En varias aportaciones incorporadas a este magnífico blog dedicado íntegramente a la función de auditoría interna, hemos tenido la oportunidad de conocer diversas opiniones sobre la necesidad de conformar los Planes de Auditoría, bien sean estos plurianuales o, en mi opinión preferiblemente anuales, en base a los riesgos que puedan estar presentes en la actividad empresarial en donde ejerzamos nuestra actividad, ya que, de esta forma, podremos dirigir los esfuerzos de nuestros limitados recursos a la supervisión de aquellos procesos en los que se concentre la mayor “criticidad” respecto a la consecución de los objetivos perseguidos.
Debido
a ello, y si la metodología ha sido la apropiada, estaremos en condiciones de
proponer a la alta dirección y al Directorio un Plan de trabajo que permita el
máximo valor agregado, pues se incidirá sobre los procesos trascendentes,
pasando de puntillas sobre aquellos que no sean determinantes, o
significativos, en el resultado final de los objetivos estratégicos
establecidos, ganando en eficiencia.
Pero
una vez que ya tengamos identificados los procesos sobre los que deben girar
las auditorías internas en base a los riesgos que amenacen a la organización,
el Plan a someter a aprobación no solo debe identificar dichos procesos, sino
también, para poder cuantificar los recursos asociados a la supervisión de cada
uno de ellos, debemos concretar cuál es la naturaleza del trabajo que
precisamos realizar, así como el alcance del mismo. Dicho de otra manera, la
gestión de riesgos nos informará de los procesos cuyo monitoreo resultará prioritario
para poder asegurar razonablemente el nivel de control interno de las
organizaciones, es decir lo que debemos auditar, pero quedaría por determinar los
aspectos auditables, o lo que es lo mismo el qué auditar.
Respecto
de este aspecto, creo que, una vez decididos los procesos sobre los que debemos
incidir, a Auditoría Interna le corresponden varios objetivos a cubrir con sus
actuaciones: En primer lugar verificar que los apetitos al riesgo admitidos son
compatibles con los objetivos de la organización, en segundo lugar comprobar
que los controles sugeridos por los gestores para situar los riesgos residuales
en el entorno de la tolerancia al riesgo que se hubiese establecido serían
adecuados, y por último comprobar que dichos controles realmente se aplican en
la forma en que se hubiesen planificado.
Respecto
de esta última verificación, la de la aplicación de los controles en la forma
en que se diseñaron, entendemos que es una de las comprobaciones que más
información relevante nos puede dar respecto de la realidad de la situación, ya
que nos permitirá opinar sobre la eficacia realmente obtenida por el control
implantado. A título de anécdota permíteme referirme a un caso que creo que
puede ilustrar la necesidad de comprobar la aplicación práctica de los
controles. Me quiero referir a un control de acceso a las dependencias de una
importante empresa, para lo cual se nos había tomado muestra de nuestro iris,
de manera que el acceso a las dependencias solo era posible si al colocar uno
de nuestros ojos-el que habíamos aportado para la foto- la estructura del iris
del que quería entrar coincidía con la de uno de los ojos que estaban
autorizados; hasta aquí un proceso tecnológico perfecto, pero el problema
estaba en que si bien el que ponía el ojo ante el monitor debía estar
habilitado, lo que el diseño del control no tuvo en cuenta es que una vez abierta
la puerta, detrás del habilitado entraban todos los que hacían fila para entrar
y que no estaban autorizados. El ejemplo puede parecer irreal, pero no lo es,
incluso podríamos citar más fallos en el control de ese acceso, pero no lo
vamos a hacer pues lo que no importa es que tengamos claro el ámbito de la
supervisión de los trabajos de auditoría interna al desarrollar su Plan de
trabajo, en el que la comprobación de aplicación práctica de los controles
diseñados se ajusta a lo previsto, cerrando el proceso de verificaciones a
realizar ya enumeradas.
¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!
¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!
Por favor necesito ayuda de algún auditor de un Poder Judicial, que ya haya efectuado la planificación del trabajo basado en riesgos. Gracias.
ResponderEliminarSu preocupación es muy valida y esta necesidad de información para desarrollar un Plan Anual Basado en Riesgos es muy común no solo en el Sector del Poder Judicial sino para muchos departamentos de Auditoría Interna a nivel mundial.
ResponderEliminarMuchas gracias, nuestra Institución es compleja, mezcla una serie de entidades de diversa naturaleza, no solo de índole jurisdiccional, sino administrativo, técnico, operativo y otros....de ahí que cualquier ayuda que nos puedan brindar se lo agradecemos.
ResponderEliminarPor más grande y compleja que sea su organización, debe tener presente que la metodología aplicable para desarrollar un esquema adecuado de Auditoría Interna Basada en Riesgos es similiar para instituciones gobernamentales (como la suya, financieras o empresas de comercialización y distribución de productos). Las dos variantes principales que tenemos que tomar en cuenta en su caso en nuestra opinión son:
ResponderEliminar1. Requerimientos legales aplicables.
2. Estrutura organizacional de la institución (para determinar universo auditable real).
Si desea información adicional me puede escribir a nahun.frett@gmail.com