Metodologia de Auditoria Interna Basada en Riesgos para una Institución Financiera
Metodología de Auditoría Interna Basada en Riesgos: Un Enfoque Sistemático y Disciplinado
La auditoría interna, para
mantener su relevancia y aportar valor significativo al gobierno, la gestión de
riesgos y los controles internos de una organización, debe adoptar un enfoque
sistemático y disciplinado basado en riesgos. Este enfoque estratégico asegura
que los esfuerzos de auditoría se centren en las áreas de mayor riesgo para la
consecución de los objetivos organizacionales.
El director de Auditoría Interna
(DAI) es responsable de establecer metodologías (políticas, procesos y
procedimientos) que guíen la Función de Auditoría Interna en el logro de su
Mandato y la conformidad con las Normas Globales de Auditoría Interna. Estas
metodologías deben cubrir desde la evaluación de riesgos hasta la ejecución de
los trabajos y la comunicación de resultados.
A continuación, se detalla una metodología de auditoría
basada en riesgos, estructurada en fases clave:
I. Planificación Estratégica de la Función de Auditoría Interna
La planificación estratégica es
el punto de partida para asegurar que la Función de Auditoría Interna cumpla su
mandato y se posicione con éxito a largo plazo. Implica comprender el entorno
de la organización y sus riesgos clave.
1.Comprensión de los Procesos de Gobierno, Gestión de Riesgos y Control:
a. El DAI debe comprender cómo la
organización identifica, evalúa y gestiona sus riesgos significativos, así como
la madurez de sus procesos de gestión de riesgos. Esto incluye conocer el apetito
de riesgo definido por la organización y su tolerancia al riesgo.
b. Se debe revisar información de
la Alta Dirección, el Consejo, y otros proveedores de aseguramiento.
c. El DAI puede desarrollar una matriz
de riesgos y controles a nivel de toda la organización para documentar los
riesgos identificados, su importancia relativa y los controles clave. Esta
matriz es una herramienta clave para vincular objetivos de negocio, procesos de
control e información para apoyar el proceso de auditoría.
2. Evaluación de Riesgos a Nivel de toda la Organización (Universo Auditable):
a. El Plan de Auditoría Interna
debe basarse en una evaluación documentada de las estrategias, objetivos y
riesgos de la organización. Esta evaluación debe nutrirse de la información
de la Alta Dirección, el Consejo, y la comprensión de los procesos de gobierno,
gestión de riesgos y control.
b. Se debe organizar un universo auditable que
incluya unidades de negocio, procesos, programas y sistemas potencialmente
auditables, vinculándolos a los riesgos clave.
c. La importancia de los riesgos
se valora normalmente en términos de impacto y probabilidad. Se deben
considerar los riesgos residuales y los riesgos que podrían estar
ligados a más de una unidad de negocio, como los relacionados con la ética, el
fraude, la tecnología de la información, terceros o el incumplimiento
regulatorio.
d. El DAI debe tener una
estrategia para asegurar que todos los riesgos significativos, nuevos o
emergentes sean identificados y considerados.
3. Desarrollo del Plan de Auditoría Interna Anual:
a. El plan debe apoyar el logro de los objetivos de la
organización y estar basado en la evaluación de riesgos realizada.
Debe incluir:
a.1 Una lista de trabajos propuestos (aseguramiento o
asesoramiento).
a.2 La justificación de cada trabajo (ej. importancia
del riesgo, requerimiento legal, tiempo transcurrido desde la última auditoría).
a.3 El propósito general y el alcance preliminar de
cada trabajo.
a.4 Actividades para mejorar la Función de Auditoría Interna.
a.5 Tiempo reservado para contingencias y solicitudes ad hoc.
b. La planificación puede incorporar conceptos de auditoría
continua o auditoría ágil para responder dinámicamente a los cambios.
c. Los trabajos deben priorizar áreas con niveles
significativos de riesgo residual y aquellos requeridos por ley o que son
críticos para la misión de la organización.
4.Coordinación con Otros Proveedores de Aseguramiento:
a. El DAI debe coordinarse con proveedores internos y
externos para minimizar la duplicación de esfuerzos y señalar las brechas de
cobertura de riesgos.
b. Se debe desarrollar una metodología para evaluar a otros
proveedores y determinar la base para confiar en su trabajo,
considerando su independencia, competencia, objetividad y debido cuidado
profesional3536.
c. Un mapa de aseguramiento puede vincular las
categorías de riesgo significativas con las fuentes relevantes de aseguramiento
para identificar brechas y duplicidades.
