lunes, 16 de septiembre de 2013

El análisis Bow – Tie en el Trabajo de Auditoría

Juan Villanueva Chang

En la actualidad todos coincidimos que el cambio en auditoría interna está en la adopción de un enfoque basado en riesgos, y que éste se materializa en una metodología práctica que se diseña y evoluciona de acuerdo al nivel de madurez de la gestión de riesgos en la organización.

En las etapas iniciales, el auditor comienza a utilizar una diversidad de técnicas de análisis: lluvia de ideas, causa – efecto, Delphi, Pareto, taller de CSA o RCSA, entre otros. Pero es casi común advertir que al momento de decidir sobre cuáles serán los controles críticos para el desarrollo de las pruebas de auditoría, hace falta de una herramienta que respalde la decisión del auditor para señalarlos. Esta incertidumbre suele ser producto del incipiente resultado logrado en la identificación y evaluación de riesgos por parte de los dueños de los procesos (sobre todo en los grados iniciales de madurez de riesgos). Otro fundamental es a la falta de un instrumento que permita obtener una visión integral de la información recogidas hasta el momento de diversas fuentes y técnicas de análisis.

Para decidir con seriedad la selección de aquellos controles críticos que serán empleados para el desarrollo de las pruebas de auditoría, el auditor se puede apoyar en la técnica de análisis Bow – Tie. Esta es una de las diversas técnicas de evaluación de riesgos clasificadas para evaluar controles según el ISO 31030 y que perfectamente puede cubrir este vacío.

Esta técnica es una manera esquemática de poder describir las rutas de un evento de riesgos desde las causas hasta las consecuencias. Se obtiene de una sesión por consenso entre los auditores para alimentar con el inventario de causas y consecuencias obtenidas de otras fuentes de análisis e incluso fortalecerlo con la experiencia del auditor de revisiones pasadas.

Su diseño se suele apoyar de una matriz de datos que permitan construir el diagrama. Su desarrollo sólo se da en una etapa en que el equipo de auditores tiene ya pleno conocimiento de las causas y consecuencias de un evento de riesgo. En simultáneo es preciso graficar en forma vertical las barreas o controles existentes y los controles mitigantes para evitar la materialización de los riesgos.

En el diseño del gráfico se identifica primero el evento de riesgos a analizar que se ubica al centro del diagrama, también conocido como “corbata michi”. Al listar cada causa se debe determinar las consecuencias al otro extremo y al mismo tiempo irradiar los controles existentes.

El análisis es simple  e integral y ayuda a integrar la información recogida, incluso agregando la percepción de los auditores no detectada de otras fuentes de análisis y permitiendo centrar su atención en los verdaderos controles críticos.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

4 comentarios:

  1. Buenos días Don Juan, como siempre sus publicaciones son cosas interesantes para leer y aplicar y para no perder el objetivo del POST quisiera que preguntar: Si un RIESGO como entidad propia no tiene identificado las causas y sus consecuencias, o éstas no han sido actualizadas... ¿corresponde a los auditores actualizar las causas y las consecuencias en el momento del examen así como los controles?, ¿la matriz de datos a la que se refiere el POST es la Matriz de Riesgos identificados, o es una matriz interna de auditoria interna?

    Agradeciendo de antemano la deferencia prestada.

    Atte.
    Alejandro

    ResponderEliminar
    Respuestas
    1. Juan Villanueva Chang16 de septiembre de 2013, 18:28

      Hola Alejandro, efectivamente tu pregunta corresponde a un nivel de madurez de riesgos intermedio en una organización, es decir los dueños del proceso no han podido describir al 100% los eventos de riesgo, sus causas y consecuencias. Pues precisamente el análisis Bow - Tie permite que el auditor mejore este vacío. El auditor, a falta de una precisión en la identificación de causa - evento - consecuencia por los dueños del proceso, puede mejorar su análisis con esta herramienta ya que tiene experiencia en controles de evaluaciones anteriores. Habría que tener en cuenta que esta directamente orientada a identificar controles críticos, no a sustituir las funciones del área de gestión de riesgos.

      Eliminar
  2. Una pregunta relacionada con el riesgo inherente y riesgo residual. Cuando revisamos la consecuencia de la ocurrencia de un evento, y la ubicamos dentro de la matriz de riesgos en los cuatro ambientes (gente, equipos, medio ambiente y reputación), la ubicación inicial dentro de la matriz es teniendo en cuenta los controles existentes o no. La coordenada de ubicación en la matriz mide la probabilidad y la severidad únicamente o la ubica dentro dentro de la matriz teniendo en cuenta lo que ya existe?

    ResponderEliminar
  3. Rene, primero si eres auditor no te corresponde efectuar la diagramación de los riesgos, eso lo hace el dueño del proceso. Si te corresponde analizar los mapas de riesgos según la metodología vigente. Ahora bien, tal como se haya determinado la metodología por lo general se identifica escalas para medir el riesgo inherente y residual. Recuerda que el máximo impacto o consecuencia sin ninguna medida de control es el riesgo inherente. Si a este valor le restamos el impacto que cubren los controles vigentes se llama riesgo residual. Debemos esperara que la administración proponga el tratamiento a ese riesgo residual.

    ResponderEliminar