Con la finalidad de atender algunas inquietudes respecto al artículo publicado, Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación, a continuación se explica un caso hipotético en una entidad de servicios.
Previa a la explicación del ejemplo, resulta indispensable coincidir con algunos parámetros:
- La práctica habitual para los auditores de utilizar fórmulas para determinar la prioridad de las auditorías no es nuevo, se remonta a la década de los 70.
- Existe la necesidad de confeccionar una metodología estable en el tiempo para determinar la prioridad de las auditorías, debido a limitaciones de su capacidad operativa y tiempo estimado para la realización de las revisiones. La metodología no es necesaria si en realidad es posible auditar en un año todo el universo auditable de una entidad.
- El proceso de planificación anual siempre ha exigido la construcción de métricas que nos ayuden a realizar una selección adecuada. Esto obliga a revisar al menos una vez al año el universo auditable de la organización.
- La ventaja de utilizar una metodología de este tipo ayuda al auditor a tener una guía neutral que resulta de la marcha de ciertos elementos del universo auditable, en vez de una simple selección arbitraria.
Ejemplo: Casa de Cambio ABC S.A.
a) Métricas del universo auditable:
La unidad de auditoría interna lo conforman dos personas (3 600 h/H) y el tiempo promedio para realizar cada auditoría es de 1 200 h/H. Estas limitaciones permitirían a la unidad de auditoría realizar 3 auditorías al año.
El universo auditable lo conforman 10 procesos operativos y de apoyo de la cadena de valor, así como 2 actividades auditables vinculadas a algunas políticas y regulaciones integrales. En caso no se haya identificado la cadena de valor, se puede emplear las unidades organizacionales.
Universo auditable |
Impacto |
Antigüedad última auditoría |
Percepción de riesgos |
Debilidades de control |
Transferencias de fondos vía electrónica |
B |
15 meses |
Media |
12 |
Cheques personalizados (giros) |
B |
12 meses |
Media |
6 |
Efectivo (Algunas Divisas) |
C |
21 meses |
Alta |
7 |
Metales amonedados |
A |
6 meses |
Baja |
4 |
Contabilidad y finanzas |
A |
10 meses |
Alta |
2 |
Recursos humanos |
A |
8 meses |
Media |
3 |
Servicios generales |
A |
6 meses |
Baja |
7 |
Seguridad física |
C |
6 meses |
Alta |
8 |
Plan de recuperación y continuidad operativa |
B |
12 meses |
Media |
6 |
Seguridad e higiene de salud en el trabajo |
B |
3 meses |
Baja |
3 |
b) Fórmula para prioridad de auditorías:
PA= T (20%) + A (20%) + [PR (30%) + DC (30%)]
PA= Determinación de prioridad de auditoría
T= Tamaño (Nivel de impacto involucrado. Puede ser el nivel de impacto tomado del proceso de evaluación de riesgos, mapas de riesgos o de saldos contable, flujos de recursos involucrados en su operatividad, entre otros)
A = La antigüedad de la última auditoría
PR = Es el nivel de percepción que tiene la unidad de riesgos sobre cada unidad auditables. Cualquier escala de resultados que proporcione la unidad de riesgos o los dueños de los procesos, para fines de esta fórmula, se puede traducir en una simple calificación de alta, media y baja.
DC = Cantidad histórica de las debilidades de control identificadas en las auditorías pasadas.
c) Construcción de escalas para la medición de la fórmula:
IMPACTO |
Puntaje de Fórmula |
A= Bajo 0 - 10 mil dólares |
5 |
B= Medio 21 - 50 mil dólares |
15 |
C= Alto 51 - Más de 51 mil dólares |
20 |
ANTIGÜEDAD AUDITORIA |
Puntaje de fórmula |
5= Más de 24 meses o nunca |
20 |
4= Entre 19 y 24 meses |
15 |
3= Entre 13 y 18 meses |
10 |
2= Entre 7 y 12 meses |
5 |
1= Entre 0 y 6 meses |
0 |
PERCEPCION DE G. RIESGOS |
Puntaje de fórmula |
|
Alto |
A |
30 |
Medio |
B |
15 |
Bajo |
C |
5 |
DEBILIDADES DE CONTROL |
Puntaje de fórmula |
|
5= Alto |
Más de 21 |
30 |
4= Superior |
16 a 20 |
22.5 |
3= Medio |
11 a 15 |
15 |
2= Mínimo |
5 a 10 |
7.5 |
1= Ninguno |
0 a 4 |
0 |
d) Ranking de aplicación de la fórmula al universo auditable:
Universo auditable |
T |
A |
PR |
DC |
Total |
Transferencias de fondos vía electrónica |
15 |
10 |
15 |
12 |
52 |
Cheques personalizados (giros) |
15 |
5 |
15 |
6 |
41 |
Efectivo (Algunas Divisas) |
20 |
20 |
30 |
7 |
77 |
Metales amonedados |
5 |
0 |
5 |
4 |
14 |
Contabilidad y finanzas |
5 |
5 |
30 |
2 |
42 |
Recursos humanos |
5 |
5 |
15 |
3 |
28 |
Servicios generales |
5 |
0 |
5 |
7 |
17 |
Seguridad física |
20 |
0 |
30 |
8 |
58 |
Plan de recuperación y continuidad operativa |
15 |
5 |
15 |
6 |
41 |
Seguridad e higiene de salud en el trabajo |
15 |
0 |
5 |
3 |
23 |
El resultado de la fórmula de prioridad de auditorías, en función de las limitaciones de la capacidad operativa de que sólo se pueden efectuar 3 auditorías al año, seleccionan para el plan anual a las siguientes auditorías del universo auditable:
- Efectivo (Algunas Divisas)
- Seguridad física
- Transferencia de fondos vía electrónica
Como se explicó en el texto inicial, obviamente que al resultado de este ranking se puede alterar e incluir otras prioridades al resultado del análisis histórico de las métricas antes señaladas, como por ejemplo si hubiera denuncias sustentadas o pedidos especiales de nuestros clientes de la alta dirección, entre otros.
Es importante señalar que esta fórmula se puede mejorar con la construcción e inclusión de otras variables, tales como costos, tiempos de demora efectiva, etc. Igualmente, queda a criterio de cada unidad de auditoría proponer un peso distinto a cada factor incluido en la fórmula, sobre todo a la percepción del riesgo cuando se ha logrado un buen nivel de madurez de la gestión de riesgos.
Finalmente, para fortalecer la base teórica del tema, a continuación se sugiere algunas referencias:
Andrew Chambers (1992), “Effective internal audits”, England
Peter Jones (1999), “Statistical Sampling and Risk Analysis in Auditing”, England
Phil Griffiths (2005), “Risk - based auditing”, England
K.H. Spenser Pickett (2006), “Audit Planning: A risk – based approach”
David Griffiths,(2006), “Risk based internal auditing – Three views on implementation
Juan Alberto Villanueva Chang
Subgerente de Planeamiento de Auditoría del Banco Central de Reserva del Perú; cuenta con 38 años de experiencia en diversas áreas de la misma entidad. Estudió Economía en la Universidad Particular Inca Garcilaso de la Vega y cuenta con un Posgrado en Análisis Monetario en la Universidad Nacional de San Marcos. Colaborador del blog de Nahun Frett y Auditool.
Lima, Perú
Artículo Publicado en el Blog de Nahun Frett -