Plan de Auditoría basado en riesgos. Naturaleza de los trabajos de auditoría interna
Por: Jesús Aisa Díez – Madrid, España
En varias aportaciones incorporadas a este blog, hemos tenido la oportunidad de conocer diversas opiniones sobre la necesidad de conformar los Planes de Auditoría, bien sean estos plurianuales o, en mi opinión preferiblemente anuales, en base a los riesgos que puedan estar presentes en la actividad empresarial en donde ejerzamos nuestra actividad, ya que, de esta forma, podremos dirigir los esfuerzos de nuestros limitados recursos a la supervisión de aquellos procesos en los que se concentre la mayor “criticidad” respecto a la consecución de los objetivos perseguidos.
Debido a ello, y si la metodología ha sido la apropiada, estaremos en condiciones de proponer a la alta dirección y al Directorio un Plan de trabajo que permita el máximo valor agregado, pues se incidirá sobre los procesos trascendentes, pasando de puntillas sobre aquellos que no sean determinantes, o significativos, en el resultado final de los objetivos estratégicos establecidos, ganando en eficiencia.
Pero una vez que ya tengamos identificados los procesos sobre los que deben girar las auditorías internas en base a los riesgos que amenacen a la organización, el Plan a someter a aprobación no solo debe identificar dichos procesos, sino también, para poder cuantificar los recursos asociados a la supervisión de cada uno de ellos, debemos concretar cuál es la naturaleza del trabajo que precisamos realizar, así como el alcance del mismo. Dicho de otra manera, la gestión de riesgos nos informará de los procesos cuyo monitoreo resultará prioritario para poder asegurar razonablemente el nivel de control interno de las organizaciones, es decir lo que debemos auditar, pero quedaría por determinar los aspectos auditables, o lo que es lo mismo el qué auditar.
Respecto de este aspecto, creo que, una vez decididos los procesos sobre los que debemos incidir, a Auditoría Interna le corresponden varios objetivos a cubrir con sus actuaciones: En primer lugar verificar que los apetitos al riesgo admitidos son compatibles con los objetivos de la organización, en segundo lugar comprobar que los controles sugeridos por los gestores para situar los riesgos residuales en el entorno de la tolerancia al riesgo que se hubiese establecido serían adecuados, y por último comprobar que dichos controles realmente se aplican en la forma en que se hubiesen planificado.
Respecto de esta última verificación, la de la aplicación de los controles en la forma en que se diseñaron, entendemos que es una de las comprobaciones que más información relevante nos puede dar respecto de la realidad de la situación, ya que nos permitirá opinar sobre la eficacia realmente obtenida por el control implantado.
A título de anécdota permíteme referirme a un caso que creo que puede ilustrar la necesidad de comprobar la aplicación práctica de los controles. Me quiero referir a un control de acceso a las dependencias de una importante empresa, para lo cual se nos había tomado muestra de nuestro iris, de manera que el acceso a las dependencias solo era posible si al colocar uno de nuestros ojos-el que habíamos aportado para la foto- la estructura del iris del que quería entrar coincidía con la de uno de los ojos que estaban autorizados; hasta aquí un proceso tecnológico perfecto, pero el problema estaba en que si bien el que ponía el ojo ante el monitor debía estar habilitado, lo que el diseño del control no tuvo en cuenta es que una vez abierta la puerta, detrás del habilitado entraban todos los que hacían fila para entrar y que no estaban autorizados. El ejemplo puede parecer irreal, pero no lo es, incluso podríamos citar más fallos en el control de ese acceso, pero no lo vamos a hacer pues lo que no importa es que tengamos claro el ámbito de la supervisión de los trabajos de auditoría interna al desarrollar su Plan de trabajo, en el que la comprobación de aplicación práctica de los controles diseñados se ajusta a lo previsto, cerrando el proceso de verificaciones a realizar ya enumeradas.
Importante:En el mes de septiembre estaré en Colombia dictando el seminario, “La administración de Riesgos. Herramienta de Gestión Empresarial y de la Auditoría Interna”. Los interesados pueden consultar el evento ingresando desde el siguiente link: http://bit.ly/1daMZdv
Del Autor: Jesús Aisa, Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid. Ex-Subdirector General Corporativo de Auditoría Interna del Grupo Telefónica SA. Asesor en control interno, tutor de cursos on-line y articulista frecuente en la revista de la Institución en la Asociación Hispanoamericana de Centros de Investigación y Empresas de Telecomunicaciones (AHCIET).Técnico evaluador de la calidad de auditorías internas. Conferencista en eventos internacionales, tanto en España, como Iberoamérica. Colaborador www.auditool.org