Consideraciones para diseñar una metodología de auditoría interna basada en riesgos

Juan Villanueva Chang

Con el objeto de cerrar la idea de mis anteriores artículos “Documentos de soporte al enfoque de auditoría interna basada en riesgos” y “Hoja de ruta para una eficaz metodología de auditoría interna basada en riesgos”, a continuación se da unas pautas para ayudarlos en la tarea de elaborar su propia metodología práctica.

Como premisas previas a la elaboración de una metodología práctica la organización debe tener en funcionamiento y claramente divulgado en toda la entidad lo siguiente:

·      Política de gestión de riesgos

·      Principios de gestión de riesgos

·      Marco de gestión de riesgos (delimitación de responsabilidades según modelo de las Tres Líneas de Defensa)

·      Metodología para evaluación de riesgos operacionales

·      Inventario de macroprocesos y procesos

·      Manual de procedimientos actualizados

·      Actividades permanentes de sensibilización de la cultura de gestión de riesgos y control interno (ISO 31000/COSO ERM/Marco Integrado Control Interno COSO 2013)

Luego de evaluar la efectividad y existencia de lo señalado anteriormente, se debe  ubicar en que tipo estrategia de auditoría se ubica la entidad para tratar de construir la metodología de auditoría interna basada en riesgos. A continuación un ejemplo de estrategias según el nivel de madurez de gestión de riesgos logrado por la organización:

El desarrollo práctico de la metodología de trabajo podría contener los siguientes aspectos:

·      Fase Planeamiento: Se iniciar con la comprensión integral de la materia a auditar, preferentemente debe ser con un alcance similar al utilizado en los resultados de la evaluación de riesgos (procesos).

La medición de la madurez de la gestión de riesgos comprende la validación de cumplimiento de la metodología de evaluación de riesgos; comprensión del resultados de evaluación de riesgos y tratamiento de mitigación; identificación de posibles riesgos de fraude, etc

La elaboración de la matriz de controles y riesgos se recoge datos actualizados que atañen a la materia auditada que facilite la lluvia de ideas y permita lograr consenso sobre posibles controles críticos sobre los cuales generar pruebas de auditoría. Cuando los reportes de evaluación de riesgos estén desfasados emplear los talleres de autoevaluación de riesgos y controles. Al término de esta fase se concluye con la elaboración del programa de auditoría.

·      Fase Ejecución: La fase de ejecución de la auditoría comienza con identificar el universo de los elementos (datos, operaciones, actividades) a revisar las pruebas de auditoría, para ello se debe dar prioridad a la elaboración de los planes de muestreo estadístico o no estadístico.

El análisis de las pruebas de auditoría a los controles críticos se debe sustentar mediante la aplicación de las diversas herramientas en el análisis de las causas de origen para tener un sustento coherente de las debilidades de control y hallazgos. Al concluir el análisis de las pruebas de auditoría se da inicio a las  comunicaciones de desviaciones con el cliente para finalmente proceder con la fase siguiente.

•       Fase Informe: Se debe cuidar que sea redactado en forma ejecutiva y que se incorpore resultados de la evaluación de los controles críticos seleccionados tales como: estado de la madurez de riesgos; referencia de documento utilizado de evaluación de riesgos; clasificar resultados de las pruebas de auditoría por tipo de evento, posibles causas y consecuencias; referenciar los controles preventivos y las medidas sugeridas para mitigar los riesgos críticos detectados; resultados de la apreciación por los auditores del control interno; clasificación por grado de importancia de las recomendaciones, etc. Finalmente considerar el plan de acción propuesto por el cliente para consideración del CEO.

¿Te han gustado la información? ¡Compártela con otro auditor interno!