Identificarse


 

 

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: CP Iván Rodríguez. Colaborador de Auditool 

El conocimiento del cliente en un enfoque de riesgos

Uno de los pasos más importantes al ejecutar una planeación de auditoría basada en riesgos, es el conocimiento del cliente. Adicionalmente a la evaluación de los documentos y datos que se efectuó con motivo de la contratación, tal como cifras de estados financieros, información sectorial, informes de auditorías previas y otros, es importante la comprensión de la manera en que el cliente gestiona sus riesgos. Para el efecto, es conveniente tener en cuenta lo siguiente:

  • Identificación de objetivos, estrategias y estructura

La comprensión de los procesos de gestión de riesgos de una organización requiere, por parte del auditor, identificar cómo se coordinan los roles y responsabilidades de gestión y gobernanza de riesgos. Normalmente, esta coordinación implica:

  • Implementación de sistemas de control por gestión operativa y de líneas.
  • Asegurar que los sistemas de gestión y control de riesgos se han diseñado eficazmente y están funcionando según lo previsto. La gestión de riesgos, el área de cumplimiento, el control de calidad y otras áreas o funciones similares proporcionan dicha garantía.
  • La prestación de asesoramiento independiente sobre los procesos de gobernanza, gestión de riesgos y control por parte de la actividad de auditoría interna.
  • Revisión de documentos claves

Antes de iniciar la evaluación del riesgo, el auditor debe revisar ciertos documentos organizativos claves, como el organigrama y el plan estratégico, con el propósito de obtener información sobre los procesos de negocio de la organización, los riesgos potenciales y los puntos de control. En los casos en que la administración del cliente ha implementado herramientas automatizadas para la supervisión continua de riesgos, los auditores pueden recopilar información de los informes de riesgo generados automáticamente. La información suplementaria puede extraerse de evaluaciones e informes previamente elaborados por auditores internos y externos. Documentos similares para unidades auditables individualmente pueden detallar los procesos operativos.  Algunos ejemplos de la información y los documentos que los auditores internos pueden recopilar está en el siguiente cuadro[1]:

Información que se recopilará

 

Documentos de origen potencial

  • ¿Qué roles de control y aseguramiento están operando en la organización (es decir, primera y segunda línea)? ¿Cuáles son las responsabilidades de cada uno?
  • ¿La organización ha implementado un marco de gestión de riesgos (ERM) en toda la empresa?
  • Organigrama.
  • Actas de reuniones con alta dirección, dirección de segunda línea y comités de riesgos.
  • ¿Cuáles son los principales objetivos, estrategias e iniciativas de la organización?
  • ¿Se proponen iniciativas importantes y proyectos de cambio en el próximo período?
  • Plan estratégico de la organización.
  • Planes estratégicos para áreas individuales críticas e iniciativas importantes.
  • Actas de reuniones entre la alta dirección y el consejo.
  • ¿Cuáles son los procesos comerciales claves de la organización?
  • ¿Cuáles son los riesgos y controles potenciales en cada proceso?
  • ¿Son realistas las estrategias, objetivos y planes?
  • ¿Se han capturado todos los riesgos relevantes?
  • Informes anuales y presentaciones públicas / regulatorias.
  • Registro de riesgos de toda la organización (también conocido como universo de riesgos)
  • Registros de riesgos de la administración (también conocidos como inventarios de riesgos) y evaluaciones de riesgos, incluidas las autoevaluaciones de riesgos y controles realizadas por los líderes de cada área de negocio (evaluaciones de riesgo operacional).
  • Resultados del monitoreo de riesgos automatizado, si se implementa.
  • Evaluaciones e informes previos de diversos proveedores de aseguramiento (funciones de segunda línea, auditores internos y externos).
  • Documentación operativa detallada (por ejemplo, mapas de procesos).
  • Informes anuales y presentaciones públicas / regulatorias.
  • Consulta con las principales partes interesadas

El auditor debe consultar con las partes interesadas claves para cumplir con los requisitos de las normas relacionadas con la Norma 2010 – Planificación, que dice que el director ejecutivo de auditoría debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. La comunicación continua es vital para permitir ajustes ágiles en los cambios. Además, dicha comunicación ayuda a garantizar que la alta dirección, la junta directiva y la actividad de auditoría interna compartan una comprensión común de las prioridades de riesgos y garantía de la organización.

