La gestión de riesgos es un aspecto central del trabajo de un auditor interno. Al auditor interno le interesan los riesgos que enfrenta su organización en la aplicación de los recursos que tiene a su disposición. Dentro del mapa de procesos de la auditoria interna, los riesgos de la organización es uno de los insumos para desarrollar los procesos de auditoria interna.
Foto: www.sxc.hu (Autor: Svilen Milev)
El Auditor Interno y la Gestión del Riesgo
Bajo un enfoque de los auditores internos hacia guiar sus esfuerzos en áreas que den un gran valor para las organizaciones, se ha reconocido a la evaluación del riesgo como una poderosa herramienta para determinar este enfoque.
Cuando una organización se enfrenta a un riesgo, puede tomar las siguientes decisiones acerca del mismo:
Introducir sistemas de control
Aceptar el riesgo
Transferir el riesgo
Impedir el riesgo completamente
Donde el control interno es un proceso diseñado para brindar seguridad razonable acerca del cumplimiento de objetivos en la eficacia y eficiencia de las operaciones, confiabilidad de los reportes financieros, y conformidad con las leyes y regulaciones aplicables.
Para tener una adecuada gestión de riesgos se encuentra que la dirección de la empresa es responsable de identificar los riesgos y el ambiente de control interno. La auditoria interna examina las valoraciones del riesgo y los controles internos implementados, para asegurar que son eficaces.
El resultado de un sistema de gestión de riesgos que funcione correctamente, puede ayudar al auditor interno en la planificación de la auditoria interna.
Medidas de Riesgo
La norma NTC 5254 (Norma Técnica Colombiana – ICONTEC) desarrolla una medida de riesgos basada en la combinación de una consecuencia y una probabilidad, siendo 1 el grado bajo, 2 moderado, 3 alto, y 4 muy alto.
Como posibilidad se entiende la frecuencia con la que se espera que un evento ocurra, siendo el grado 1 rara vez (una vez en 10 años), 2 improbable (una vez en cinco años), 3 posible (una vez en un año), probable (mensual), casi seguro (diaria). Las consecuencias pueden ser de diversos tipos independientes de las financieras.
Planeación de la Auditoria Interna
El plan de auditoria interna debe tener en cuenta a toda la organización, donde la planificación se realiza en dos etapas: estratégica y anual.
El plan de auditoria estratégica busca identificar actividades de la organización a gran escala, sin dejar excluida a ninguna parte de la organización; brinda una estructura para asignar los recursos a la auditoria interna con base en los riesgos que enfrenta la organización. Como primero el auditor debe identificar los objetivos y riesgos del negocio. Posteriormente tener claro cuales son las unidades auditables de la empresa, estas como segmento de la organización y sus sistemas, cada unidad auditable debe tener factores críticos de éxito, e indicadores claves de desempeño, donde la consecuencia de un evento se puede medir de acuerdo a su impacto sobre estos. Una vez se tenga identificado los riesgos, el siguiente paso es analizar los riesgos y determinar controles existentes. Finalmente se debe incluir en este plan de auditoria una revisión de la seguridad de los controles, desarrollar actividades de investigación, asesoría, y consultoria.
El plan de auditoria anual establece como se deben usar los recursos de las auditorias internas en un periodo de 12 meses; se establecen el cronograma y la asignación de recursos, junto con la justificación para seleccionar una revisión particular con relación a otras.
Autoevaluación de Control
Enfoque destinado para evaluar los controles, donde se proporciona a las unidades de negocio el conocimiento, habilidades y soporte para evaluar y monitorear sus propios riesgos. Para la implementación de esta evaluación se deben realizar una serie de pasos, los cuales se enmarcan de la siguiente manera:
Establecer objetivos del negocio y asociarlos con los objetivos corporativos.
Priorizar los objetivos del negocio, lo cual permite comprender al personal lo que es crítico para su éxito, y poder hacer una mejor ejecución de auditoria.
Valorar los riesgos: Los riesgos se identifican y valoran contra los objetivos claves del negocio.
Evaluar controles, para cada uno de los riesgos, examinar la estructura de control actual.
Determinar riesgo residual, para aceptación del riesgo
Tratamientos de riesgo adicionales, en donde el riesgo es no aceptable, el grupo debería desarrollar estrategias de tratamiento y oportunidad para abordar el riesgo.
Auditoria Interna De Los Sistemas De Control
Durante el Plan de Auditoria Anual se especifica un alcance y una valoración preliminar de los riesgos y problemas principales en el área que se va a examinar, siendo una valoración del riesgo breve; desde este punto inicial el auditor debe diseñar un programa de auditoria detallado que suministre la información que la dirección de la organización exige al proceso de auditoria interna. Esto permite brindar a seguridad acerca de la identificación de los riesgos y la operación correcta de los controles, por otra parte abordar la incertidumbre con relación a los riesgos y controles, y finalmente sugerir mejoras a los procesos de tratamientos de riesgo.
Asesoría Para El Control Interno
En la aplicación de controles hay que tener en cuenta que hay una serie de principios, los cuales se pueden aplicar a todos los sistemas de la organización, estos son: tener documentados la estructura de control y los procesos relacionados con transacciones y eventos significativos; registro pronto y apropiado de eventos y transacciones; autorización y ejecución de transacciones y eventos; separación y distribución de deberes entre diferentes personas; supervisión; acceso a los recursos, registros, y responsabilidades; y finalmente responsabilidad de cada actividad.
Análisis De Riesgos En Los Sistemas De Información
Los sistemas de información son intrínsecos y poderosos dentro de las empresas, no son una función independiente marginada del resto de la empresa. Sin embargo, los tópicos de sistemas de información presentan varios aspectos técnicos que permiten un enfoque diferente para la valoración de riesgos. Existen muchos métodos para valoración de riesgos en los sistemas de información, estos son los dos que nos propone el libro:
Método A: Es una evaluación de la valoración de riesgos del sistema de información con ocho variables claves, las cuales usan una clasificación de valor descriptivo numérico 1 (bajo) 5 (alto); los resultados de esta clasificación se multiplican por factores de ponderación que van de 1 (bajo) a 10 (alto) para obtener valor extendido. Las ocho variables claves son: Carácter crítico de la actividad y la parte de la organización que la utiliza, medidas de emergencia para continuar con las operaciones, importancia de la función, materialización o impacto sobre la organización, extensión de cambios en el sistema o proceso, complejidad, gestión de proyectos, y revisión periódica.
Método B: Extiende la valoración del método A, incorporando los riesgo del negocio, al igual que las ocho variables claves de auditoría, los cuatro factores de riesgo son el financiero, estratégico, operacional, y de conformidad legal.
