En la actualidad todos coincidimos que el cambio en auditoría interna está en la adopción de un enfoque basado en riesgos, y que éste se materializa en una metodología práctica que se diseña y evoluciona de acuerdo al nivel de madurez de la gestión de riesgos en la organización.
En las etapas iniciales, el auditor comienza a utilizar una diversidad de técnicas de análisis: lluvia de ideas, causa – efecto, Delphi, Pareto, taller de CSA o RCSA, entre otros. Pero es casi común advertir que al momento de decidir sobre cuáles serán los controles críticos para el desarrollo de las pruebas de auditoría, hace falta de una herramienta que respalde la decisión del auditor para señalarlos. Esta incertidumbre suele ser producto del incipiente resultado logrado en la identificación y evaluación de riesgos por parte de los dueños de los procesos (sobre todo en los grados iniciales de madurez de riesgos). Otro fundamental es a la falta de un instrumento que permita obtener una visión integral de la información recogidas hasta el momento de diversas fuentes y técnicas de análisis.
Para decidir con seriedad la selección de aquellos controles críticos que serán empleados para el desarrollo de las pruebas de auditoría, el auditor se puede apoyar en la técnica de análisis Bow – Tie. Esta es una de las diversas técnicas de evaluación de riesgos clasificadas para evaluar controles según el ISO 31030 y que perfectamente puede cubrir este vacío.
Esta técnica es una manera esquemática de poder describir las rutas de un evento de riesgos desde las causas hasta las consecuencias. Se obtiene de una sesión por consenso entre los auditores para alimentar con el inventario de causas y consecuencias obtenidas de otras fuentes de análisis e incluso fortalecerlo con la experiencia del auditor de revisiones pasadas.
Su diseño se suele apoyar de una matriz de datos que permitan construir el diagrama. Su desarrollo sólo se da en una etapa en que el equipo de auditores tiene ya pleno conocimiento de las causas y consecuencias de un evento de riesgo. En simultáneo es preciso graficar en forma vertical las barreas o controles existentes y los controles mitigantes para evitar la materialización de los riesgos.
En el diseño del gráfico se identifica primero el evento de riesgos a analizar que se ubica al centro del diagrama, también conocido como “corbata michi”. Al listar cada causa se debe determinar las consecuencias al otro extremo y al mismo tiempo irradiar los controles existentes.
El análisis es simple e integral y ayuda a integrar la información recogida, incluso agregando la percepción de los auditores no detectada de otras fuentes de análisis y permitiendo centrar su atención en los verdaderos controles críticos.
Juan Alberto Villanueva Chang
Subgerente de Planeamiento de Auditoría del Banco Central de Reserva del Perú; cuenta con 38 años de experiencia en diversas áreas de la misma entidad. Estudió Economía en la Universidad Particular Inca Garcilaso de la Vega y cuenta con un Posgrado en Análisis Monetario en la Universidad Nacional de San Marcos. Colaborador del blog de Nahun Frett y Auditool.
Lima, Perú
Artículo Publicado en el Blog de Nahun Frett - http://nahunfrett.blogspot.com/