3. Ágil
Creado para entregar un resultado de
proyectos de forma efectiva y eficiente,
principalmente cuando existe
incertidumbre en el resultado esperado.
4. Cuando usar Ágil
Proyectos con incertidumbre en los
requerimientos e incertidumbre en
la técnica, son los que mejor se
benefician de un método Ágil.
En el caso de auditorias basadas en
riesgo:
• La técnica es conocida
• La incertidumbre en
requerimiento, depende del
proceso de planificación y
disponibilidad de los riesgos
previo al inicio de la auditoria.
AI
5. Enfoque de ciclos de vida
Así se entiende la
auditoria tradicional
Iterativo
9. Objetivos
DEFINICIÓN AUDITORÍA INTERNA:
Es una actividad independiente y objetiva de
aseguramiento y consulta concebida para agregar
valor y mejorar las operaciones de una organización.
Definición de IIA
10. Tipos de Auditoría
• Aseguramiento
• Operacionales basadas en riesgo
• De cumplimiento
• De seguimiento
• Consultoría
• Similar a un proyecto
Auditor Auditado
Cliente
• Directorio
• Comité
Auditor Cliente
• Gerencia
• Dueño de proceso
• Proyecto
11. Eventos, Objetos y Equipo
Dueño del producto: Quien sería??? El Dueño del proceso, el Directorio, El Comité
• El CAE
Equipo de Desarrollo: Auditores multidisciplinarios
Scrum Master: Supervisor de auditoria
• Requiere varias personas que asuman cada rol. Equipos pequeños generalmente
asumen todos los roles.
• El problema mas complejo es quien es el dueño del producto. Quien define las
“Historias de Usuarios”. No debería ser nunca el área auditada… Generaría
problemas de independencia y objetividad.
12. Una vez resuelto el equipo del proyecto.
• El proceso de auditoría interna es uno solo. Lo realicemos secuencial,
iterativo o Ágil.
• Debemos definir si trabajamos con plan de auditoria interna o
continua.
• La priorización debería venir de Gestión de Riesgos
• Incorporar auditorias originadas en requerimientos especiales,
denuncias, banderas rojas, KRI o KCI
• Asignar al mejor equipo posible disponible
13. Proceso de Auditoria Interna en el Gobierno Corporativo
Otros factores de priorización: Importancia, resultados de
auditoria previas, cambios, etc
Gestión de Riesgos Auditoria Interna
16. Obtenido de
Gestión de
riesgos
Proceso de Auditoria Interna
Análisis de la
evaluación de
GR y dueño
Pruebas a
realizar sobre
riesgos y
controles
Aplicación de
pruebas y
evidencias
Conclusiones
parciales. Envíos
parciales
Resultado final
y conclusión
global
Retroalimentación
a Gestión de
riesgos
No es necesariamente secuencial, en el proceso se
detectan nuevos riesgos, nuevos controles, se
requieren nuevas pruebas hasta que el auditor se
forma una convicción profesional del sistema de
control interno
17. Definición del alcance
inicial según riesgos y
controles obtenidos de
Gestión de Riesgos
En cualquier momento
puedo agregar un nuevo
riesgo o control.
Iteraciones múltiples
El alcance bien definido es Crítico.
Pero siempre asociado a
un subproceso, donde
todos los riesgos sobre
nivel bajo, para asegurar
integridad y sea
comparable en el
tiempo.
18. Alcances limitados o alteraciones afectan integridad.
Objetivo:
• Determinar lo adecuado del sistema de control
de un subproceso, área, proyecto.
• Si no se evalúan todos los riesgos
relevantes, no se puede cumplir con el
objetivo.
• Y no son comparables en el tiempo.
La capacidad de detección de errores,
desviaciones o irregularidades se reduce si
el alcance no es correcto.
El ”riesgo de detección” se ve
incrementado si:
• Se evalúa un proceso muy amplio
• Se incluyen mas riesgos de los que
el equipo puede abordar
• Se eliminan riesgos del alcance que
tienen nivel inherente sobre bajo
Nota:
• Si una auditoria tiene 10 riesgos,
por lo general cada riesgo como
mínimo tiene 3 controles (Directivo,
preventivo, detectivo), por lo tanto
son 30 controles.
• Eso genera 40 pruebas de auditoria.
19. Cada riesgo con su
prueba sustantiva
Cada control con su
prueba de cumplimiento
20. • Lista de pruebas asignadas a un auditor, de diferentes
proyectos de auditoria, con estado. (Backlog???)
• Priorizadas por distintos criterios
21. Cada prueba debe ser ejecutada y evidenciada.
Se debe asegurar la convicción profesional y el supervisor
compartir esa convicción
22. Cada prueba debe ser ejecutada y evidenciada.
Se debe asegurar la convicción profesional y el supervisor
compartir esa convicción
23. Cada prueba debe ser ejecutada y evidenciada.
Se debe asegurar la convicción profesional y el supervisor
compartir esa convicción