control (A):AutomatizaciAutomatizacióón en la aplicacin en la aplicacióón del control (A):n del control (A):
Clasificación Descripción
100% Automatizado (At)
Controles claves incorporados en el proceso, cuya aplicación es completamente informatizada. Están incorporados en los sistemas informatizados
Semi – automatizado (Sa)
Controles claves incorporados en el proceso, cuya aplicación es parcialmente desarrollada mediante sistemas informatizados.
Manual (Ma) Controles claves incorporados en el proceso, cuya aplicación no considera uso de sistemas informatizados
11/04/23 Preparado por: William Caicedo Diaz 24
Escala de clasificaciEscala de clasificacióón de la eficiencia de los controles.n de la eficiencia de los controles.Escala de clasificaciEscala de clasificacióón de la eficiencia de los controles.n de la eficiencia de los controles.
REQUISITO EN
CUMPLIMIENTO CON
NORMAS DE CONTROL
CARACTERÍSTICAS DISEÑO CONTROL
CLAVE/FUNDAMENTAL
CLASIFICACIÓN
VALOR DEL
DISEÑO DEL
CONTROL
PERIODICIDAD
(PD)
OPORTUNIDAD
(O)
AUTOMATIZACIÓN
(A)
CUMPLIMIENTO OPTIMOPERMANENTE PERMANENTE PERMANENTE
PREVENTIVO PREVENTIVO PREVENTIVO
INFORMATIZADO SEMI INFORMAT
MANUALOPTIMO 5CUMPLIMIENTO
OPTIMOPERMANENTE PERMANENTE PERMANENTE
CORRECTIVO CORRECTIVO CORRECTIVO
INFORMATIZADO SEMI INFORMAT
MANUAL
CUMPLIMIENTO ADECUADO
PERMANENTE PERMANENTE PERMANENTE
DETECTIVO DETECTIVO DETECTIVO
INFORMATIZADO SEMI INFORMAT
MANUALBUENO 4CUMPLIMIENTO
ADECUADOPERIODICO PERIODICO PERIODICO
PREVENTIVO PREVENTIVO PREVENTIVO
INFORMATIZADO SEMI INFORMAT
MANUALCUMPLIMIENTO
ACEPTABLEPERIODICO PERIODICO PERIODICO
CORRECTIVO CORRECTIVO CORRECTIVO
INFORMATIZADO SEMI INFORMAT
MANUAL MASMAS QUEQUE
REGULARREGULAR3CUMPLIMIENTO
ACEPTABLEPERIODICO PERIODICO PERIODICO
DETECTIVO DETECTIVO DETECTIVO
INFORMATIZADO SEMI INFORMAT
MANUALCUMPLIMIENTO
REGULAROCASIONAL OCASIONAL OCASIONAL
PREVENTIVO PREVENTIVO PREVENTIVO
INFORMATIZADO SEMI INFORMAT
MANUALREGULAR 2CUMPLIMIENTO
REGULAROCASIONAL OCASIONAL OCASIONAL
CORRECTIVO CORRECTIVO CORRECTIVO
INFORMATIZADO SEMI INFORMAT
MANUAL
CUMPLIMIENTO DEFICIENTE
OCASIONAL OCASIONAL OCASIONAL
DETECTIVO DETECTIVO DETECTIVO
INFORMATIZADO SEMI INFORMAT
MANUALDEFICIENTE 1
INSUFICIENTENO DETERMINADO NO DETERMINADO NO DETERMINADO
INEXISTENTE 1
11/04/23 Preparado por: William Caicedo Diaz 25
ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROL
CAUSAS
DE
RIESGOBARRERA
CONCOMITANTE O CORRECTIVA
C2
C3
BARRERA
PREVENTIVA
BARRERA
DETECTIVA O POSTERIOR
FACTORES DE VULNERABILIDAD
INSTALACIONES
C2
C3
C3
PERSONAS
ECONÓMICOS
DATOS
FEEDBACK
SISTEMAS INFORMACIÓN
C1
Transacciones
11/04/23 Preparado por: William Caicedo Diaz 26
Categoría Valor Descripción
Casi certeza 5 Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de seguridad que éste se presente. (90% a 100%)
Probable 4 Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89% de seguridad que éste se presente.
Moderado 3 Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65% de seguridad que éste se presente.
Improbable 2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30% de seguridad que éste se presente.
Muy improbable 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 10% de seguridad que éste se presente.
ESCALAS DE VALORACIESCALAS DE VALORACIÓÓN SUGERIDAS PARA N SUGERIDAS PARA CONSTRUIR LA MATRIZ DE RIESGOS.CONSTRUIR LA MATRIZ DE RIESGOS.
ESCALAS DE VALORACIESCALAS DE VALORACIÓÓN SUGERIDAS PARA N SUGERIDAS PARA CONSTRUIR LA MATRIZ DE RIESGOS.CONSTRUIR LA MATRIZ DE RIESGOS.
SEVERIDAD DEL RIESGO: CategorSEVERIDAD DEL RIESGO: Categoríías de probabilidad:as de probabilidad:SEVERIDAD DEL RIESGO: CategorSEVERIDAD DEL RIESGO: Categoríías de probabilidad:as de probabilidad:
11/04/23 Preparado por: William Caicedo Diaz 27
CategoríaCategoría Valor Descripción
Catastróficas 5Riesgo cuya materialización influye gravemente en el desarrollo del proceso y en el cumplimiento de sus objetivos, impidiendo finalmente que éste se desarrolle.