II. Planificación Eficaz del Trabajo de Auditoría (Engagement)
Cada trabajo de auditoría debe planificarse con un enfoque
sistemático y disciplinado.
1.Comunicación durante el Trabajo:
a. La comunicación debe ser eficaz, precisa, objetiva,
clara, concisa, constructiva, completa y oportuna en todas las etapas del
trabajo.
b. Esto incluye comunicaciones iniciales (aviso, memorándum,
reunión de apertura) y finales (borradores de hallazgos, recomendaciones,
conclusiones, planes de acción).
c. En caso de desacuerdo, la comunicación final debe incluir
ambos puntos de vista.
2.Evaluación de los Riesgos para la Actividad bajo Revisión:
a. Los auditores internos deben comprender
la actividad bajo revisión, sus estrategias, objetivos y riesgos
relevantes, la tolerancia de riesgo de la organización, y los procesos de
gobierno, gestión de riesgos y control de la actividad.
b. Se debe recopilar información
suficiente de fuentes como evaluaciones de riesgos previas, resultados de
trabajos anteriores y normativa aplicable.
c. Identificación y Análisis
de Riesgos:
c.1 Identificar los riesgos
significativos para los objetivos de la actividad.
c.2 Identificar cómo la actividad
controla sus riesgos para mantenerlos dentro de la tolerancia de la
organización.
c.3 Evaluar la importancia de
los riesgos en términos de impacto y probabilidad.
c. 4 Evaluar la idoneidad de
los procesos de control de la actividad.
c.5 Considerar riesgos
específicos como fraude, TI y sistemas.
d. Matriz de Riesgos y
Controles:
d.1Los auditores internos pueden crear un cuadro, hoja de
cálculo o herramienta similar para documentar los objetivos, los riesgos y los
controles diseñados para gestionarlos.
d.2 Esta matriz de riesgos y controles es crucial.
Permite aplicar juicio profesional para estimar la importancia preliminar
(combinación de impacto y probabilidad).
d.3 Durante la ejecución, la matriz se puede expandir para
vincular riesgos y controles con la causa, el evento de riesgo, el efecto
(consecuencia), el riesgo inherente y el tipo de control (preventivo,
detectivo, correctivo).
d.4 Los riesgos más importantes pueden priorizarse y
visualizarse con un mapa de calor.
d.5 La documentación de esta matriz y las evaluaciones de
diseño de controles son evidencia de conformidad.
3.Establecimiento de Objetivos y Alcance del Trabajo:
a. Los objetivos deben articular
el propósito y considerar los resultados de la evaluación de riesgos.
b. El alcance define el enfoque y
los perímetros (actividades, ubicaciones, procesos, sistemas, periodo de
tiempo) y debe ser suficiente para lograr los objetivos. Las limitaciones al
alcance deben declararse.
c. Los objetivos y el alcance de
los trabajos de aseguramiento son determinados por los auditores internos,
mientras que en los de asesoramiento suelen serlo por la parte solicitante.
4.Identificación de Criterios de Evaluación:
a. Los auditores internos deben
identificar criterios medibles que se emplearán para evaluar la
actividad bajo revisión.
b. Se debe comprobar si la
Dirección o el Consejo han establecido criterios adecuados; si lo son, se usan,
si no, los auditores internos los identifican en colaboración con la Dirección.
c. Ejemplos de criterios: internos
(políticas, procedimientos, indicadores clave de desempeño - KPIs,
metas), externos (leyes, regulaciones, obligaciones contractuales), y prácticas
oficiales (marcos, normas, guías, benchmarks específicos para el sector).
d. Los criterios deben ser
específicos y medibles para poder determinar la diferencia entre el estado
deseado y la condición existente, lo cual permite identificar hallazgos y
determinar su importancia.
5.Asignación de Recursos para el Trabajo:
a. Considerar la asignación
eficaz y eficiente de recursos financieros, humanos y tecnológicos. Esto
incluye las competencias especializadas de los auditores internos y el tiempo
requerido.
6.Desarrollo del Programa de Trabajo:
a. El programa de trabajo detalla
los procedimientos para analizar y evaluar la información.
b. Puede ampliar la matriz de
riesgos y controles vinculando riesgos y controles con el enfoque de
pruebas.
c. Debe especificar objetivos,
criterios, metodologías de las pruebas (ej. procedimientos analíticos para
probar la eficacia de controles clave), y la metodología de muestreo
(población y tamaño).
d. Incluye la evaluación de la
idoneidad del diseño de los controles.
