Adoptar un  progresivo cambio hacia un enfoque de auditoría basada en riesgos, además de identificar el nivel madurez de la gestión de riesgos en la organización, debe ceñirse lo más cercano posible a algunas directivas de las Normas Internacionales para la Práctica Profesional de la Auditoría Interna.

El Consejo para la Práctica 2010-1 “Objetivos del trabajo”, precisa que auditoría interna revisa la gestión de riesgos asociados a la entidad.

Las auditorías seleccionadas a realizar deben estar alineadas al proceso de evaluación de riesgos derivados de la formulación del plan anual de auditoría.

Una vez que el auditor identificó los controles clave de los riesgos sensibles procede a determinar los procedimientos a realizar.

El Consejo para la Práctica 2010-2 “Uso del proceso de gestión de riesgos en el Plan de Auditoría Interna” sugiere iIdentificar los riesgos inherente y residual, así como los controles claves que ayudan a reducir un  riesgo inaceptable a un nivel tolerable.

La planificación de auditoría interna necesita estar soportada en el proceso de gestión de riesgos desarrollada en la organización. Reconoce que el nivel de madurez de la gestión de riesgos es diferente en cada organización, y que auditoría interna trata de evaluar si los controles funcionan o son excesivos o complejos.

El Consejo para la Práctica 2200-2 “Uso de un enfoque basado en riesgos, partiendo de los más significativos (Top-down, Risk-based Approach) para identificar los controles que van a ser evaluados en el trabajo de auditoría interna” sugiere evaluar la existencia de una combinación adecuada de controles manuales y automáticos y comprobar si existen para mitigar los riesgos dentro de la tolerancia al riesgo en la organización.

Debido a limitaciones en la capacidad operativa  es recomendable evaluar sólo los controles claves (aquellos necesarios para gestionar riesgos relacionados con un objetivo crítico del negocio), aunque el auditor puede incluir una evaluación a los controles menos importantes.

Igualmente se deja abierta la posibilidad de usar otros métodos o marcos de referencia (COSO ERM, ISO 3100), siempre que los controles claves para la gestión de riesgos sean identificados y evaluados.

El Consejo para la Práctica 2210.A1-1” Evaluación de riesgos en la planificación del trabajo” recomienda que el auditor interno debe examinar: la fiabilidad de la evaluación de riesgos, el proceso para vigilar, informar y resolver asuntos de riesgo y control, eventos que excedan límites y los riesgos relevantes. Ello obliga a los auditores internos estar familiarizados con las actividades de riesgo y control para identificar áreas donde poner énfasis.

El GAIT for Business and TI Risk es una guía que describe las relaciones entre el riesgo de negocio, controles claves dentro de los procesos comerciales, controles automatizados y críticos para la funcionalidad. Esta guía dirige aspecto específico del riesgo TI y la evaluación de control. El documento también puede ser usado para la gobernanza en TI y directores de seguridad o encargados de diseñar la administración del riesgo TI.

La guía mejora la eficacia y la eficiencia de las funciones de auditoría  internas permitiendo enfocarse en los riesgos del negocio y reduciendo al mínimo la atención de riesgos que no son críticos en la organización.

(Fuente: International Professional Practices Framework IPPF- IIA)

 Por: Juan Villanueva Chang

Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/

 Nahun Frett

Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool

Santo Domingo, República Dominicana

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado