Juan Villanueva Chang
De acuerdo a
recientes encuestas para adoptar el nuevo enfoque de auditoría interna basada
en riesgos, está más claro que el auditor debe utilizar preferentemente la
identificación y evaluación de riesgos realizada por la administración.
El surgimiento de
este cambio metodológico quizá se deba a lo que se señala en el segundo párrafo
de la definición de auditoría interna por el IIA: …..“Ayuda a una organización a cumplir sus objetivos aportando un
enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos, control y gobierno”.
De acuerdo a esta
definición la gestión de riesgos, control y gobierno son responsabilidad de la
organización, auditoría interna evalúa el cumplimiento de los objetivos,
políticas y procedimientos de la gestión de riesgos, control y gobierno.
¿Qué se entiende por
auditoría interna basada en riesgos?
En la literatura
sobre el tema no se encuentra una definición única de auditoría interna basada
en riesgos. El documento más antiguo que trata el tema se remonta al año 2003
en el Paper Position Statement Risk Based
Internal Auditing del Institute of Internal Auditors – UK and Ireland.
“El
Instituto define la Auditoría Interna Basada en Riesgos (RBIA) como una
metodología que une auditoría interna
con el marco general de la gestión de riesgo de una organización. RBIA permite a la auditoría interna ofrecer
garantías a la Junta de que los
procesos de gestión de riesgos son
efectivamente aplicados en relación con
el apetito al riesgo”.
Jackie Cain (2006) “Risk Based Internal Auditing: is there any other
option?” – Institute of Internal Auditors – UK and Ireland
Algunos otros investigadores formulan una definición muy
similar, probablemente como parte de experimentar cambios en sus metodologías
de trabajo para concordar con la actual definición de auditoría interna.
A continuación,
algunas otras definiciones:
“La auditoría interna basada en riesgos es una
metodología que permite asegurar que los riesgos están adecuadamente manejados
en una organización de acuerdo al apetito al riesgo definido por la entidad”.
David Griffiths, PhD,FCA
(2006) “Risk based internal auditing -
An introduction”
“El objetivo de la auditoría basada en riesgos ofrece
garantía de independencia a la dirección sobre la marcha de la gestión de
riesgos dentro de la organización, y cómo estos riesgos pueden afectar los
objetivos del negocio, permitiendo identificar estrategias para manejar y
reducirlos a un nivel aceptable de riesgos.”
Yung-Ming Shiu (2008) “Risk Based Internal Auditing in Taiwanese
Banking Industry”
“La auditoría basada en riesgos es un proceso, un
acercamiento, una metodología y una actitud en torno al tema.
La manera más simple de definir una auditoría basada
en riesgos consiste en revisar las cosas que realmente importan en su
organización.
Cuando se tiene identificado los riesgos ayuda mucho a realizar una auditoría basada
en riesgos, sino existe la oportunidad de contribuir con la gerencia en iniciar
la identificación de riesgos.
Otra manera de trabajar la auditoría basada en riesgos
es con la ayuda de la teoría de proceso. Las auditorías se iniciaban
tradicionalmente mirando los controles sin tener conocimiento de su vinculación
a los riesgos principales del negocio.”
Phil Griffiths (2009) “Risk Based Auditing”
Recogiendo estas definiciones se podría afirmar que la meta de una
metodología de auditoría interna basada en riesgos es confeccionar un programa
de auditoría que permita centralizar sus pruebas en los controles críticos. Las
formas y métodos para estructurar una metodología con este objetivo son muy
variadas, va a depender de múltiples aspectos tales como:
·
La capacidad de los auditores para identificar el
grado de madurez de la gestión de riesgos en la organización o en la materia
auditable.
·
La fluidez en el intercambio o acceso a la información
y documentación que sustenta la evaluación de riesgos por los dueños de los
procesos o Gerencia de Riesgos.
·
La habilidad de los auditores de poder identificar y
evaluar el nivel del riesgo inherente y residual, así como la identificación y
medición de los controles vigentes que permitan mitigar dichos riesgos.
·
La pericia de poder actuar los auditores como
facilitadores en la realización de talleres de autoevaluación de riesgos y
controles con los dueños de los procesos, con el fin de identificar los controles críticos vigentes.
·
La destreza para divulgar en los informes en un
lenguaje claro el resultado de la revisión sin incursionar en comentarios que
corresponden propiamente a los gestores de riesgos.
·
La experiencia que deben tener los auditores en el
dominio de la identificación de la normatividad interna de la gestión de
riesgos.
·
El empleo de una diversidad de herramientas analíticas
que permitan al auditor tener la seguridad del éxito en su trabajo.
·
Finalmente, el ingenio e iniciativa del auditor para
la mejora continua en sus metodologías de trabajo y el empleo de información
valiosa de sus papeles de trabajo de anteriores evaluaciones.
¿Te
ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!
No hay comentarios:
Publicar un comentario