lunes, 17 de diciembre de 2012

Ejemplo de un Plan Anual de Auditoría Basada en Riesgos

Por Juan Villanueva Chang

Con la finalidad de atender algunas inquietudes respecto al artículo publicado el 14.11.2012 (Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación), a continuación se explica un caso hipotético en una entidad de servicios.

Previa a la explicación del ejemplo, resulta indispensable coincidir con algunos parámetros:

·         La práctica habitual para los auditores de utilizar fórmulas para determinar la prioridad de las auditorías no es nuevo, se remonta a la década de los 70.
·         Existe la necesidad de confeccionar una metodología estable en el tiempo para determinar la prioridad de las auditorías, debido a limitaciones de su capacidad operativa y tiempo estimado para la realización de las revisiones. La metodología no es necesaria si en realidad es posible auditar en un año todo el universo auditable de una entidad.
·         El proceso de planificación anual siempre ha exigido la construcción de métricas que nos ayuden a realizar una selección adecuada. Esto obliga a revisar al menos una vez al año el universo auditable de la organización.
·         La ventaja de utilizar una metodología de este tipo ayuda al auditor a tener una guía neutral que resulta de la marcha de ciertos elementos del universo auditable, en vez de una simple selección arbitraria.     

Ejemplo: Casa de Cambio  ABC S.A.

a)           Métricas del universo auditable:

La unidad de auditoría interna lo conforman dos personas (3 600 h/H) y el tiempo promedio para  realizar cada auditoría es de 1 200 h/H. Estas limitaciones permitirían a la unidad de auditoría realizar 3 auditorías al año.

El universo auditable lo conforman 10 procesos operativos y de apoyo de la cadena de valor, así como 2 actividades auditables vinculadas a algunas políticas y regulaciones integrales. En caso no se haya identificado la cadena de valor, se puede emplear las unidades organizacionales.

Universo auditable
Impacto
Antigüedad última auditoría
Percepción de riesgos
Debilidades de control
Transferencias de fondos vía electrónica
B
15 meses
Media
12
Cheques personalizados (giros)
B
12 meses
Media
6
Efectivo (Algunas Divisas)
C
21 meses
Alta
7
Metales amonedados
A
6 meses
Baja
4
Contabilidad y finanzas
A
10 meses
Alta
2
Recursos humanos
A
8 meses
Media
3
Servicios generales
A
6 meses
Baja
7
Seguridad física
C
6 meses
Alta
8
Plan de recuperación y continuidad operativa
B
12 meses
Media
6
Seguridad e higiene de salud en el trabajo
B
3 meses
Baja
3

b)           Fórmula para prioridad de auditorías:

PA= T (20%) + A (20%) + [PR (30%) + DC (30%)]
PA= Determinación de prioridad de auditoría
T= Tamaño (Nivel de impacto involucrado. Puede ser el nivel de impacto tomado del proceso de evaluación de riesgos, mapas de riesgos o de saldos contable, flujos de recursos involucrados en su operatividad, entre otros)
A = La antigüedad de la última auditoría
PR = Es el nivel de percepción que tiene la unidad de riesgos sobre cada unidad auditables. Cualquier escala de resultados que proporcione la unidad de riesgos o los dueños de los procesos, para fines de esta fórmula, se puede traducir en una simple calificación de alta, media y baja.
DC = Cantidad histórica de las debilidades de control identificadas en las auditorías pasadas.

c)            Construcción de escalas para la medición de la fórmula:
 IMPACTO
Puntaje de Fórmula
A= Bajo      0      -  10 mil dólares
    5
B= Medio  21     -  50 mil dólares
  15
C= Alto     51     - Más de 51 mil dólares
  20

ANTIGÜEDAD AUDITORIA
Puntaje de fórmula
5= Más de 24 meses o nunca
     20
4= Entre 19 y 24 meses
     15
3= Entre  13  y 18 meses
     10
2= Entre   7 y  12 meses
      5
1= Entre 0 y  6 meses
     0

