El riesgo es un blanco en movimiento.
Los auditores
internos debemos evaluar las exposiciones
a los riesgos relacionados con el gobierno de la
organización, las operaciones y los sistemas de información en relación a:
·
La
consecución de los objetivos estratégicos de la organización.
·
La
fiabilidad y la integridad de la información financiera y operativa.
·
La
eficacia y la eficiencia de las operaciones y programas.
·
La
custodia de activos.
·
El
cumplimiento con leyes, regulaciones, políticas, procedimientos y contratos.
Nuestra responsabilidad es desarrollar un plan de auditoría
basado en riesgo a través de la identificación de los riesgos críticos, tomando
en consideración los objetivos estratégicos. Para permitir que Auditoría
Interna se centre en los riesgos críticos de la organización, la estrategia de
ésta debería ser un elemento fundamental en el desarrollo de un plan de
auditoría basado en riesgos. Esto permitirá que Auditoría Interna se encuentre alineada con las prioridades estratégicas
de la organización y contribuirá a que sus recursos sean asignados a las áreas
de mayor importancia.
Cuando se desarrolla el plan de auditoría, Auditoría
Interna debe aprovechar el trabajo de la Dirección y de otras funciones de
aseguramiento para ayudar a identificar los riesgos que suponen las amenazas y
oportunidades más significativas para el logro de los objetivos estratégicos de
la organización. Las amenazas y oportunidades estratégicas impulsarán la
creación y priorización, por parte de la Dirección, de las iniciativas estratégicas
de la organización a corto y largo plazo o de las inversiones más importantes
de la organización para ofrecer valor a sus grupos de interés.
El director de auditoría interna debe asumir la
responsabilidad de identificar y comprender los riesgos críticos que afectan
las áreas claves del negocio. Ir más allá de la determinación del impacto y la
probabilidad de ocurrencia de un riesgo; use técnicas, tales como: Evaluación
Bow-Tie; análisis de función y tendencias, curvas FN o concepto ALARP y métodos
estadísticos.
Debemos de realizar planes de auditoría basados en riesgos
pluri-anuales, que incluyan todos los años que tomaríamos en completar la revisión
de nuestro universo auditable. El auditor interno utiliza técnicas de evaluación
de riesgos en el desarrollo del plan de la actividad de auditoría interna, así
como para determinar prioridades a la hora de asignar recursos de auditoría
interna. La evaluación de riesgos se utiliza para examinar las unidades
auditables y seleccionar las áreas sujetas a análisis que deben incluirse en el
plan de la actividad de auditoría interna y que tienen mayor exposición al riesgo.
El director ejecutivo de auditoría es responsable de desarrollar un plan
basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de
riesgos de la organización, incluyendo los niveles de aceptación de riesgos
establecidos por la dirección para las diferentes actividades o partes de la
organización. Si no existe tal enfoque, el director ejecutivo de auditoría
utilizará su propio juicio sobre los riesgos después de consultar con la alta
dirección y el Consejo.
Al elaborar el plan de auditoría de la actividad de auditoría interna,
muchos directores ejecutivos de auditoría (DEAs) consideran útil, en primer
término, elaborar o actualizar el universo de auditoría. El universo de
auditoría es una lista de todas las auditorías posibles que pudieran
realizarse. El DEA puede obtener información sobre el universo de auditoría de
parte de la alta dirección y el consejo de administración.
El universo de auditoría puede incluir componentes del plan estratégico
de la organización. Al incorporar esos componentes, el universo de auditoría
considerará y reflejará los objetivos del plan general de negocios. Los planes
estratégicos probablemente también reflejarán la actitud de la organización
hacia el riesgo y el grado de dificultad para cumplir con los objetivos planificados.
El universo de auditoría estará normalmente influenciado por los resultados del
proceso de gestión de riesgos.
El plan estratégico de la organización tiene en cuenta el ambiente en el cual opera la organización. Estos mismos factores ambientales probablemente impactarán en el universo de auditoría y la evaluación del riesgo relativo.
El DEA prepara el plan de auditoría de la actividad de auditoría interna
basándose en el universo de auditoría, informaciones recibidas de la alta
dirección y el consejo de administración, y una evaluación de riesgos y
exposiciones que afectan a la organización. Los objetivos clave de auditoría
son usualmente los de proporcionar a la alta dirección y al consejo de
administración aseguramiento e información que les permita cumplir con los
objetivos de la organización, incluyendo una evaluación de la eficacia de las
tareas de evaluación de riesgos que realiza la dirección.
¿Te ha gustado la información?
¡Compártela con otro auditor interno!
Excelente artículo, gracias por compartir!
ResponderEliminar