COMITÉ DE ENLACE DE AUDITORÍA INTERNA DEL MUNICIPIO DE MEDELLÍN Auditoria basada en Riesgos Agosto 2 de 2013 Pág. 1

Contenidos Justificación Gobierno, riesgo y control Las líneas de defensa frente a los riesgos corporativos Rol de la Auditoría Interna Criterios para priorizar el programa de auditorías Ejecución de auditoría basada en riesgos Evaluación de controles

1. Justificación Quienes gestionan el riesgo de forma eficaz y eficiente tienen más probabilidad de alcanzar sus objetivos y hacerlo a menor costo, por ello, la gestión de riesgos debe formar parte de la cultura organizacional.   La Auditoría interna ayuda a la organización a ese cumplimiento de sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de gobierno, riesgo y control

2. Gobierno, riesgo y control Gobierno es el proceso orientado por los socios y la Junta Directiva para autorizar, dirigir y supervisar su gestión con el fin de alcanzar los objetivos de una Empresa.

2. Gobierno, riesgo y control Entendiendo el Riesgo AMENAZA RIESGO SINIESTRO Condición con potencial para causar daños o perjuicios -------------------------- Probabilidad de que ocurra algo Incertidumbre de que se presenten determinadas pérdidas --------------------------- Probabilidad de que se pierda algo Evento accidental que tiene consecuencias negativas --------------------------- Certeza de que ha ocurrido una pérdida Riesgo : f ( probabilidad, consecuencias )

2. Gobierno, riesgo y control Criterio de vulnerabilidad VULNERABILIDAD BAJA VULNERABILIDAD MEDIA VULNERABILIDAD ALTA

Calificación de riesgos 2. Gobierno, riesgo y control Calificación de riesgos Frecuencia Severidad Para estimar las consecuencias del riesgo en la Empresa, se han escogido ocho áreas de impacto: bienes materiales, operación del sistema, personas, imagen corporativa, medio ambiente, mercado, información y leyes. Estos han sido escogidos como los factores donde se manifestaría en mayor medida los efectos del riesgo en caso de llegarse a materializar, es decir, en caso de siniestro Riesgo = F x  DM + Op + IC + Vi + MA + SL + Me + Inf

RIESGO NO IDENTIFICADO 2. Gobierno, riesgo y control Amenaza OBJETIVO RIESGO 1. IDENTIFICACIÓN RIESGO NO IDENTIFICADO 2. ANÁLISIS 3. VALORACIÓN 4. TRATAMIENTO REDUCCIÓN FINANCIACIÓN Evitar Aceptar Retención Activa Retención Pasiva Prevenir Retener Proteger Transferir Parcial Total El riesgo Las pérdidas

Calificación del riesgo 2. Gobierno, riesgo y control Calificación del riesgo

2. Gobierno, riesgo y control Rab Rab Control Rcc Rcc Tratamiento Rct

3. Las líneas de defensa frente a los riesgos corporativos La primera línea de defensa frente a los riesgos está conformada por la Alta Dirección. Las áreas o procesos tienen la propiedad y responsabilidad para evaluar, controlar y mitigar los riesgos y deben garantizar el mantenimiento de controles internos efectivos. El Sistema de Control Interno es una responsabilidad de los Socios y de la Junta Directiva, de la dirección y de todo el personal de una entidad, diseñado con el objeto de proporcionar una seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: eficacia y eficiencia de las operaciones, fiabilidad de la información, cumplimiento de las leyes y normas aplicables y salvaguarda de sus activos.

3. Las líneas de defensa frente a los riesgos corporativos La segunda línea de defensa la constituyen algunas funciones especializadas como: Gestión de Riesgos, esta función facilita y vigila la aplicación de las prácticas efectivas de gestión de riesgos, por parte de los propietarios de los riesgos y les ayuda a medir el nivel de exposición al riesgo y a comunicar información adecuada de los riesgos a la organización. Cumplimiento, orientada a verificar el control de los riesgos de no conformidad con la aplicación de leyes y reglamentos externos e internos. Otras funciones de características transversales a los procesos: Control Financiero, Seguridad, Calidad e Inspección.

3. Las líneas de defensa frente a los riesgos corporativos Auditoría Interna constituye la tercera línea de defensa y es el control de los controles. La Auditoría Interna, proporciona aseguramiento a los órganos de gobierno de la organización sobre la efectividad de la evaluación y gestión de riesgos, incluyendo la verificación de forma en que operan la primera y la segunda línea. El IIA ha establecido un esquema de abanico que ilustra la actuación para Auditoría Interna dentro de la Gestión de Riesgos, de forma que delimita claramente su rol a las funciones de aseguramiento, y como mucho a las funciones de consultoría, pero en ningún caso debe asumir funciones ejecutivas en la definición, respuesta y gestión de los riesgos.

