CG- Comienza cada auditoría con un riesgo en mente – AUDITOOL

El riesgo es un blanco en movimiento

  • Los auditores internos debemos evaluar las exposiciones a los riesgos relacionados con el gobierno de la organización, las operaciones y los sistemas de información en relación a:
  • La consecución de los objetivos estratégicos de la organización.
  • La fiabilidad y la integridad de la información financiera y operativa.
  • La eficacia y la eficiencia de las operaciones y programas.
  • La custodia de activos.
  • El cumplimiento con leyes, regulaciones, políticas, procedimientos y contratos.

Nuestra responsabilidad es desarrollar un plan de auditoría basado en riesgo a través de la identificación de los riesgos críticos, tomando en consideración los objetivos estratégicos. Para permitir que la auditoría interna se centre en los riesgos críticos de la organización, la estrategia de ésta debería ser un elemento fundamental en el desarrollo de un plan de auditoría basado en riesgos. Esto permitirá que la auditoría interna se encuentre alineada con las prioridades estratégicas de la organización y contribuirá a que sus recursos sean asignados a las áreas de mayor importancia.

Cuando se desarrolla el plan de auditoría, la auditoría interna debe aprovechar el trabajo de la Dirección y de otras funciones de aseguramiento para ayudar a identificar los riesgos que suponen las amenazas y oportunidades más significativas para el logro de los objetivos estratégicos de la organización. Las amenazas y oportunidades estratégicas impulsarán la creación y priorización, por parte de la Dirección, de las iniciativas estratégicas de la organización a corto y largo plazo o de las inversiones más importantes de la organización para ofrecer valor a sus grupos de interés.

El director de una auditoría interna debe asumir la responsabilidad de identificar y comprender los riesgos críticos que afectan las áreas claves del negocio. Ir más allá de la determinación del impacto y la probabilidad de ocurrencia de un riesgo; use técnicas, tales como: Evaluación Bow-Tie; análisis de función y tendencias, curvas FN o concepto ALARP y métodos estadísticos.

Debemos de realizar planes de auditoría basados en riesgos pluri-anuales, que incluyan todos los años que tomaríamos en completar la revisión de nuestro universo auditable. El auditor interno utiliza técnicas de evaluación de riesgos en el desarrollo del plan de la actividad de auditoría interna, así como para determinar prioridades a la hora de asignar recursos de auditoría interna. La evaluación de riesgos se utiliza para examinar las unidades auditables y seleccionar las áreas sujetas a análisis que deben incluirse en el plan de la actividad de auditoría interna y que tienen mayor exposición al riesgo.

El director ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el director ejecutivo de la auditoría utilizará su propio juicio sobre los riesgos después de consultar con la alta dirección y el Consejo.

Al elaborar el plan de auditoría, muchos directores ejecutivos de auditoría (DEAs) consideran útil, en primer término, elaborar o actualizar el universo de auditoría. El universo de auditoría es una lista de todas las auditorías posibles que pudieran realizarse. El DEA puede obtener información sobre el universo de auditoría de parte de la alta dirección y el consejo de administración.

El universo de auditoría puede incluir componentes del plan estratégico de la organización. Al incorporar esos componentes, el universo de auditoría considerará y reflejará los objetivos del plan general de negocios. Los planes estratégicos probablemente también reflejarán la actitud de la organización hacia el riesgo y el grado de dificultad para cumplir con los objetivos planificados. El universo de auditoría estará normalmente influenciado por los resultados del proceso de gestión de riesgos.

El plan estratégico de la organización tiene en cuenta el ambiente en el cual opera la organización. Estos mismos factores ambientales probablemente impactarán en el universo de auditoría y la evaluación del riesgo relativo.

El DEA prepara el plan de auditoría de la actividad de auditoría interna basándose en el universo de auditoría, informaciones recibidas de la alta dirección y el consejo de administración, y una evaluación de riesgos y exposiciones que afectan a la organización. Los objetivos clave de auditoría son usualmente los de proporcionar a la alta dirección y al consejo de administración aseguramiento e información que les permita cumplir con los objetivos de la organización, incluyendo una evaluación de la eficacia de las tareas de evaluación de riesgos que realiza la dirección.

Fuente: Auditool