Mayores 4Riesgo cuya materialización dañaría significativamente el desarrollo del proceso y el cumplimiento de sus objetivos, impidiendo que éste se desarrolle en forma normal.
Moderadas 3Riesgo cuya materialización causaría un deterioro en el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que éste se desarrolle en forma adecuada.
Menores 2 Riesgo que causa un daño menor en el desarrollo del proceso y que no afecta mayormente el cumplimiento de sus objetivos estratégicos.
Insignificantes 1 Riesgo que puede tener un pequeño o nulo efecto en el desarrollo del proceso y que no afecta el cumplimiento de sus objetivos estratégicos.
ESCALAS DE VALORACIESCALAS DE VALORACIÓÓN SUGERIDAS PARA N SUGERIDAS PARA CONSTRUIR LA MATRIZ DE RIESGOS.CONSTRUIR LA MATRIZ DE RIESGOS.
ESCALAS DE VALORACIESCALAS DE VALORACIÓÓN SUGERIDAS PARA N SUGERIDAS PARA CONSTRUIR LA MATRIZ DE RIESGOS.CONSTRUIR LA MATRIZ DE RIESGOS.
SEVERIDAD DEL RIESGO: CategorSEVERIDAD DEL RIESGO: Categoríías de Impactoas de ImpactoSEVERIDAD DEL RIESGO: CategorSEVERIDAD DEL RIESGO: Categoríías de Impactoas de Impacto
11/04/23 Preparado por: William Caicedo Diaz 28
Identificar y evaluar Controles Existentesy Riesgo Residual
Evaluar protección que ofrecen los controles seleccionados por cada objetivo de control COBIT (1)
Generar Hallazgos de auditoría para causas de riesgo con protección inapropiada.
Generar Diagnóstico de la Auditoría.(1) Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology).
11/04/23 Preparado por: William Caicedo Diaz 29
Mapa de riesgosMapa de riesgos
11/04/23 Preparado por: William Caicedo Diaz 30
CRITERIO DE ACEPTABILIDAD
CONVENCIONES CUALITATIVAS
• >32% - INADMISIBLE: Rechazar
• 16,1% a 32% - INACEPTABLE: Evitar o Atomizar
• 12,1% a 16% - ALTO: Evitar, compartir o transferir
• 0 a 12% - ACEPTABLE: Reducir o asumir
Veamos su aplicación en la siguiente matriz:
Identificando opciones Identificando opciones parapara
el tratamiento del riesgoel tratamiento del riesgo
11/04/23 Preparado por: William Caicedo Diaz 31
11/04/23 Preparado por: William Caicedo Diaz 32
Indicador del nivel de exposición al Indicador del nivel de exposición al riesgo.riesgo.
INDICADOR DE EXPOSICION ALRIESGO
VALORNVEL DE EXPOSICION AL
RIESGO
NIVEL SEVERIDAD DEL RIESGONIVEL EFICIENCIA DEL CONTROL
8,0 – 25,0 NO ACEPTABLE (Na)
4,0 – 7,99 MAYOR (Ma)
3,0 – 3,99 MEDIA (Md)
0,2 - 2,99 MENOR (Me)
Tal como se indicó, la escala previamente presentada, ha sido construida con base a la relación entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del control asociado a ese riesgo (Deficiente, Regular, Más que regular, Bueno, Óptimo).
Tal como se indicó, la escala previamente presentada, ha sido construida con base a la relación entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del control asociado a ese riesgo (Deficiente, Regular, Más que regular, Bueno, Óptimo).
11/04/23 Preparado por: William Caicedo Diaz 33
11/04/23 Preparado por: William Caicedo Diaz 34
LOS ESTUDIANTES
DEBEN REALIZAR UN
TALLER SOBRE ABARABAR: Auditoria Basada en la Administración del Riesgo
11/04/23 Preparado por: William Caicedo Diaz 35
Conclusiones:Conclusiones:1. El primer paso del auditor para poder
trabajar las metodologías ERM, es hacerlo bajo la metodología de Auditoria Basada en la Administración del riesgo.
2. En la actualidad el nuevo paradigma de la priorización debe ser el riesgo en todas sus manifestaciones y categorías.
3. Actualmente el ejercicio de la auditoria está pasando por una nueva etapa paradigmática, con enfoque a riesgos de negocio, de procesos, de información financiera y de cumplimiento de normas, con calidad total.
11/04/23 Preparado por: William Caicedo Diaz 36
BibliografíaBibliografía
• Caja de Compensación Familiar CAFAM, Bogotá, Colombia, guía de seguimientos de los planes de Mitigación de Riesgos aplicado por el Departamento de Auditoría para implementar la cultura del autocontrol en la Corporación, 2002.• Díaz Muñoz Nelson, XXII Conferencia Interamericana de Contabilidad, volumen II trabajos técnicos Nacionales, La Metodología Matricial Base para una Auditoría Integral• Estándar Australiano - Neocelandés AS/NZ 4360, administración del riesgo, aplicación
11/04/23 Preparado por: William Caicedo Diaz 37
EL ERROR HUMANO… ESE FLAGELO
GRACIAS