4. Rol de la auditoría en la gestión de riesgos

4. Rol de la Auditoría Interna De acuerdo con la declaración del Instituto Internacional de Auditores sobre el Rol de la Auditoría Interna en la Gestión del Riesgo Empresarial, se enmarca en tres grupo de actividades:   Roles fundamentales de la auditoría interna respecto al ERM: Brindar aseguramiento respecto de los procesos de gestión de riesgo. Brindar aseguramiento sobre la correcta evaluación de los riesgos. Evaluar el reporte de riesgos claves. Revisar la gestión de los riesgos claves.

4. Rol de la Auditoría Interna Roles legítimos de auditoría interna que deben realizarse con salvaguarda: Facilitar la identificación y evaluación de riesgos. Asesorar a la gerencia sobre respuesta a riesgos. Coordinar actividades de ERM. Consolidar reportes sobre riesgos. Mantener y desarrollar el enfoque de gestión de riesgo empresarial. Defender el establecimiento del ERM. Desarrollar estrategias de gestión de riesgo para aprobación de la junta.

4. Rol de la Auditoría Interna Roles que auditoría interna NO debe realizar: Establecer el grado de aceptación al riesgo. Imponer procesos de gestión de riesgo. Manejar el aseguramiento sobre los riesgos. Tomar decisiones en respuesta a los riesgos. Implementar respuestas a riesgos en nombre de la administración. Tener responsabilidad de la gestión de riesgo.

5. Criterios para priorizar el programa de auditorías Se proponen algunos criterios objetivos y pasos a seguir para la identificación de las prioridades en la realización de un programa de auditorías, con el propósito de agregar un mayor valor y cubrir las necesidades de cada empresa, en materia de control, riesgo y cumplimiento.

5. Criterios para priorizar el programa de auditorías Pasos Definir el universo auditable Se debe determinar cual será la totalidad de procesos, proyectos, contratos o áreas a auditar. Se entiende por “Universo Auditable”, la totalidad de unidades de auditoría que se podrían realizar. El “Ente o Unidad Auditable”, es cada uno de los posibles elementos o actividades a auditar. Se recomienda tomar como universo auditable todos los procesos o áreas de la entidad, donde cada una de estas serán los entes o unidades auditables (Ej: Talento Humano, Contabilidad, Mercadeo, entre otros).

5. Criterios para priorizar el programa de auditorías 2. Aplicación de Variables Con base en el universo auditable, a cada unidad auditable se le aplican las siguientes variables, con su rango de calificación: Variable Calificación B M A 1. Cumplimiento de Indicadores del Cuadro de Mando Integral (CMI) 1 3 5 2. Participación en el Presupuesto de Ingresos o Egresos 3. Contrato de Impacto Misional 4. Valor del Contrato 5. Resultados Entes de Control (Contraloría) 6. Calificación de los riesgos del proceso

5. Criterios para priorizar el programa de auditorías Cumplimiento de Indicadores del Cuadro de Mando Integral (CMI): Se refiere a los resultados de los indicadores del CMI relacionados con cada ente auditable o proceso (si no tiene indicadores no se califica). Se califica con base en el resultado de estos en el año inmediatamente anterior, con el siguiente rango:   Si el indicador está en verde, su calificación es 1 (Bajo) Si el indicador está en amarillo, su calificación es 3 (Medio) Si el indicador está en rojo, su calificación es 5 (Alto) En el caso de que se tengan varios indicadores bajo la responsabilidad de un mismo proceso, se realiza una ponderación de los mismos.

5. Criterios para priorizar el programa de auditorías Participación en el Presupuesto de Ingresos o Egresos: Se refiere a la participación que tiene el proceso auditado dentro del presupuesto de ingresos o egresos, teniendo en cuenta los siguientes aspectos:   Si el presupuesto está entre el 0.001% y el 3.5%, se califica como 1 (Bajo) Si el presupuesto está entre el 3.6% y el 10%, se califica como 3 (Medio) Si el presupuesto es mayor al 11%, se califica como 5 (Alto)

5. Criterios para priorizar el programa de auditorías Contrato de Impacto Misional: Se refiere a aquellos procesos que tienen a cargo contratos relacionados directamente con la misión de la empresa, los cuales se calificarían de la siguiente manera:   Si el contrato no tiene relación con la misión de la empresa, sino que es de apoyo, se califica con 1 (Bajo). Si el contrato afecta directamente la misión de la empresa, se califica con 5 (Alto).