III. Ejecución de los Trabajos de Auditoría
Esta fase implica la
recopilación, análisis y evaluación de la información para desarrollar
hallazgos y conclusiones.
1.Recopilación de Información para el Análisis y Evaluación:
a. La información debe ser relevante,
fiable y suficiente para respaldar los hallazgos. Es fiable si se obtiene
directamente de una fuente independiente, se corrobora, o proviene de un
sistema con procesos eficaces de gobierno, gestión de riesgos y control. Es
suficiente si permite repetir el trabajo y llegar a las mismas conclusiones.
b. Se deben aplicar métodos de
muestreo para asegurar la representatividad de la muestra si no se analiza
la población completa.
2.Análisis y Potenciales Hallazgos de Auditoría:
a. Se analiza la información para
identificar diferencias entre los criterios de evaluación (estado deseado)
y el estado existente (condición). Estas diferencias constituyen
hallazgos potenciales (ej. errores, irregularidades, oportunidades de mejora).
b. El programa de trabajo puede
incluir diversos análisis cuantitativos y cualitativos: pruebas de
precisión/eficacia, pruebas de razonabilidad, análisis de ratios, tendencias y
regresión, comparaciones con presupuestos/previsiones.
c. Se debe determinar la
extensión y tipos de procedimientos adicionales para evaluar hallazgos, su
causa, efecto e importancia, considerando los costes y beneficios de
realizar análisis adicionales.
3.Evaluación de los Hallazgos:
a. Los auditores internos deben
evaluar cada hallazgo potencial para determinar su importancia.
b. Esto implica identificar la causa
fundamental (causa raíz), determinar los potenciales efectos o impacto
(que pueden ser objetivamente cuantificables o estimables).
c. La importancia del riesgo se
considera en términos de probabilidad e impacto.
d. Se debe asignar una calificación
(rating), clasificación u otra indicación de la prioridad de cada hallazgo
en base a su importancia, utilizando las metodologías establecidas por el
DAI. Ejemplos de calificaciones son "bajo", "medio",
"alto" o "crítico".
e. Para determinar la
importancia, se evalúan los controles existentes y se calcula el riesgo
residual.
f. Los hallazgos deben
documentarse con criterios, condición, causa, efecto, calificación de
importancia y recomendaciones.
4.Recomendaciones y Planes de Acción:
a. Se formulan recomendaciones
para resolver las diferencias, mitigar riesgos y mejorar la actividad.
b. Se debaten las recomendaciones
con la Dirección, evaluando su viabilidad y razonabilidad, lo que a
menudo incluye un análisis de coste-beneficio.
c. Para los trabajos de
aseguramiento, se deben obtener los planes de acción de la Dirección
para abordar la causa raíz de cada hallazgo.
5.Desarrollo de las Conclusiones del Trabajo:
a. Las calificaciones
individuales de los hallazgos se agregan para determinar una conclusión
global o resumen sobre la actividad bajo revisión.
b. Las metodologías del DAI deben
proporcionar una escala de calificación (ej. "satisfactorio",
"parcialmente satisfactorio", "necesita mejora", "no
satisfactorio") que asegure un aseguramiento razonable y se base en el apetito
de riesgo global de la organización y la tolerancia de riesgo de la
actividad.
c. La conclusión debe incluir el
juicio de los auditores internos sobre la eficacia de los procesos de gobierno,
gestión de riesgos y/o control.
IV. Documentación de los Trabajos de Auditoría
La documentación es fundamental
para respaldar los hallazgos y conclusiones, permitir la supervisión y evaluar
la calidad del trabajo.
a. Debe ser suficiente para que
un auditor prudente e informado pueda repetir el trabajo y obtener los mismos
resultados.
b. Incluye: la fecha/periodo del
trabajo, el programa de trabajo, el análisis de riesgos, objetivos y alcance,
detalles de los análisis y fuentes de datos, hallazgos, recomendaciones,
conclusiones, evidencias de comunicaciones, nombres de participantes y revisores.
c. La matriz de riesgos y
controles es un componente clave de los papeles de trabajo.
d. El DAI debe establecer una
metodología para la revisión de los papeles de trabajo.
