Auditoría basada en riesgo: Metodología y aplicación … · Respuesta al Riesgos Actividades de...
Transcript of Auditoría basada en riesgo: Metodología y aplicación … · Respuesta al Riesgos Actividades de...
Arnaldo Ribeiro, CCSA
Auditor Federal de Control Externo
Auditoría basada en riesgo: Metodología y
aplicación práctica
Junio 2015
¿Por qué auditoría basada en riesgo?
Metodología
Aplicabilidad
Etapas, técnicas y procedimientos
Estructura de la Matriz de riesgo
Auditorías llevadas a cabo
Resultados y ventajas del enfoque
Preguntas
Normas de Auditoría del TCU – NAT (www.tcu.gov.br)
Normas Internacionales para el ejercicio professional de la AuditoríaInterna - IIA Global
Modelo COSO ERM - Enterprise Risk Management
Metodología
“...un enfoque sistemático y disciplinado para evaluar y mejorar laeficacia de los procesos de gestión de riesgos, control y gobierno.”,estructurada con base en cinco componentes del Coso ERM:
Fijación de Objetivos
Identificación de Eventos
Evaluación de Riesgos
Respuesta al Riesgos
Actividades de Control
Etapas y procedimientos
Etapa 1
Obtención del conocimiento del objeto de fiscalización:
Identificación y análisis del objetivo de la actividad
Comprender y mapear los procesos de trabajo
Identificación y documentación de los controles existentes
Etapas y procedimientos
Etapa 1
Productos:
Diagramas de Flujos/mapas de proceso
Descripciones narrativas
Etapas y procedimientos
Etapa 2
Identificación de riesgos:
Uso de la Matriz de Riesgos por Proceso (MRP)
Identificación y análisis de riesgos
Análisis y evaluación del diseño de los controles
Definición del alcance de la auditoría
Etapa 2: Procedimientos
Estructura de la Matriz de Riesgos por Proceso
Avaliação RI
ControlesAvaliação
CIRisco
ResidualReferênciaTeste de CI
Ob
jetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos
Identificación de riesgos
Etapa 2: Procedimientos
Avaliação RI
ControlesAvaliação
CIRisco
ResidualReferênciaTeste de CI
Ob
jetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos EvaluaciónRI
Evaluación de riesgo inherente
Estructura de la Matriz de Riesgos por Proceso
Etapa 2: Procedimientos
Evaluación de riesgos: Matriz Impacto y Probabilid
Etapa 2: Procedimientos
Escala de Probabilidad
Etapa 2: Procedimientos
Avaliação RI
ControlesAvaliação
CIRisco
ResidualReferênciaTeste de CI
Ob
jetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos EvaluaciónRI
ControlesEvaluación
CI
Relacionar
CI a los
riesgos,
evaluar
controles
Estructura de la Matriz de Riesgos por Proceso
Etapa 2: Procedimientos
Classificaciones Significado
Inexistente Inexistente o no funcional/implementado.
DébilControle não institucionalizado, depositado na esfera de conhecimento pessoaldos operadores do processo, em geral realizado de maneira manual.
MedianoControle razoavelmente institucionalizado e operante, em geral realizado demaneira manual ou automática como parte do quotidiano da gestão (...)
SatisfactorioControle institucionalizado, normatizado, operante e atualizado, realizado demaneira eletrônica ou manual (...)
FuerteControle institucionalizado, normatizado, operante e atualizado, realizado demaneira eletrônica (exceto se inviável) (...)
Escala de Evaluación del Control
Etapas y procedimientos
Resultados hasta aquí:
Controles con riesgo asociado
Riesgos sin control
Control sin riesgo
Etapa 2: Procedimientos
Avaliação RI
ControlesAvaliação
CIRisco
ResidualReferênciaTeste de CI
Ob
jetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos EvaluaciónRI
ControlesEvaluación
CIRiesgo
Residual
Estructura de la Matriz de Riesgos por Proceso
Etapa 2: Procedimientos
Tabla de riesgo residual estimado
Etapa 2: Procedimientos
Avaliação RI
ControlesAvaliação
CIRisco
ResidualReferênciaTeste de CI
Ob
jetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos EvaluaciónRI
ControlesEvaluación
CIRiesgo
Residual
Estructura de la Matriz de Riesgos por Proceso
Etapa 2: Procedimientos
Diseño de procedimientos de prueba de controles
Ref. Procedimientos
PA - 1 Comparar los saldos .....
