Story Transcript
Uso del Proceso de Gestión de Riesgos en el Plan de Auditoría Interna Norma Principalmente Relacionada 2010‐ Planificación El director ejecutivo de auditoría debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de Auditoría Interna. Dichos planes deberán ser consistentes con las metas de la organización.
Interpretación: El director ejecutivo de auditoría es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque, el director ejecutivo de auditoría utilizará su propio juicio sobre los riesgos después de considerar las aportaciones de la alta dirección y el consejo, el director ejecutivo de auditoria debe revisar y ajustar el plan cuando sea necesario como respuesta a los cambios en el negocio de, los riesgos, las operaciones, los programas, los sistemas y los controles.
Consejo para la Práctica 2010‐2 1. La gestión de riesgos es una parte fundamental para la existencia de un gobierno sólido que trate todas las actividades de la organización. Muchas organizaciones comienzan a adoptar un enfoque holístico y coherente para la gestión de riesgos que, idealmente, debe encontrarse plenamente integrado en la gestión de la organización. Este enfoque se aplica a todos los niveles de la organización: unidades empresariales, unidades funcionales y unidades comerciales. La alta dirección utiliza habitualmente un marco de gestión de riesgos para dirigir las evaluaciones y documentar los resultados obtenidos. 2. Disponer de un proceso de gestión de riesgos efectivo facilita la identificación de controles clave relacionados con los riesgos inherentes importantes. Gestión de riesgos empresariales (ERM, por sus siglas en inglés) es un término de uso común. El committee of sponsoring organizations (COSO) of the treadway commission define el ERM Como: ‘’un proceso efectuado por el consejo, la alta dirección y restante personal de una entidad, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar acontecimientos potenciales que pueden afectar a la entidad, gestionar sus riesgos dentro de su apetito de riesgo y proporcionar una seguridad razonable sobre el logro de los objetivos de la entidad’’. La implantación de controles es un método común que utiliza la dirección para la gestión del riesgo dentro de su apetito de riesgo. Los auditores internos auditan los controles clave y ofrecen aseguramiento en la gestión de riesgos significativos.
3. Las normas internacionales para la práctica profesional de la auditoría interna (las Normas) definen control como: ‘’cualquier medida que tome la dirección, el consejo y otras partes para gestionar los riesgos y aumentar las probabilidades de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzaran los objetivos y metas” 4. Existen dos conceptos de riesgos fundamentales: el riesgo inherente y el riesgo residual (también conocido como riesgo existente). Durante mucho tiempo, los auditores internos y externos han definido el concepto de riesgo inherente como la susceptibilidad de la información o datos frente a omisiones materiales, asumiendo que no existen controles de mitigación. Las normas definen el riesgo residual como: ‘’el riesgo que permanece después de que se hayan realizado las acciones para reducir el impacto y la probabilidad de un acontecimiento adverso, incluyendo las actividades de control en respuesta a un riesgo’’. Por su lado, el riesgo existente se define como el riesgo gestionado con los controles o sistemas de control existentes. 5. Los controles clave pueden definirse como los controles o grupos de controles que ayudan a reducir un riesgo inaceptable a un nivel tolerable. Los controles pueden ser principalmente concebidos como procesos organizacionales elaborados para abordar los riesgos. En un proceso de gestión de riesgos efectivo (con la documentación adecuada), los controles claves pueden identificarse fácilmente tomando la diferencia entre el riesgo inherente y el riesgo residual de los sistemas afectados diseñados para reducir la calificación de los riesgos significativos. Si el riesgo inherente no recibe una calificación, el auditor interno la estimará. Para identificar los controles clave (y suponiendo que el auditor interno ha dictaminado que el proceso de gestión de riesgos es maduro y fiable), el auditor interno buscará: Factores de riesgo individuales en los que se experimente una reducción significativa de riesgo inherente a riesgo residual (particularmente si el riesgo inherente era muy alto). De esta forma se destacan los controles que son importantes para la organización. Controles que sirven para mitigar un gran número de riesgos. 6. La planificación de auditoría interna necesita hacer uso del proceso de gestión de riesgos organizacional, si este ha sido desarrollado. Al planificar un trabajo, el auditor interno tiene en consideración los riesgos significativos de la actividad y los medios mediante los cuales la dirección puede paliar el riesgo hasta un nivel aceptable. El auditor interno utiliza técnicas de evaluación de riesgos en el desarrollo del plan de la actividad de auditoría interna, así como para determinar prioridades a la hora de asignar recursos de auditoría interna. La evaluación de riesgos se utiliza para examinar las unidades auditables y selecciona las áreas sujetas a análisis
