lunes, 18 de febrero de 2013

Reflexiones sobre auditoría interna basada en riesgos

Juan Villanueva Chang
De acuerdo a recientes encuestas para adoptar el nuevo enfoque de auditoría interna basada en riesgos, está más claro que el auditor debe utilizar preferentemente la identificación y evaluación de riesgos realizada por la administración.

El surgimiento de este cambio metodológico quizá se deba a lo que se señala en el segundo párrafo de la definición de auditoría interna por el IIA: …..“Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”.

De acuerdo a esta definición la gestión de riesgos, control y gobierno son responsabilidad de la organización, auditoría interna evalúa el cumplimiento de los objetivos, políticas y procedimientos de la gestión de riesgos, control y gobierno.

¿Qué se entiende por auditoría interna basada en riesgos?

En la literatura sobre el tema no se encuentra una definición única de auditoría interna basada en riesgos. El documento más antiguo que trata el tema se remonta al año 2003 en el Paper Position Statement Risk Based Internal Auditing del Institute of Internal Auditors – UK and Ireland.

“El Instituto define la Auditoría Interna Basada en Riesgos (RBIA) como una metodología que une auditoría interna con el marco general de la gestión de riesgo de una organización. RBIA permite a la auditoría interna ofrecer garantías a la Junta de que los procesos de gestión de riesgos son efectivamente aplicados en relación con el apetito al riesgo”.

Jackie Cain (2006) “Risk Based Internal Auditing: is there any other option?” – Institute of Internal Auditors – UK and Ireland

 Algunos otros investigadores formulan una definición muy similar, probablemente como parte de experimentar cambios en sus metodologías de trabajo para concordar con la actual definición de auditoría interna.

A continuación, algunas otras definiciones:

“La auditoría interna basada en riesgos es una metodología que permite asegurar que los riesgos están adecuadamente manejados en una organización de acuerdo al apetito al riesgo definido por la entidad”.

David Griffiths, PhD,FCA (2006)  “Risk based internal auditing - An introduction”

“El objetivo de la auditoría basada en riesgos ofrece garantía de independencia a la dirección sobre la marcha de la gestión de riesgos dentro de la organización, y cómo estos riesgos pueden afectar los objetivos del negocio, permitiendo identificar estrategias para manejar y reducirlos a un nivel aceptable de riesgos.”

Yung-Ming Shiu (2008)  “Risk Based Internal Auditing in Taiwanese Banking Industry”
  
“La auditoría basada en riesgos es un proceso, un acercamiento, una metodología y una actitud en torno al tema.

La manera más simple de definir una auditoría basada en riesgos consiste en revisar las cosas que realmente importan en su organización.

Cuando se tiene identificado los riesgos  ayuda mucho a realizar una auditoría basada en riesgos, sino existe la oportunidad de contribuir con la gerencia en iniciar la identificación de riesgos.

Otra manera de trabajar la auditoría basada en riesgos es con la ayuda de la teoría de proceso. Las auditorías se iniciaban tradicionalmente mirando los controles sin tener conocimiento de su vinculación a los riesgos principales del negocio.”                                                                                      

Phil Griffiths (2009)  “Risk Based Auditing”

Recogiendo estas definiciones se podría afirmar que la meta de una metodología de auditoría interna basada en riesgos es confeccionar un programa de auditoría que permita centralizar sus pruebas en los controles críticos. Las formas y métodos para estructurar una metodología con este objetivo son muy variadas, va a depender de múltiples aspectos tales como:

·         La capacidad de los auditores para identificar el grado de madurez de la gestión de riesgos en la organización o en la materia auditable.
·         La fluidez en el intercambio o acceso a la información y documentación que sustenta la evaluación de riesgos por los dueños de los procesos o Gerencia de Riesgos.
·         La habilidad de los auditores de poder identificar y evaluar el nivel del riesgo inherente y residual, así como la identificación y medición de los controles vigentes que permitan mitigar dichos riesgos.
·         La pericia de poder actuar los auditores como facilitadores en la realización de talleres de autoevaluación de riesgos y controles con los dueños de los procesos, con el fin de  identificar los controles críticos vigentes.
·         La destreza para divulgar en los informes en un lenguaje claro el resultado de la revisión sin incursionar en comentarios que corresponden propiamente a los gestores de riesgos.
·         La experiencia que deben tener los auditores en el dominio de la identificación de la normatividad interna de la gestión de riesgos.
·         El empleo de una diversidad de herramientas analíticas que permitan al auditor tener la seguridad del éxito en su trabajo.
·         Finalmente, el ingenio e iniciativa del auditor para la mejora continua en sus metodologías de trabajo y el empleo de información valiosa de sus papeles de trabajo de anteriores evaluaciones.     

¿Te ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!

No hay comentarios:

Publicar un comentario