lunes, 17 de diciembre de 2012

Ejemplo de un Plan Anual de Auditoría Basada en Riesgos

Por Juan Villanueva Chang

Con la finalidad de atender algunas inquietudes respecto al artículo publicado el 14.11.2012 (Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación), a continuación se explica un caso hipotético en una entidad de servicios.

Previa a la explicación del ejemplo, resulta indispensable coincidir con algunos parámetros:

·         La práctica habitual para los auditores de utilizar fórmulas para determinar la prioridad de las auditorías no es nuevo, se remonta a la década de los 70.
·         Existe la necesidad de confeccionar una metodología estable en el tiempo para determinar la prioridad de las auditorías, debido a limitaciones de su capacidad operativa y tiempo estimado para la realización de las revisiones. La metodología no es necesaria si en realidad es posible auditar en un año todo el universo auditable de una entidad.
·         El proceso de planificación anual siempre ha exigido la construcción de métricas que nos ayuden a realizar una selección adecuada. Esto obliga a revisar al menos una vez al año el universo auditable de la organización.
·         La ventaja de utilizar una metodología de este tipo ayuda al auditor a tener una guía neutral que resulta de la marcha de ciertos elementos del universo auditable, en vez de una simple selección arbitraria.     

Ejemplo: Casa de Cambio  ABC S.A.

a)           Métricas del universo auditable:

La unidad de auditoría interna lo conforman dos personas (3 600 h/H) y el tiempo promedio para  realizar cada auditoría es de 1 200 h/H. Estas limitaciones permitirían a la unidad de auditoría realizar 3 auditorías al año.

El universo auditable lo conforman 10 procesos operativos y de apoyo de la cadena de valor, así como 2 actividades auditables vinculadas a algunas políticas y regulaciones integrales. En caso no se haya identificado la cadena de valor, se puede emplear las unidades organizacionales.

Universo auditable
Impacto
Antigüedad última auditoría
Percepción de riesgos
Debilidades de control
Transferencias de fondos vía electrónica
B
15 meses
Media
12
Cheques personalizados (giros)
B
12 meses
Media
6
Efectivo (Algunas Divisas)
C
21 meses
Alta
7
Metales amonedados
A
6 meses
Baja
4
Contabilidad y finanzas
A
10 meses
Alta
2
Recursos humanos
A
8 meses
Media
3
Servicios generales
A
6 meses
Baja
7
Seguridad física
C
6 meses
Alta
8
Plan de recuperación y continuidad operativa
B
12 meses
Media
6
Seguridad e higiene de salud en el trabajo
B
3 meses
Baja
3

b)           Fórmula para prioridad de auditorías:

PA= T (20%) + A (20%) + [PR (30%) + DC (30%)]
PA= Determinación de prioridad de auditoría
T= Tamaño (Nivel de impacto involucrado. Puede ser el nivel de impacto tomado del proceso de evaluación de riesgos, mapas de riesgos o de saldos contable, flujos de recursos involucrados en su operatividad, entre otros)
A = La antigüedad de la última auditoría
PR = Es el nivel de percepción que tiene la unidad de riesgos sobre cada unidad auditables. Cualquier escala de resultados que proporcione la unidad de riesgos o los dueños de los procesos, para fines de esta fórmula, se puede traducir en una simple calificación de alta, media y baja.
DC = Cantidad histórica de las debilidades de control identificadas en las auditorías pasadas.

c)            Construcción de escalas para la medición de la fórmula:
 IMPACTO
Puntaje de Fórmula
A= Bajo      0      -  10 mil dólares
    5
B= Medio  21     -  50 mil dólares
  15
C= Alto     51     - Más de 51 mil dólares
  20

ANTIGÜEDAD AUDITORIA
Puntaje de fórmula
5= Más de 24 meses o nunca
     20
4= Entre 19 y 24 meses
     15
3= Entre  13  y 18 meses
     10
2= Entre   7 y  12 meses
      5
1= Entre 0 y  6 meses
     0

