Normas para una auditoría basada en riesgos

Por Juan Villanueva Chang

Adoptar un  progresivo cambio hacia un enfoque de auditoría basada en riesgos, además de identificar el nivel madurez de la gestión de riesgos en la organización, debe ceñirse lo más cercano posible a algunas directivas de las Normas Internacionales para la Práctica Profesional de la Auditoría Interna.

El Consejo para la Práctica 2010-1 “Objetivos del trabajo”, precisa que auditoría interna revisa la gestión de riesgos asociados a la entidad.

Las auditorías seleccionadas a realizar deben estar alineadas al proceso de evaluación de riesgos derivados de la formulación del plan anual de auditoría. 

Una vez que el auditor identificó los controles clave de los riesgos sensibles procede a determinar los procedimientos a realizar.

El Consejo para la Práctica 2010-2 “Uso del proceso de gestión de riesgos en el Plan de Auditoría Interna” sugiere iIdentificar los riesgos inherente y residual, así como los controles claves que ayudan a reducir un  riesgo inaceptable a un nivel tolerable.

La planificación de auditoría interna necesita estar soportada en el proceso de gestión de riesgos desarrollada en la organización. Reconoce que el nivel de madurez de la gestión de riesgos es diferente en cada organización, y que auditoría interna trata de evaluar si los controles funcionan o son excesivos o complejos.

El Consejo para la Práctica 2200-2 “Uso de un enfoque basado en riesgos, partiendo de los más significativos (Top-down, Risk-based Approach) para identificar los controles que van a ser evaluados en el trabajo de auditoría interna” sugiere evaluar la existencia de una combinación adecuada de controles manuales y automáticos y comprobar si existen para mitigar los riesgos dentro de la tolerancia al riesgo en la organización.

Debido a limitaciones en la capacidad operativa  es recomendable evaluar sólo los controles claves (aquellos necesarios para gestionar riesgos relacionados con un objetivo crítico del negocio), aunque el auditor puede incluir una evaluación a los controles menos importantes.  

Igualmente se deja abierta la posibilidad de usar otros métodos o marcos de referencia (COSO ERM, ISO 3100), siempre que los controles claves para la gestión de riesgos sean identificados y evaluados.

El Consejo para la Práctica 2210.A1-1” Evaluación de riesgos en la planificación del trabajo” recomienda que el auditor interno debe examinar: la fiabilidad de la evaluación de riesgos, el proceso para vigilar, informar y resolver asuntos de riesgo y control, eventos que excedan límites y los riesgos relevantes. Ello obliga a los auditores internos estar familiarizados con las actividades de riesgo y control para identificar áreas donde poner énfasis.

El GAIT for Business and TI Risk es una guía que describe las relaciones entre el riesgo de negocio, controles claves dentro de los procesos comerciales, controles automatizados y críticos para la funcionalidad. Esta guía dirige aspecto específico del riesgo TI y la evaluación de control. El documento también puede ser usado para la gobernanza en TI y directores de seguridad o encargados de diseñar la administración del riesgo TI.

La guía mejora la eficacia y la eficiencia de las funciones de auditoría  internas permitiendo enfocarse en los riesgos del negocio y reduciendo al mínimo la atención de riesgos que no son críticos en la organización.

(Fuente: International Professional Practices Framework IPPF- IIA)

¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!