lunes, 2 de abril de 2012

Plan de Auditoría basado en riesgos. Naturaleza de los trabajos de auditoría

Por Jesús Aisa Díez

En varias aportaciones incorporadas a este magnífico blog dedicado íntegramente a la función de auditoría interna, hemos tenido la oportunidad de conocer diversas opiniones sobre la necesidad de conformar los Planes de Auditoría, bien sean estos plurianuales o,  en mi opinión preferiblemente anuales, en base a los riesgos que puedan estar presentes en la actividad empresarial en donde ejerzamos nuestra actividad, ya que, de esta forma, podremos dirigir los  esfuerzos de nuestros limitados recursos a la supervisión de aquellos procesos en los que se concentre la mayor “criticidad” respecto a la consecución de los objetivos perseguidos.

Debido a ello, y si la metodología ha sido la apropiada, estaremos en condiciones de proponer a la alta dirección y al Directorio un Plan de trabajo que permita el máximo valor agregado, pues se incidirá sobre los procesos trascendentes, pasando de puntillas sobre aquellos que no sean determinantes, o significativos, en el resultado final de los objetivos estratégicos establecidos, ganando en eficiencia.

Pero una vez que ya tengamos identificados los procesos sobre los que deben girar las auditorías internas en base a los riesgos que amenacen a la organización, el Plan a someter a aprobación no solo debe identificar dichos procesos, sino también, para poder cuantificar los recursos asociados a la supervisión de cada uno de ellos, debemos concretar cuál es la naturaleza del trabajo que precisamos realizar, así como el alcance del mismo. Dicho de otra manera, la gestión de riesgos nos informará de los procesos cuyo monitoreo resultará prioritario para poder asegurar razonablemente el nivel de control interno de las organizaciones, es decir lo que debemos auditar, pero quedaría por determinar los aspectos auditables, o lo que es lo mismo el qué auditar.

Respecto de este aspecto, creo que, una vez decididos los procesos sobre los que debemos incidir, a Auditoría Interna le corresponden varios objetivos a cubrir con sus actuaciones: En primer lugar verificar que los apetitos al riesgo admitidos son compatibles con los objetivos de la organización, en segundo lugar comprobar que los controles sugeridos por los gestores para situar los riesgos residuales en el entorno de la tolerancia al riesgo que se hubiese establecido serían adecuados, y por último comprobar que dichos controles realmente se aplican en la forma en que se hubiesen planificado.

Respecto de esta última verificación, la de la aplicación de los controles en la forma en que se diseñaron, entendemos que es una de las comprobaciones que más información relevante nos puede dar respecto de la realidad de la situación, ya que nos permitirá opinar sobre la eficacia realmente obtenida por el control implantado. A título de anécdota permíteme referirme a un caso que creo que puede ilustrar la necesidad de comprobar la aplicación práctica de los controles. Me quiero referir a un control de acceso a las dependencias de una importante empresa, para lo cual se nos había tomado muestra de nuestro iris, de manera que el acceso a las dependencias solo era posible si al colocar uno de nuestros ojos-el que habíamos aportado para la foto- la estructura del iris del que quería entrar coincidía con la de uno de los ojos que estaban autorizados; hasta aquí un proceso tecnológico perfecto, pero el problema estaba en que si bien el que ponía el ojo ante el monitor debía estar habilitado, lo que el diseño del control no tuvo en cuenta es que una vez abierta la puerta, detrás del habilitado entraban todos los que hacían fila para entrar y que no estaban autorizados. El ejemplo puede parecer irreal, pero no lo es, incluso podríamos citar más fallos en el control de ese acceso, pero no lo vamos a hacer pues lo que no importa es que tengamos claro el ámbito de la supervisión de los trabajos de auditoría interna al desarrollar su Plan de trabajo, en el que la comprobación de aplicación práctica de los controles diseñados se ajusta a lo previsto, cerrando el proceso de verificaciones a realizar ya enumeradas.

 ¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!

4 comentarios:

  1. Por favor necesito ayuda de algún auditor de un Poder Judicial, que ya haya efectuado la planificación del trabajo basado en riesgos. Gracias.

    ResponderEliminar
  2. Su preocupación es muy valida y esta necesidad de información para desarrollar un Plan Anual Basado en Riesgos es muy común no solo en el Sector del Poder Judicial sino para muchos departamentos de Auditoría Interna a nivel mundial.

    ResponderEliminar
  3. Muchas gracias, nuestra Institución es compleja, mezcla una serie de entidades de diversa naturaleza, no solo de índole jurisdiccional, sino administrativo, técnico, operativo y otros....de ahí que cualquier ayuda que nos puedan brindar se lo agradecemos.

    ResponderEliminar
  4. Por más grande y compleja que sea su organización, debe tener presente que la metodología aplicable para desarrollar un esquema adecuado de Auditoría Interna Basada en Riesgos es similiar para instituciones gobernamentales (como la suya, financieras o empresas de comercialización y distribución de productos). Las dos variantes principales que tenemos que tomar en cuenta en su caso en nuestra opinión son:

    1. Requerimientos legales aplicables.

    2. Estrutura organizacional de la institución (para determinar universo auditable real).

    Si desea información adicional me puede escribir a nahun.frett@gmail.com

    ResponderEliminar