Implementacin de COSO-ERM

(Experiencia Peruana)

Armando Villacorta Cavero

CIA, CGAP, CCSA, CPC, Mg

Presidente del Instituto de

Auditores Internos del Per
 IMPLEMENTACION DE GERENCIAMIENTO
DE RIESGOS EMPRESARIALES
EXPERIENCIA PERUANA

Temario de la sesin
Exposicin de motivos.
Auditora en el Sector Pblico
El Sistema Nacional de Control Peruano
El Riesgo y la Administracin de Riesgos
COSO ERM
Aplicacin prctica del COSO-ERM Poder Electoral
El auditor interno y el ERM
Caso prctico Plan de auditora basada en riesgos
Conclusiones
EXPOSICIN DE MOTIVOS
1. NUEVAS DEMANDAS DEL ENTORNO Y
DE LA TECNOLOGA ADMINISTRATIVA

2. NUEVA REGULACIN
GUBERNAMENTAL

3. CONTEXTO DE
CORRUPCIN Y FRAUDE
 EXPOSICION DE MOTIVOS
El Nuevo rol de Auditora Interna

Spectrum de las
Consultor permanente
responsabilidades del Top Management
del auditor
Consejero de las mejores
practicas

Consejero proactivo de Negocios

Encargado de descubrir
Clarificador
Auditoria orientada al Pasado
Verificador (investigador)

1970 1980 Hoy

 Auditora en el Sector
Publico: Definicin
Auditoraes la evaluacin objetiva e independente
de la razonabilidad de las representaciones de la gerencia
sobre el desempeo o la evaluacin de las practicas y
sistemas gerenciales, contrastadas con los criterios, y
reportadas al cuerpo de gobierno u otros con similares
responsabilidades.

Canadian Comprehensive Audit Foundation, 1991

12
Diferentes roles del auditor gubernamental
Base profesional Base profesional
en leyes en contabilidad

Juez/ Contador
Magistrado publico

Dando opiniones / produciendo reportes

decisiones para mejorar la
respondabilidad pblica
y transparencia

Consultor
Investigador/
gerencial
cientfico
dando consejos
creando nuevos al cuerpo publico
Conocimientos / sugiriendo
dando informacin mejoras

Base profesional en Base profesional en estudios gerenciales

economa y y economa de negocios
ciencias sociales Fuente: Pollitt ., 1999
 Elementos Claves de una funcin de
Auditora de Gobierno

Independencia Organizacional
Mandato Formal
Acceso Irrestricto
Suficiente Presupuesto
Liderazgo Competente
Staff Competente
Soporte de los Stakeholders
Seguir Estndares Profesionales de auditora
Donde sea apropiados, Comit de auditora

26
El sector Pblico no es el sector
Privado o una ONG
Marco Ingresos
Legal

Servicios
Marco de
Gobierno
Escrutinio
Publico
Estructura

Metas y
Stakeholders Direccin

7
EL SISTEMA NACIONAL DE CONTROL
EN EL PERU
GOB. CENTRAL E ENTID. PRIVADAS GOBIERNOS
INST. PUB. DESC. Y ONG REGIONALES

ORGANISMOS CGR GOBIERNOS

LOCALES
AUTNOMOS

PROYECTOS DE EMPRESAS ORGANISMOS

INVERSIN DEL ESTADO REGULADORES
 CGR

OCI
SOA

AUDITORA
FINANCIERA
GESTIN
EXAM. ESPEC.
ACC. RPIDAS
 El control interno comprende las acciones de cautela previa,
simultnea y de verificacin posterior que realiza la entidad
sujeta a control, con la finalidad que la gestin de sus
recursos, bienes y operaciones se efecte correcta y
eficientemente. Su ejercicio es previo, simultneo y posterior.
El control interno previo y simultneo compete
exclusivamente a las autoridades, funcionarios y servidores
pblicos ... como responsabilidad propia de las funciones
que le son inherentes, sobre la base de las normas que rigen
las actividades de la organizacin y los procedimientos
establecidos en sus planes, reglamentos, manuales y
disposiciones institucionales, los que contienen las polticas
y mtodos de autorizacin, registro, verificacin, evaluacin,
seguridad y proteccin.
 FUNCIONES DEL OCI

REALIZA
REALIZALAS
LAS
SIGUIENTES
SIGUIENTES
LABORES:
LABORES:

