Los auditores internos deben evaluar cada potencial hallazgo del trabajo para determinar su importancia. Cuando se evalúan los potenciales hallazgos del trabajo, los auditores internos deben colaborar con la Dirección para identificar la causa fundamental (causa raíz), determinar los potenciales efectos y evaluar la importancia de la cuestión.
Para determinar la importancia del riesgo, los auditores internos deben considerar la probabilidad de que ocurra el riesgo y el impacto que podría tener sobre los procesos de gobierno, gestión de riesgos y control de la organización.
En el caso de que los auditores internos determinen que la organización está expuesta a un riesgo significativo, se debe documentar la cuestión y comunicarla como un hallazgo.
Los auditores internos deben determinar si informan sobre otros riesgos como hallazgos, en base a las circunstancias y las metodologías establecidas.
Los auditores internos deben priorizar cada hallazgo del trabajo en base a su importancia, empleando las metodologías establecidas por el Director de Auditoría Interna.
Adicionalmente, debemos tomar en consideración que:
Los auditores internos priorizan los hallazgos en base a la metodología establecida por el Director de Auditoría Interna, que asegura la coherencia a través de todos los trabajos de Auditoría Interna. Una calificación (rating), o clasificación (ranking), puede ser una herramienta eficaz de comunicación para describir la importancia de cada hallazgo, y podrá́ ayudar a la Dirección en su priorización de los planes de acción. Cuando se determina la importancia, los auditores internos deberían considerar:
- El impacto y probabilidad del riesgo.
- La tolerancia al riesgo de la organización.
- Cualquier factor adicional que sea importante para la organización.
A continuación, presentamos los criterios que pueden ser usados para calificar una observación de auditoría interna en tres niveles:
Riesgo Bajo
- Una pérdida no material, que puede ser recuperable.
- Ineficiencias en el cumplimiento de objetivos operativos, que pueden ser corregidas.
- Un efecto temporal sobre la reputación de la organización, que es manejable.
- Un hallazgo relacionado con la reglamentación, pero que probablemente no se citará como una preocupación regulatoria.
Riesgo Moderado
- Una pérdida o declaración errónea financieramente poco importante.
- Riesgo de retraso o impedimento para cumplir los objetivos operativos.
- Un efecto negativo en la reputación de la organización.
- Probabilidad de preocupación regulatoria pero sin multas ni sanciones.
Riesgo Alto
- Una pérdida o declaración errónea de importancia financiera.
- El incumplimiento de los objetivos operativos.
- Daño a la reputación de la organización.
- Probabilidad de multas y sanciones regulatorias.
Este formato de calificación es para fines informativos, algunos colegas auditores internos prefieren emplear un sistema de calificación de cuatros niveles, que incluya: Muy Alto, Alto, Moderado y Bajo. Tema como este tipo de decisión son tratados a profundidad en nuestro Curso Taller Diseño de Informes de Auditoría Interna de Alto Impacto, el cual ya se encuentra actualizado acorde con las Normas Globales de Auditoría Interna del 2024.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario