INFORMES DE AUDITORÍA INTERNA

Estándar

Informes de Auditoria Interna

1. 1. INFORMES DE AUDITORIA INTERNA Marlon Chavarría Rayo marlonchavarriarayo@gmail.com Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) – Experto en Prevención de Lavado de Dinero (FIBA) – Experto en NIIF PYME (AIC- CICNP) Guillermo A. García Narváez garcia18n3@hotmail.com Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) – Certified Financial Services Auditor (CFSA) – Certified Fraud Examiner (CFE)
2. 2. AGENDA  Usuarios del Informe de Auditoria Interna  Estructura del Informe de Auditoria Interna  Modelo IERC para la Redacción de Hallazgos  Técnicas de Redacción de Informes  Presentación de Resultados
3. 3. OBJETIVOS  Identificar los componentes de un Informe de Auditoría Interna efectivo  Organizar un Informe de Auditoria Interna efectivo  Conocer mejores prácticas para la preparación y presentación de los resultados de un compromiso de Auditoría Interna
4. 4.  Participe  Pregunte en cualquier momento  No es un monólogo  Queremos compartirles nuestras experiencias DINAMICA DE LA CONFERENCIA
5. 5. Usuarios del Informe de Auditoria Interna
6. 6. “Ya no basta con satisfacer a los clientes; ahora hay que dejarlos encantados” • Philip Kotler Los usuarios tienen diversas necesidades. El informe de auditoría puede ser estructurado para múltiples tipos de usuarios, o más de un tipo de informe puede ser necesario basado en las necesidades de los usuarios.
7. 7. STAKEHOLDERS Dueños de los procesos de negocio Administración / Gerencia Senior Comité de Auditoría Junta Directiva Auditores Externos Reguladores NIEPAI 2440 – El Director Ejecutivo de Auditoria (DEA) debe comunicar los resultados a las partes apropiadas.  Asuntos de ética / fraude  Asuntos confidenciales  Opinión del área legal  Regulaciones locales “A NEED TO KNOW BASIS”
8. 8.  ¿Quienes son los lectores más importantes del Informe de Auditoría?  ¿Cuánto conocen de la actividad auditada?  ¿Cómo planean utilizar el reporte? ¿Cómo impactan al lector los asuntos reportados ? STAKEHOLDERS Dueños de los procesos de negocio Administración / Gerencia Senior Comité de Auditoría Junta Directiva Auditores Externos Reguladores “A NEED TO KNOW BASIS”
9. 9. Gerentes con responsabilidad directa sobre la actividad auditada o individuos con autoridad suficiente para tomar acciones sobre las recomendaciones de Auditoría Interna. “A NEED TO KNOW BASIS” 2440.A1 Dueños de los procesos de negocio Administración / Gerencia Senior Junta Directiva … partes que puedan asegurar que se de la debida consideración a los resultados. Comité de Auditoría
10. 10. 2440.A2 Auditores Externos Reguladores Antes de enviar los resultados a usuarios externos:  Evaluar el riesgo potencial para la Organización;  Consultar con la alta dirección y/o consejero legal;  Controlar la difusión, restringiendo la utilización de los resultados. “A NEED TO KNOW BASIS”
11. 11. Estructura del Informe de Auditoria Interna
12. 12. Formato:  orientación de las páginas  fuentes de letras a ser usadas  color  gráficos  elementos y demás partes del informe La estructura es “el esqueleto” del informe, no su formato físico. • http://nahunfrett.blogspot.com El desarrollo de la estructura del informe se hace antes de determinar su formato.
