lunes, 1 de abril de 2013

Auditoría Interna Para No Auditores - Evaluación Riesgos Nivel Proceso

¿Cómo realizo una evaluación de riesgos para identificar las áreas de alto riesgos del proceso bajo revisión?

El punto inicial de la evaluación de riesgos a nivel de proceso es identificar los riesgos que pueden afectar la habilidad de alcanzar los objetivos. Para nuestro ejemplo este paso estará alineado con el componente del cubo COSO ERM de Identificación de Eventos y puede ser realizado a través de formular la siguiente pregunta:

¿Qué puede ocurrir que nos impida alcanzar el logro de cada uno de los objetivos a nivel de proceso?

El enfoque para responder a esta interrogante generalmente incluye los siguientes pasos:

1.    Selección de un objetivos a nivel de proceso (este ejercicio se hace mejor seleccionando un objetivo a la vez).

2.     Identificación de barreras (evento, escenarios, asuntos o circunstancias) que puede causar que el objetivo fracase. Ejemplos:

a.    Eventos externos para los cuales la compañía no estaba preparada o no reaccionó rápida o apropiadamente.
b.    Procedimientos o metas inapropiadamente diseñadas o pobremente documentadas.
c.    Fallas en procedimientos o tareas.
d.    Falta de personal correcto, con destreza adecuada y asignados de forma correcta.
e.    Actividades inadecuadas de supervisión y monitoreo.
f.     Comunicación inefectiva entre las áreas interrelacionadas.
g.    Empleado que de forma intencional violan políticas o actúan de forma no ética.
h.    Sistemas diseñados inadecuadamente.
i.      Información para la toma de decisiones inexacta, incompleta e inoportuna.
j.      Falta o inadecuadas medidas de desempeño. 

3.     Combinar barreras similares dentro de grupos que puedan reflejar un riesgo.

4.     Definir cada grupo o detallar barreras o riesgos individuales.

5.     Enlace lo riesgos con los objetivos asegurarse que el impacto del mismo con las metas de la organización.

6.     Valide los riesgos identificados con la gerencia a nivel de proceso, para asegurar que:
a.    La definición hace sentido.
b.    Todos los riesgos que podrían combinarse se lograron unir.
c.    La lista está completa.

Consejo final no realice la evaluación solo el sexto paso es fundamental, comparta la información resultante con el personal clave del área bajo revisión. Un aspecto importante es que después de que auditoría interna completa el ejercicio de identificación de los riesgos debe integrar a la gerencia del área en el proceso. Su opinión  respecto a los riesgos críticos, esto lo podemos hacer a través de: Una sesión formal de discusión de grupo o brainstorn; segundo un cuestionario a personal clave del proceso puede ayudar a la identificación eventos, escenarios, asuntos o circunstancia que podrían originar que un objetivo falle; y tercero presentar una lista o detalle para compartirla con la gerencia en busca de acuerdo.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

3 comentarios:

  1. Buena guia. Una pregunta, existen guias o buenas practicas sobre como llevar la Auditoria Interna en Hospitales.

    ResponderEliminar
    Respuestas
    1. Gracias Antonio por dejarmos saber tu opinión sobre este artículo. Respecto a tu pregunta no tengo información sobre la exisencia de guías o mejores prácticas para el sector de Hospitales. Este es un tipo de industria complejo y muy espcializado, por lo que yo en tu caso comenzaría buscando información sobre el manejo operativo de este tipo de organizaciones.

      Eliminar
  2. Una buena guía para iniciar con la identificación de riesgos.
    Un paso importante en el proceso de identificación de riesgos, es identificar a los dueños de los procesos, independientemente de que en ellos participen más de 2 departamentos y direcciones diferentes, cada proceso debe tener un dueño, esa es la persona que nos brindará más apoyo en la identificación de riesgos.

    ResponderEliminar