miércoles, 14 de noviembre de 2012

Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación

Juan Villanueva Chang

Elaborar un plan anual de auditoría es un reto importante para los profesionales en auditoría así como para fortalecer las relaciones con los stakeholders. Tradicionalmente esta labor consistía en identificar unidades organizacionales con mayor impacto según el valor o volumen de transacciones en los estados financieros o de acuerdo a apreciaciones de  los auditores. Hoy en día, diseñar un plan anual de auditoría se debe centralizar en aquellas áreas de negocios o procesos significativos respecto al tipo de riesgo que enfrenta la empresa.

La experiencia nos señala que existen otros elementos a tener cuenta son:

  • La capacidad operativa y competencias del equipo de auditores para el tema seleccionado para auditar.
  • Complejidad de la materia a auditar y oportunidad en la obtención de la información (Acceso a aplicativos TI).
  • Precisión respecto al énfasis que tendrá la revisión respecto a los objetivos de control interno (Operaciones, fiabilidad de reportes y cumplimiento).
  • En algunos casos se recoge sugerencias de los clientes.
  • Cantidad de unidades o procesos que conforman el universo de la materia auditable de la organización.

Todos estos matices obligan a ser creativos para la formulación de un plan anual de auditoría basada en riesgos. La realidad es que el área de auditoría dispone de recursos limitados y por consiguiente es imposible auditar todo el universo auditable en un año. Otro aspecto a tener en cuenta es el grado de conocimiento del  auditor sobre la marcha de la gestión de riesgos. Tener conocimiento y acceso oportuno a la documentación de la gestión de riesgos se convierte en un tema vital para el desarrollo de este enfoque.

Las mejores prácticas del Marco Internacional para la Práctica Profesional de la Auditoría Interna dan énfasis a la necesidad de elaborar un plan anual de auditoría basada en riesgos. Se fundamenta en la Norma IIA sobre Desempeño 2010 – Planificación, el Consejo para la Práctica IIA 2010-1 y el IIA 2010-2.

El universo auditable suele estar conformado por procesos, programas, proyectos o áreas consideradas estratégicas en la organización. Al mismo tiempo, se debe tomar en cuenta la vinculación de la materia auditable con las actividades estratégicas vigentes de la entidad.

Una forma de priorización el universo auditable para realizar auditorías es utilizando  una metodología que ayude a tomar en cuentas aspectos del tamaño, tiempo (antigüedad de la última auditoría) y apreciaciones sobre el nivel de riesgo involucrado. Obviamente que la cantidad de auditorías a realizar están limitadas por la capacidad operativa de auditores y el tiempo estimado de cada una de ellas para su realización.

El ciclo de esta metodología podría incluir: La definición y actualización de la materia auditable o universo de auditoría. Conocer los objetivos y meta estratégicas vigentes y su vinculación con la materia auditable. Identificar las métricas de tiempo y tamaño o valor involucrado en la materia auditable. Crear métricas de efectividad respecto al tiempo en cuanto a la estimación y realización de auditorías anteriores. Generar métricas sobre la percepción de los riesgos y debilidades de control, para finalmente conocer el nivel de confianza del control interno como resultado del comportamiento histórico de las debilidades de control acumuladas.



Con la finalidad de establecer un criterio uniforme para expresarlo como puntaje de una fórmula que otorgue la prioridad para realizar una auditoría, se seleccionan algunos de los indicadores que a continuación se detallan:

Métricas de gestión de Tiempo y Tamaño:

1)    Tiempo: Fecha de última auditoría

Registro de fecha de última auditoría realizada con enfoque moderno de auditoría basada en riesgos.

2)    Nivel de impacto

Se obtiene de registros de saldos contables o flujos de recursos comprometidos en cada proceso.  

3)    Número de transacciones

Es la cantidad de asientos o registros contables de cada proceso auditable. Por lo general es mayor apoyo en auditorías financieras que los otros objetivos de control interno.

Métricas de gestión de Efectividad:

1)    Duración real desarrollo de auditoría:

Es el tiempo real en H/H del desarrollo que demandó una auditoría.

2)    Costo auditoría:

Es el valor involucrado en la realización de una auditoría, necesaria para determinar el presupuesto de las auditorías a realizar.

Métricas de Riesgos:

1)    Percepción de riesgos de la Gerencia de Riesgos:

Cuando se carece de información por debilidad de la madurez de la gestión de riesgos en toda la cadena de valor, se puede recurrir a la calificación elaborada por el área de Gestión de Riesgos, recogiendo su apreciación subjetiva sobre el nivel de riesgos que tendría los procesos o unidades auditables.