13. 13. —— 2 a 3 páginas ——  Título e identificación del informe  Nombre y cargo del auditado  Rating de la auditoría  Tabla de Contenido  Resumen ejecutivo  Antecedentes  Objetivo  Alcance (actividades incluidas, no incluidas, limitaciones)  Reconocimiento (hallazgos identificados por el negocio)  Sumario de observaciones  Opinión o Conclusión
14. 14.  Detalle de observaciones y Planes de acción  Resultados de la evaluación de riesgos  Lista de distribución  Nombre del Auditor(es) – Indicadores de desempeño (Dashboards) – Restricción de uso – Cumplimiento con Normas (NIEPAI 2430) – Comentarios de la Administración – Asuntos menores – Tabla de definiciones – Anexos  Otras Secciones o Párrafos
15. 15. Modelos (Dashboards) Riesgos identificados incluidos en el alcance de la auditoria R/A/G Issue Ref. Debilidades identificadas Riesgo 1 X Pag # Incluir una breve descripción del issue Riesgo 2 X Pag # Incluir una breve descripción del issue Riesgo 3 X Pag # Ninguna situación observada Leyenda G Certeza suficiente sobre la efectividad de los controles que mitigan el riesgo identificado. A Certeza parcial sobre la efectividad de los controles que mitigan el riesgo identificado. R Certeza insuficiente sobre la efectividad de los controles que mitigan el riesgo identificado. Hallazgos identificados Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Identificados en la autoevaluación de controles de la administración x x x x x No identificados en la autoevaluación de controles de la administración x x x x x No aplica para ser evaluado por la administración x x x x x Total Issues Sum(x) Sum(x) Sum(x) Sum(x) Sum(x)  Evaluación de Riesgos  Autoevaluación de controles de la administración
16. 16. Nivel1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Issues: X X X X X Están siendo atendidos por la administración: X X X X X Tiempo para remediación (numero de días calendarios): X X X X X Issues concurrentes: X X X X X Efectividad general de los controles: Controles claves diseñados y operando efectivamente según resultados de la autoevaluación de la administración Controles claves diseñados y operando efectivamente según resultados de la auditoria Efectividad del proceso de autoevaluación: Controles claves probados por Auditoria Interna que fueron identificados en el proceso de autoevaluación Autoevaluación de la administración coincide con los resultados de Auditoria Interna Modelos (Dashboards)
17. 17. “La administración identificó el hallazgo XXX en su proceso de autoevaluación de controles, documentó formalmente y aprobó el plan de acción. La medida correctiva está en la dirección correcta y se espera completarla antes de la fecha límite.” Modelos (Párrafo de reconocimiento) Modelo de párrafo para reconocer los hallazgos identificados previamente por el negocio:
18. 18. Resumen ejecutivo:  Proveer una opinión de auditoría interna facilita entender la importancia de las observaciones  Dimensione en términos económicos o porcentuales el impacto causado por las debilidades del control interno  Dashboard de hallazgos (por actividad, rating, riesgo, etc.)  Comparación con los resultados de auditorias previas  Hallazgos repetidos de auditorías previas y/o planes de acción no completados https://na.theiia.org/standards-guidance/Member%20Documents/PG- Audit-Reports.pdf Guías para la práctica
19. 19.  Los lectores son selectivos. No debemos ver los informes como un texto continuo, sino como una serie de secciones.  Cada sección permite al lector profundizar dentro de más detalles y explicaciones dependiendo de sus necesidades:  Usuarios de alto nivel: leen la opinión (o conclusión)  Gerentes del área bajo examen: revisan la opinión, los mensajes en la observación y las recomendaciones (podrían no leer las observaciones completas ni anexos).  Dueños de procesos: leen el informe completo, enfocan su atención en las recomendaciones. Guías para la práctica
20. 20. Modelo IERC para la Redacción de Hallazgos
21. 21. https://es.slideshare.net/garcia18n3/observaciones -de-auditoria-transmitiendo-valor-agregado
22. 22.  ¿AI entiende correctamente la excepción de control?  ¿Cómo afecta los objetivos del proceso?  ¿Es una excepción en la ejecución del control o en su documentación?  ¿Es aplicable a toda la población? Situación Identificada es un hallazgo..? Los hallazgos son observaciones de hechos relevantes. El informe debe contener las observaciones necesarias para sustentar las conclusiones y recomendaciones.
23. 23. Elementos de un Hallazgo Modelo IERC basado en el análisis de Causa Raíz • Issue (Condición): • Efecto: • Causa Raíz: • Contexto: Que salió mal? Cual es la falla de control? Comparación con el criterio Cual es el impacto? Real o Potencial? Por qué salió mal? Información adicional que contribuya a la comprensión del lector
24. 24. Análisis de Causa Raíz: Identificar y corregir resultados no deseados. Reducir futuras ocurrencias de la condición. ¿Qué pasó? ¿Porqué? “5P” ¿Cómo lo evito nuevamente? … y la segunda línea?
