Plan Anual de Auditoría Basado en Riesgos: Guía práctica para su implementación

Ratio:  / 3
MaloBueno 

Elaborar un plan anual de auditoría es un reto importante para los profesionales en auditoría así como para fortalecer las relaciones con los stakeholders. Tradicionalmente esta labor consistía en identificar unidades organizacionales con mayor impacto según el valor o volumen de transacciones en los estados financieros o de acuerdo a apreciaciones de  los auditores. Hoy en día, diseñar un plan anual de auditoría se debe centralizar en aquellas áreas de negocios o procesos significativos respecto al tipo de riesgo que enfrenta la empresa.

La experiencia nos señala que existen otros elementos a tener cuenta son:

Todos estos matices obligan a ser creativos para la formulación de un plan anual de auditoría basada en riesgos. La realidad es que el área de auditoría dispone de recursos limitados y por consiguiente es imposible auditar todo el universo auditable en un año. Otro aspecto a tener en cuenta es el grado de conocimiento del  auditor sobre la marcha de la gestión de riesgos. Tener conocimiento y acceso oportuno a la documentación de la gestión de riesgos se convierte en un tema vital para el desarrollo de este enfoque.

Las mejores prácticas del Marco Internacional para la Práctica Profesional de la Auditoría Interna dan énfasis a la necesidad de elaborar un plan anual de auditoría basada en riesgos. Se fundamenta en la Norma IIA sobre Desempeño 2010 – Planificación, el Consejo para la Práctica IIA 2010-1 y el IIA 2010-2.

El universo auditable suele estar conformado por procesos, programas, proyectos o áreas consideradas estratégicas en la organización. Al mismo tiempo, se debe tomar en cuenta la vinculación de la materia auditable con las actividades estratégicas vigentes de la entidad.

Una forma de priorización el universo auditable para realizar auditorías es utilizando  una metodología que ayude a tomar en cuentas aspectos del tamaño, tiempo (antigüedad de la última auditoría) y apreciaciones sobre el nivel de riesgo involucrado. Obviamente que la cantidad de auditorías a realizar están limitadas por la capacidad operativa de auditores y el tiempo estimado de cada una de ellas para su realización.

El ciclo de esta metodología podría incluir: La definición y actualización de la materia auditable o universo de auditoría. Conocer los objetivos y meta estratégicas vigentes y su vinculación con la materia auditable. Identificar las métricas de tiempo y tamaño o valor involucrado en la materia auditable. Crear métricas de efectividad respecto al tiempo en cuanto a la estimación y realización de auditorías anteriores. Generar métricas sobre la percepción de los riesgos y debilidades de control, para finalmente conocer el nivel de confianza del control interno como resultado del comportamiento histórico de las debilidades de control acumuladas.


Con la finalidad de establecer un criterio uniforme para expresarlo como puntaje de una fórmula que otorgue la prioridad para realizar una auditoría, se seleccionan algunos de los indicadores que a continuación se detallan:

Métricas de gestión de Tiempo y Tamaño:

1)    Tiempo: Fecha de última auditoría

Registro de fecha de última auditoría realizada con enfoque moderno de auditoría basada en riesgos.

2)    Nivel de impacto

Se obtiene de registros de saldos contables o flujos de recursos comprometidos en cada proceso.

3)    Número de transacciones

Es la cantidad de asientos o registros contables de cada proceso auditable. Por lo general es mayor apoyo en auditorías financieras que los otros objetivos de control interno.

Métricas de gestión de Efectividad:

1)    Duración real desarrollo de auditoría:

Es el tiempo real en H/H del desarrollo que demandó una auditoría.

2)    Costo auditoría:

Es el valor involucrado en la realización de una auditoría, necesaria para determinar el presupuesto de las auditorías a realizar.

Métricas de Riesgos:

1)    Percepción de riesgos de la Gerencia de Riesgos:

Cuando se carece de información por debilidad de la madurez de la gestión de riesgos en toda la cadena de valor, se puede recurrir a la calificación elaborada por el área de Gestión de Riesgos, recogiendo su apreciación subjetiva sobre el nivel de riesgos que tendría los procesos o unidades auditables.

2)    Debilidades de Control:

Es la cantidad de debilidades de control como resultado de las auditorías.

De acuerdo a sus registros históricos, habría que elaborar una escala de medición para poder aplicar una fórmula y priorizar las auditorías. Esta fórmula podría tener un peso de 40% para los factores de Tamaño y Tiempo (Antigüedad última auditoría), y del 60% las apreciaciones sobre el nivel de riesgos. La fórmula se puede expresar de la siguiente manera:

PA = T (20%) + A (20%) + [PR (30%) + DC (30%)]

PA= Determinación de prioridad de auditoría.

T  = Tamaño (Nivel de impacto involucrado).

A  = Antigüedad de última auditoría. Se asigna máximo puntaje también para aquellos procesos en los que aún no se ha desarrollado una auditoría en forma específica con nuevo enfoque de auditoría.

La apreciación sobre el nivel de riesgos se hace tomando en cuenta los siguientes criterios:

PR= Nivel de percepción del estado de los riesgos por el área de Riesgos. Esta opinión recoge su percepción sobre probabilidad e impacto.

DC= Debilidades de control al término de las auditorías. Esta data de debilidades de control puede servir para elaborar el perfil histórico de confianza del control interno. Se asigna máxima puntuación si aún no se realizó auditoría con nuevo enfoque.

El resultado final arrojará cifras en torno al 100%. Es decir mientras más cercano resulte la cuantificación de la fórmula al 100%, nos indica que es apremiante su inclusión en el plan anual de auditoría.

Finalmente, en forma adicional al resultado de la fórmula de priorización de auditorías, al momento de seleccionar las auditorías es posible tomar en consideración otros criterios tales como: Perfil histórico de confianza del control interno, precisar si obedecen a denuncias sustentadas, áreas no examinadas y criterio propio del auditor

 

Por: Juan Villanueva Chang

Artículo Publicado en el Blog de Nahun Frett - http://nahunfrett.blogspot.com/

NAHUN FRETT:

Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres


Escribir un comentario


Código de seguridad
Refescar