PARTIDAS
Efectuarauditorias
Efectuar auditorias financieras
PARTIDAS
financieras
PRESUPUESTALES
ejercerel
elcontrol
controlinterno
interno
yypresupuestarias;
presupuestarias;
PARTIDAS
PRESUPUESTALES
ejercer PARTIDAS
posterioraalos
posterior losactos
actosyy PRESUPUESTALES
Ejecutaractividades
actividades decontrol
PRESUPUESTALES control
Ejecutar de
operacionesde
operaciones delalaentidad
entidad programadasyyno noprogramadas
programadas
programadas

formular,
formular,ejecutar
ejecutaryyevaluar
evaluar Efectuar
Efectuarel
elcontrol
controlpreventivo
preventivo
elelPlan Anual de Control
Plan Anual de Control sincarcter
sin carctervinculante;
vinculante;
aprobado
aprobadoporporlalaCGR;
CGR; Actuarde
Actuar deoficio
oficiocuando
cuandoexisten
existen
yyefectuar
efectuar el seguimientoaa
el seguimiento IndiciosRazonables
Indicios Razonables dedeilegalidad,
ilegalidad,
las
lasmedidas
medidascorrectivas.
correctivas. omisin oode
omisin deincumplimiento
incumplimiento
 LABORES INCOMPATIBLES CON LAS
FUNCIONES DEL OCI

Realizaracciones
Realizar accionesdede
control que
control quetengan
tengancomo
como
PARTIDAS
objetivoverificar
objetivo verificardenuncias
denuncias sustituiraafuncionarios
sustituir funcionarios yyservidores
PARTIDASservidores
PRESUPUESTALES
uuotros
otrosRelativos
Relativosaalas
las PARTIDAS
enelelcumplimiento
en cumplimiento desus
susfunciones
PRESUPUESTALES
PARTIDAS
de funcione
PRESUPUESTALES
relacionesLaborales
relaciones Laboralesentre
entre vinculadasPRESUPUESTALES
vinculadas aalalaimplantacin
implantacinyy
NO DEBE
NO DEBE funcionariosyy servidores
servidores
funcionarios funcionamientodel
funcionamiento delcontrol
controlinterno
interno
RELIZAR LAS
RELIZAR LAS
SIGUIENTES dela
de laentidad
entidad
SIGUIENTES
LABORES:
LABORES:

visaroorefrendar
visar refrendardocumentos
documentos
ejecutar
ejecutartoma
tomadedeinventarios
inventarios paraaprobar
aprobaractos
actosuuoperaciones
operaciones
yyregistros para
registros de operacionespropias
de operaciones propias delalaadministracin
de administracin
de la labor de la administracin
de la labor de la administracin
 Qu es el riesgo?
Visin amplia del riesgo
Amenaza
Reducir/Minimizar

Incertidumbre
Administrar

Oportunidad
Aprovechar/Maximizar

Cualquier evento futuro incierto que puede obstaculizar el logro de los

objetivos estratgicos, operativos y/o financieros de la organizacin.
Modelo evolutivo de la administracin de riesgos

Nivel 5
Nivel 4
Nivel 3
Nivel 2
Nivel 1
Cuantifica Integracin
Seguimiento
Enfoque y
Conciencia y
Tradicional predice
monitoreo
Modelo evolutivo de la administracin de riesgos (cont.)

Enfoque Tradicional

Confianza en el control interno

Funcin de auditora interna
Programas individuales
Confianza en el personal

Cuantifica Integracin
Seguimiento
Enfoque y
Conciencia y
Tradicional predice
monitoreo
Modelo evolutivo de la administracin de riesgos (cont.)

Conciencia

Funcin de administracin de riesgos

Estructura organizacional
Polticas
Definicin y lenguaje comn
Mapeo de Procesos - Autoevaluacin
Indicadores
Inicio de recoleccin de datos y propuesta para la
cuantificacin

Cuantifica Integracin
Seguimiento
y
Enfoque Conciencia y
Tradicional predice
monitoreo
Modelo evolutivo de la administracin de riesgos (cont.)

