Documento de consulta para una metodología de Auditoría Interna Basada en Riesgos

Juan Villanueva Chang

En el “Marco Internacional para la Práctica Profesional de la Auditoría Interna” del IIA, se señala a los “Documentos de Posicionamiento” como textos de consulta muy recomendados.

Los Documentos de Posicionamiento contribuyen con amplio alcance a las partes interesadas y los auditores a entender temas sobre gobierno, riesgos y control, incluso delimitar funciones de auditoría interna.

Los actuales documentos de posicionamiento divulgados en la web del IIA son:

• El papel de la auditoría interna en relación con la gestión integral de riesgos corporativos (Enero, 2009).
• Alternativas de obtención de recursos para la función de auditoría interna (Enero 2009)
• Las tres líneas de defensa de una efectiva gestión de riesgos y control (Enero 2013)

El primer documento fue emitido el 2004 por el Instituto de Auditores Internos del Reino Unido e Irlanda, cuya importante declaración permitió resolver el problema de conocer el alcance del auditor interno en la gestión del riesgo empresarial.

A propósito del tercer documento emitido este año, clarifica aún más el rol que deben cumplir todas las funciones creadas en una entidad en defensa de una efectiva gestión de riesgos. Compromete a la alta dirección a establecer y delimitar dichas funciones mediante tres líneas de defensa para el logro de dicho objetivo.

La primera línea precisa el rol que debe cumplir los gerentes operativos en la gestión de riesgos y control, quienes en realidad son los que poseen y administran los riesgos. La segunda línea a clarificar el rol de diversas unidades creadas para supervisar los riesgos, tales como las unidades de gestión de riesgos, cumplimiento, calidad, entre otros; y la tercera línea en las funciones que recae en  auditoría interna para garantizar en forma independiente su opinión sobre el cumplimiento del rol las anteriores líneas de defensa a la alta dirección.   

Estos documentos de posicionamiento fortalecen la necesidad de adoptar un cambio metodológico en las labores de auditoría interna. En la búsqueda de una guía que permita a los auditores desarrollar una metodología alineada a las actuales delimitaciones en la gestión de riesgos y control, resulta conviene resaltar el aporte del “Position Statement: Risk Based Internal Auditing (RBIA)” emitido por  el Instituto de Auditores Internos del Reino Unido e Irlanda el 2003.

El documento reconoce los malos entendidos para adoptar el cambio hacia una auditoría interna basada en riesgos y ofrece algunas orientaciones sobre cómo acercarse a él.  

Se precisa que el objetivo de una RBIA es ofrecer garantía independiente a la Junta que:

• Los procesos de gestión de riesgo que se ha puesto en práctica en la organización funcionan según lo previsto.
• Que el proceso de gestión de riesgos tiene responsables.
• Las respuestas para mitigar los riesgos son adecuados y eficaces.
• Que exista un buen marco de controles para mitigar los riesgos que la administración desea tratar.

El documento proporciona un esquema para adoptar un enfoque de auditoría interna basada en riesgos, señalando los puntos de atención que deben ser auditados en la gestión de riesgos.

Un aspecto a resaltar es la necesidad de lograr medir el grado de madurez de la gestión de riesgos en la organización por parte de los auditores, lo que requiere amplio entendimiento del funcionamiento de la organización y proporcionando un diagrama de niveles de madurez de la gestión de riesgos, resaltando el avance de tipo de enfoque de auditoría interna a desarrollar.

Se resalta que cada organización determina el nivel que desea lograr al implementar la gestión de riesgos. Este enfoque no excluye el uso de sistemas basados ​​en proceso automatizados de ciertas auditorías y permite enlazarse directamente con el marco de la gestión de riesgos y aprovechar sinergias.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!