PERCEPCION DE G. RIESGOS
Puntaje de fórmula
Alto
A
30
Medio
B
15
Bajo
C
5

DEBILIDADES DE CONTROL
Puntaje de fórmula
5= Alto
Más de 21
30
4= Superior
16 a 20
22.5
3= Medio
11 a 15
15
2= Mínimo
5 a 10
7.5
1= Ninguno
0 a 4
0

d)           Ranking de aplicación de la fórmula al universo auditable:
Universo auditable
T
A
PR
DC
Total
Transferencias de fondos vía electrónica
15
10
15
12
52
Cheques personalizados (giros)
15
5
15
6
41
Efectivo (Algunas Divisas)
20
20
30
7
77
Metales amonedados
5
0
5
4
14
Contabilidad y finanzas
5
5
30
2
42
Recursos humanos
5
5
15
3
28
Servicios generales
5
0
5
7
17
Seguridad física
20
0
30
8
58
Plan de recuperación y continuidad operativa
15
5
15
6
41
Seguridad e higiene de salud en el trabajo
15
0
5
3
23

El resultado de la fórmula de prioridad de auditorías, en función de las limitaciones de la capacidad operativa de que sólo se pueden efectuar 3 auditorías al año, seleccionan para el plan anual a las siguientes auditorías del universo auditable:
·                    Efectivo (Algunas Divisas)
·                    Seguridad física
·                    Transferencia de fondos vía electrónica

Como se explicó en el texto inicial, obviamente que al resultado de este ranking se puede alterar e incluir otras prioridades al resultado del análisis histórico de las métricas antes señaladas, como por ejemplo si hubiera denuncias sustentadas o pedidos especiales de nuestros clientes de la alta dirección, entre otros.

Es importante señalar que esta fórmula se puede mejorar con la construcción e inclusión de otras variables, tales como costos, tiempos de demora efectiva, etc. Igualmente, queda a criterio de cada unidad de auditoría proponer un peso distinto a cada factor incluido en la fórmula, sobre todo a la percepción del riesgo cuando se ha logrado un buen nivel de madurez de la gestión de riesgos.

Finalmente, para fortalecer la base teórica del tema, a continuación se sugiere algunas referencias:
·         Andrew Chambers (1992), “Effective internal audits”, England
·         Peter Jones (1999), “Statistical Sampling and Risk Analysis in Auditing”, England
·         Phil Griffiths (2005), “Risk - based auditing”, England
·         K.H. Spenser Pickett (2006), “Audit Planning: A risk – based approach”
·         David Griffiths,(2006), “Risk based internal auditing – Three views on implementation”

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

22 comentarios:

  1. Anónimo19 de junio de 2013, 11:25

    Me resultó de gran utilidad el ejemplo, no lo teníamos implementado y ahora con algunos ajustes lo podremos aplicar en la empresa donde estoy. Ahora, considero que una metodología como esta no debe integrarse al Manual de Auditoría Interna, unicamente dar referencia a su consulta y permanecer como un documento de descripción de la actividad, espero puedan darme sus comentarios al respecto.

    ResponderEliminar
  2. Anónimo19 de junio de 2013, 15:03

    Es interesante conocer que se atrevió a innovar. Me parece que los criterios generales pueden estar en el Manual de Auditoría, dejando los aspectos puntuales para una metodología interna de permanente actualización.

    Juan Villanueva

    ResponderEliminar
  3. Anónimo29 de junio de 2014, 5:35

    como sacan el puntaje de la formula en la construccion de las escalas,,, necesito saber de urgen

    ResponderEliminar
    Respuestas
    1. Juan Villanueva29 de junio de 2014, 23:08

      El puntaje es el resultados de los pesos que usted le asigna a la importancia de los factores que establece. Si copia tal como esta el ejemplo llegará a la respuesta de su duda.

      Eliminar
  4. Unknown24 de octubre de 2014, 16:31

    Excelente.

    ResponderEliminar
  5. Judith15 de diciembre de 2014, 9:19

    Hay dos errores: si en efectivo la última auditoría fue hace 21 meses, cae en el rango entre 19 y 24 cuya puntuación es 15, no 20. El otro error es que en la columna DC en lugar de usar la escala, uds pusieron la cantidad de debilidades de control. Favor rectificar si la del error soy yo.