Seguimiento y Monitoreo

Visin clara y metas para la administracin de riesgos

Conjunto de indicadores
Reportes consolidados de riesgos
Personal dedicado a la administracin de riesgos
Capacitacin en la administracin de riesgos

Cuantifica Integracin
Seguimiento
y
Enfoque Conciencia y
Tradicional predice
monitoreo
Modelo evolutivo de la administracin de riesgos (cont.)
Cuantifica

Informacin en base de datos

Definicin de metas para mejora
Anlisis predictivo
Modelos basados en riesgo
Comit de Riesgos activos

Cuantifica Integracin
Seguimiento
y
Enfoque Conciencia y
Tradicional predice
monitoreo
Modelo evolutivo de la administracin de riesgos (cont.)
Integracin

Uso de herramientas
Anlisis de riesgos a nivel organizacional
Correlacin entre indicadores y prdidas
Correlacin entre seguros, anlisis de riesgo y
capital
Riesgos de retorno correlacionados con las
compensaciones

Cuantifica Integracin
Seguimiento
y
Enfoque Conciencia y
Tradicional predice
monitoreo
solo lo autorizo si es realizado en

22
 1992 Se fijo el cimiento, Actividades
de Control
pero no fue enfocado por
muchas empresas.

2002 - Sarbanes-Oxley trae

el control interno al primer
plano
NS

CE
G
IC

IN

N
EG IO

IA
RT
AT AT

PL
PO
R

M
R PE
ST

CO
RE
O

2004 El concepto de ERM Internal Environment

SUBSIDIARY
BUSINESS UNIT
Objective Setting

DIVISION
ENTITY - LEVEL
empieza a tomar forma Event Identification
Risk Assessment
Risk Response
Control Activities
Information and Communication
Monitoring
 Definiciones
Control Interno
Control Interno es un proceso, ejecutado
por el consejo directivo, la administracin y
otro personal de una entidad, designado
para proporcionar seguridad razonable
referente al logro de objetivos en las
siguientes categoras:
Efectividad y eficacia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con las leyes y reglamentos
aplicables
Administracin de
Riesgos Empresariales
La administracin de riesgos
empresariales es un proceso, ejecutado
por el consejo directivo, la
administracin y otro personal de una
entidad, aplicado en el
establecimiento de estrategias en toda la
empresa, designado para identificar
eventos potenciales que pudieran
afectar a la entidad, y administrar los
riesgos para mantenerlos dentro de su
propensin al riesgo, proporcionar
seguridad razonable referente al logro
de objetivos .
 DEFINICIN DE ENTERPRISE RISK MANAGEMENT
Los objetivos son categorizados en:

OS ES
ETIV L
OBJ ACIONA
IZ
AN
ORG

REPORTES
ia n
ESTRATEGICOS
c
re
n
es c i
r n
cu io na
u
O
ga c
si g i n
i A c
ia bl o la
OPERACIONALES t en
c
a d y
O
n ev
e
d i R
is a li os ac y
Ex t h u n
Efectividad Eficiencia T o
re
c
al ci

. D e
E v nt
a
e
Relaciones r es
P
SALVAGUARDA Vinculantes
DE CUMPLIMIENTO
Leyes Regulaciones

Desempeo Rentabilidad
COMPONENTES DEL ENTERPRISE RISK MANAGEMENT

El Enterprise Risk IA E
S
S N
T
O

Management consiste
G N E
E IO T IE
T
A A
C
O
R IM
R P L
T R P
E E M
ES

en ocho componentes
P R U
O C

Ambiente Interno

UNIDAD DE NEGOCIOS
SUBSIDIARIA
relacionados entre s. Establecimiento de Objetivos

