lunes, 11 de abril de 2016

Aclaración sobre la evolución de la auditoría interna basada en riesgos

Juan Villanueva Chang

En la diaria tarea de revisar aportes académicos que permita afianzar y mejorar la metodología de auditoría Interna basada en riesgos (AIBR), tropecé con el buen artículo publicado por Norman Marks, “Modern Risk – Based Internal Auditing” publicado en la Revista Internal Auditor Middle East de junio del 2015.

El autor destaca que la evaluación de riesgos se utiliza en dos etapas: una para elaborar el plan anual de auditoría, y otra cuando se inicia la auditoría al identificar los riesgos a evaluar en la materia auditable

En primer lugar, el autor resalta que la planificación de auditoría interna basada en riesgos está soportada en las Normas Internacionales para la Práctica Profesional de Auditoría Interna.

La evaluación basada en riesgos en auditoría se inició verificando su adhesión al cumplimiento de los procedimientos, las Normas del IIA y otras consideraciones, siendo exiguo saber qué significa y cómo realizarlo.

El enfoque tradicional de auditoría interna basada en riesgos consiste en elaborar un ranking de universo de materias auditables.

La moderna AIBR comienza con una evaluación del universo de auditoría y una comprensión de los riesgos en toda la empresa. El objetivo es proporcionar seguridad que la administración abordara hasta los riesgos más significativos de la empresa.

Al identificar los principales riesgos que permitirán cumplir los objetivos de la empresa, se podrá reemplazar con esto a la planificación moderna de AIBR.

Para lograr este avance de enfoque moderno de auditoría basada en riesgos, el autor comenta en forma muy breve que se tiene que haber logrado un sólido proceso de gestión de riesgos.

Precisamente en el gráfico adjunto se resalta la importancia de este estado entre ambos enfoques. El avance del nivel de madurez de riesgos es requisito indispensable para adoptar este cambio de enfoque.

Esta demás resaltar que cuando el nivel de madurez de riesgos en la empresa es óptimo, se facilitará la labor de los auditores en divulgar el enfoque de auditoría interna basada en riesgos:

·         Los resultados de la evaluación de riesgos permitirán identificar qué objetivos pueden no cumplirse
·         Se reducirá la fase de planeamiento de auditoría al focalizar las pruebas en los controles críticos que resultan de la evaluación de riesgos
·         Se podrá elaborar el plan anual de auditoría en función a los riesgos álgidos
·         Se podrá alinear el uso compartido del mismo aplicativo de TI que se emplea en la evaluación de riesgos
·         Las auditorías podrán ser más puntuales y oportunas para sus medidas correctivas, etc
    
En líneas generales, experimentar este enfoque moderno de AIBR sólo será posible cuando logremos un estado avanzado de madurez de gestión de riesgos. La realidad es que muchas organizaciones aún experimentamos una incipiente cultura de riesgos.

  ¿Te ha gustado la información? ¡Compártela con otro auditor interno!

9 comentarios:

  1. Gracias por compartir, tan interesante información!

    ResponderEliminar
  2. La gestión de riesgos es un tema que lo debemos tener muy en cuenta.

    ResponderEliminar
  3. Es un tema muy importante en las Organizaciones.

    ResponderEliminar
  4. Es un tema muy importante en las Organizaciones.

    ResponderEliminar
  5. Es atreverse a cambiar. Que prevalezca el sentido común. Mucho más enfocado si los riesgos son cercanos a la estrategia de la Cía. Saludos

    ResponderEliminar
  6. muy buen aporte, pero existen aún instituciones que no valoran la gestión de riesgos como una herramienta poderosísima para alcanzar los objetivos trazados

    ResponderEliminar
  7. Excelente aclaración, muy claro el mensaje.

    ResponderEliminar
  8. Excelente precisión, a la vez debemos hacerlo con objetividad.

    ResponderEliminar
  9. Estimado Nahun Frett, cual es el alcance o que diera entenderse por "nivel de madurez de riesgos", es el aprendizaje alcanzado sobre el riesgo en si, o puedo pensar que es saber cual es el impacto relevante que causa ese riesgo, sabiendo el costo que significará su materialización, también podría ser capaz de comprender la adecuada gestión de mis activos, a fin de disminuir la exposición al riesgo, disminuyendo la vulnerabilidad mejorando mi sistema de Control Interno, o al fin otras miradas que pueden ser importantes considerar. Gracias

    ResponderEliminar