25. 25. Acciones correctivas que resuelven la situación observada y mitigan la exposición al riesgo.  Acciones definidas  Controles compensatorios  Implementación gradual (milestone)  Plazos  Responsabilidades Planes de Acción cómo lo evito nuevamente..?
26. 26.  S: Específico  M: Medible  A: Alcanzable  R: Reliable (confiable)  T: Tiempo determinado Evaluando el Plan de Acción S: Específico Que control debe ser implementado o reforzado? Quien será el responsable? M: Medible Auditable, entregables claramente definidos
27. 27.  S: Específico  M: Medible  A: Alcanzable  R: Reliable (confiable)  T: Tiempo determinado A: Alcanzable Práctico, razonable, costo/beneficio, tomar en cuenta el riesgo R: Confiable Resuelve el issue, minimiza el riesgo T: Tiempo determinado El plazo para su cumplimiento e implementación debe tomar en cuenta el nivel de riesgo. Evaluando el Plan de Acción
28. 28.  ¿Es el control correcto para mitigar el riesgo?  ¿Lo realiza la persona adecuada en el nivel adecuado?  ¿El control se realiza en la etapa adecuada del proceso?  ¿El control es sostenible?  ¿El control es evidente? Evaluando el Plan de Acción efectividad del diseño..?
29. 29. Observaciones Identificadas por la Administración autoevaluación u otras fuentes distintas de IA…  Reconoce la proactividad de la administración en la identificación y resolución de asuntos de control interno.  Las evidencias deberán ser provistas por el negocio durante la etapa de planificación de la auditoria.  Cualquier otra fuente distinta de IA.  Debe cumplir con los 4 criterios:  Plan de acción  Recursos  Aprobaciones  Progreso
30. 30. https://na.theiia.org/standards-guidance/Member%20Documents/PG- Audit-Reports.pdf Guía para la práctica Definir la severidad es cuestión de juicio del auditor.H M L Alto Medio Bajo Inefectivo Efectivo Rojo Verde 1 2 3 4 Clasificación de las Observaciones (Rating) evaluando la severidad…
31. 31. Modelo (Clasificación de las Observaciones) evaluando la severidad… 5 Otras observaciones de control que requieren la atención de la administración y acciones correctivas a nivel de proceso. 4 Observaciones de control que requieren la atención de la administración y acción correctiva a nivel de producto o función. 3 Desviaciones a políticas o asuntos significativos de control a nivel de una o mas sucursales. 2 Debilidades significativas de control que afectan a toda la entidad legal. Se requiere la atención de la Gerencia Senior para asegurar un plan de remediación efectivo. 1 Debilidades significativas de control que afectan a la franquicia, o a mas de una entidad del grupo económico. Se requiere atención de la Gerencia Senior para asegurar que los riesgos son mitigados y un plan de remediación efectivo.
32. 32.  Describe el control que falló  Desviación asociada a los riesgos auditados  El efecto deber capturar todos los riesgos reales y potenciales  Relación entre la causa raíz y el plan de acción  Contexto permite entender el issue y su magnitud  Clasificar las observaciones permite a la administración priorizar planes de acción y el seguimiento por parte de Auditoria Interna  Criterios de clasificación de hallazgos claramente definidos y aplicados consistentemente en todos los informes de auditoría Redacción de hallazgos algunas consideraciones…
33. 33. Ref. Severidad Observación Plan de acción acordado, fecha de cumplimiento y ejecutivo responsable xxx 1/2/3/4/5 Observación Escribir de acuerdo al modelo SMART Identificado por el negocio Especifico S/N Efecto Medible Repetido Realizable S/N Causa Raíz Confiable Responsable del plan de acción Tiempo determinado Nombre y Cargo Contexto Fecha de vencimiento XXXX Fecha para la validación (*) XXXX (*) Auditoria Interna debe probar la sostenibilidad del control Modelo (formato IERC)
34. 34. Técnicas de Redacción de Informes
35. 35. Calidad de las Comunicaciones NIEPAI 2420 Exacta Objetiva Clara Concisa Construc- tiva Completa Oportuna  Libre de errores  Justa, libre de influencias  Comprensible, lógica  Directa, breve,  Útil, conduce a mejoras  Significativa, relevante  Permite acción oportuna “El buen comunicador habla o escribe sin hacer perder el tiempo”. • Carlos Salas
36. 36. Pautas para la redacción: 1. Evite la repetición excesiva de vocablos y las situaciones que reporta. 2. No utilice siglas o abreviaciones que no hayan sido declaradas previamente. 3. Redacte en forma impersonal y evite el tono impositivo. 4. Nunca sugiera sanciones. 5. Utilice adecuadamente los signos de puntuación. 6. Utilice palabras comunes, de uso general. No utilice términos ofensivos.