Estos se derivan del

DIVISION
NIVEL ENTIDAD
Identificacin de eventos

estilo de direccin del Evaluacin de Riesgos

negocio y estn
Respuesta al Riesgo

Actividades de Control

integrados en el Informacin & Communicacin

proceso de Gestin. Supervisin

 ERM y El Marco Integral de Control Interno

El Control Interno es cubierto dentro y en una parte

integral del ERM. ERM es mas amplio que el control
interno, se expande y elabora sobre el control interno para
formar una mas robusta conceptualizacin, focalizada de
manera mas completa sobre el riesgo.
El Marco Integral de Control Interno se mantiene en su
lugar para las entidades y otros aspectos de control interno
en si mismos.
 ERM y El Marco Integral de Control Interno
CATEGORIA DE OBJETIVOS
reas donde el
ERM se expande El Marco Integral de Control Interno
sobre el Control especifica tres categoras de objetivos,
Interno los cuales se repiten en el ERM,
excepto que existe una diferencia. En
la categora de Reportes de ERM se
OB J
OS
ETIV ICOS amplia el alcance a reportes internos y
EG
EST
RAT
externos tanto de naturaleza financiera
como no financiera.
Asimismo, una cuarta categora de
objetivos ha sido agregada, Objetivos
Estratgicos, el cual opera a un nivel
mas alto que los otros.
 ERM y El Marco Integral de Control Interno
Visin de Portafolio: Una visin de riesgo
reas donde el como portafolio.
ERM se expande
sobre el Control Ambiente, En este componente ERM se
Interno focaliza mas directa y ampliamente sobre
como el riesgo se forma, si se presenta
implcita o explcitamente, la cultura de
riesgos de una entidad, cual es el
conjunto de actitudes compartidas,
valores, metas y practicas que
caracterizan como una entidad considera
al riesgo. ERM tambin incluye los
conceptos de apetitos de riesgo y
tolerancia al riesgo.
 ERM y El Marco Integral de Control Interno
Identificacin de eventos.
reas donde el Evaluacin de riesgos, ERM cubre la necesidad de
ERM se expande la gerencia para desarrollar una visin de
sobre el Control portafolio a nivel entidad.
Interno Respuesta al riesgo, Identifica cuatro categoras
para responder al riesgo: evitarlo, reducirlo,
compartirlo o aceptarlo.
Informacin y Comunicacin, ERM se expande
sobre este componente, considerando datos
derivados de eventos pasados, presentes y
potenciales a futuro
Roles y responsabilidades, ERM describe los roles
y responsabilidades de oficiales de riesgo y se
expande sobre el rol de los Directores de la
entidad.
Metodologa para trabajar la
Gestin de Riesgos en las Organizaciones
 Objetivos del Enfoque de Riesgos

1.- Identificar los riesgos que surjan para el o los planes estratgicos.
2.- Ayudar a la Gerencia y a Directores (Junta Directiva) a determinar el
nivel de riesgo aceptable para la organizacin.
3.- Desarrollar actividades para mitigar riesgos, o en su defecto
manejarlos en los niveles determinados y aceptados por la
organizacin.
4.- Desarrollar actividades de monitoreo permanente de forma peridica,
a fin de evaluar riesgos y la efectividad de los controles relacionados
con ellos.
5.- Preparar reportes informativos con los resultados del proceso de
manejo de riesgos.
 Gerencia
GerenciaGeneral
General

Auditora
Auditorayy Direccin
DireccinJur dica
Jurdica

Fase I.
Contro l de
Control deGestin
Gestin

Contralora
Contralora

Eva luacin Riesgos

Evaluacin Riesgosee
Indicadores
IndicadoresdedeGesti n
Gestin

Entendimiento del
Gerente de
Gerente dede

negocio y Diagnstico
Gerencia de Gerencia
Transmisin Gerencia de Gerencia de Gerencia de
Gerencia de
Operaciones Gerencia
Transmisindein
TransVillegas
mis Gerencia de
Administracin Gerencia de
Finanzas Gerencia de
Comercializacin
Operaciones Jos
Transmisin Administracin Finanzas Comercializacin
Jos Villegas

Ca lidad y Mejora
de Procesos

Estructura de Gestin Operacin en Tiempo

Real
Direccin de Mantenimiento
Especia lizado
Direcci n de
Infor mtica
Direccin de
Planeacin Fina nciera

de Riesgos Anlisis Pre Operativ o Direccin Regional

Sur
Direccin de
Logst ica

Direccin de
Tesorera

Unidades Recursos Humanos

Anlisis Post Operat ivo
de Transmis in

Mantenimiento Direccin de
Proyectos Planeacin e Imagen
De HW/SW

Relacin personal entrevistado por rea

Transmisin
reas Operativas
Areas de Soporte
Proyectos especiales
Otras reas

Operaciones

Legal

Finanzas

ISA Per

Contralora

Comercial

Administracin

0 1 2 3 4 5 6 7
 Fase 2
Definicin del
Modelo de PROCESO DE GESTIN DE RIESGOS
riesgos.
FRENTE DE
TRABAJO

IDENTIFICACIN ESTANDARIZACIN Y
CALIFICACIN DE RIESGOS
DE EVENTOS CLASIFICACIN DE EVENTOS
Comit de Directores y
Gerencia Jefes de rea

Identificacin de
Sesiones de
Eventos con Encuestas para
METODOLOGA

calificacin
base en Clasificacin Validacin calificacin
de Riesgos
Entrevistas con de Eventos interna de de Riesgos
en base a:
Gerentes y segn Riesgos a adicionales,
Su impacto, y
Jefes estndares. considerar propuestos
Probabilidad
Entendimiento en Sesiones
de ocurrencia
de la Empresa