PERCEPCION DE G. RIESGOS
Puntaje de fórmula
Alto
A
30
Medio
B
15
Bajo
C
5

DEBILIDADES DE CONTROL
Puntaje de fórmula
5= Alto
Más de 21
30
4= Superior
16 a 20
22.5
3= Medio
11 a 15
15
2= Mínimo
5 a 10
7.5
1= Ninguno
0 a 4
0

d)           Ranking de aplicación de la fórmula al universo auditable:
Universo auditable
T
A
PR
DC
Total
Transferencias de fondos vía electrónica
15
10
15
12
52
Cheques personalizados (giros)
15
5
15
6
41
Efectivo (Algunas Divisas)
20
20
30
7
77
Metales amonedados
5
0
5
4
14
Contabilidad y finanzas
5
5
30
2
42
Recursos humanos
5
5
15
3
28
Servicios generales
5
0
5
7
17
Seguridad física
20
0
30
8
58
Plan de recuperación y continuidad operativa
15
5
15
6
41
Seguridad e higiene de salud en el trabajo
15
0
5
3
23

El resultado de la fórmula de prioridad de auditorías, en función de las limitaciones de la capacidad operativa de que sólo se pueden efectuar 3 auditorías al año, seleccionan para el plan anual a las siguientes auditorías del universo auditable:
·                    Efectivo (Algunas Divisas)
·                    Seguridad física
·                    Transferencia de fondos vía electrónica

Como se explicó en el texto inicial, obviamente que al resultado de este ranking se puede alterar e incluir otras prioridades al resultado del análisis histórico de las métricas antes señaladas, como por ejemplo si hubiera denuncias sustentadas o pedidos especiales de nuestros clientes de la alta dirección, entre otros.

Es importante señalar que esta fórmula se puede mejorar con la construcción e inclusión de otras variables, tales como costos, tiempos de demora efectiva, etc. Igualmente, queda a criterio de cada unidad de auditoría proponer un peso distinto a cada factor incluido en la fórmula, sobre todo a la percepción del riesgo cuando se ha logrado un buen nivel de madurez de la gestión de riesgos.

Finalmente, para fortalecer la base teórica del tema, a continuación se sugiere algunas referencias:
·         Andrew Chambers (1992), “Effective internal audits”, England
·         Peter Jones (1999), “Statistical Sampling and Risk Analysis in Auditing”, England
·         Phil Griffiths (2005), “Risk - based auditing”, England
·         K.H. Spenser Pickett (2006), “Audit Planning: A risk – based approach”
·         David Griffiths,(2006), “Risk based internal auditing – Three views on implementation”

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

7 comentarios:

  1. Me resultó de gran utilidad el ejemplo, no lo teníamos implementado y ahora con algunos ajustes lo podremos aplicar en la empresa donde estoy. Ahora, considero que una metodología como esta no debe integrarse al Manual de Auditoría Interna, unicamente dar referencia a su consulta y permanecer como un documento de descripción de la actividad, espero puedan darme sus comentarios al respecto.

    ResponderEliminar
  2. Es interesante conocer que se atrevió a innovar. Me parece que los criterios generales pueden estar en el Manual de Auditoría, dejando los aspectos puntuales para una metodología interna de permanente actualización.

    Juan Villanueva

    ResponderEliminar
  3. como sacan el puntaje de la formula en la construccion de las escalas,,, necesito saber de urgen

    ResponderEliminar
    Respuestas
    1. El puntaje es el resultados de los pesos que usted le asigna a la importancia de los factores que establece. Si copia tal como esta el ejemplo llegará a la respuesta de su duda.

      Eliminar
  4. Hay dos errores: si en efectivo la última auditoría fue hace 21 meses, cae en el rango entre 19 y 24 cuya puntuación es 15, no 20. El otro error es que en la columna DC en lugar de usar la escala, uds pusieron la cantidad de debilidades de control. Favor rectificar si la del error soy yo.

    ResponderEliminar
    Respuestas
    1. Es usted una buena auditora, la felicito. En el primer caso de la escala de antiguedad corresponde 15, si fuera mayor que 24 sería 20. En el segundo caso, efectivamente por la premura de redacción se utilizó la cifra de catidad de debilidades y no las de la escala, pero al efectuar la corrección es minimo el cambio y no afecta el resultado final. Gracias y buena suerte

      Eliminar