Ejemplo de un Plan Anual de Auditoría Basada en Riesgos

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Con la finalidad de atender algunas inquietudes respecto al artículo publicado, Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación, a continuación se explica un caso hipotético en una entidad de servicios.

Previa a la explicación del ejemplo, resulta indispensable coincidir con algunos parámetros:

Ejemplo: Casa de Cambio ABC S.A.

a) Métricas del universo auditable:

La unidad de auditoría interna lo conforman dos personas (3 600 h/H) y el tiempo promedio para realizar cada auditoría es de 1 200 h/H. Estas limitaciones permitirían a la unidad de auditoría realizar 3 auditorías al año.

El universo auditable lo conforman 10 procesos operativos y de apoyo de la cadena de valor, así como 2 actividades auditables vinculadas a algunas políticas y regulaciones integrales. En caso no se haya identificado la cadena de valor, se puede emplear las unidades organizacionales.

 

Universo auditable

Impacto

Antigüedad última auditoría

Percepción de riesgos

Debilidades de control

Transferencias de fondos vía electrónica

B

15 meses

Media

12

Cheques personalizados (giros)

B

12 meses

Media

6

Efectivo (Algunas Divisas)

C

21 meses

Alta

7

Metales amonedados

A

6 meses

Baja

4

Contabilidad y finanzas

A

10 meses

Alta

2

Recursos humanos

A

8 meses

Media

3

Servicios generales

A

6 meses

Baja

7

Seguridad física

C

6 meses

Alta

8

Plan de recuperación y continuidad operativa

B

12 meses

Media

6

Seguridad e higiene de salud en el trabajo

B

3 meses

Baja

3

b) Fórmula para prioridad de auditorías:

PA= T (20%) + A (20%) + [PR (30%) + DC (30%)]
PA= Determinación de prioridad de auditoría
T= Tamaño (Nivel de impacto involucrado. Puede ser el nivel de impacto tomado del proceso de evaluación de riesgos, mapas de riesgos o de saldos contable, flujos de recursos involucrados en su operatividad, entre otros)
A = La antigüedad de la última auditoría
PR = Es el nivel de percepción que tiene la unidad de riesgos sobre cada unidad auditables. Cualquier escala de resultados que proporcione la unidad de riesgos o los dueños de los procesos, para fines de esta fórmula, se puede traducir en una simple calificación de alta, media y baja.
DC = Cantidad histórica de las debilidades de control identificadas en las auditorías pasadas.

c) Construcción de escalas para la medición de la fórmula:

IMPACTO

Puntaje de Fórmula

A= Bajo      0      -  10 mil dólares

5

B= Medio  21     -  50 mil dólares

15

C= Alto     51     - Más de 51 mil dólares

20

 

ANTIGÜEDAD AUDITORIA

Puntaje de fórmula

5= Más de 24 meses o nunca

20

4= Entre 19 y 24 meses

15

3= Entre  13  y 18 meses

10

2= Entre   7 y  12 meses

5

1= Entre 0 y  6 meses

0

 

PERCEPCION DE G. RIESGOS

Puntaje de fórmula

Alto

A

30

Medio

B

15

Bajo

C

5

 

DEBILIDADES DE CONTROL

Puntaje de fórmula

5= Alto

Más de 21

30

4= Superior

16 a 20

22.5

3= Medio

11 a 15

15

2= Mínimo

5 a 10

7.5

1= Ninguno

0 a 4

0

d) Ranking de aplicación de la fórmula al universo auditable:

 

Universo auditable

T

A

PR

DC

Total

Transferencias de fondos vía electrónica

15

10

15

12

52

Cheques personalizados (giros)

15

5

15

6

41

Efectivo (Algunas Divisas)

20

20

30

7

77

Metales amonedados

5

0

5

4

14

Contabilidad y finanzas

5

5

30

2

42

Recursos humanos

5

5

15

3

28

Servicios generales

5

0

5

7

17

Seguridad física

20

0

30

8

58

Plan de recuperación y continuidad operativa

15

5

15

6

41

Seguridad e higiene de salud en el trabajo

15

0

5

3

23

El resultado de la fórmula de prioridad de auditorías, en función de las limitaciones de la capacidad operativa de que sólo se pueden efectuar 3 auditorías al año, seleccionan para el plan anual a las siguientes auditorías del universo auditable:

Como se explicó en el texto inicial, obviamente que al resultado de este ranking se puede alterar e incluir otras prioridades al resultado del análisis histórico de las métricas antes señaladas, como por ejemplo si hubiera denuncias sustentadas o pedidos especiales de nuestros clientes de la alta dirección, entre otros.

Es importante señalar que esta fórmula se puede mejorar con la construcción e inclusión de otras variables, tales como costos, tiempos de demora efectiva, etc. Igualmente, queda a criterio de cada unidad de auditoría proponer un peso distinto a cada factor incluido en la fórmula, sobre todo a la percepción del riesgo cuando se ha logrado un buen nivel de madurez de la gestión de riesgos.

Finalmente, para fortalecer la base teórica del tema, a continuación se sugiere algunas referencias:

Andrew Chambers (1992), “Effective internal audits”, England
Peter Jones (1999), “Statistical Sampling and Risk Analysis in Auditing”, England
Phil Griffiths (2005), “Risk - based auditing”, England
K.H. Spenser Pickett (2006), “Audit Planning: A risk – based approach”
David Griffiths,(2006), “Risk based internal auditing – Three views on implementation

 

 

 Juan Alberto Villanueva Chang

Subgerente de Planeamiento de Auditoría del Banco Central de Reserva del Perú; cuenta con 38 años de experiencia en diversas áreas de la misma entidad. Estudió Economía en la Universidad Particular Inca Garcilaso de la Vega y cuenta con un Posgrado en Análisis Monetario en la Universidad Nacional de San Marcos. Colaborador del blog de Nahun Frett y Auditool.

Lima, Perú

Artículo Publicado en el Blog de Nahun Frett - http://nahunfrett.blogspot.com / 

Escribir un comentario


Código de seguridad
Refescar