Ha llegado esa época del año en la que en los departamentos de Auditoría Interna se empieza a deliberar sobre el plan anual del próximo año. Este ejercicio es crucial por varios motivos. En primer lugar porque va a marcar nuestra actividad a corto-medio plazo. Y por otra parte, y lo que es más importante en mi opinión, porque el plan es uno de los medios a través del cual se va a hacer patente cómo Auditoría Interna cumple con su misión dentro de la organización. Por tanto el plan requiere de un cuidadoso y metódico proceso de elaboración, dejando las improvisaciones para otro momento.
Voy a recordar en esta entrada algunas nociones fundamentales y en una posterior comentaré algunos elementos de índole práctico que espero puedan ser de ayuda.
|
|
Por fortuna, los auditores internos disponemos de todo un compendio de Normas que nos guían en cualquier proceso relacionado con nuestra actividad. A fin de sentar las bases, recuerdo lo que dice la norma 2010: 'el Director de Auditoría Interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de auditoría interna'. Esto que parece evidente, no lo es tanto ya que no en todas las organizaciones existe un marco de gestión de riesgos.
La gestión activa de riesgos es una parte esencial del buen gobierno de las organizaciones y uno de los principales soportes de un sistema efectivo de controles internos. En esencia, diremos que la gestión de riesgos es un conjunto de procesos (como la toma de decisiones y la asignación de recursos) relacionados con la mitigación de los riesgos del negocio hasta un nivel aceptable. Para que la gestión de riesgos sea plenamente eficaz debe estar integrada en la propia gestión de la organización, no como un apéndice separado de la misma (esto también aplica a los sistemas de gestión de calidad) e involucrar a todos los niveles de la organización, desde el Consejo hasta la base del organigrama.
Bien, y ¿qué es la auditoría interna basada en riesgos? (o RBIA, por si te has encontrado este término alguna vez en inglés). Pues es una metodología que conecta la auditoría interna con el marco de gestión de riesgos, permitiendo a la primera prestar aseguramiento sobre cómo se están gestionando los principales riesgos de la entidad tras un análisis holístico de las mismos. Este enfoque tiene en mi opinión muchas ventajas. En primer lugar requiere de una continua re-evaluación de nuestro universo de auditoría (todos los riesgos del negocio) dando lugar a actualizaciones del plan durante el año, en función de la apreciación de los riesgos. También permite involucrar a los principales grupos de interés (Comités de Auditoría, Consejo, Alta Dirección) desde la propia fase de elaboración, quienes además van a recibir aseguramiento sobre aquellos elementos que aparecen destacados en sus agendas de 'preocupaciones'. Y por último, aunque hay muchos más motivos no me quiero alargar, este enfoque permite una mayor coordinación con los otros proveedores de aseguramiento de la organización.
Por todo esto creo que la auditoría basada en riesgos es uno de los principales facilitadores de la propuesta de valor de la función.
Leave your comments
Post comment as a guest