Transcription
Auditoría InternaRe ImaginadaEvolucionando para nuestros clientesAgosto 2019home/kpmg.co
Auditoría InternaRe ImaginadaEvolucionando para nuestros clientesAgosto 2019home.kpmg/co
Autores KPMG en ColombiaLa información aquí contenida es de naturaleza general y no tiene la intención de abordar las circunstancias deningún individuo o entidad en particular. Aunque nos esforzamos por proporcionar información precisa y oportuna,no puede haber ninguna garantía de que dicha información es exacta a partir de la fecha en que se reciba o quecontinuará siendo correcta en el futuro. Nadie debe actuar sobre dicha información sin la debida asesoría profesionaldespués de un examen detallado de la situación en particular. 2019 KPMG Advisory, Tax & Legal S.A.S., sociedad colombiana por acciones simplificada y firma miembrode la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMGInternational”), una entidad suiza. Derechos reservados.Fabian Echeverría JuncoSocia Líder de Consultoríafecheverria@kpmg.comLeonardo Mora DazaGerente IARCSleonardomora@kpmg.comClaudia Patricia Contreras RuízSocia Líder de IARCS1cpcontreras@kpmg.comDora Lucía Arismendi RoysGerente ITA in Risk Consultingdoraarismendi@kpmg.comOmar Arteaga HernándezDirector IARCSoarteaga@kpmg.comDiva María Guadalupe Ramírez LópezEspecialista en Inversiones IARCSdivaramirez@kpmg.comVíctor Adalmer Vásquez MejíaDirector ITA in Risk Consultingvavasquez@kpmg.comOswaldo Flórez CortésSupervisor Senior IARCSoflorez@kpmg.comDeyanira Eliana Maritza Díaz GarzónGerente Senior, IARCSddiaz@kpmg.comKelly Johana PiñerosSupervisor Senior IARCSkpineros@kpmg.comMartha Patricia Martínez CastellanosGerente Senior IARCSmpmartinez@kpmg.comIvonne Eliana Barrera ValenciaSenior IARCSibarrera@Kpmg.comYuly Paola Muñoz AlgarraGerente Senior IARCSypmunoz@kpmg.comPatricia Emilia Martínez RodríguezSenior IARCSpemartinez@kpmg.comMarcela Ramos ParraGerente Senior, IARCSmarcelaramos@kpmg.comJohn Alexander Piracun BustosSenior IARCSjpiracun@kpmg.comLuz Adriana Tamayo QuinteroGerente Senior IARCSltamayo@kpmg.ComCindy Juliana Vera VegaSenior IARCScindyvera@kpmg.comCarlos Alberto Ariza HoyosGerente IARCScariza@kpmg.comDerechos reservados. Tanto KPMG como el logotipo de KPMG son marcas comerciales registradas de KPMGInternational Cooperative (“KPMG International”), una entidad suiza.1 Servicios de Auditoría Interna, Riesgos y Cumplimiento (IARCS por sus siglas en Inglés).
ContenidoPrólogo7Presentación81.10Mejorando el valor estratégico de la auditoría internaGráficasTablasGráfica 1Componentes relevantes en cada procesoPág 11Tabla 1Evolución de la auditoríaPág 32Gráfica 2Funciones del sistema de administración de riesgosPág 13Tabla 2Indicadores de gestión de la función de AIPág 34Pág 14Tabla 3Características de los regímenes pensionales vigentesen ColombiaPág 421.1.La auditoría en la gestión de gobierno, riesgo y cumplimiento.11Gráfica 3Elementos a considerar para establecer el marcode cumplimiento1.2.Expectativas sobre la generación de valor por parte de la auditoría interna.16Gráfica 4Habilidades del equipo de apoyo de AIPág 17Tabla 4Indicadores y referentes de gestiónPág 5419Gráfica 5Aspectos relevantes para generar una auditoría de valorPág 18Tabla 5Indicadores nivel de riesgoPág 55Gráfica 6Principales factores de los riesgos emergentesPág 19Tabla 6Blockchains públicas vs privadasPág 69Gráfica 7Fuentes de información para identificar y entenderlos impactos potenciales de los riesgos emergentesPág 20Tabla 7Extracto de mapeo estrategia empresarial con losobjetivos de gobierno y gestión de T&IPág 73Gráfica 8Pasos para la identificación y gestión deriesgos emergentesPág 20Tabla 8Metas empresariales COBIT 2019Pág 74Riesgos clave para el 2019Pág 21Tabla 9Metas de alineación del COBIT 2019Pág 74Tabla 10Mapa de alineaciónPág 75Tabla 11Extracto de mapeo metas alineadas con los objetivosde gobierno y gestión de T&IPág 76Tabla 12Categoria de riesgos de T&I COBIT 2019Pág 76Tabla 13Extracto de mapeo metas alineadas con los objetivosde gobierno y gestión de T&IPág 77Tabla 14Categoría de eventos de riesgos de T&I COBIT 2019Pág 77Tabla 15Extracto de mapeo metas alineadas con los objetivosde gobierno y gestión de T&IPág 801.3.El papel de la auditoría en la gestión de riesgos emergentes.1.4.Data & Analytics en la auditoría interna.221.5.El pensamiento crítico y lo que se espera de los auditores.252.Auditorías de valor30Gráfica 92.1.Transformando la función de auditoría interna.31Gráfica 10 Nivel de madurez de la función de auditoríaPág 222.2.La cultura de riesgo organizacional.35Gráfica 11Componentes básicos de D&APág 242.3.Gestión integral del riesgo en salud.38Gráfica 12Pirámide de madurez de la función de laauditoría internaPág 252.4.Auditoría interna en el sector de pensiones.42Gráfica 