lunes, 4 de marzo de 2019

Documentos de soporte al enfoque de auditoría interna basada en riesgos

Por: Juan Villanueva Chang
En una reciente entrevista a Richard Chambers, Presidente Ejecutivo del IIA en la Revista Internal Auditor, publicada en febrero del presente año, se señalan algunos aspectos críticos en la profesión del auditor interno.

Uno está referido a la pregunta sobre si… “Hay áreas en la cuales la profesión de auditoría interna sea insuficiente?

R. Chambers, entre otros señala que… “no veo el nivel de cumplimiento con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna que deberíamos tener”. “Cuando hablo de que no hay cumplimiento, no quiero decir que nadie le presta atención a las Normas. Me refiero al cumplimiento de todo el conjunto de Normas”

Otra pregunta,… “Ha hablado mucho acerca de las brechas en las expectativas de las partes interesadas con el paso de los años. ¿Por qué motivo a auditoría interna le cuesta cerrar brechas?”.

R. Chambers responde…. “Informes recientes sugieren que a la dirección y a los consejos les interesa que auditoría interna se enfoque en los riesgos clave más allá de los informes contables y del cumplimiento” 

Para reformar parte de estas apreciaciones de R. Chambers, es preciso mencionar que quienes nos hemos aventurado a desarrollar y aplicar un enfoque de auditoría basada en riesgos, podemos divulgar que la metodología de trabajo de auditoría basada en riesgos sí está soportada en ciertas Normas del IIA. En el constante mejoramiento del enfoque no sólo basta hacer referencia a las Normas del IIA, se puede contar también con algunas Guías Complementarias para la Práctica del IIA y Guías de la Organización COSO. Por ejemplo las siguientes:

Normas del IIA:

·      2000  Administración de la actividad de auditoría interna
·      2010  Planificación
·      2050  Coordinación y confianza
·      2200  Planificación del trabajo
·      2201  Consideraciones sobre la planificación
·      2210  Objetivos del trabajo
·      2300  Desempeño del trabajo
·      2320  Análisis y evaluación
·      2400  Comunicación de resultados
·      2410  Criterios para la comunicación
·      2420  Calidad de la comunicación
·      2440  Difusión de resultados
·      2450  Opiniones globales
·      2500  Seguimiento del grado de implementación de los resultados
·      2600  Comunicación de la aceptación de los riesgos
 
Guías para la Práctica IIA:

·      Formulación y expresiones de opiniones
·      Análisis de la suficiencia de la gestión de riesgos
·      Coordinando la gestión de riesgos y el aseguramiento
·      Informes de auditoría: Comunicación de los resultados de un trabajo de aseguramiento
·      Planificación del trabajo: Establecimiento de objetivos y alcance
·      Planeamiento del trabajo: Evaluando el riesgo de fraude
·      Auditoría a la gestión de riesgos de terceros

Guías de la Organización COSO:

·      Aprovechar el COSO en las Tres Líneas de Defensa
·      Gestión de riesgos empresariales: Aplicando la gestión de riesgos empresariales a riesgos ambientales, sociales y de gobierno

Adicionalmente a estos documentos de soporte, existen los publicados por la Confederación Europea de Instituto de Auditoría Interna (ECIIA). La entidad fue creada en el 2015 por el Comité Bancario de Ejecutivos de Auditoría de Bancos Supervisados por el Banco Central Europeo. Destacan los siguientes trabajos:

·      Rol de la auditoría interna en un Gobierno Corporativo
·      Enfoque de planificación de auditoría
·      Realizando la supervisión

Es importante reconocer que las Normas del IIA vigentes incorporan aspectos referidos al enfoque de auditoría basada en riesgos, existiendo otros documentos aislados que pueden servir para fortalecer el diseño de una metodología propia de auditoría basada en riesgos. Es necesario resaltar que este enfoque se mejora en la medida que avanza la cultura de gestión de riesgos en la organización.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

3 comentarios:

  1. Muy eccelente este blog, soy estudiante de auditoria y me ha sido de mucha utilidad esta información,. gracias por tomarte el tiempo de publicar bendiciones Yamileth Vallejos

    ResponderEliminar
  2. Cordial Saludo.

    Doctor Villanueva y Nahum, desde su amplia experiencia, ¿cuanto tiempo se requiere para alcanzar una cultura de gestión de riesgos en una organización?. Teniendo que en la mayoría de las organizaciones se toman acciones correctivas y no preventivas que es objetivo de la gestión de riesgos, adicionalmente que recomendaciónes y/o buenas prácticas sugieren para alcanzar está cultura.

    Muchas gracias por sus valiosos aportes.

    ResponderEliminar
  3. En respuesta a su inquietud y sobre nuestra experiencia, implementar una cultura de gestión de riesgos toma unos años que dependen de lo siguiente: Compromiso liderado por la alta dirección, creación de unidades de segunda línea de defensa para supervisar y monitorear la gestión de riesgos, actividades permamentes de sensibilización de la gestión de riesgos y deliminar responsabilidades, incorporar los resultados de la gestión de riesgos en nuevo enfoque de auditoría interna, etc

    ResponderEliminar