PA - 2 Verifique la exactitud...
PA - 3 Cotejar los...
PA - N ...
Etapa 2: Procedimientos
Avaliação RI
ControlesAvaliação
CIRisco
ResidualReferênciaTeste de CI
Ob
jetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos EvaluaciónRI
ControlesEvaluación
CIRiesgo
ResidualReferência
Proc. prueba
PA - 2
N/A
PA - N
PA – X, Y, Z
N/A
PA – 1 e 2
PA – N
PA – N
Estructura de la Matriz de Riesgos por Proceso
Etapas posteriores
Aprobación del Planeamiento de Auditoría
Fase de Ejecución
Aplicación de los procedimientos, obtener las evidencias de auditoría...
Revisión de la MRP (reavaliación del riesgo ihnerente y/o de control, etc.)
Elaboración del Informe
Auditorías llevadas a cabo
2013 - Renuncia de los ingresos públicos
Producir y estructurar conocimiento acerca del gobierno corporativo,
gestión de riesgos y desempeño
5 políticas públicas
1,8 Billón de dólares
gastos en investigaciones y desarrolo
Auditorías llevadas a cabo
47.36
41.45
57.64
36.55
43.90
58.14
44.39
61.60
42.20
55.59
- 10 20 30 40 50 60 70
Lei de Informática da ZFM
Inovar-Auto
Lei do Bem
PADIS e PATVD
Lei de Informática
ÍNDICES DE RIESGOS/CALIDAD DE LA GESTIÓNNAI NAR
Auditorías llevadas a cabo
2014 - Contratos de gestión de servicios públicos
contratos de gestión con seis entidades privadas
Organización pública hace la supervisión
Autoevalución de control (CSA)
Etapa 2: Procedimientos
Avaliação RI
ControlesAvaliação
CIRisco
ResidualReferênciaTeste de CI
Ob
jetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos EvaluaciónRI
ControlesEvaluación
CIRiesgo
Residual
Estructura de la Matriz de Riesgos por Proceso
Auditorías llevadas a cabo
I
m
p
a
c
t
o
Probabilidad
R1
R3
R6
R4
R2
R17
R13
R11
R10R16
R12
R22
R24
R5
Distribución de los riesgos residuales
R19
R20
R7
R8
R9
R10R14
R15
R18
R21
R23
Juicio: 3.304/2014-TCU-Plenário
9.1. determinar à Secretaria-Executiva do Ministério da Ciência, Tecnologia eInovação (SE/MCTI) que:
...
9.1.4. apresente, em 180 (cento e oitenta) dias a contar da ciência destadeliberação, plano de ação contendo medidas para o aperfeiçoamento doscontroles internos relativos aos eventos de risco 5, 10, 16, 18, 19, 20 e 24,evidenciados na presente auditoria (v. itens 4.2 e 4.6 do Relatório precedente),bem como os respectivos responsáveis e os prazos de conclusão;
...
Vision estructurada del objeto fiscalizado, con informaciones
sobre:
Objetivos, procesos, Riesgo inherente, controles internos, riesgo residual,
calidad de la gestión
Enfoque en riesgos
Contribución para el alcance de los objetivos organizacionales
Enfoque en el processo
Envuelve diversos sectores de la organización en una sola acción de
fiscalización
???
Muchas gracias!
Tribunal de Cuentas de la Unión
Secretaria de Dessarrollo Económico
Arnaldo Ribeiro, CCSA
Auditor Federal de Control Externo
Teléfono: +55 (61) 3316.7751