13 Evolución de la función de auditoría internaPág 332.5.Auditoría de inversiones.47Gráfica 14 Descripción de la gestión integral de riesgosPág 352.6.Auditorías externas de gestión y resultados.51Gráfica 15 Principios, marco de referencia y procesosPág 36Pág 392.7.Auditoría interna y los riesgos de ciberseguridad.56Gráfica 16 Grupo para la gestión integral del riesgo en salud2.8.Riesgos y controles en cloud computing.63Gráfica 17Eventos materializados de riesgos en el sectorpensionesPág 432.9.Riesgos en blockchain.69Gráfica 18Pág 482.10.COBIT 2019 como instrumento para realizar auditoría de tecnología e información.73Actores del proceso de inversión en las tres líneasde defensaGráfica 19 Aspectos de cumplimiento Resolución 12295 de 2006Pág 52Evaluaciones técnicas de procesos y controles deGráfica 20ciberseguridad - Auditoría InternaPág 57Gráfica 21Dale clic a cualquiera denuestros enunciados y vedirectamente al contenido.Áreas comunes de enfoque ante amenazas deciberseguridad – Plan de auditoría internaPág 61Gráfica 22 Tendencia de uso de plataformasPág 63Resultados encuesta anual CIO SURVEY 2018Gráfica 23KPMG – Harvey NashPág 63Gráfica 24 Metodología propuestaPág 64Gráfica 25 Modelo tradicional vs. modelo de cloud computingPág 64Gráfica 26 Factores de riesgoPág 65Gráfica 27 Vértices para el análisis de riesgosPág 66Principales fuentes de información paraGráfica 28cloud computingPág 67Gráfica 29 Matriz de riesgos vs controlesPág 67Gráfica 30 Áreas de control para cloud computingPág 68Gráfica 31 Niveles de capacidadPág 80
PrólogoLos puntos focales y prioridades de la función de auditoríainterna enmarcan esta publicación creada para agregar valory mejorar las operaciones de una organización, ayudandoa cumplir sus objetivos a través de un enfoque inspirador,moderno y con alto nivel de liderazgo para promover cambios einnovación, no solo para la función sino para toda la organizacióna través de gestión de riesgos, control y gobierno.Este documento nace a raíz de las experiencias de la práctica deAuditoría Interna de KPMG en Colombia, la cual durante los últimos20 años ha trabajado en la construcción de un servicio de alto valoragregado tanto para entidades del sector público como privado.A lo largo de los años, se han invertido importantes recursosa la práctica de Auditoría Interna de KPMG, enfocados enel desarrollo de auditorías internas efectivas y formación deprofesionales con alto nivel de pensamiento crítico, capacidadde comunicación y mayores habilidades de relacionamiento;aspectos como estos se abordan en el libro, dando pautasy recomendaciones sobre cómo desarrollarlos en pro delcrecimiento de la organización.Se da por entendido la aplicación de un enfoque basado en riesgosen la mayoría de las funciones de auditoría interna; sin embargo,para pasar de la teoría a la práctica del enfoque de auditoriano es fácil, especialmente cuando hay cambios en el modelooperativo empresarial, un modelo digital o más conectado conlos clientes, así como procesos de transformación empresarial oreorganizaciones, donde los nuevos riesgos son numerosos y sedebe tener habilidad para identificarlos y asegurarlos.Un equipo de gerencia y comité de auditoría que reconoce elapoyo y valor de la función auditoría interna es el resultadode mejoras en la proactividad, liderazgo, apalancamiento eimplementación de nuevas tecnologías, mejora en las visionesfuturas, prospectivas y madurez del equipo de auditoría.Aspiramos a través de este libro hacer una invitación a latransformación de la función de auditoría interna, con el fin deseguir siendo una parte activa en el desarrollo de un modelo degobierno, riesgos y cumplimiento evolucionado; con capacidadde respuesta a los cambiantes y nuevos retos empresariales.Esperamos que sea de utilidad e interés para todosnuestros clientes y conocidos.Fabian Echeverría JuncoSocio Líder ConsultoríaKPMG en Colombia-7-KPMG en Colombia - Evolucionando para nuestros clientes
Presentaciónde especialistas para cada tema. Lo primero es comenzar por tocarel tema de la transformación de la función de auditoría interna,partiendo nuevamente de la necesidad de evolucionarel pensamiento tanto de los auditores internos como de la AltaDirección, en el sentido de entender que el verdadero valor de laauditoría interna se da cuando se abren espacios de participación deesta función, en la Junta Directiva, Consejo Directivo, Consejo deAdministración o cualquier otro estamento directivo y estratégico,para que puedan aportar sus conocimientos en las estrategias detransformación y crecimiento de la organización a la que sirven,dado que su enfoque moderno no es policivo sino asesor, talcomo lo establece la definición de auditoría interna del Instituto deAuditores Internos que dice “La auditoría interna es