Riesgos clave
PRODUCTOS

Mapa de riesgos

Matriz de eventos por

entrevistado y rea
RIESGOS

101 50 25 10
APLICACIN PRACTICA:

CASO PODER ELECTORAL

 SISTEMA ELECTORAL DEL PERU

PODER REGISTRO OFICINA DE

NACIONAL DE PROCESOS
ELECTORAL IDENTIFICACION ELECTORALES
 QU ES EL PODER ELECTORAL?
El Poder Electoral es un organismo autnomo que cuenta
con personera jurdica de derecho pblico encargado de
administrar justicia en materia electoral; de fiscalizar la
legalidad del ejercicio del sufragio, de la realizacin de
los procesos electorales, del referndum y de otras
consultas populares y de la elaboracin de los padrones
electorales; de mantener y custodiar el registro de
organizaciones polticas; y dems atribuciones a que se
refieren la Constitucin y las leyes.
 PODER ELECTORAL
MISIN
Garantizar el respeto y
cumplimiento de la voluntad
popular manifestada en los
procesos electorales contribuyendo
a la consolidacin del sistema
democrtico, a travs de las
funciones jurisdiccional, normativa,
educativa, fiscalizadora y
administrativa.

VISIN
Ser el ente
Ser el ente electoral reunificado,
legitimado por su actuacin , que
encause los procesos electorales y
la participacin activa de la
ciudadana, base de la democracia.
 ORGANIGRAMA DEL PODER ELECTORAL
PLENO Comit de
Oficina de Control Coordinacion
Presidencia
Electoral Of. Coop
Interno
Tec Intern

Of. De Procuraruria
Imagen Publica
Institucional
Secretaria General
Gerencia Legal

Gerencia de Admministracion
Y Finanzas Gerencia de
Planeamiento
Y Presupuesto

OCT OSS OP OA OI OTD

Of. De Registro de Gerencia de Gerencia de Educacion

Organizaciones Politicas Fiscalizacion Electoral Electoral

Proy. Des de
Centro de Doc Centro de Inv.
Jurado Electoral e Inf. electoral Electorales Educ. Electral
Especial
 ORGANIGRAMA DE LA OCI

Presidencia del PE CONTRALORIA

Jefe de la Oficina
Control Interno
Secretaria
La OCI se
encuentra integrada
Auditor Auditor por un jefe de
auditoria y dos
Auditores.
 ESQUEMA DE CLASIFICACION DE PROCESOS PODER ELECTORAL

Garantizar el respeto y cumplimiento de la voluntad popular manifestada en los procesos electorales

contribuyendo a la consolidacin del sistema democrtico, a travs de las funciones jurisdiccional,
normativa, educativa, fiscalizadora y administrativa.

Fiscalizacin Educacin Vacancia de Impugnacin a

PROCESOS de Procesos Cvica Autoridades Resoluciones del J EE
JURIDICCIO Electorales Electoral Municipales
NALES y Regionales

Acceso a la Tacha contra la Dispensa de Registro de

Informacin Inscripcin de Sufragio Organizaciones
Pblica Partidos Polticos Polticas

PROCESOS
DE
GESTION Y
SOPORTE Gestin de Gestin Gestin de
Gestin Gestin de
Contrataciones Financiera de Tecnologa
y Recursos de Imagen
Adquisiciones Humanos Informacin Institucional
 ESQUEMA DE CLASIFICACION DE PROCESOS PE

PROCESOS JURIDICCIONALES
Fiscalizacin de Procesos Electorales P1
Educacin Cvica Electoral P2
Vacancia de Autoridades Municipales y Regionales P3
Impugnacin a Resoluciones del Jurado Electoral Especial P4
Acceso a la Informacin Pblica P5
Tacha contra las inscripciones de de Partidos Polticos P6
Dispensa de Sufragio P7
Registro de Organizaciones Polticas P8
PROCESOS DE CONTROL Y SOPORTE
Gestin de Contrataciones y Adquisiciones P9
Gestin Financiera P10
Gestin de Recursos Humanos P11
Gestin de Tecnologa de Informacin P12
Gestin de Imagen Institucional P13
 Metodologia de la determinacion del riesgo
P R O B A B IL ID A D IM P A C T O
PUNTAJE DESCRIPTIVO PUNTAJE DESCRIPTIVO