V. Monitorización de los Planes de Acción
El seguimiento es crucial para
asegurar que los hallazgos se aborden y los riesgos se mitiguen.
a. Los auditores internos deben confirmar
que la Dirección ha implementado los planes de acción acordados.
b. La metodología de seguimiento
incluye consultas sobre el progreso, realización de evaluaciones de
seguimiento y análisis y la actualización del estado de los planes de
acción en un sistema de seguimiento (ej. software, hoja de cálculo).
c. Si los planes de acción no se
implementan en los plazos, se debe obtener una explicación de la Dirección y,
si es necesario, escalar la cuestión al DAI para determinar si se ha aceptado
el riesgo de demora o inacción. Las evaluaciones de seguimiento y análisis se
realizan según la importancia del riesgo.
VI. Resultados (Informe de Auditoría)
El informe de auditoría es la
comunicación final del trabajo y debe ser una declaración cuyo objetivo es dar
confianza sobre las condiciones en comparación con determinados criterios. Los
auditores internos son responsables de emitir una comunicación después de
completar el trabajo y de comunicar a la Dirección los hallazgos,
recomendaciones, conclusiones y planes de acción.
Estructura y contenido del informe de auditoría:
Título o referencia.
Declaración de los hechos
(hallazgos): Los hallazgos deben incluir:
Condición: El estado
existente o lo que se encontró en la actividad bajo revisión.
Criterio: El estado
deseado, las expectativas, políticas, procedimientos, leyes, regulaciones, o
estándares contra los cuales se compara la condición.
Causa: La razón
fundamental o causa raíz de la diferencia entre la condición y el criterio, a
menudo relacionada con una deficiencia de control.
Efecto/Riesgo: El impacto
o la consecuencia de la diferencia, explicando por qué la condición es motivo
de preocupación. Esto puede ser cuantificable o una estimación.
Corroboración: Los hechos
deben ser corroborados por ejemplos relevantes, analítica de datos, tablas o
gráficos.
Importancia del hallazgo:
Debe incluir una calificación, clasificación u otro indicador de la prioridad
de cada hallazgo, en base a su importancia, utilizando las metodologías
establecidas por el director de Auditoría Interna. Ejemplos de calificaciones
son "bajo", "medio", "alto" o "crítico".
Recomendaciones: Acciones
sugeridas para resolver las diferencias, mitigar los riesgos identificados o
mejorar la actividad bajo revisión. Deben ser discutidas con la Dirección de
la actividad bajo revisión. Los auditores pueden proponer varias opciones a la
Dirección.
Planes de acción de la
Dirección: Para los trabajos de aseguramiento, los auditores internos deben
obtener los planes de acción de la Dirección para abordar la causa raíz de cada
hallazgo. Estos planes deben incluir las acciones correctivas, el
"dueño" responsable de la acción y la fecha prevista de
implementación. La Dirección es responsable de determinar el curso de acción y
de implementar los planes. Los trabajos de asesoramiento no requieren planes
de acción.
Conclusión del trabajo: Es
el juicio profesional del auditor interno sobre el significado global de los
hallazgos del trabajo, considerados de manera conjunta. Debe incluir un resumen
de los hallazgos y los resultados del trabajo en relación con sus objetivos y
alcance. Para los trabajos de aseguramiento, debe incluir el juicio sobre la
eficacia de los procesos de gobierno, gestión de riesgos y/o control de la
actividad bajo revisión. La conclusión debe ser desarrollada según las
metodologías establecidas por la Función de Auditoría Interna y basada en el
apetito global de riesgo de la organización.
Desacuerdos: En caso de
desacuerdo entre los auditores internos y la Dirección sobre un hallazgo,
recomendación o conclusión, la comunicación final debe declarar ambas
posiciones y los motivos de las diferencias.
Características de la
comunicación: La comunicación debe ser precisa, objetiva, clara, concisa,
constructiva, completa y oportuna. Los auditores deben evitar redundancias y
expresarse en un tono colaborativo y útil. Las comunicaciones deben adaptarse a
los diferentes destinatarios (Alta Dirección, Consejo, Dirección de la
actividad).
La documentación de los trabajos,
incluyendo los papeles de trabajo, respalda los hallazgos, recomendaciones y
conclusiones del informe y debe ser tan completa que un auditor informado y
prudente pueda repetir el trabajo y obtener los mismos resultados.
VII. Seguimiento de Recomendaciones y Medición de la Efectividad
El seguimiento de las
recomendaciones es un componente crucial de la auditoría interna. Los auditores
internos deben confirmar que la Dirección ha implementado los planes de acción
acordados y monitorizar el progreso de la Dirección hacia la finalización de
estos planes.
