En un mundo empresarial cada vez más complejo y competitivo, la gestión efectiva de riesgos se ha convertido en una prioridad para las organizaciones. La auditoría interna, como un pilar fundamental en el proceso de control interno, debe adaptarse a esta realidad. En este artículo, complementamos nuestras discusiones anteriores sobre “Documentación de apoyo para una auditoría interna orientada a riesgos” y “Directrices para una metodología robusta de auditoría basada en riesgos” presentando recomendaciones clave para desarrollar una metodología de auditoría interna eficiente y efectiva.
Antes de abordar la metodología en sí, es fundamental que la organización cuente con ciertos elementos preexistentes que sienten las bases para una auditoría centrada en riesgos efectiva:
1. Estrategia para la Gestión de Riesgos: La organización debe haber definido claramente su estrategia para la gestión de riesgos, estableciendo los objetivos y enfoques para abordarlos.
2. Bases de la Gestión de Riesgos: Es esencial contar con una sólida base conceptual sobre lo que implica la gestión de riesgos, incluyendo la definición de riesgos, evaluación de riesgos, y estrategias de mitigación.
3. Estructura de Gestión de Riesgos: Debe haber una estructura organizativa que defina claramente las responsabilidades de la gestión de riesgos, siguiendo el esquema de las Tres Líneas de Defensa.
4. Proceso de Análisis de Riesgos Operativos: La organización debe haber desarrollado un proceso estructurado para identificar, evaluar y gestionar los riesgos operativos que enfrenta.
5. Lista Detallada de Macroprocesos y Procesos: Tener una lista completa y actualizada de los macroprocesos y procesos clave de la organización es esencial para enfocar las auditorías de manera efectiva.
6. Guía Actualizada de Procedimientos: Los procedimientos operativos deben estar documentados y actualizados para que los auditores internos puedan entender y evaluar adecuadamente las operaciones.
7. Cultura de Gestión de Riesgos y Control Interno: La organización debe promover una cultura de gestión de riesgos y control interno, utilizando estándares como ISO 31000, COSO ERM y el Marco COSO de Control Interno 2013 como referencias.
Una vez que la organización haya establecido estas bases, es esencial identificar en qué nivel de madurez se encuentra en la gestión de riesgos. Dependiendo de su nivel de madurez, se pueden adoptar diferentes estrategias de auditoría:
1. Auditoría Reactiva: En organizaciones con una gestión de riesgos incipiente, la auditoría puede centrarse en la revisión de controles y procesos existentes sin un enfoque específico en riesgos. El objetivo es identificar deficiencias y proponer mejoras.
2. Auditoría Basada en Riesgos: A medida que la organización madura en su enfoque de gestión de riesgos, la auditoría puede centrarse en los riesgos identificados, evaluando la efectividad de los controles para mitigarlos.
3. Auditoría Estratégica: En organizaciones altamente maduras en la gestión de riesgos, la auditoría puede alinearse estrechamente con los objetivos estratégicos, evaluando cómo la gestión de riesgos contribuye a la consecución de estos objetivos.
En cuanto a la implementación práctica de la metodología de auditoría centrada en riesgos, se pueden dividir en tres fases clave:
Fase de Planificación:
Esta fase es crítica para el éxito de la auditoría. Comienza con un profundo entendimiento del tema a auditar, idealmente con un alcance similar al de los resultados del análisis de riesgos previamente realizado. La evaluación de la madurez en la gestión de riesgos implica validar la metodología de análisis, comprender los resultados y acciones de mitigación, y también identificar riesgos potenciales de fraude u otros riesgos críticos. Al diseñar la matriz de controles y riesgos, se recopila información reciente relacionada con el tema en cuestión, promoviendo sesiones de brainstorming y consenso sobre los controles esenciales a evaluar. Al final de esta etapa, se establece el programa de auditoría que guiará las siguientes fases.
Fase de Ejecución:
En esta fase, se ejecutan las auditorías propiamente dichas. Comienza por determinar el conjunto de elementos (datos, transacciones, tareas) a auditar, con un enfoque en la creación de planes de muestra, ya sean estadísticos o no, para asegurar una representación adecuada de las operaciones. El estudio de las pruebas de auditoría para los controles esenciales debe basarse en herramientas que analicen las raíces de los problemas, proporcionando una base sólida para identificar fallos en el control. Una vez concluido este análisis, se inicia el proceso de comunicación con el cliente sobre las discrepancias encontradas, preparando el terreno para la siguiente fase.
Fase de Reporte:
Esta fase es vital para cerrar el ciclo de auditoría interna. El informe resultante debe ser conciso y ejecutivo, incluyendo evaluaciones de controles esenciales, como el nivel de madurez de los riesgos, documentos de referencia, clasificación de los resultados por tipo de incidente y sus posibles causas y efectos. También debe señalar controles preventivos y sugerencias para atenuar los riesgos detectados. Además, debe incluir opiniones del equipo auditor sobre el control interno y una priorización de las recomendaciones. Finalmente, se debe integrar el plan de acción propuesto por el cliente para la revisión del CEO.
En conclusión, desarrollar una metodología eficiente para auditorías internas basadas en riesgos es un proceso que requiere una sólida base de gestión de riesgos y un enfoque estratégico. Al seguir las recomendaciones presentadas y adaptarlas a la madurez de su organización, podrá mejorar la efectividad de sus auditorías internas y contribuir significativamente a la gestión de riesgos y al logro de los objetivos estratégicos de su organización.
Ecovis Honduras
¡Para mayor información visita nuestro sitio web y contáctanos ya!