una actividadindependiente y objetiva de aseguramiento y consulta, concebidapara agregar valor y mejorar las operaciones de una organización.Ayuda a una organización a cumplir sus objetivos aportando unenfoque sistemático y disciplinado para evaluar y mejorar la eficaciade los procesos de riesgos, control y gobierno.”La función de auditoría interna, como tercera línea de defensa enel modelo de gobierno, riesgos y controles, debe jugar un papelpreponderante en el monitoreo del negocio, como líder activo dela coordinación del aseguramiento integrado que demandan lasorganizaciones de hoy.Hemos condensado en esta publicación los aspectos relevantespara que la función de auditoría interna llegue a ser ese “SocioEstratégico de Negocios” que los Presidentes del Comité deAuditoría y los Directores Financieros están reclamando por más detres años, a fin de cerrar la brecha de valor entre lo que ellos definencomo sus prioridades y lo que reciben de la auditoría interna.Para contribuir con este desafío, el equipo gerencial y el staffde la práctica de auditoría interna de KPMG en Colombia, conla colaboración de los especialistas de ITA en Risk Consulting,a través de un trabajo minucioso y comprensivo, ha recopiladoen este documento el resultado de su experiencia, agrupandoen dos capítulos distintos los temas abordados; en el primerodenominado “Mejorando el valor estratégico de la auditoríainterna”, cuyo propósito es identificar los elementos estratégicosen los cuales se espera un aporte de valor por parte de laauditoría interna e incluso se demanda que esta función integreen sus procesos y operaciones algunos de los temas allíseñalados. Este capítulo incluye temáticas como la auditoríaen la gestión de gobierno, riesgos, cumplimiento, expectativassobre la generación de valor de la auditoría interna, el papelde la auditoría en la gestión de riesgos emergentes, Data &Analytics como habilitador principal de la función de auditoríainterna, el pensamiento crítico y lo que se espera de losauditores internos.En este capítulo se incluyen temas como auditoría a la gestiónintegral de riesgos, y en especial a la cultura organizacionalfrente al riesgo, auditoría a la gestión de riesgos en salud,auditoría en el sector de pensiones, auditoría de inversiones,auditoría externa de gestión y resultados, auditoría interna enla evaluación de riesgos de ciberseguridad, auditoría en cloudcomputing, riesgos asociados a la integración del Blockchain yauditoría de tecnologías de información.Nuestra ambición es que esta publicación sea de valor y utilidadpara que los auditores internos encuentren en ella apoyo yconsejos prácticos para mejorar su desempeño y lograr suobjetivo estratégico de ser el aliado de la alta dirección en latransformación de su negocio, integrando en su quehacer yen sus auditorías, la competencia y la capacidad para evaluarlas tecnologías disruptivas que den sentido y hagan tangible elvalor agregado que se espera de esta importante función en elengranaje de la organización.En el segundo capítulo denominado “Auditoría Interna de Valor”,hemos condensado temas relevantes para ayudar a los equiposde auditoría interna en la planeación y ejecución de auditoríaseficientes y efectivas, sobre temas específicos y muchas vecesestratégicos de los negocios para los cuales sirven comofunción y por ende hacen parte del universo de auditoría ydeben ser considerados en el plan de auditoría, cualquiera quesea su horizonte en el tiempo.Claudia Patricia Contreras RuízSocia Líder de IARCSCon ello se pretende ofrecer ideas para los auditores internos,de manera que puedan planear y generar resultados de impactoy con alto contenido técnico, considerando el acompañamientoKPMG en Colombia-8--9-KPMG en Colombia - Evolucionando para nuestros clientes
1. Mejorando el valorestratégico de laauditoría interna1.1 La auditoría en lagestión de gobierno,riesgo y cumplimientoGráfica 1. Componentes relevantes en cada procesoGRGobierno, Riesgo y Cumplimiento (GRC) aún es un modelo holísticonaciente en las organizaciones, que ha venido evolucionando frentea la materialización de riesgos, fraudes, incidentes de seguridadcibernética y penalizaciones por ausencia de controles de laoperación frente a los exigidos por los reguladores.Los retos de la globalización demandan una mayor capacidadde adaptación de las organizaciones ante las grandestransformaciones, las tecn
en la mayoría de las funciones de auditoría interna; sin embargo, para pasar de la teoría a la práctica del enfoque de auditoria no es fácil, especialmente cuando hay cambios en el modelo operativo empresarial, un modelo digital o más conectado con los clientes, así como procesos de transformación empresarial o reorganizaciones, donde los nuevos riesgos son numerosos y se debe tener .
