El riesgo se define como un evento que puede evitar que una organización pueda lograr sus objetivos. Consideramos cuatro tipos de riesgos principales: operacionales, financieros, normativos, y reputacionales.
El plan de auditoría y monitoreo basado en el riesgo es la forma más eficaz de realizar una evaluación de riesgos en esos cuatro ámbitos.
La elaboración y ejecución de un plan de auditoría y monitoreo basado en el riesgo requiere definir grupos específicos para la identificación de los riesgos, realizar entrevistas y encuestas, así como involucrar a la alta dirección y tener en cuenta los informes sobre hallazgos derivados de las auditorías anteriores.
El plan de auditoría y monitoreo basado en el riesgo, también implica, después de identificar los riesgos, priorizarlos estableciendo la probabilidad de ocurrencia y la capacidad de impacto negativo de cada uno de ellos. Este ha de ser un proceso continuo y periódico, si es que se desea garantizar la efectividad de la tarea.
El desarrollo del plan de auditoría y monitoreo basado en el riesgo
Las normas internacionales sobre la práctica de auditorías internas dicen que la auditoría interna debe evaluar la efectividad y contribuir a la mejora de los procesos de gestión de riesgos. Esto se logra a través del desarrollo y la ejecución del plan de auditoría y monitoreo basado en el riesgo.
Las evaluaciones de riesgo y la priorización son elementos importantes en el desarrollo del plan. Las consideraciones relacionadas con el plan deben incluir:
- La revisión de todas las áreas de negocios de la organización que van a ser auditadas.
- Los recursos disponibles para implementar el plan.
- Las horas necesarias para ejecutar el plan.
- Actividades definidas de auditoría o monitoreo y la determinación sobre si son un resultado o un proceso orientado.
- Flexibilidad para abordar los cambios en las prioridades dentro del plan.
El proceso de evaluación de riesgos continúa a través de la ejecución del plan, donde se reflejarán los objetivos propuestos.
La ejecución del plan de auditoría y monitoreo basado en el riesgo
La auditoría y el monitoreo son actividades dinámicas y continuas dentro de la implementación de un sistema de gestión de riesgos, y debe hacerse de acuerdo con las necesidades y el contexto de la organización. Cada actividad debe tener un marco definido que proporciona a la alta dirección la comprensión de las expectativas generales y el enfoque a medida que se ejecuta el plan.
El marco, para la ejecución del plan de auditoría y monitoreo basado en el riesgo, debe:
- Establecer el propósito y el objetivo de la auditoría o el seguimiento.
- Identificar el alcance de los objetivos, asegurando que sean medibles y precisos.
- Considerar si se puede necesitar asesoría legal para establecer el enfoque de la actividad.
- Llevar a cabo una discusión inicial con el área de negocios auditada, para obtener información relacionada con las características de la auditoría, el tiempo necesario y el proceso por el que se auditará.
- Desarrollar un formato para la presentación de informes apropiado .
- Realizar la auditoría o el monitoreo, según corresponda.
- Identificar hallazgos preliminares y presentar observaciones.
- Ofrecer la oportunidad para que los hallazgos y las observaciones sean validados por la organización o por el área auditada.
- Finalizar los informes.
- Identificar los procesos para el seguimiento después de que la alta dirección tome medidas correctivas relacionadas con los hallazgos y las observaciones.
- Determinar los puntos clave de la auditoría o el monitoreo que deben ser reportados a la alta dirección.
El proceso general de desarrollo y ejecución del plan de auditoría y monitoreo según ISO 31000 debe ser documentado. Esto incluye una descripción de la forma en que se realiza la evaluación de los riesgos y la metodología que se utilizó para priorizarlos.
Se deben adjuntar los documentos de trabajo que respaldan los hallazgos, los informes y las correcciones. Los planes de acción deben ser documentados y archivados apropiadamente.
Tomado de: https://www.escuelaeuropeaexcelencia.com/