Auditoría Interna Basada en Riesgos (RBIA)

Juan Villanueva Chang

Fuente: Chartered Institute of Internal Auditors - 12/03/2014 (Traducción no oficial de Juan Villanueva Chang de un excelente aporte para el desarrollo de enfoque moderno de auditoría interna basada en riesgos)

Generalidades

En los últimos años, la necesidad de gestionar los riesgos ha sido reconocida como una parte esencial de las buenas prácticas del gobierno corporativo. Esto ha puesto a las organizaciones bajo una creciente presión para identificar todos los riesgos de los negocios que se enfrentan y para explicar cómo manejarlos.

De hecho, las actividades involucradas en la gestión de riesgos se han reconocido que juegan un papel central y esencial en el mantenimiento de un sistema sólido de control interno.

Si bien la responsabilidad de identificar y gestionar los riesgos pertenece a la administración, uno de los papeles clave de la auditoría interna es proporcionar seguridad de que esos riesgos se han gestionado correctamente.

Creemos que una actividad profesional de auditoría interna puede alcanzar mejor su misión como una piedra angular de la gobernanza mediante el enfoque de su trabajo en el contexto del propio marco de gestión de riesgos de la organización.

¿Qué es la auditoría interna basado en el riesgo?

Nuestra definición

El IIA define la auditoría interna basada en riesgos (RBIA) como una metodología que une la auditoría interna con el marco de gestión del riesgo global de una organización.

La RBIA permite a auditoría interna ofrecer aseguramiento a la Junta que los procesos de gestión de riesgos se manejan de manera efectiva en relación con el apetito al riesgo.

¿Esta la organización preparada?

Cada organización es diferente, con una actitud diferente a los riesgos, es diferente en su estructura y procesos. Los auditores internos experimentados necesitan adaptar estas ideas a la estructura y los procesos de su organización con el fin de poner en práctica el enfoque del RBIA.

La RBIA busca en cada etapa reforzar las responsabilidades de la dirección y el Consejo de la administración del riesgo.

Si el marco de la gestión del riesgo no es muy fuerte o no existe, la organización no está preparada para RBIA. Más importante aún, significa que el sistema de control interno de la organización es pobre. Los auditores internos en una organización deben promover las buenas prácticas de gestión de riesgos para mejorar el sistema de control interno.

Dónde el RBIA es nuevo para una organización, el jefe de auditoría interna tendrá que interiorizarse en el concepto de gestión de riesgos y ganar su apoyo, en particular, esto puede significar un cambio para ellos en la forma en que piensan acerca de los riesgos.

Un proceso dinámico

El RBIA está en la vanguardia de la práctica de la auditoría interna. Como resultado, es un área que está evolucionando rápidamente y donde todavía hay poco consenso sobre la mejor manera de ponerlo en práctica.

Es más difícil de manejar que las metodologías tradicionales. El seguimiento de los progresos va en contra de un plan anual que está en constante cambio es un reto. El establecimiento de objetivos y evaluación del personal puede llegar a ser más complejo.

Ventajas

Las ventajas de RBIA son mucho mayores. Siguiendo el RBIA de auditoría interna debe estar en condiciones de concluir que:

1. La administración ha identificado, evaluado y respondido a los riesgos de arriba y hacia abajo de la propensión frente al riesgo.
2. Las respuestas a los riesgos son eficaces, pero no excesiva en la gestión de los riesgos inherentes en el apetito por el riesgo.
3. Cuando los riesgos residuales no están en línea con el apetito por el riesgo, se están tomando medidas para remediar esa situación.
4. Los procesos de gestión de riesgos, incluida la eficacia de las respuestas y la finalización de las acciones están siendo monitoreados por la administración para asegurarse de que siguen funcionando con eficacia.
5. Los riesgos, las respuestas y las acciones están siendo debidamente clasificados y reportados.

Esto permite a la auditoría interna proporcionar un tablero de mando con la seguridad de que lo que se necesita en tres áreas:

1. Los procesos de gestión de riesgos como su diseño están funcionando.
2. La gestión de riesgos clasificados como "clave", incluida la eficacia de los controles dan respuesta a ellos.
3. La presentación y clasificación de riesgos es completa, precisa y adecuada

Implementación de RBIA

La aplicación y el funcionamiento continuo de RBIA tienen tres etapas y hemos producido una guía detallada sobre cada uno de ellos:

Etapa 1: Evaluación de la madurez de riesgo

Obtener una visión general del grado en que el directorio y la gerencia determinan, evalúan, gestionan y controlan los riesgos. Esto proporciona un indicador de la fiabilidad del registro de riesgos a efectos de realizar la planificación de auditoría.

Etapa 2: Planificación periódica de la auditoría

La identificación de la seguridad y consultoría asignados por un período determinado, generalmente anual, mediante la identificación y priorización de todas las esferas en que la Junta requiere ser objetiva en el aseguramiento, incluyendo los procesos de gestión de riesgos, la gestión de los principales riesgos, y el registro y notificación de los riesgos.

Etapa 3: Tareas individuales de auditoría

Llevar a cabo las tareas de evaluación de riesgo basados en forma ​​individual para proporcionar un aseguramiento por parte del marco de gestión de riesgos, en particular sobre la mitigación de los individuos o grupos de riesgos.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!