  • Reuniones con la Junta Directiva y los Comités de Gobierno

Es conveniente que el auditor asista a reuniones con la junta directiva y los comités de gobierno claves (por ejemplo, comité de auditoría, comité de riesgos) y puede reunirse independientemente con miembros individuales. Asistir a estas reuniones ayuda al auditor a conocer los últimos acontecimientos en la organización y estar alerta de los riesgos potenciales que podrían resultar de los cambios.

  • Reuniones con la Administración

Además de reunirse con la junta directiva, el auditor también debe asistir a las reuniones periódicas de la alta dirección, bien sea de manera presencial o virtual y/o con aquellos que informen directamente a la alta dirección (es decir, funciones de segunda línea, como el cumplimiento, la gestión de riesgos y el control de calidad). El auditor debe hablar con altos ejecutivos individuales de forma independiente.

Para comprender mejor los procesos y desafíos empresariales en el cumplimiento de los objetivos del cliente, el auditor o los auditores pueden reunirse con miembros claves de la gestión operativa o de línea, como vicepresidentes y directores en cada área de negocio, así como con empleados que realizan tareas operativas.

  • Comunicación informal

La información obtenida informalmente puede completar la comprensión de la auditoría de la organización, proporcionando detalles realistas que no se divulgan formalmente. Las relaciones a menudo se mejoran cuando se asignan auditores internos para trabajar con líneas de negocio, áreas, ubicaciones y/o entidades jurídicas específicas. Interactuar con la administración y el personal en las distintas unidades de negocio y áreas funcionales, incluidos departamentos como, recursos humanos y marketing, ayuda a la actividad de auditoría interna a construir una imagen completa de los planes y el entorno de control de la organización.

Las interacciones informales que ocurren constantemente crean confianza, aumentando la probabilidad de que el personal se comunique con franqueza con los auditores internos y planteará preocupaciones que podrían no mencionarse en las reuniones formales. Esta apertura mejora la capacidad de la actividad de auditoría interna para evaluar el entorno de control.

  • Otras herramientas

Otras herramientas para obtener insumos en la actividad de comprensión del cliente,  incluyen encuestas, entrevistas y talleres grupales (por ejemplo, sesiones de lluvia de ideas y grupos focales). Estas herramientas son especialmente útiles para identificar riesgos emergentes y riesgos de fraude.

El auditor y los miembros del equipo de auditoría también pueden aumentar su conocimiento de los riesgos potencialmente emergentes mediante la investigación de noticias, tendencias y cambios regulatorios de la industria; en red con otros profesionales; y la búsqueda de la educación continua pertinente. Algunos interrogantes que pueden abordarse son:

  • ¿Cómo se relacionan los principales objetivos de la organización con los objetivos departamentales claves?
  • ¿Qué estrategias se utilizan para alcanzar esos objetivos?
  • ¿Qué riesgos, si ocurrieran, podrían interferir con la capacidad de la organización para alcanzar esos objetivos?

El anterior conjunto de actividades le da al auditor una visión más amplia del panorama de riesgos y la gestión del cliente sobre este asunto, lo que contribuye a enriquecer la ejecución de la auditoría.

 

[1] Tomado de: Developing a Risk-based Internal Audit Plan.  Supplemental guide. Practice Guide. IIA Global

 

CP Iván Rodríguez -  

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia


Regístrese para que pueda comentar este documento

Auditool.org

Es la Red Global de Conocimientos en Auditoría y Control Interno que le permite a los Auditores, tener acceso a metodologías de trabajo fundamentadas en buenas prácticas internacionales, entrenamiento en línea, listas de chequeo, modelos de papeles de trabajo, modelos de políticas, herramientas para la gestión de riesgos, entre otras. Permitiendo mejorar las prácticas de trabajo, ahorrando tiempo, creando y protegiendo valor en las organizaciones.
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.