37. 37. Guías para la práctica 4. No haga suposiciones. Todos los hallazgos deben estar basados en hechos y debidamente soportados en los papeles de trabajo. 1. Sea breve. Sus clientes esperan recibir un documento depurado que presente temas cruciales. 2. Coloque primero el mensaje principal. Permite un entendimiento claro, no solo del mensaje clave si no también de la información de apoyo y los detalles. 3. Utilice gráficos, imágenes, tablas en lugar de textos largos.
38. 38. Guías para la práctica 7. Respalde todas las versiones borrador y el informe final. 5. Presente una conclusión clara. Asegúrese de que el lector comprende lo que usted piensa sobre la efectividad y eficiencia del área bajo revisión. 6. Revise en varias oportunidades el contenido del informe, realice ajustes y solicite que otra persona del grupo lo lea.
39. 39. Presentación de Resultados
40. 40. ¿Cómo son las discusiones de los Informes de Auditoría en tu empresa?
41. 41. ¿Cómo son las discusiones de los Informes de Auditoría en tu empresa?
42. 42. CP 2440-1 Difusión de los resultados  Incluya en las discusiones y revisiones a personas conocedoras de la operación en detalle y a quienes puedan autorizar la acción correctiva.  Comentar conclusiones y recomendaciones con los niveles directivos apropiados antes de la comunicación final.  Revisar previamente con el director de la unidad auditada el borrador de los temas, observaciones y recomendaciones del trabajo.
43. 43. CP 2440-2 Comunicaciones fuera de la Organización  Cumplir con el debido cuidado profesional. Tener en cuenta cualquier consideración legal.  Revisar la guía de comunicaciones externas. Si no existe debe promover su adopción.  Las solicitudes deben ser revisadas para enviar un informe existente o bien crear un informe nuevo.  Limitar su distribución. “A NEED TO KNOW BASIS”
44. 44. Tips para la práctica Preparando la presentación  Evita frases animadas y efectos de sonido. Usa transiciones simples o imágenes ejecutivas para dar dinamismo sin abrumar.  Conoce las dimensiones del lugar, la iluminación y cantidad de personas que van a asistir. Esto impacta en los colores de fondo que podrás emplear, cantidad de texto, tipografía y gráficos.  Selecciona temas visuales, colores, letras e imágenes que no distraigan la atención del objetivo de tu presentación.  Dedicar tiempo a la preparación, repasa previamente el informe.
45. 45. Tips para la práctica El día de la reunión  Llegue temprano  Presente con actitud positiva  Demuestre seguridad  Sea neutral, objetivo y justo  Use un perfil y tono balanceado  Comente sobre los aspectos positivos  Prepárese por anticipado para recibir objeciones, tenga lista la evidencia competente  Documente los cambios acordados (lenguaje, tono y sustancia del informe)  Documente los planes de acción acordados (responsables y fechas)  Confirme la lista de distribución
46. 46. . . . .
47. 47. “Lo que hacemos por nosotros mismos, muere con nosotros. Lo que hacemos por los demás y por el mundo, permanece y es inmortal” Albert Pine Marlon Chavarría Rayo marlonchavarriarayo@gmail.com Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) – Experto en Prevención de Lavado de Dinero (FIBA) – Experto en NIIF PYME (AIC- CICNP) Guillermo A. García Narváez garcia18n3@hotmail.com Contador Publico Autorizado (CPA) – Certified Internal Auditor (CIA) – Certified Financial Services Auditor (CFSA) – Certified Fraud Examiner (CFE)