miércoles, 10 de marzo de 2021

ELABORACIÓN Y EJECUCIÓN DE UN PLAN DE AUDITORÍA Y MONITOREO BASADO EN EL RIESGO

El riesgo se define como un evento que puede evitar que una organización pueda lograr sus objetivos. Consideramos cuatro tipos de riesgos principales: operacionales, financieros, normativos, y reputacionales.

El plan de auditoría y monitoreo basado en el riesgo es la forma más eficaz de realizar una evaluación de riesgos en esos cuatro ámbitos.

La elaboración y ejecución de un plan de auditoría y monitoreo basado en el riesgo requiere definir grupos específicos para la identificación de los riesgos, realizar entrevistas y encuestas, así como involucrar a la alta dirección y tener en cuenta los informes sobre hallazgos derivados de las auditorías anteriores.

El plan de auditoría y monitoreo basado en el riesgo, también implica, después de identificar los riesgos, priorizarlos estableciendo la probabilidad de ocurrencia y la capacidad de impacto negativo de cada uno de ellos. Este ha de ser un proceso continuo y periódico, si es que se desea garantizar la efectividad de la tarea.

El desarrollo del plan de auditoría y monitoreo basado en el riesgo

Las normas internacionales sobre la práctica de auditorías internas dicen que la auditoría interna debe evaluar la efectividad y contribuir a la mejora de los procesos de gestión de riesgos. Esto se logra a través del desarrollo y la ejecución del plan de auditoría y monitoreo basado en el riesgo.

Las evaluaciones de riesgo y la priorización son elementos importantes en el desarrollo del plan. Las consideraciones relacionadas con el plan deben incluir:
  • La revisión de todas las áreas de negocios de la organización que van a ser auditadas.
  • Los recursos disponibles para implementar el plan.
  • Las horas necesarias para ejecutar el plan.
  • Actividades definidas de auditoría o monitoreo y la determinación sobre si son un resultado o un proceso orientado.
  • Flexibilidad para abordar los cambios en las prioridades dentro del plan.
El proceso de evaluación de riesgos continúa a través de la ejecución del plan, donde se reflejarán los objetivos propuestos. 

La ejecución del plan de auditoría y monitoreo basado en el riesgo

La auditoría y el monitoreo son actividades dinámicas y continuas dentro de la implementación de un sistema de gestión de riesgos, y debe hacerse de acuerdo con las necesidades y el contexto de la organización. Cada actividad debe tener un marco definido que proporciona a la alta dirección la comprensión de las expectativas generales y el enfoque a medida que se ejecuta el plan.

El marco, para la ejecución del plan de auditoría y monitoreo basado en el riesgo, debe:
  • Establecer el propósito y el objetivo de la auditoría o el seguimiento.
  • Identificar el alcance de los objetivos, asegurando que sean medibles y precisos.
  • Considerar si se puede necesitar asesoría legal para establecer el enfoque de la actividad.
  • Llevar a cabo una discusión inicial con el área de negocios auditada, para obtener información relacionada con las características de la auditoría, el tiempo necesario y el proceso por el que se auditará.
  • Desarrollar un formato para la presentación de informes apropiado .
  • Realizar la auditoría o el monitoreo, según corresponda.
  • Identificar hallazgos preliminares y presentar observaciones.
  • Ofrecer la oportunidad para que los hallazgos y las observaciones sean validados por la organización o por el área auditada.
  • Finalizar los informes.
  • Identificar los procesos para el seguimiento después de que la alta dirección tome medidas correctivas relacionadas con los hallazgos y las observaciones.
  • Determinar los puntos clave de la auditoría o el monitoreo que deben ser reportados a la alta dirección.
El proceso general de desarrollo y ejecución del plan de auditoría y monitoreo según ISO 31000 debe ser documentado. Esto incluye una descripción de la forma en que se realiza la evaluación de los riesgos y la metodología que se utilizó para priorizarlos.

Se deben adjuntar los documentos de trabajo que respaldan los hallazgos, los informes y las correcciones. Los planes de acción deben ser documentados y archivados apropiadamente.

Tomado de: https://www.escuelaeuropeaexcelencia.com/