1 BAJA 5 CRITICO

2 MEDIANA 4 ALTO

REQUIERE
3 ALTA 3
ATENCION

2 MANEJABLE

NULO
1
(SIN RIESGOS)
 PROCESO DE VOTACION
M A T R IZ D E R IE S G O S
5 5 10 15
4 4 8 12
IMPACTO

3 3 6 9
2 2 4 6
1 1 2 3
0 1 2 3
PROBABILIDAD

N IV E L D E R IE S G O

9 - 15 ALTA PROBABILIDAD CON ALTO IMPACTO

4-8 MEDIANA PROBABILIDAD CON MEDIANO IMPACTO

1-3 POCA PROBABILIDAD CON POCO CON POCO IMPACTO

 Riesgos de la institucin
R IE S G O S D E L P O D E R E L E C T O R A L
PROCESOS Y TECNOLOGIA
EVENTOS
INVENTARIO DE RIESGOS OPERACIONALES CONTROLES PERSONAS DE
EX TERNOS
INTERNOS INFORMACION
I. RIESGOS DEL ENTORNO
Deseos de los ciudadanos R01
Innov acin Tecnolgica R02
Disponibilidad de Recursos R03
Soberano / Poltico R04
Legal R05
Prdida por Siniestro R06
II. RIESGOS INTERNOS
Riesgo de Operaciones
Satisfaccin al ciudadano R07
Recursos Humanos R08
Abastecimiento R09
Riesgos de Direccin
Liderazgo R10
Autoridad / Lmite R11
Disposicin al cambio R12
Comunicaciones R13
Riesgos de Tecnologa de Inform acin
Integridad R14
Acceso R15
Disponibilidad R16
Infraestructura R17
Riesgos de Integridad
Fraude Gerencial R18
Fraude de Empelados / Terceros R19
Actos ilegales R20
Uso No Autorizado R21
Reputacin R22

III. Riesgos de Inform acin para la Tom a de Decisiones

Riesgos de Inform acin Operativa

Alineamiento R23
Riesgos de Inform acin de Gestin
Presupuesto y Planeamiento R24
Informacin Contable R25
Tribuitario R26
Reporte Regulatorio R27
 Evaluacion de Riesgos por Procesos
RIESGOS
PROCESOS
P1 P2 P3 P4 P5 P6 P7 P8 P9 P10 P11 P12 P13
I . RI ESGOS DEL ENTORNO
Deseos de los ciudadanos 3 1 2 4 3 3 4 6 9 8
Innovacin Tecnolgica 1 3 8 8 1 2 3 1 3 8 6
Disponibilidad de Recursos 9 8 2 2 2 3 2 2 6 8 1 3 2
Soberano / Poltico 12 8 8 8 5 6 8 8 4 4 3
Legal 15 12 15 15 3 15 15 15 2 3 1 2 1
Prdida por Siniestro 3 2 3 2 3 1 3 1 3 2 1 1 3
I I . RI ESGOS DE PROCESOS
A. Riesgo de Operaciones
Satisfaccin al ciudadano 3 4 3 3 2 1 2 3 4 3 2 2 1
Recursos Humanos 2 1 3 1 2 1 3 1 15 1 2 3 1
Abastecimiento 4 6 1 2 1 3 1 2 5 3 1 1 1
B. Riesgos de Direccin
Liderazgo 2 3 1 1 1 2 1 12 3 2 2 2
Autoridad / Lmite 6 6 9 3 2 2 2
Disposicin al cambio 2 2 1 1 2 1 3 1 9 2 1 1 1
Comunicaciones 5 6 1 1 3 1 1 1 12 2 2 2 2
C. Riesgos de Tecnologa de I nformacin
Integridad 12 1 1 1 1
Acceso 3 15 1 1 1 1
Disponibilidad 6 3 1 2 2 3 2 3 9 4 2 2 2
Infraestructura 3 6 1 1 1 2 1 3 1 1 1 1
D. Riesgos de I ntegridad
Fraude Gerencial 2 3 1 3 2 1 3 9 2 6 5 1
Fraude de Empelados / Terceros 2 1 1 3 2 1 2 9 2 6 5 1
Actos ilegales 3 3 3 3 3 3 3 3 3 3 3 3
Uso No Autorizado 8 6 1 1 3 1 1 1 1 1 3 3 3
Reputacin 9 5 1 1 8 1 1 9 1 1 2 2 2
I I I . Riesgos de I nformacin para la Toma de
Decisiones
A. Riesgos de I nformacin Operativa
Alineamiento 1 1 1 1 1 1 1 8 1 1 1 1
B. Riesgos de I nformacin de Gestin
Presupuesto y Planeamiento 3 3 3
Informacin Contable 8 3 3 2
Tribuitario 8 3 5
Reporte Regulatorio 12 4 6
TOTAL 101 90 58 63 43 52 59 65 181 77 62 49 49
 El auditor interno y el ERM

