Jesús
Aisa Díez
Después de unas pequeñas vacaciones de verano, y
de atender algunos compromisos, vuelvo a retomar la atención del blog, que
espero poder mantener de forma continuada.
Para comenzar esta nueva etapa, quisiera
comentar un aspecto que creo
significativo, cual es la determinación del Plan de Auditoría en base a riesgos,
y la coherencia de nuestras decisiones con respecto de la información contenida
en los mapas de riesgos institucionales derivados del Sistema de Gestión de
Riesgos (SGR) de la organización en la que desarrollemos nuestro trabajo.
Si repasamos las Normas del IIA, nos encontramos
con que, la 2010, nos indica que: El director de auditoría interna debe
establecer un plan basado en riesgos, a fin de determinar las prioridades de la
actividad de auditoría interna. Dichos planes deberán ser consistentes con las
metas de la organización. Incorporando como interpretación de este
requerimiento que: Para actuar según lo expresado, el director de auditoría
interna debe tener en cuenta el enfoque de gestión de riesgos de la
organización, incluyendo los niveles de aceptación de riesgos establecidos por
la dirección para las diferentes actividades o partes de la entidad.
De donde se deduce que Auditoría Interna debe
tener una interacción directa y continua con el área de Gestión de Riesgos, que
siendo el responsable de desarrollar el SGR, le corresponde elaborar el mapa de
riesgos residuales que se adecue a los niveles apreciados respecto de las
amenazas que incidan sobre los objetivos estratégicos y operativos de la
empresa.
En estos mapas de riesgos aparecerán
representados dichas amenazas, de acuerdo a la valoración de sus dos atributos
básicos, impacto y probabilidad, que es la información que debe servir de base
de trabajo de auditoría interna a la hora de definir sus próximas actuaciones.
Hasta aquí creo que todos estamos de acuerdo,
pero la cuestión básica es, cómo aplicamos esta información. Me explico.
Supongamos que en el mapa de riesgos aparecen
algunos de ellos situados en el cuadrante superior derecho, es decir los que se
situarían en la zona roja de la figura.
Es evidente que esos riesgos no están bien
controlados, por lo que los procesos en los que estos se manifiesten podrían
ser candidatos a ser incluidos en el Plan de Auditoría. Pero, permítaseme
plantear una duda, de forma directa o después de alguna actuación previa por
parte de los responsables de dichos procesos.
En mi opinión, esos procesos en forma directa no
deben ser incorporados al Plan de Auditoría, ya que, si la organización ha
determinado que esos riesgos están mal gestionados, lo lógico y procedente es
que el Gestor de Riesgos se dirija a los propietarios de los procesos afectados
por dichos riesgos, solicitándoles confeccionen e implementen un plan de acción
con el que reconducir la situación de esas amenazas, hacia el entorno del apetito
al riesgo que se haya considerado viable con la consecución de los
objetivos empresariales. Planes de acción que sí deben ser conocidos por
Auditoría Interna a fin de evaluar la adecuada suficiencia de las medidas
implementadas. Siendo, a partir de ese
momento cuando, en mi criterio, deberíamos considerar la conveniencia de
supervisar dichos procesos, verificando la eficiencia y eficacia de los
controles recientemente implementados, reevaluando la importancia del riesgo.
Incluir esos procesos en el Plan de Auditoría
sin haberse realizado el plan de acción antes comentado, no aportará nada, ya
que único que podremos verificar es que la situación es crítica y que urge
actuar. Bueno, pero eso ya lo sabíamos según el dictamen del propio SGR
desarrollado por la organización.
Sin embargo, y en sentido contrario, Auditoría
Interna sí debería preocuparse de los procesos relevantes de la entidad en los
que existan riesgos estimados como medios o bajos, ya que, una mala evaluación
de los mismos pondría en cuestión los objetivos, ya que, la posible materialización
de esas amenazas tendría unas repercusiones mayores que las previstas. Por lo
que se hace recomendable que en el Plan de Auditoría Interna se incluyan dichos
procesos como entes auditables, supervisando la bondad de la evaluación de los
riesgos. Pues no debemos olvidar que somos la tercera línea de defensa.
Creo que si se actúa de la forma que hemos
descrito estaremos aportando verdadero valor a las entidades en las que actuemos,
por lo que ánimo a que se valore la oportunidad de trabajar en línea con estos
planteamientos, siempre que se esté de acuerdo con ellos.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos
de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
Excelente Artículo, y al leerlo me surgieron muchas inquietudes, por ejemplo, cree usted que es posible que en una institución se pueda desarrollar un Plan de Auditoria Basado en riesgo sin que se cuente con un Mapa de Riesgo, y si a esto le sumamos que el Área de Riesgo asuma una ceguera voluntaria respecto al incumplimiento de los controles internos y que no exista esa interacción directa y continua entre el área de Riesgo y la Unidad de Auditoría Interna; como enfrentar este panorama???
ResponderEliminarEstimado lector, no sería posible establecer un Plan de Auditoría en base a Riesgos sin la existencia del mapa de riesgos, es condición sine qua non, otra cuestión diferente sería auditar
ResponderEliminarprocesos en base a riesgos, que no requiere de la existencia del mapa.
Respecto a como enfrentar la falta de interacción entre Gestión de Riesgos Y Auditoría, solo se me ocurre que acudiendo al Comité de Auditoría para que resuelva
En lo personal, diferiría un poco respecto a no incluir en el Plan de Auditoría los procesos con riesgos mal gestionados, ya que dichos procesos implicarían un foco rojo respecto a posibles fraudes, altas pérdidas, etc.
ResponderEliminarYo sí lo incluiría en el plan de auditoria.
Saludos.