lunes, 25 de marzo de 2019

Cómo actuar ante los desfases en los reportes de evaluación de riesgos


Juan Villanueva Chang

En la tarea de identificar los riesgos y controles críticos para priorizar las pruebas en el programa de auditoría, eventualmente se puede experimentar que los reportes de evaluación de riesgos se encuentran desactualizado. Esto obliga al equipo de auditores a ser creativos para tener una opinión actualizada de los riesgos y controles de la materia que se va a auditar.

La herramienta analítica que podría subsanar esta carencia son los talleres de autoevaluación de riesgos y controles, conocida como RCSA, actividad breve y ejecutiva que se podría efectuar con los  dueños del proceso a ser auditado.

Primero se debería construir una data en la matriz de evaluación del taller de RCSA, recogiendo las debilidades de control interno señaladas en las actividades de control simultáneo y posterior (auditorías) identificadas entre la fecha del último informe de evaluación de riesgos y en la que se realizará la auditoría. Es igualmente valioso tomar en cuenta los incidentes de menor impacto subsanados de inmediato por el área encargada del proceso y que no se haya notificado en un repositorio de registro de incidentes.

Luego se coordina con funcionarios responsables del proceso día y hora para realizar el taller RCSA, el mismo que no debe tomar más de 40 minutos. Los asistentes toman estos datos históricos para reflexionar si aún persisten riesgos de esta naturaleza o conocen de algo nuevo.


Con ayuda de la data histórica y respetando la taxonomía de la metodología de evaluación de riesgos, los facilitadores procede a motivar a los asistentes mediante lluvia de ideas para recolectar nueva información en la matriz de autoevaluación de riesgos y controles.


Es obvio el éxito de esta herramienta descansa en la amplia libertad de expresión y confianza de los asistentes al taller, y que además en todo momento se les advierte que se trata de una reunión informal que sólo servirá para fortalecer la fase de planeamiento de la auditoría ante la carencia de un reporte formal actualizado de evaluación de riesgos. Para una mayor efectividad se recomienda utilizar medios de votación anónima para evitar interferencias en la opinión de los asistentes.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)