Juan Villanueva Chang
Fuente: Chartered Institute of Internal Auditors
- 12/03/2014 (Traducción no oficial de Juan Villanueva Chang de un excelente aporte
para el desarrollo de enfoque moderno de auditoría interna basada en riesgos)
Generalidades
En los últimos años, la necesidad de gestionar los riesgos ha sido reconocida como una parte esencial de las buenas prácticas del gobierno corporativo. Esto ha puesto a las organizaciones bajo una creciente presión para identificar todos los riesgos de los negocios que se enfrentan y para explicar cómo manejarlos.
De hecho, las actividades involucradas en la gestión de
riesgos se han reconocido que juegan un papel central y esencial en el
mantenimiento de un sistema sólido de control interno.
Si bien la responsabilidad de identificar y gestionar los
riesgos pertenece a la administración, uno de los papeles clave de la auditoría
interna es proporcionar seguridad de que esos riesgos se han gestionado
correctamente.
Creemos que una actividad profesional de auditoría
interna puede alcanzar mejor su misión como una piedra angular de la gobernanza
mediante el enfoque de su trabajo en el contexto del propio marco de gestión de
riesgos de la organización.
¿Qué es la auditoría interna
basado en el riesgo?
Nuestra definición
El IIA define la auditoría interna basada en riesgos
(RBIA) como una metodología que une la auditoría interna con el marco de
gestión del riesgo global de una organización.
La RBIA permite a auditoría interna ofrecer aseguramiento
a la Junta que los procesos de gestión de riesgos se manejan de manera efectiva
en relación con el apetito al riesgo.
¿Esta la organización preparada?
Cada organización es diferente, con una actitud diferente
a los riesgos, es diferente en su estructura y procesos. Los auditores internos
experimentados necesitan adaptar estas ideas a la estructura y los procesos de
su organización con el fin de poner en práctica el enfoque del RBIA.
La RBIA busca en cada etapa reforzar las
responsabilidades de la dirección y el Consejo de la administración del riesgo.
Si el marco de la gestión del riesgo no es muy fuerte o
no existe, la organización no está preparada para RBIA. Más importante aún,
significa que el sistema de control interno de la organización es pobre. Los
auditores internos en una organización deben promover las buenas prácticas de
gestión de riesgos para mejorar el sistema de control interno.
Dónde el RBIA es nuevo para una organización, el jefe de
auditoría interna tendrá que interiorizarse en el concepto de gestión de
riesgos y ganar su apoyo, en particular, esto puede significar un cambio para
ellos en la forma en que piensan acerca de los riesgos.
El RBIA está en la vanguardia de la práctica de la
auditoría interna. Como resultado, es un área que está evolucionando
rápidamente y donde todavía hay poco consenso sobre la mejor manera de ponerlo
en práctica.
Es más difícil de manejar que las metodologías tradicionales. El seguimiento de los progresos va en contra de un plan anual que está en constante cambio es un reto. El establecimiento de objetivos y evaluación del personal puede llegar a ser más complejo.
Ventajas
Las ventajas de RBIA son mucho mayores. Siguiendo el RBIA
de auditoría interna debe estar en condiciones de concluir que:
1. La administración ha identificado, evaluado y
respondido a los riesgos de arriba y hacia abajo de la propensión frente al
riesgo.
2. Las respuestas a los riesgos son eficaces, pero no excesiva en la gestión de los riesgos inherentes en el apetito por el riesgo.
3. Cuando los riesgos residuales no están en línea con el apetito por el riesgo, se están tomando medidas para remediar esa situación.
4. Los procesos de gestión de riesgos, incluida la eficacia de las respuestas y la finalización de las acciones están siendo monitoreados por la administración para asegurarse de que siguen funcionando con eficacia.
5. Los riesgos, las respuestas y las acciones están siendo debidamente clasificados y reportados.
2. Las respuestas a los riesgos son eficaces, pero no excesiva en la gestión de los riesgos inherentes en el apetito por el riesgo.
3. Cuando los riesgos residuales no están en línea con el apetito por el riesgo, se están tomando medidas para remediar esa situación.
4. Los procesos de gestión de riesgos, incluida la eficacia de las respuestas y la finalización de las acciones están siendo monitoreados por la administración para asegurarse de que siguen funcionando con eficacia.
5. Los riesgos, las respuestas y las acciones están siendo debidamente clasificados y reportados.
Esto permite a la auditoría interna proporcionar un
tablero de mando con la seguridad de que lo que se necesita en tres áreas:
1. Los procesos de gestión de riesgos como su diseño
están funcionando.
2. La gestión de riesgos clasificados como "clave", incluida la eficacia de los controles dan respuesta a ellos.
3. La presentación y clasificación de riesgos es completa, precisa y adecuada
2. La gestión de riesgos clasificados como "clave", incluida la eficacia de los controles dan respuesta a ellos.
3. La presentación y clasificación de riesgos es completa, precisa y adecuada
Implementación de RBIA
La aplicación y el funcionamiento continuo de RBIA tienen
tres etapas y hemos producido una guía detallada sobre cada uno de ellos:
Etapa 1: Evaluación
de la madurez de riesgo
Obtener una visión general del grado en que el directorio
y la gerencia determinan, evalúan, gestionan y controlan los riesgos. Esto
proporciona un indicador de la fiabilidad del registro de riesgos a efectos de realizar
la planificación de auditoría.
Etapa 2: Planificación
periódica de la auditoría
La identificación de la seguridad y consultoría asignados
por un período determinado, generalmente anual, mediante la identificación y
priorización de todas las esferas en que la Junta requiere ser objetiva en el
aseguramiento, incluyendo los procesos de gestión de riesgos, la gestión de los
principales riesgos, y el registro y notificación de los riesgos.
Etapa 3: Tareas individuales
de auditoría
Llevar a cabo las tareas de evaluación de riesgo basados en
forma individual para proporcionar un aseguramiento por parte del marco de
gestión de riesgos, en particular sobre la mitigación de los individuos o
grupos de riesgos.
¿Te ha gustado el post? ¡Compártelo con otro
auditor interno!
No hay comentarios:
Publicar un comentario