¿Cómo aplicar la metodología de auditoría basada en riesgos?

Iván Rodríguez

En ocasiones, hay dudas o inquietudes acerca de la aplicación de la metodología de auditoría basada en el riesgo. En el presente artículo, se presenta una visión sobre la metodología que debería aplicarse en un trabajo de auditoría.

De acuerdo con el IIA: “(…) La auditoría interna es una actividad independiente y objetiva de aseguramiento y consultoría diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a lograr sus objetivos al brindar un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de la gestión de riesgos, el control y la gobernabilidad. (…)” Ahora bien, este enfoque sistemático y disciplinado se denomina metodología de auditoría. Para facilitar la comprensión, E. Person divide la metodología en dos fases: 

Preparación de la auditoría anual. Debe aplicarse en un enfoque basado en el riesgo. Se tiene en cuenta el riesgo corporativo, considerando ciclos de negocios, procesos operativos, programas, proyectos o transacciones que se realizarán. La evaluación tiene como centro de atención aquellas situaciones que aumentan el riesgo para la empresa, de no alcanzar sus objetivos estratégicos, toda vez que hay limitaciones de horas y presupuesto. 

Una vez definido el plan, se aborda una segunda fase. Esta fase se puede dividir en tres etapas distintas:

•      Planificación del trabajo,

•      Ejecución y recolección de evidencia,

•      Comunicación de resultados.

Estos pasos se aplican a todos los tipos de trabajos de auditoría: cumplimiento, financieros u operativos.

La planificación de la auditoría podría subdividirse en tres momentos:

1.    Elaboración del memorando de planificación, donde se define el alcance de la auditoría, se determina el equipo y, si es el caso, la necesidad de especialistas, se presupuestan los costos del trabajo, se prepara un cronograma de auditoría. En este momento, se busca y recopila información sobre el entorno corporativo, tal como políticas y procedimientos, matriz de riesgos, organigramas, aplicaciones de sistemas de TI, etc. 

2.    Comprensión detallada del objeto bajo evaluación. Entrevistas con quien ejecuta las transacciones. La idea es una imagen completa del proceso bajo revisión, transacción por transacción. La formalización de la comprensión puede ser por narrativa o por la forma gráfica utilizando un diagrama de flujo. En este paso, se preparan la matriz de riesgo (inherente, TI, fraude) y la matriz de control (que identifica todos los controles existentes). 

3.    Preparación de los procedimientos de auditoría y las técnicas: Aquellas que se aplicarán a la evidencia de la efectividad del control del proceso auditado. Se cuenta con los siguientes documentos de trabajo: memorando de auditoría, diagrama de flujo o narrativa del objeto evaluado, matriz de riesgo, matriz de control y programa de auditoría.

La siguiente etapa es la ejecución de la auditoría, también conocida como trabajo de campo. Es la aplicación de los procedimientos y técnicas necesarias para
recopilar y formalizar la evidencia, basada en los objetivos de auditoría predefinidos. Es necesario que todos los hallazgos de la auditoría se relacionen en la matriz de hallazgos. Esta matriz es el soporte para la preparación de recomendaciones de auditoría.

Una vez que se completa la ejecución, viene la etapa de informar los resultados. Este es el momento donde se preparará el informe de auditoría. La sugerencia es dividir el reporte en tres documentos:

•      opinión de auditoría,

•      resumen ejecutivo y

•      recomendaciones de auditoría. (Con un plan de acción, alineado con la gerencia)

Luego de la presentación del informe final, se debe verificar la implementación del plan de acción.

Toda la documentación de auditoría obtenida en las diversas etapas se considera un documento de trabajo; por tal razón, debe ser revisada de manera apropiada por un auditor con experiencia, para posteriormente ser referenciadas y organizadas en carpetas, en formato electrónico o físico.

Por supuesto, el trabajo de planeación es muy importante, ya que cuanto mejor se planifica el trabajo, la ejecución es más eficiente y será de mejor calidad la opinión del auditor y en consecuencia los resultados de la auditoría, cumpliendo su misión de agregar valor a la empresa.

Finalmente, no hay que olvidar que un trabajo de auditoría finalizará cuando se implementen apropiadamente las recomendaciones.

Tomado de: http://crossoverbrazil.blogspot.com/2018/03/simplifying-application-of-risk-based.html. Artículo de Eduardo Person.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!