Blog ORCA GRC

Elementos clave de una auditoría basada en riesgos

Escrito por Equipo de Investigación ORCA | 19 de enero de 2022

Plan de auditoría convencional

La Auditoría Interna es esencial para implementar con éxito el control de riesgos de una organización, según su apetito de riesgo; tradicionalmente, crear un plan de auditoría conlleva una carga de trabajo importante, que de forma general sigue estos procedimientos:

 

  1. Primero se construye el universo de la auditoría para incluir todos los procesos o departamentos de la organización. 
  2. A continuación, se recopila la información sobre los riesgos y se asigna la puntuación para priorizar los riesgos con precisión. 
  3. Por último, se agrega la información sobre los riesgos y se crea el plan de auditoría. 

 

Sin embargo, este proceso es deficiente desde el primer paso, pues la base del plan de auditoría es una lista de entidades, por lo que se trata de un plan de auditoría basado en entidades, lo que dificulta establecer un enfoque de prevención de riesgos

En cambio, para ejecutar con éxito una auditoría basada en riesgos, el punto de partida, el universo de auditoría utilizado en la evaluación, debe incluir objetivos y riesgos, no entidades.

Dada la frecuencia con la que surgen nuevos riesgos y las organizaciones se ven orilladas a  modificar sus objetivos para adaptarse a los cambios en el mercado y economía global, el departamento de auditoría también debe estar preparado para reaccionar rápidamente ante este dinamismo.

 

Plan de auditoría basada en riesgos 

La capacidad de cambiar planes y auditar en función de los riesgos más urgentes que amenazan a la organización para lograr sus objetivos, es fundamental para un plan basado en riesgos. 

Para ilustrar la diferencia entre el enfoque tradicional y el enfoque basado en el riesgo, podemos comparar un ejemplo de análisis de un área de Recursos Humanos. 

En el método convencional, se comienza con el departamento y se desarrollan los riesgos. Si el proceso es de alto riesgo, se agrega una auditoría de Recursos Humanos al plan y se analiza la función completa. Este resultado podría verse así:

Área: Recursos Humanos

Procesos y riesgos:

  • Proceso de contratación:
    • No contratar al mejor candidato.
    • Proceso de nueva contratación no completo.
  • Proceso para pagar a los empleados:
    • Salarios incoherentes con el mercado.
    • Pagos inexactos a los empleados.
  • Gestión de beneficios:
    • El programa de beneficios no atrae a los candidatos.
    • El programa de beneficios no retiene al personal actual.
  • Desarrollo:
    • El personal no está capacitado para las responsabilidades actuales del trabajo.
    • El personal no se ha desarrollado para una futura promoción.

 

En un plan de auditoría basado en riesgos, cambiamos la evaluación y comenzamos con los objetivos de la administración y los riesgos actuales. Luego, creamos una auditoría que aborda los riesgos específicos, no todo el proceso. La evaluación podría resultar así:

 

Objetivo: Adoptar un entorno de trabajo que dé prioridad a la distancia y que promueva la seguridad y la productividad de los empleados.

Riesgos:

  • Los requisitos tecnológicos no están diseñados para el trabajo a distancia.
  • Los programas de formación no están diseñados para enseñar las mejores prácticas de trabajo a distancia.
  • Los empleados a distancia no se gestionan ni se evalúan adecuadamente.
  • Las diferencias demográficas entre los empleados pueden dar lugar a expectativas insatisfechas.
  • Los edificios y equipos de la empresa pierden utilidad.
  • Los programas de beneficios para los empleados no están diseñados para los trabajadores a distancia.

Si bien algunos de los riesgos del segundo modelo son de naturaleza similar al ejemplo convencional, se puede ver que el enfoque de la auditoría basada en riesgos es muy diferente; por lo que ahora nos centraremos en los elementos de este modelo de auditoría que resultan en ventajas competitivas para el negocio.

 

5 claves de la auditoría basada en riesgos 

1. Priorización de los riesgos críticos

De acuerdo a los riesgos identificados como de mayor relevancia se desarrollan las diferentes revisiones.Todo riesgo relevante debe tener una política, estrategia, límites y estructura clara de cómo la organización lo administra.

En la medida que los riesgos más importantes tengan un mayor control, es más probable que la organización se encuentre entre límites aceptados.

 

2. Enfocado en procesos

A diferencia de centrar los esfuerzos de auditoría en temas estrictamente financieros, se realiza el mapeo de los procesos críticos de la organización, paso fundamental previo a la gestión del riesgo operativo. 

Es en los procesos críticos, sea desde el punto de vista de continuidad o de impacto, en los que la auditoría debe focalizar sus revisiones, posibles errores o bien, posibles mejoras en el proceso. 

 

3. Se especializa en el negocio

Lejos de un enfoque estándar de auditoría aplicable a cualquier industria, se establece un enfoque centrado en el negocio ayuda a la organización a lograr sus objetivos.

Al crear planes de auditoría efectivos desde el entendimiento del funcionamiento de las líneas de negocio y evaluación de los riesgos comprendiendo la especificidad y alcance de cada uno.

 

4. Es integral

Evalúan la gestión de cada riesgo o de cada proceso crítico desde tres perspectivas: 

 

  1. Gobierno, para asegurar que la estructura de roles y responsabilidades funcione.
  2. Riesgo, para comprender si la toma de decisiones sigue la estrategia del riesgo de la organización.
  3. Control, para asegurar que las medidas preventivas o mitigadoras forman parte de la cultura de todos los colaboradores.

 

5. Genera valor

Agrega valor al proporcionar una visión profunda sobre las áreas de riesgo más críticas y de mayor importancia para la administración y continuidad del negocio.

En el entorno dinámico actual, un plan de auditoría basada en riesgos es más valioso para cualquier organización; puesto que, adoptar este cambio de enfoque alinea al departamento de auditoría directamente con la estrategia de la administración. 

Si quieres saber más sobre cómo eficientar tu control y gestión de riesgos, obtén nuestra guía donde encontrarás soluciones estratégicas para mejorar el control interno de procesos críticos y conoce cómo asegurar la gestión de tu organización bajo un ambiente de control de acuerdo al apetito de riesgo, para conseguir los objetivos de negocio.

 
Ver post completo