Auditoría Interna 101 – Planificación Auditoría

Ronny Castillo nos pidió que publiquemos artículos sobre la planificación por lo que durante el lunes y miércoles presentaremos dos temas básicos sobre la planificación de auditoría interna, pero que consideramos son esenciales para realizar un trabajo efectivo.

Las Normas de auditoría interna requieren que la actividad de auditoría interna se centre en áreas de alto riesgo, incluyendo los riesgos residuales e inherentes.

Plan Anual

Como consecuencia de llevar a cabo un proceso de planificación de auditoría anual, el auditor interno debe identificar diferentes tipos de actividades que serán incluidas en el plan de la actividad de auditoría interna. Entre otras:

·    Actividades de análisis/aseguramiento de control: el auditor interno analiza la adecuación y eficacia de los sistemas de control y ofrece la seguridad de que los controles funcionan y los riesgos son gestionados de manera efectiva.

·    Actividades de investigación: la gestión organizacional tiene un nivel inaceptable de incertidumbre sobre los controles relacionados con la actividad del negocio o área de riesgo identificada, y el auditor interno lleva a cabo procedimientos para obtener un mejor entendimiento de los riesgos residuales.

·    Actividades de consulta: el auditor interno aconseja la gestión organizacional en el desarrollo de sistemas de control para mitigar riesgos actuales inaceptables. Los auditores internos también tratan de identificar controles innecesarios, redundantes, excesivos o complejos que reducen el riesgo de manera ineficiente. En estos casos, el coste del control puede llegar a ser mayor que el beneficio obtenido y, por lo tanto, hay una oportunidad para que el diseño del control gane eficiencia.

En el plan anual de actividad de auditoría interna debe incluirse periódicamente una selección auditorías de sucursales o unidades de negocio con bajo nivel de riesgo para ofrecerles cobertura y confirmar que sus riesgos no han cambiado. Además, la actividad de auditoria interna establece un método para priorizar los riesgos que están por resolver y que aún no están sujetos a una auditoría interna.

Un plan anual de actividad de auditoría interna, se centra en:

1. Riesgos existentes inaceptables para los que se requiere intervención de la dirección. Se trataría de áreas con controles clave o factores de mitigación mínimos que la alta dirección desea auditar de inmediato.

2. Sistemas de control de los que depende la organización.

3. Áreas con una gran diferencia entre riesgo inherente y riesgo residual.

4. Áreas con un riesgo inherente muy alto.

Plan Auditoría Individual

A la hora de planificar auditorías internas individuales, el auditor interno identifica y evalúa los riesgos relevantes en el área objeto de análisis. Para esto debemos de cumplir con la Norma 2200 – Planificación del trabajo, la cual establece: Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignación de recursos.

El auditor interno planifica y lleva a cabo el trabajo, con la revisión y aprobación de un supervisor. Antes de comenzar el trabajo, el auditor interno prepara un programa de trabajo que:

·    Establece los objetivos del trabajo.

·    Identifica los requisitos técnicos, objetivo, riesgos, procesos y transacciones que deben examinarse.

·    Establecer la naturaleza y extensión de las pruebas requeridas.

·    Documenta los procedimientos del auditor interno para obtener, analizar, interpretar y documentar la información durante el trabajo.

·    Se modifica, cuando sea preciso, durante el transcurso del trabajo, con la aprobación del director ejecutivo de auditoría (DEA) o quien éste designe.

El DEA debe exigir un nivel de formalidad y documentación (por ejemplo, de los resultados de la planificación de reuniones, procedimientos de evaluación de riesgos, nivel de detalle en el programa de trabajo, etc.) que sea apropiado a la organización.

Los factores a tener en cuenta serían:

·    Si el trabajo desempeñado y los resultados del trabajo serán utilizados por otros (por ejemplo, auditores externos, organismos reguladores o la dirección).

·    Si el trabajo se refiere a asuntos que puedan estar implicados en juicios posibles o reales.

·    El nivel de experiencia del personal de auditoría interna y el nivel de supervisión directa requerida.

·    Si el proyecto se llevará a cabo con personal internacional, con auditores invitados o con proveedores externos de servicios.

·    La complejidad y alcance del proyecto.

·    El tamaño de la actividad de auditoría interna.

·    El valor de la documentación (por ejemplo, si será utilizada en años posteriores).

El auditor interno determina los demás requisitos del trabajo, tales como el período que cubrirá y las fechas estimadas de realización. El auditor interno también tiene en cuenta el formato de la comunicación final del trabajo. La planificación en esta etapa facilita el proceso de comunicación que tiene lugar al finalizar el trabajo.

El auditor interno debe informar a aquellos miembros de la dirección que tienen que conocer la realización del trabajo, realiza reuniones con la gerencia responsable de la actividad a revisar, resume y distribuye los debates y cualquier conclusión alcanzada en las reuniones, y retiene la documentación dentro de sus papeles de trabajo. Los temas a debatir pueden ser:

·    Los objetivos y alcance del trabajo planificados.

·    Los recursos y tiempos de realización del trabajo.

·    Los factores clave que afectan a las condiciones del negocio y las operaciones de las áreas bajo revisión, incluyendo los cambios recientes en los ambientes internos y externos.

·    Las preocupaciones o solicitudes de la dirección.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!