COMO PUEDE EL AUDITOR APOYARSE EN LA

EVALUACION DE RIESGOS
PARA REALIZAR SUS ACTIVIDADES?
 El auditor interno y el ERM

Se deben considerado como insumos:

1. Gestin Integral de Riesgos
2. Marco Conceptual del Sistema de Control
PLAN DE AUDITORIA 2008 Interno
3. Plan Estratgico
4. Estatuto Social o legal
5. Polticas de Gobierno Corporativo
6. Polticas y Procedimientos vigentes
7. Evaluacin del Sistema de Control Interno
en la entidad
8. Normas Legales
10. Resultados de las Auditorias del ao 2007
11. Poltica de Calidad (de ser aplicable)
12. Expectativas de la Gerencia
 Proceso de elaboracin
del Plan de Auditora
Toda vez que los recursos de Auditora Interna se deben
enfocar en las principales reas de riesgo de la Institucin,
podemos desarrollar el siguiente proceso para definir
nuestro Plan Anual de Trabajo:

Estatutos
Sociales Validacin
Elaboracin del
Inventario de
Acuerdos Procesos.
Institucionales Priorizar reas a 2008
Validacin de
Elaboracin del Auditar expectativas Plan de
Modelo de de Gerencia
Riesgos
Auditora
Anlisis de Riesgos
Establecer el
Universo de Aprobacin Comit
Auditora de Auditora

Expectativas del
Comit de
Auditora
Insumos Proceso de Planeacin Producto
 CASO PRACTICO

Distribuidora de Energia
 INFORMACION GENERAL DE DISENER

La actividad principal de la Compaa es distribuir energa

elctrica en la parte norte del pas.
 MAPA DE PROCESOS A NIVEL DE ENTIDAD DISENER
Estrate

Proceso de Administracin Estratgica

Gestin Comercial (Clientes Regulados y Libres)

Atencin al Cliente Facturacin

Convenios Cortes Morosidad Control de Lectura
Reclamos
Medicin
Venta Financiacin Renovacin sin convenio Prdidas Emisin
Operativo

Cobranza
Distribucin

Gestin Tcnica
Mantenimiento Ampliaciones de
Operacin Lneas Compra de Gestin Control de
Preventivo y Lneas de
de Distribucin Energa Medio Obras de
Correctivo Distribucin
(SCADA) Generadores Ambiente Ampliacin
(PP y E) (PP y E)

Administracin de Recursos Humanos

Administracin de Tecnologa de Informacin
Administracin de Imagen Institucional - Comunicaciones
Gestin de Seguridad Industrial e Higiene Ocupacional
Apoyo

Gestin de Recursos Financieros, Tesorera y Presupuestos

Gestin Contable y Tributaria
Gestin Legal
Gestin Logstica: Compras de Bienes y Servicios
Gestin Logstica: Administracin de Almacn
 DEFINICIONES DE RIESGOS

RIESGOS DESCRIPCIN
Riesgo del Entorno El riesgo del entorno surge cuando hay fuerzas externas que
podran afectar la viabilidad del modelo de negocios de la
empresa, incluyendo los aspectos bsicos que guan los objetivos
globales y estrategias que definen a ese modelo

Riesgos de Procesos El riesgo de procesos es el riesgo que los procesos de negocios de

la empresa:
No estn adquiriendo, administrando, renovando y disponiendo
eficazmente los recursos del negocio
No estn claramente definidos
No estn alineados con sus estrategias
No estn operando eficaz y efectivamente para satisfacer las
necesidades del cliente
No estn creando valor
Estn diluyendo el valor al exponer activos financieros, fsicos,
informacin e intelectuales importantes a prdidas, riesgos,
malversacin o mal uso inaceptables
Estos riesgos afectan el xito con que la empresa ejecuta a su
modelo comercial.
 DEFINICIONES DE RIESGOS

