Iván Rodríguez
En ocasiones, hay dudas o inquietudes
acerca de la aplicación de la metodología de auditoría basada en el riesgo. En
el presente artículo, se presenta una visión sobre la metodología que debería
aplicarse en un trabajo de auditoría.
De acuerdo con el IIA: “(…) La auditoría interna es una actividad
independiente y objetiva de aseguramiento y consultoría diseñada para agregar
valor y mejorar las operaciones de una organización. Ayuda a una organización a
lograr sus objetivos al brindar un enfoque sistemático y disciplinado para
evaluar y mejorar la efectividad de la gestión de riesgos, el control y la
gobernabilidad. (…)” Ahora bien, este enfoque sistemático y disciplinado se
denomina metodología de auditoría. Para facilitar la comprensión, E. Person
divide la metodología en dos fases:
Preparación de la auditoría anual. Debe aplicarse en un enfoque
basado en el riesgo. Se tiene en cuenta el riesgo corporativo, considerando
ciclos de negocios, procesos operativos, programas, proyectos o transacciones
que se realizarán. La evaluación tiene como centro de atención aquellas
situaciones que aumentan el riesgo para la empresa, de no alcanzar sus
objetivos estratégicos, toda vez que hay limitaciones de horas y
presupuesto.
Una vez definido el plan, se aborda una segunda fase. Esta fase se puede
dividir en tres etapas distintas:
•
Planificación del trabajo,
•
Ejecución y recolección de evidencia,
•
Comunicación de resultados.
Estos pasos se aplican a todos los tipos de trabajos de auditoría: cumplimiento,
financieros u operativos.
La planificación de la auditoría podría subdividirse en tres momentos:
1.
Elaboración del memorando de planificación, donde se define el alcance de
la auditoría, se determina el equipo y, si es el caso, la necesidad de
especialistas, se presupuestan los costos del trabajo, se prepara un cronograma
de auditoría. En este momento, se busca y recopila información sobre el entorno
corporativo, tal como políticas y procedimientos, matriz de riesgos,
organigramas, aplicaciones de sistemas de TI, etc.
2.
Comprensión detallada del objeto bajo evaluación. Entrevistas con quien ejecuta
las transacciones. La idea es una imagen completa del proceso bajo revisión,
transacción por transacción. La formalización de la comprensión puede ser por
narrativa o por la forma gráfica utilizando un diagrama de flujo. En este paso,
se preparan la matriz de riesgo (inherente, TI, fraude) y la matriz de control
(que identifica todos los controles existentes).
3.
Preparación de los procedimientos de auditoría y las
técnicas: Aquellas
que se aplicarán a la evidencia de la efectividad del control del proceso
auditado. Se cuenta con los siguientes documentos de trabajo: memorando de
auditoría, diagrama de flujo o narrativa del objeto evaluado, matriz de riesgo,
matriz de control y programa de auditoría.
La siguiente etapa es la ejecución de la auditoría, también conocida
como trabajo de campo. Es la aplicación de los procedimientos y técnicas
necesarias para
recopilar y formalizar la evidencia, basada en los objetivos de auditoría predefinidos. Es necesario que todos los hallazgos de la auditoría se relacionen en la matriz de hallazgos. Esta matriz es el soporte para la preparación de recomendaciones de auditoría.
recopilar y formalizar la evidencia, basada en los objetivos de auditoría predefinidos. Es necesario que todos los hallazgos de la auditoría se relacionen en la matriz de hallazgos. Esta matriz es el soporte para la preparación de recomendaciones de auditoría.
Una vez que se completa la ejecución, viene la etapa de informar los
resultados. Este es el momento donde se preparará el informe de auditoría. La sugerencia es dividir el reporte en tres documentos:
•
opinión de auditoría,
•
resumen ejecutivo y
•
recomendaciones de auditoría. (Con un plan de acción,
alineado con la gerencia)
Luego de la presentación del informe final, se debe verificar la
implementación del plan de acción.
Toda la documentación de auditoría obtenida en las diversas etapas se
considera un documento de trabajo; por tal razón, debe ser revisada de manera
apropiada por un auditor con experiencia, para posteriormente ser referenciadas
y organizadas en carpetas, en formato electrónico o físico.
Por supuesto, el trabajo de planeación es muy importante, ya que cuanto
mejor se planifica el trabajo, la ejecución es más eficiente y será de mejor
calidad la opinión del auditor y en consecuencia los resultados de la
auditoría, cumpliendo su misión de agregar valor a la empresa.
Finalmente, no hay que olvidar que un trabajo de auditoría finalizará
cuando se implementen apropiadamente las recomendaciones.
Tomado de: http://crossoverbrazil.blogspot.com/2018/03/simplifying-application-of-risk-based.html. Artículo de Eduardo Person.
¿Te ha
gustado la información? ¡Compártela con otro auditor interno!
Excelente como siempre Nahum, buena descripción del 'ABC'de Auditoria Interna, en esas distintas fases del proceso de Auditoria se presentan complicaciones que deben ser manejadas según la complejidad, ante lo cual quisiera expresar algunas situaciones que en Venezuela dificultan el ejerciciode Auditoria Interna en las empresas del Estado:
ResponderEliminar1. Cuando no existe cultura de control dentro de la empresa a los distintos niveles en especial en los niveles decisorios.
2. Débil Gobierno Corporativo, lo que propicia la inobservancia de las normas y procedimientos bajo argumentaciones espureas como aquellas que dicen "el fin justifica el medio".
3. Desconocimiento del Rol de Suditoria Interna dentro de la empresa, lo que se agrava con el poco o ningún respaldo de la Directiva de la empresa.
4. Falta de actualización de las competencias del equipo de Auditoría Interna con base en las metodologías de vanguardia: Riesgos, Fraude, Lavado de Capitales, Tecnología de información, etc. Esto hace que mientras las técnicas de cometer fraude avanzan o mutan hacia la sofisticación, los Auditores se queden rezagados auditado por métodos tradicionales de vieja data.
5. Vinculación de la política con las funciones de Auditoria, trayendo como consecuencia la pérdida de objetividad e independencia conque deben conducirse las actividades de Auditoria Interna.
6. Falta de empoderamiento de la función de Auditoría Interna por parte de la Directiva de la empresa.
7. Desarticulación de las organizaciones de control, las cuales trabajan independientemente aún cuando tengan objetivos comunes de control.
8. Inadecuados procesos de captación del personal al no hacerse una selección fundamentada en un perfil predefinido.
9. Desmotivación del personal ante la falta de atención sobre resultados que demandan acción inmediata dada su gravedad, pero que son manejados a discreción de los Directivos de turno, e incluso a destiempo de manera inoportuna, aunque dicho sea de paso las posibles situaciones de fraude no prescriben.
En fin en este corto espacio quise expresar, algunas razones por la cual la función de Auditoria Interna en las empresas del Estado Venezolano se encuentran atadas de mano en el cumplimiento a cabalidad del rol que les corresponde.
Toda una realidad
EliminarRealidad que no se puede ocultar y muy detallado.
Eliminar