You are on page 1of 20

Econ. Yuri Luna C.

ISO 31000 - ORM


ISO 22301 / ISO 27001 LI
 Objetivos
 Definiciones
 Normas Internacionales
 Enfoque de Auditoría basado en Riesgo
 Normas SBS
 Auditoría basado en riesgos – SBS
 Programa de Aseguramiento y Mejora de la Calidad - SBS
 Requisitos Plan de Auditoría basado en riesgos
 Conocer el enfoque de auditoría basado en riesgo

 Conocer los requisitos para implementar un Plan de auditoría


basado en riesgo
Auditoría

 “Revisión sistemática de una actividad o de una situación para


evaluar el cumplimiento de las reglas o criterios objetivos a que
ellas deben someterse”

Real Academia Española (RAE)


Auditoría Interna

 “Actividad independiente y objetiva de aseguramiento y


consultoría, concebida para agregar valor y mejorar las
operaciones de una organización. Aporta un enfoque sistemático y
disciplinado que evalúa y mejora la eficacia de los procesos de
gestión de riesgos, control y gobierno”

Instituto de Auditores Internos


Auditoría basada en riesgo

 “La auditoría basada en riesgos es un proceso, un acercamiento,


una metodología y una actitud en torno al tema. La manera más
simple de definir una auditoría basada en riesgos consiste en
revisar las cosas que realmente importan en su organización. Otra
manera de trabajar la auditoría basada en riesgos es con la ayuda
de la teoría de proceso.”

Phil Griffiths (2009) - Risk Based Auditing


Normas Internacionales para el
Ejercicio de la Auditoría Interna

 Publicadas por el Instituto de


Auditores Internos

 Normas sobre atributos

 Normas sobre desempeño


Objetivo
 Obtener seguridad razonable que el control interno sea eficiente y
efectivo mediante los procesos y manuales de procedimientos
establecidos de manera que no redunden en declaraciones
equivocadas materiales, causadas por fraude, errores o eventos
externo que afecten el funcionamiento de los procesos operativos y
el logros de los objetivos

Características
 Entendimiento de los objetivos

 Identificar y evaluar los riesgos críticos

 Entender la tolerancia con la ocurrencia de los riesgos

 Conocer como la gerencia supervisa y mide el manejo de riesgos

 Determinar las actividades de gestión de riesgo que reducen los


mismos a niveles aceptables
Ventajas
 Facilita y mejora la calidad de auditoría.

 Transforma el proceso de Auditoría tradicional en una nueva


estructura para evaluar de qué manera se administra los riesgos
del negocio de una compañía.

 Permite adquirir un entendimiento integral del negocio, incluyendo


las estrategias, los riesgos de negocio y los procesos para
administrarlos, lo que resulta en una auditoría efectiva y eficiente.

 Se centra en claves del éxito y en los indicadores claves de


rendimiento que impulsan a las compañías y que permite agregar
valor mediante auditoría.
Elaboración
Planificación Ejecución Seguimiento
de Informe

Aseguramiento de Calidad

 La Planificación considera la definición de un universo de auditoría


que incluye entidades auditables, principales riesgos de cada una
entidad, criterios para calificar importancia, evaluaciones de riesgo
para cada entidad auditable, los requerimientos del Comité de
Auditoría, Directorio y reguladores, así como hallazgos
significativos anteriores, y riesgos emergentes.
 Resolución SBS N° 11699-2008
“Reglamento de Auditoría
Interna”

 Circular N° G-161-2012
“Evaluaciones internas y externas
de la auditoría interna”
Artículo 10°.- Auditoría basada en Riesgos (ABR)
La Auditoría basada en Riesgos consiste en un conjunto de procesos
mediante los cuales la auditoría provee aseguramiento independiente
al Directorio acerca de:

 Si los procesos y medidas de gestión del riesgo que se encuentran


implementadas están funcionando de acuerdo a lo esperado;

 Si los procesos de gestión de riesgos son apropiados y están bien


diseñados; y,

 Si las medidas de control de riesgos que la Gerencia ha


implementado son adecuadas y efectivas, y reducen el riesgo al
nivel de tolerancia aceptado por el Directorio.
Artículo 10°.- Auditoría basada en Riesgos (ABR)
 La ABR depende del nivel de desarrollo que la propia empresa ha
alcanzado en la gestión de riesgos en el área objeto de examen, y
el grado en que han sido definidos objetivos apropiados por la
Gerencia contra los cuales pueden medirse los riesgos asociados.