Metodología de seguimiento de
recomendaciones:
La metodología de seguimiento
debe ser establecida por el director de Auditoría Interna y debe incluir:
a. Consultas sobre el progreso
de los planes de acción: Mantener comunicación continua con la Dirección.
b. Realización de evaluaciones
de seguimiento y análisis: Para confirmar que los planes de acción han
abordado eficazmente los hallazgos y mitigado los riesgos significativos. Esto
puede realizarse para todos los planes o para una selección basada en la
importancia del riesgo.
c. Actualización del estado de
los planes de acción en el sistema de seguimiento: Un programa de software,
hoja de cálculo o sistema se utiliza comúnmente para hacer el seguimiento del
estado (abierto, vencido, etc.). Este sistema puede automatizar notificaciones
a las partes apropiadas.
d. Verificación de cambios:
La Dirección debe notificar cualquier cambio en la actividad que pueda hacer
que los hallazgos o planes de acción ya no sean aplicables. Los auditores deben
verificar estos cambios.
e. Gestión de riesgos
aceptados: Si la Dirección no ha implementado los planes de acción en los
plazos establecidos, se deben obtener y documentar las explicaciones. El director
de Auditoría Interna es responsable de determinar si la Alta Dirección ha
aceptado el riesgo de demora o de no llevar a cabo la acción.
VIII Indicadores de desempeño
Las normas globales de auditoria
dan una base sólida para la medición del desempeño que se alinea con sus
principios. Los indicadores deben ser Específicos, Medibles, Alcanzables,
Relevantes y con un Plazo definido.
El director de Auditoría Interna
debe desarrollar objetivos para evaluar el desempeño de la Función de Auditoría
Interna, considerando los comentarios y expectativas de la Alta Dirección y del
Consejo. Las medidas clave de desempeño (KPIs) deben agregar valor, ayudar a
abordar los riesgos, mejorar las operaciones y fortalecer los controles.
A continuación, se proponen
indicadores que pueden ser alineados con el marco SMART:
1.Contribución y Cobertura de Riesgos:
a. Nivel de contribución hacia
la mejora de los procesos de gestión de riesgos, control y gobierno:
Aplicación: Cuantificar el
número o porcentaje de mejoras significativas en los procesos de gestión de
riesgos o control directamente atribuibles a las recomendaciones de auditoría
implementadas, en un periodo determinado (p. ej., anualmente).
b. Cobertura de los riesgos
identificados como críticos:
Aplicación: Porcentaje de
riesgos críticos de la organización (según el mapa de riesgos) cubiertos por
trabajos de aseguramiento de auditoría interna en el plan anual de auditoría.
2. Aceptación e Impacto de Recomendaciones:
a. Porcentaje de
recomendaciones aceptadas por la Dirección:
Aplicación: Un objetivo
específico (ej., 90%) del porcentaje de recomendaciones incluidas en
informes finales que son aceptadas formalmente por la Dirección en el
plazo de 30 días desde la emisión del informe.
b. Porcentaje de planes de
acción implementados según los plazos establecidos:
Aplicación: Un objetivo
(ej., 85%) del porcentaje de planes de acción que se confirman como implementados
en el sistema de seguimiento dentro de la fecha acordada.
c. Incremento en el número de
planes de acción para la mejora de los procesos:
Aplicación: Aumentar
en un 15% el número de planes de acción orientados a la mejora de
procesos (más allá de la mitigación de deficiencias) en el próximo ejercicio
fiscal.
3. Eficiencia de la Función de Auditoría:
a. Promedio del tiempo
transcurrido entre la finalización del trabajo de campo y la emisión de la
comunicación final38:
Aplicación: Reducir
el tiempo promedio de emisión del informe final a menos de 15 días hábiles
durante el año en curso.
b. Cumplimiento de los plazos
para completar los trabajos:
Aplicación: Completar
el 95% de los trabajos de auditoría planificados dentro del
cronograma establecido.
4. Satisfacción de las Partes Interesadas:
a. Resultados de las encuestas
de satisfacción de las partes interesadas sobre la calidad de las
comunicaciones y el valor aportado.
Aplicación: Alcanzar
una calificación promedio de 4.5 sobre 5 en las encuestas de
satisfacción de la Dirección y el Consejo sobre el valor de la auditoría
interna anualmente.
Estos indicadores, monitorizados
de forma continua a través de actividades como la planificación y supervisión
de trabajos, el uso de metodologías establecidas y el Programa de Aseguramiento
y Mejora de la Calidad (PAEC), permitirán determinar la eficacia y eficiencia
de la Función de Auditoría Interna. Los
resultados de las evaluaciones internas y externas de calidad también son
fundamentales para evaluar el desempeño
Comentarios
Publicar un comentario