5. Criterios para priorizar el programa de auditorías Valor del Contrato: De acuerdo al sistema de contratación de la empresa, se debe establecer un rango en valores que determinan la calificación del contrato, así:    Contratos a hasta 100 SMLMV, se califica con 1 (Bajo) Contratos mayores a 100 SMLMV y menor de 500 SMLMV, se califica con 3 (Medio) Contratos Mayores a 500 SMLMV, se califica con 5 (Alto)

5. Criterios para priorizar el programa de auditorías Resultados Entes de Control (Contraloría): Se refiere a las deficiencias y hallazgos levantados por la Contraloría en su última auditoría realizada, con las siguientes calificaciones:   Si el resultado es cero hallazgos y deficiencias, el resultado es 1 (Bajo). Si el resultado es más de una deficiencia administrativa, el resultado es 3 (Medio). Si el resultado es más de una deficiencia fiscal o hallazgo fiscal, el resultado es 5 (Alto).

5. Criterios para priorizar el programa de auditorías Resultados El resultado de la suma de las anteriores variables se compara contra una tabla con los siguientes valores: Si el resultado es menor o igual a 9, su nivel es Bajo (B) Si el resultado es mayor o igual a 10 y menor a 16, su nivel es Medio (M) Si el resultado es mayor o igual a 17, su nivel es Alto (A)

5. Criterios para priorizar el programa de auditorías Resultados Periodicidad Auditorías De acuerdo con el resultado anterior, los niveles de cada proceso incluido en el universo auditable y la periodicidad de cada auditoría quedaría de la siguiente manera: Nivel Periodicidad Auditoría Meses A 12 M 24 B 36

6. Ejecución de auditoría basada en riesgos Planificar Ejecutar Comunicar Realizar seguimiento Realizar análisis del ente auditable que incluye:   Entender el propósito del trabajo (riesgos asociados por los cuales se incluyó en el plan de trabajo). Comprender el área auditada, incluidos sus objetivos Identificar los indicadores clave de desempeño del ente auditable Identificar y evaluar los riesgos. Priorizar los riesgos para los cuales e van a probar los controles. Identificar las actividades de control clave.  Determinar los objetivos y alcance del trabajo. Elaborar programa de auditoría, define las pruebas para evaluar la eficacia de los controles El programa de auditoría debe permitir hacer trazabilidad de la auditoría, debe ser el enlace entre riesgos asociados, controles, pruebas y hallazgos. Realizar pruebas para reunir evidencias Registrar documentar y validar hallazgos. Evaluar las evidencias reunidas y hacer conclusiones. Elaborar informe borrador de Auditoria Elaborar y enviar informe final Socializar informe con la alta dirección Retroalimentar plan de mejora Revisar la información del plan de mejoramiento Priorizar acciones de mejoramiento para el seguimiento Evaluar la implementación de acciones de mejoramiento Reportar los resultados del seguimiento a las instancias competentes

7. Evaluación de Controles Como un método para medir efectividad de los controles en cuanto a su diseño y operación, se proponen los siguientes atributos Control Calificación 1. Frecuencia de ejecución 1 5 2. Cumplimiento de aplicación 3 3. Documentación 4. Asignación de responsable 5. Responsable idóneo

7. Evaluación de Controles Descripción Variables Frecuencia de ejecución: ¿El control se aplica con la frecuencia establecida? (1) No (5) Si Cumplimiento de aplicación: ¿El control se está aplicando completamente? (1) Hasta el 40% (3) Del 40% al 80% (5) Mayor al 80% Documentación: ¿La forma de aplicación del control se encuentra completamente documentada y actualizada? (1) No documentado o desactualizado (5) Documentado

7. Evaluación de Controles Descripción Variables Asignación de responsable: ¿La responsabilidad de la ejecución del control está asignada y formalizada (documentada)? (1) No (5) Si Responsable idóneo: ¿El responsable del control tiene conocimiento y experiencia para su aplicación? (1) No tiene experiencia ni conocimiento. (3) Tiene experiencia o conocimiento parcial. (5) Tiene conocimiento y experiencia para su aplicación.

Jorge Ivan Palacio Quintero Muchas Gracias Jorge Ivan Palacio Quintero Asesor en Gestión Metro de Medellin Ltda