RIESGOS DESCRIPCIN
Riesgos Financieros El riesgo financiero es el riesgo que los flujos de caja y activos
financieros no se manejan de manera costo efectiva para:
Maximizar la disponibilidad del efectivo
Reducir la incertidumbre de los riesgos de tipo de cambio, tasas
de inters, crdito y otros riesgos financieros
Mover fondos rpidamente y sin la prdida de valor a
dondequiera que ellos sean ms necesarios.
Riesgo de Informacin de El riesgo de informacin para la toma de decisiones es el riesgo de
Gestin que la informacin utilizada para apoyar la ejecucin del modelo de
negocios, la generacin de reportes internos y externos sobre la
performance y la evaluacin continua de la efectividad del modelo
de negocios de la empresa no sea relevante o confiable. Estos
riesgos se relacionan con todos los aspectos de las actividades de
creacin de valor de la empresa.
Riesgo de Direccin Es el riesgo que los gerentes y empleados:
No estn debidamente liderado
No saben que hacer
Excedan los lmites de su autoridad asignadas
Se le incentiva a hacer lo incorrecto
 DEFINICIONES DE RIESGOS

RIESGOS DESCRIPCIN
Riesgo de Tecnologia de El riesgo de que la tecnologa de informacin usada en la empresa:
Informacin No est operando segn lo planeado
Est comprometiendo la la integridad y confiabilidad de los datos
e informacin
Est exponiendo activos importantes a prdidas o mal empleo
No soporta apropiadamente los procesos crticos
Riesgos de Integridad El riesgo de integridad es el riesgo de fraude gerencial, fraude de
personal, actos ilegales y actos no autorizados, los cuales podran
resultar en la prdida de reputacin en el mercado.
 CRITERIOS DE EVALUACIN

IMPACTO
Muy Muy
Leve Moderado Crtico
Leve Crtico

Improbable B B B M M
PROBABILIDAD

Posible B M M M A

Probable B M A A A

A : Alto. Deber ser atendido por la alta direccin

M : Medio. Se debern definir responsabilidades a nivel gerencial
B : Bajo. Se aplicarn porcediemientos de comprobacin
 MAPA DE RIESGOS

PROCESOS Tecnologa
Comercia- Gestin Recursos Seguridad Gestin Compras de Administrac.
de
RIESGOS lizacin Tcnica Humanos Industrial Financiera Bs y Ss de Almacn
Informacin

Del Entorno 4.93 4.55 4.20 4.59 2.15 2.78 6.59 6.25

Operacionales 8.54 8.64 4.52 9.11 7.71 1.83 7.71 6.35

Financieros 7.04 4.71 4.58 4.42 6.25 5.83 8.67 7.65

Direccin 7.00 8.00 6.13 13.50 11.88 2.75 11.88 9.56

Tecnologa de Informacin 7.00 7.50 6.13 12.13 2.44 6.34 9.25 8.00

De Integridad 9.06 2.81 2.91 2.81 6.09 6.53 9.00 8.22

De Informacin 3.13 4.38 2.81 2.00 4.81 7.00 7.00 6.00

6.67 5.80 4.47 6.94 5.90 4.72 8.58 7.43

 PROGRAMACIN DEL PLAN ANUAL

META CRONOGRAMA
RIESGO
AREAS E-M A-J J-S O-D E F M A M J J A S O N D H/H
(Prom)
Comercializacin 0% 25% 60% 100% X X X 850 6.67
Gestin Tcnica 0% 0% 50% 100% X X 550 5.80
Recursos Humanos 0% 0% 50% 100% X X 500 4.47
Tecnologa de Informacin 25% 50% 75% 100% X X X X 900 6.94
Seguridad Industrial 25% 50% 75% 100% X X X X 900 5.90
Gestin Financiera 0% 25% 60% 100% X X X 750 4.72
Compras de Bs y Ss 25% 50% 75% 100% X X X X 1500 8.58
Administrac. de Almacn 25% 50% 75% 100% X X X X 1400 7.43
 CONCLUSIONES

Como puede Auditora Interna alinearse con los riesgos de la

Institucin?
Da Prioridad a los procesos con potencial significativo de impactar
1
en los objetivos de la Institucin, para la evaluacin posterior del riesgo.
Alto PROCESOS
de los procesos

Da Prioridad a los riesgos con potencial de impactar

Importancia

2 en los objetivos, para la evaluacin del control.

Alto RIESGOS Da prioridad adicional a los

3 riesgos considerando la
Magnitud del

efectividad del control

impacto

Bajo Alto
Riesgo Inherente CONTROLES
Alto

Significancia
del riesgo
Bajo Alto
Alto
Probabilidad de
Medio
Ocurrencia

Bajo
Bajo Alto
Efectividad del Control
 Preguntas?
O Comentarios?