 Cuando la empresa cuenta con un sistema de gestión del riesgo


adecuado en el (las) área(s) bajo examen, sin perjuicio de la
necesidad de verificaciones adicionales propias del debido cuidado
profesional, la ABR puede confiar en mayor grado en la evaluación
del riesgo que la propia empresa ha realizado, y desarrollar un Plan
basado en Riesgos (PBR) que complemente las acciones realizadas
por la empresa y aumente el valor de las actividades de la
Auditoría Interna. Cuando la empresa cuenta con un sistema de
gestión del riesgo menos desarrollado, la ABR requiere descansar
más en la evaluación del riesgo que hace la propia Auditoría.
Evaluaciones internas

 Las empresas deberán realizar un monitoreo permanente, y


realizar evaluaciones internas periódicas, cuando menos
anualmente, del desempeño de la función de auditoría interna, de
acuerdo a las normas 1300 y 1311.

 En el caso del servicio de auditoría de sistemas, las evaluaciones


internas deberán tomar en cuenta el cumplimiento de las
directrices de auditoría emitidas por ISACA.
Evaluaciones externas

 Las evaluaciones externas a las que hace referencia las normas


1300 y 1312, deben ser realizadas al menos una vez cada cinco
años.

 Las evaluaciones externas serán realizadas por un revisor o equipo


de revisión, que acredite contar con el conocimiento y experiencia
requerida, que no se encuentre relacionado con la empresa
mediante vínculos de gestión o propiedad y que no haya realizado
actividades de consultoría a la empresa en temas relacionados con
la función de auditoría interna durante los dos años anteriores al
inicio de la revisión.

 El Comité de Auditoría deberá aprobar la contratación del revisor o


equipo de revisión encargado de la evaluación externa.
 Solicitud realizada por el Auditor Interno o Comité de Auditoría

 Descripción del enfoque de auditoría basada en riesgos y


metodología asociada.

 Relación de recursos humanos y técnicos existentes, así como


políticas relacionadas de contratación, como por ejemplo servicios
especializados de auditoría de sistemas entre otros.

 Autoevaluación realizada por el Auditor Interno sobre el grado de


cumplimiento de las “Normas Internacionales para el Ejercicio de la
Auditoría Interna” según el Instituto de Auditores Internos (IIA), y
las medidas que tomará con relación a los casos en que existiera
una desviación importante.
 La Superintendencia determinará el plazo de la autorización, de
manera indefinida o sólo para un ejercicio específico, así como con
las excepciones que considere necesarias, sobre la base de la
evaluación de la información remitida por la empresa solicitante.
Asimismo, si como resultado de su labor supervisora entiende por
necesaria la realización de ciertos exámenes excluidos por la
empresa, podrá requerirlos para su inclusión como actividad no
programada.

 La autorización de la Superintendencia no exonera a la empresa de


cumplir con los exámenes requeridos por leyes vigentes,
entendiéndose ésta limitada sólo a aquellas actividades requeridas
por regulación emitida por la Superintendencia.
 Las empresas deberán incluir en su plan los aspectos
contemplados en los informes especiales correspondientes a la
evaluación del sistema de prevención del lavado de activos y
financiamiento del terrorismo y la evaluación del funcionamiento
del sistema de atención al usuario, así como las actividades
relacionadas al cumplimiento de las disposiciones sobre las
normas de transparencia de información y contratación con
usuarios del sistema financiero.
 Aquellas empresas que cuenten con prácticas sólidas de auditoría
interna y un adecuado cumplimiento del Reglamento de Auditoría,
podrán solicitar autorización a la Superintendencia para que en la
formulación de su plan anual, se consideren sólo las actividades
previstas en el anexo “actividades programadas” que resulten
relevantes según la propia metodología de auditoría basada en
riesgos implementada por la empresa, caso en el que deberán
incluir para cada “actividad programada” que no hubiera sido
incluida en su plan, las razones que sustenten el no haberla
considerado en el plan de auditoría de ese año.
Econ. Yuri Luna Coavoy
Gerente de Proyectos de Consultoría
PRIME Consultores
Email: yuri.luna@primeconsultores.com.pe
Telf. (51) 947290726