que deben incluirse en el plan de la actividad de auditoría interna y que tienen mayor exposición al riesgo. 7. Los auditores internos podrían no estar cualificados para analizar cada categoría de riesgos y el proceso ERM dentro de la organización (por ejemplo, auditorías internas de seguridad e higiene en el lugar de trabajo, auditorias medioambientales o instrumentos financieros complejos). El director ejecutivo de auditoría se asegurara de que se utilicen los auditores internos o proveedores de servicios externos adecuados. 8. Los procesos y sistemas de gestión de riesgos no se estructuran de la misma manera en todo el mundo. El nivel de madurez de una organización en relación con la gestión de riesgos es diferente en cada organización. En las organizaciones con una actividad de gestión de riesgos centralizada, el papel que esta actividad desempeña va desde la coordinación con la dirección de la revisión periódica de la estructura de control interno a la actualización de la estructura según la evolución del apetito de riesgo. Los procesos de gestión de riesgos que se utilizan en diferentes partes del mundo pueden tener lógicas, estructuras y terminologías distintas. Por lo tanto, los auditores internos evalúan el proceso de gestión de riesgos de la organización y determinan que partes pueden utilizarse en el desarrollo del plan de la actividad de auditoría interna y cuales pueden utilizarse para la planificación de trabajo individuales de auditoría interna. 9. Entre los factores que el auditor interno tiene en consideración a la hora de desarrollar el plan de auditoría interna, se incluyen: Riesgos inherentes ‐ ¿Se han identificado y evaluado? Riesgos residuales ‐ ¿Se han identificado y evaluado? Controles de mitigación, planes de contingencia y actividades de supervisión ‐ ¿Están vinculados a los acontecimientos o riesgos individuales? Registros de riesgos ‐ ¿Son sistemáticos, completos y precisos? Documentación ‐ ¿Están documentados los riesgos y las actividades? Además, el auditor interno se coordinara con otros proveedores de aseguramiento, en cuyo trabajo deberá confiar. Remitirse al consejo para la practica 2050‐2; mapas de aseguramiento. 10. El estatuto de auditoría interna requiere normalmente que la actividad de auditoría interna se centre en áreas de alto riesgo, incluyendo los riesgos residuales e inherentes. La actividad de auditoría interna necesita identificar áreas de alto riesgo inherente, alto riesgo residual y los sistemas de control claves en los que se sustenta la organización. Si la actividad de auditoría interna identifica áreas de riesgo residual inaceptable, la dirección debe notificarlo para que esta pueda abordarse.
Como consecuencia debe llevar a cabo un proceso de planificación estratégica de auditoría, el auditor interno será capaz de identificar diferentes tipos de actividades que serán incluidas en el plan de la actividad de auditoría interna. Entre otras: Actividades de análisis/ aseguramiento de control: el auditor interno analiza la adecuación y eficacia de los sistemas de control y ofrece la seguridad de que los controles funcionan y los riesgos son gestionados de manera efectiva. Actividades de investigación: la gestión organizacional tiene un nivel inaceptable de incertidumbre sobre los controles relacionados con la actividad del negocio o área de riesgo identificada, el auditor interno lleva a cabo procedimientos para obtener un mejor entendimiento de los riesgos residuales. Actividades de consulta: el auditor interno aconseja la gestión organizacional en el desarrollo de sistemas de control para mitigar riesgos actuales inaceptables. Loa auditores internos también tratan de identificar controles innecesarios, redundantes, excesivos o complejos que reducen el riesgo de manera ineficiente. En estos casos, el coste de control puede llegar a ser mayor que el beneficio obtenido y, por lo tanto, hay una oportunidad para que el diseño del control gane eficiencia. 11. Para asegurar que los riesgos relevantes son identificados, el enfoque para la identificación de riesgos es sistemático y está documentado con claridad. La documentación abarcara desde el uso de una hoja de cálculo en una organización pequeña hasta el software para suministros de un proveedor en una organización más sofisticada. Lo esencial es que el marco de la gestión de riesgos este íntegramente documentado. 12. La documentación de la gestión de riesgos en una organización puede estar a varios niveles por debajo del proceso de gestión de riesgos. Muchas organizaciones han desarrollado registros de riesgos para documentar los riesgos inferiores al nivel estratégico, proporcionando documentación sobre riesgos significativos en un área y calificaciones de riesgos inherentes y residuales relacionados, controles clave y factores de mitigación. Entonces, puede emprenderse un ejercicio de alineamiento para identificar los vínculos más directos entre las ‘’categorías’’ de riesgos y ‘’ aspectos’’ descritos en el registro de riesgos y, cuando corresponda, los elementos incluidos en el universo de la auditoria documentados por la actividad de auditoría interna. 13. Algunas organizaciones pueden identificar varias áreas de alto (o más alto) riesgo inherente. Aunque estos riesgos pueden garantizar la atención de la actividad de auditoría interna, no siempre es posible analizarlos todos. Cuando el registro de riesgos presente una calificación alta, o superior, de riesgo inherente en un área particular, el riesgo residual permanezca intacto durante un largo tiempo y la dirección no tome medidas ni se planifique una actividad de auditoría interna, el director ejecutivo de auditoría informará al consejo
independientemente sobre dichas áreas, aportando información sobre el análisis de riesgos y las razones para la carencia de controles internos o la inefectividad de éstos. 14. En el plan de actividad de auditoría interna debe incluirse periódicamente una selección de auditorías de sucursales o unidades de negocio con bajo nivel de riesgo para ofrecerles cobertura y confirmar que sus riesgos no han cambiado. Además, la actividad de auditoría interna establece un método para priorizar los riesgos que están por resolver y que aún no están sujetos a una auditoría interna. 15. Un plan de actividad de auditoría interna, se centra en: Riesgos existentes inaceptables para los que se requiere intervención de la dirección. Se trataría de áreas con controles clave o factores de mitigación mínimos que la alta dirección desea auditar de inmediato. Sistemas de control de los que depende la organización. Áreas con una gran diferencia entre riesgo inherente y riesgo residual. Áreas con un riesgo inherente muy alto. 16. A la hora de planificar auditorías internas individuales, el auditor interno identifica y evalúa los riesgos relevantes en el área objeto de análisis.