La auditoría interna basada en los reportes de evaluación de riesgos

Juan Villanueva Chang

El presente artículo resalta el respaldo que cuenta el enfoque de una auditoría basada en los reportes de evaluación de riesgos desarrollados por la administración. El soporte está en la permanente actualización de las Normas Internacionales para la Práctica Profesional de la Auditoría Interna (IIA) así como la divulgación de la metodología de auditoría interna basada en riesgos por el IIA – UK. 

Es importante resaltar que esta corriente viene siendo impulsada por los diversos IIA de países europeos, fortaleciendo de esta forma la práctica del auditor interno no financiero, es decir aquel que está guiado más por las Normas del IIA que por las NIAs. Una evidencia práctica también lo constituye el amplio temario técnico que se ofrece en el programa de capacitación y entrenamiento del IIA – UK.        

Por lo general la actividad de auditoría interna se desempeña en una de las siguientes orientaciones:

• Auditoría basada en riesgos: La organización está en sus etapas iniciales de implementación de la gestión de riesgos. Obliga que el auditor intente efectuar la evaluación de riesgos exponiendo su independencia. Está centralizada en tener un mayor entendimiento del negocio y los riesgos que puedan impactar en los estados financieros según opinión de los auditores. 

• Auditoría basada en los informes de evaluación de riesgos: La auditoría interna realiza su trabajo focalizado en la evaluación de riesgos desarrollado por la entidad. Incorpora el entendimiento de la estrategia empresarial, operacional y de los objetivos estratégicos de la empresa. Evalúa preferentemente la efectividad del tratamiento de la evaluación del riesgo residual.  

Para reforzar esta segunda orientación, la metodología de auditoría interna basada en riesgos del IIA-UK pone énfasis que el auditor primero debe atreverse a medir la madurez de riesgos con la información capturada de los reportes de evaluación de riesgos, luego definir una estrategia de trabajo para desarrollar un programa de auditoría que precise las pruebas analíticas correspondientes. Es conveniente señalar que la metodología del IIA-UK deja abierta la necesidad de que cada entidad elabore su propia metodología según la naturaleza de la organización y avances. 

En forma adicional refuerzan esta última orientación las siguientes Normas IIA y Guías para la Práctica IIA:

• Guía para la Práctica del IIA “Planificación del Trabajo: Establecimiento de objetivos y alcance”. El documento recomienda adoptar los siguientes pasos para desarrollar la planificación:

• Comprender el contexto y propósito del trabajo
• Recopilar información para comprender la materia auditable
• Realizar una evaluación preliminar de los riesgos relevantes
• Formular los objetivos del trabajo
• Establecer el alcance del trabajo
• Asignar recursos apropiados y suficientes
• Documentar el Plan

• La Norma IIA 2320: “Análisis y evaluación” recomienda que para mejorar su análisis y resultados, el auditor podría emplear el análisis de causa – raíz para identificar las razones subyacentes que están en los posibles errores o causas de incumplimiento. Entre otras herramientas los cinco por qué, Pareto, etc

• Guía para la Práctica del IIA “Informes de Auditoría: garantía y compromiso de comunicación de resultados”. Se pone énfasis que las conclusiones constituyen el núcleo del informe de auditoría y que debe contener el plan de acción para superar las recomendaciones.

• La Norma IIA 2050: “Coordinación y confianza”. Resalta que la auditoría interna debe propiciar compartir información con otras unidades que ofrecen servicios de aseguramiento y consultoría, con ello se podría evitar duplicar esfuerzos. En este sentido la Guía para la Práctica IIA “Coordinando la gestión de riesgos y aseguramiento” indica la necesidad de que auditoría interna tenga un acercamiento con la unidad de riesgos para el intercambio de información. Una forma de coordinación es la elaboración de los planes de aseguramiento de riesgos y controles

• Un plan de aseguramiento de riesgos y controles permiten conocer las brechas del resultado de la evaluación de riesgos por la gestión y el resultado de las auditorías basadas en riesgos.    

En relación al plan anual de control, resulta interesante mencionar las conclusiones señaladas en el documento “Cobertura de los planes anuales de auditoría interna” del IIA-UK:

• La planificación de la auditoría interna es tanto un arte como una ciencia. 
• Cada organización es diferente, así que no hay un solo enfoque, estilo de presentación o modelo de plan anual de control que se tenga que aplicar
• Existe los siguientes elemento comunes que ayudarán a elaborar un plan anual de control:

• Concentrar la atención en el proceso de gestión de riesgos, su diseño, aplicación e informes. 
• Revisar los mecanismos para informar sobre el nivel de madurez del riesgo en la organización.
• Elaborar el plan de auditoría en torno a los riesgos de alta prioridad, las áreas clave de cambio y las necesidades de aseguramiento de las partes interesadas
• Donde sea posible trabajar con otros proveedores de aseguramiento para completar habilidades y brechas de conocimiento. 

Finalmente, para ser proactivos en la programación de las materias auditables, un grupo de IIA de Europa difunde hace dos años los tópicos que podría ser materia de atención.

El Reporte del Instituto de Auditores Internos Europeos, “Temas candentes para auditoría interna en el 2018” precisa poner énfasis a los siguientes tópicos:

• Ciber seguridad: Un camino hacia la madurez
• Reglamento General de la Protección de Datos
• Ritmo de innovación tecnológica
• Riesgo de proveedor y aseguramiento de terceros
• Fuerza de trabajo. Planificación para el futuro

Concluye el documento que la función de auditoría seguirá centrándose en la evaluación de riesgos y controles para mitigar los riesgos.

PD: No quisiera dejar pasar esta oportunidad para expresar mi profundo agradecimiento a Nahun Frett, amigo y excelente guía quien motiva a investigar los avances en la auditoría interna moderna en forma constante.

              ¿Te ha gustado la información? ¡Compártela con otro auditor interno!