    ResponderEliminar
    Respuestas
    1. Juan Villanueva15 de diciembre de 2014, 12:08

      Es usted una buena auditora, la felicito. En el primer caso de la escala de antiguedad corresponde 15, si fuera mayor que 24 sería 20. En el segundo caso, efectivamente por la premura de redacción se utilizó la cifra de catidad de debilidades y no las de la escala, pero al efectuar la corrección es minimo el cambio y no afecta el resultado final. Gracias y buena suerte

      Eliminar
  6. Anónimo4 de febrero de 2015, 12:06

    Excelente!!!!... me gusto el enfoque y la metodologia... sin duda es aplicable a cualquier tipo de empresa.

    ResponderEliminar
  7. RAMON15 de abril de 2015, 14:50

    Agradezco mucho el aporte, el cual sirvio para reafirmar el conocimiento al respecto. Saludos y bendiciones!

    ResponderEliminar
  8. Unknown2 de mayo de 2015, 22:38

    Buenas noches estimados, agradecería podrían apoyarme a ampliar un poco acerca de el diseño de un plan de auditoria interna considerando la tercera linea de defensa que permita a el auditor interno del sector cooperativo financiero no bancario la eficiente administración de riesgos de lavado de dinero y activos. De antemano muchas gracias :)

    ResponderEliminar
  9. Anónimo13 de enero de 2016, 12:40

    Excelente ejemplo, es muy claro y es viable aplicarlo, lo propondré en mi Unidad de Auditoría Interna. Existen otras modalidades para elaborar el plan en base a riesgo pero presentan muchas astralidades; esta forma es practica.

    Otros temas de interes pueden ser:
    Auditorías a las TIC.
    Auditorías a la Gestión Medioambiental.
    Prevención y detección de fraudes.

    Si se discute un tema que yo maneje no dudaré en dar mi aporte.

    Saludos y gracias por el aporte a la comunidad de auditores internos.

    ResponderEliminar
  10. Unknown23 de febrero de 2016, 8:25

    Hola en donde trabajo el departamento de auditoria interna esta conformado por una persona, la empresa es pequeña sin embargo existen otra filiales... Existe otra forma de diseñar el plan de auditoria, que no sea mediante una matriz de riesgo?... Puedo hacer la matriz de riesgo por procesos, en lugar de departamentos.

    ResponderEliminar
    Respuestas
    1. Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE23 de febrero de 2016, 12:05

      Hola, Gisella,
      Muchas gracias por leer los artículos de nuestro Blog, comenzaremos a responder su pregunta por el final, claro que puede desarrollar su matriz de riesgos en base a procesos en vez de departamento, esto es especialmente útil cuando nuestro universo de auditoría ha sido establecido en procesos y subprocesos y ya tenemos claramente documentados los procesos críticos. Parte número dos, existe otros métodos de evaluación de riesgos, los cuales puede encontrar en la Norma ISO 31010. Saludos,

      Eliminar
  11. Oscar11 de septiembre de 2017, 12:56

    vaya!! es el mismo que aparece en auditool... elaborado por otra persona a quien veo que no les dado las gracias o solicitado el permiso para utilziarlo.....

    ResponderEliminar
    Respuestas
    1. Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE11 de septiembre de 2017, 13:52

      No hay problema con el derecho de autor, es él mismo artículo, Auditool re-bloguea los post de este blog. El autor es Juan Alberto Villanueva.

      Saludos Oscar

      Eliminar
    2. Anónimo31 de octubre de 2018, 7:34

      Que buen artículo Nahum, quisiera publicar desde tu blog para que puedan leerlo mis contactos, pero por nada quisiera que eso te haga sentir “robado” por favor, coméntame qué tanta libertad hay de compartir tus post y artículos.

      Eliminar
    3. Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE20 de octubre de 2022, 5:26

      En el Blog tenemos como política no responder preguntas anónimas, si deseas una respuesta debe de registrarte y realizar tu pregunta nuevamente.

      Saludos,.

      Eliminar
  12. Anónimo11 de diciembre de 2017, 9:20

    Alguien me podría compartir un ejemplo de la matriz en excel

    ResponderEliminar
  13. Rubén Ulloa Rosas14 de abril de 2018, 16:18

    Excelente artículo no había tenido la oportunidad de leerlo antes.

    Gracias

    ResponderEliminar
  14. Arturo Rivera Reyes.15 de junio de 2021, 9:24

    Saludos, como siempre son de suma importancia todos los artículos de este blog.

    ResponderEliminar