2)    Debilidades de Control:

Es la cantidad de debilidades de control como resultado de las auditorías. 

De acuerdo a sus registros históricos, habría que elaborar una escala de medición para poder aplicar una fórmula y priorizar las auditorías. Esta fórmula podría tener un peso de 40% para los factores de Tamaño y Tiempo (Antigüedad última auditoría), y del 60% las apreciaciones sobre el nivel de riesgos. La fórmula se puede expresar de la siguiente manera:

        PA = T (20%) + A (20%) + [PR (30%) + DC (30%)]

PA= Determinación de prioridad de auditoría.

T  = Tamaño (Nivel de impacto involucrado). 

A  = Antigüedad de última auditoría. Se asigna máximo puntaje también para aquellos procesos en los que aún no se ha desarrollado una auditoría en forma específica con nuevo enfoque de auditoría.

La apreciación sobre el nivel de riesgos se hace tomando en cuenta los siguientes criterios:

PR= Nivel de percepción del estado de los riesgos por el área de Riesgos. Esta opinión recoge su percepción sobre probabilidad e impacto.

DC= Debilidades de control al término de las auditorías. Esta data de debilidades de control puede servir para elaborar el perfil histórico de confianza del control interno. Se asigna máxima puntuación si aún no se realizó auditoría con nuevo enfoque.

El resultado final arrojará cifras en torno al 100%. Es decir mientras más cercano resulte la cuantificación de la fórmula al 100%, nos indica que es apremiante su inclusión en el plan anual de auditoría.

Finalmente, en forma adicional al resultado de la fórmula de priorización de auditorías, al momento de seleccionar las auditorías es posible tomar en consideración otros criterios tales como: Perfil histórico de confianza del control interno, precisar si obedecen a denuncias sustentadas, áreas no examinadas y criterio propio del auditor.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

20 comentarios:

  1. Don Juan, justo a tiempo para planificar el año 2013 en mi edpyme, muy buen artículo muchas gracias pero, si no fuera mucha molestia, podría incluir un ejemplo para el manejo de la fórmula e indicar donde poder leer mas de este tema, se lo agradecería mucho.

    atte.
    Alejandro Talancha Esquives

    ResponderEliminar
    Respuestas
    1. Hola Alejandro, ya respondí tu pregunta a tu correo. Gracias

      Eliminar
  2. Buenas tardes Sr. Juan, muy interesante el plan anual basado en riesgo. Quisiera tambien obtener un ejemplo de como implementarlo en una casa de cambio.
    Espero sus comentarios
    Saludos
    Lic. Javier Barrios

    ResponderEliminar
    Respuestas
    1. Con gusto estimado Javier, proporciona tu correo para dar respesta.

      Eliminar
  3. Muy buena aportacion Juan Villanueva, me será de gran utilidad para elaborar el Plan Anual de Auditoría Interna 2013 de mi departamento. Debo agregar que es necesario tener conocimiento previo en ERM para poder implementar efectivamente esta guía practica. Saludos.

    ResponderEliminar
  4. Efectivamente Enrique, esta guía forma parte de un enfoque moderno de auditoría basada en riesgos, que se orienta a poner énfasis en los programas de auditoría a los controles críticos identificados según el grado de madurez de la gestión integral de riesgos, donde el ERM es uno de los modelos básicos a emplear.

    ResponderEliminar
  5. y que paso con incluir la evaluación de los riesgos, creo que tambien es importante crear criterios de auditoria, en mi caso siempre los criterios de auditoria que incluyen la evaluación de riesgos. si notaran no solo puedes limitare a incluir los riesgos existen otras situaciones del porque auditar una unidad de negocio.
    Algunos criterios que utilizo son:

    1. Antiguedad última auditoria
    2. Complejidad de las operaciones
    3. Nivel de automatización de los procesos
    3. Cambios operativos y organizacionales
    4. evaluación de los riesgos a nivel de procesos o entidad
    5. riesgos de fraude
    5. Satisfacción de las recomendaciones anteriores

    a cada uno de estos criterios se les coloca un items de valoración por
    que ademas, el criteiro deberá tener su propia ponderación entre todos los criterios

    ejemplo:

    Criterio: Última Autoditoria .... Ponderación 20

    items que incluyen a seleccionar

    Item Valor
    hace 3 meses 2
    hace 6 meses 3
    hace 12 meses 4
    mas de un año 5
    Nunca auditada 6

    el items seleccionado lo multiplico por el valor del criterio asi,

    si digo que la unidad de tecnología de información fue "auditada mas de un año " entonces tengo: 5x20: 100.

    y asi se aplican criterios a cada área, no todos los criterios pueden aplicar a todas las área en ese caso siempre es recomendable aplicar un item con valor a "cero" 0.

    atte
    Oscar Mirón
    oscarivanmiron@gmail.com


    ResponderEliminar
    Respuestas
    1. Tienes razón, como PR percepción de riesgos se incluye en la fórmula la valoración del estado de los riesgos por opinión de la Gerencia de Riesgos, no de los auditores. No olvidar que medición de riesgos es labor de la admnistración o dueños de los procesos, auditoría verifica que la medición de riesgos se aplique según directicas, políticas, metodología. El auditor no puede sustituir la medición de riesgos que hace la gestión. Existen varios métodos de simplificar una apreciación. En este caso, al ser un componente de cerca del 30% de peso en la fórmula sólo se utiliza por ejemplo una valuación por la Gerencia de Riesgos de alto, medio, bajo.

      Espero haber cubierto su duda.
      Juan Villanueva Chang

      Eliminar
    2. Juan Villanueva Chang4 de febrero de 2013, 16:22

      La fórmula sí incluye la percepción de riesgos. Tiene un peso de 30%. Quien opina si los riesgos son alto, medio o bajo es la Gerencia de Riesgos, debido que la gestión de riesgos lo aplica la administración o dueños de los procesos. No es labor propia de los auditores medir los riesgos ya que son responsabilidad de la gestión.

      Eliminar
  6. alguien me puede ayudar con un ejemplo... se agradecera

    ResponderEliminar
    Respuestas
    1. Juan Carlos,

      Puedes encontrar un ejemplo de un Plan Anual de Auditoría Basado en Riesgos en el siguiente hipervínculo, el cual es otro artículo publicado en el Blog por el Sr. Villanueva: http://nahunfrett.blogspot.com/2012/12/ejemplo-de-un-plan-anual-de-auditoria.html

      Eliminar
  7. Y si mo hay gestion de riesgos en mi Empresa, como elaboro un Plan basado en riesgo, quuien midelos riesgos..

    ResponderEliminar
    Respuestas
    1. Si en una empresa no existe un sistema formal de gestión de riesgos, el director ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo.

      La Norma 2010 – Planificación, establece lo siguiente:

      El director ejecutivo de auditoría debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización.

      Interpretación:

      El director ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el director ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo.

      Eliminar
  8. Hola, sobre estas mediciones de riesgo, como ustedes mismos aclaran es competencia de la Gerencia, pero que pasa si nunca los han implementado, y ya varias auditorias externas no lo aclaran? Gracias

    ResponderEliminar
  9. Apreciado Izkander Lagos,
    Las Normas del IIA establecen que si una organización no posee un enfoque basado en riesgos, el Director de Auditoría Interna debe desarrollar su propio enfoque para determinar las áreas que debe priorizar. Por otra parte, las auditorías externa no tienen mucha relevacia en este tipo de trabajo, al menos que no haya ocurrido un fraude detectato por ellos o que existan errores contables materiales. Saludos,

    ResponderEliminar
  10. Excelente artículo Nahum, Felicidades!! consulta podemos cmabiar el nombre de Plan Anual de Auditoría a Plan Anual de Evaluación de Riesgos??? esto fundamentado en que las revisiones son basada en riesgos.

    Saludos

    ResponderEliminar
    Respuestas
    1. Apreciado Alberto, la gracias todos debemos darsela, a un tocayo tuyo, el buen amigo y colega Juan Alberto Villanueva. Sobre tu pregunta, en mi opinión el nombre de Plan Anual de Auditoría Basado en Riesgos es correcto, en base a la Norma 2010, la cual estable en su última versión, que entrara en vigencia en enero del 2017, lo siguiente: "El director ejecutivo de auditoría debe establecer un plan basado en el riesgo para determinar las prioridades de la actividad de auditoría interna, de acuerdo con los objetivos de la organización". Saludos y gracias por leer nuestros artículos,

      Eliminar
    2. Gracias por la pronta respuesta!!!
      Felices Fiestas !!!
      Saludos desde México!!!!

      Eliminar
  11. Magnífica información, gracias por compartirla.

    ResponderEliminar