El punto inicial de la evaluación de
riesgos a nivel de proceso es identificar los riesgos que pueden afectar la
habilidad de alcanzar los objetivos. Para nuestro ejemplo este paso estará
alineado con el componente del cubo COSO ERM de Identificación de Eventos
y puede ser realizado a través de formular la siguiente pregunta:
¿Qué puede ocurrir que nos impida
alcanzar el logro de cada uno de los objetivos a nivel de proceso?
El enfoque para responder a esta
interrogante generalmente incluye los siguientes pasos:
1. Selección
de un objetivos a nivel de proceso (este ejercicio se hace mejor seleccionando
un objetivo a la vez).
2. Identificación
de barreras (evento, escenarios, asuntos o circunstancias) que puede causar que
el objetivo fracase. Ejemplos:
a. Eventos
externos para los cuales la compañía no estaba preparada o no reaccionó rápida
o apropiadamente.
b. Procedimientos
o metas inapropiadamente diseñadas o pobremente documentadas.
c. Fallas
en procedimientos o tareas.
d. Falta
de personal correcto, con destreza adecuada y asignados de forma correcta.
e. Actividades
inadecuadas de supervisión y monitoreo.
f. Comunicación
inefectiva entre las áreas interrelacionadas.
g. Empleado
que de forma intencional violan políticas o actúan de forma no ética.
h. Sistemas
diseñados inadecuadamente.
i. Información
para la toma de decisiones inexacta, incompleta e inoportuna.
j. Falta
o inadecuadas medidas de desempeño.
3. Combinar
barreras similares dentro de grupos que puedan reflejar un riesgo.
4. Definir
cada grupo o detallar barreras o riesgos individuales.
5. Enlace
lo riesgos con los objetivos asegurarse que el impacto del mismo con las metas
de la organización.
6. Valide
los riesgos identificados con la gerencia a nivel de proceso, para asegurar
que:
a. La
definición hace sentido.
b. Todos
los riesgos que podrían combinarse se lograron unir.
c. La
lista está completa.
Consejo final no realice la evaluación
solo el sexto paso es fundamental, comparta la información resultante con el
personal clave del área bajo revisión. Un aspecto importante es que después de
que auditoría interna completa el ejercicio de identificación de los riesgos
debe integrar a la gerencia del área en el proceso. Su opinión respecto a los riesgos críticos, esto lo
podemos hacer a través de: Una sesión formal de discusión de grupo o brainstorn;
segundo un cuestionario a personal clave del proceso puede ayudar a la
identificación eventos, escenarios, asuntos o circunstancia que podrían
originar que un objetivo falle; y tercero presentar una lista o detalle para
compartirla con la gerencia en busca de acuerdo.
¿Te ha gustado el post? ¡Compártelo con otro auditor
interno!
Buena guia. Una pregunta, existen guias o buenas practicas sobre como llevar la Auditoria Interna en Hospitales.
ResponderEliminarGracias Antonio por dejarmos saber tu opinión sobre este artículo. Respecto a tu pregunta no tengo información sobre la exisencia de guías o mejores prácticas para el sector de Hospitales. Este es un tipo de industria complejo y muy espcializado, por lo que yo en tu caso comenzaría buscando información sobre el manejo operativo de este tipo de organizaciones.
EliminarUna buena guía para iniciar con la identificación de riesgos.
ResponderEliminarUn paso importante en el proceso de identificación de riesgos, es identificar a los dueños de los procesos, independientemente de que en ellos participen más de 2 departamentos y direcciones diferentes, cada proceso debe tener un dueño, esa es la persona que nos brindará más apoyo en la identificación de riesgos.