Auditorías Internas Basadas en el Riesgo

Desde la publicación de la ISO 19011 en el 2018, los auditores internos con los que me ha tocado colaborar, me han comentado que una de sus prioridades principales es fortalecer la conciencia del riesgo, es decir, proporcionar información más oportuna sobre los riesgos. Si bien la identificación de riesgos es, en última instancia, una responsabilidad de la alta dirección, los auditores internos desempeñan un papel de apoyo fundamental al utilizar sus evaluaciones de los procesos y controles de la organización para resaltar los riesgos críticos que podrían dificultar el logro de los objetivos comerciales, al tiempo que aseguran que tanto los riesgos existentes como los emergentes son adecuados controlado y monitoreado.

Para lograr estos objetivos, es esencial un programa continuo de auditoría basado en el riesgo. Permite a los auditores identificar proactivamente riesgos potenciales, fraude, errores y áreas de mejora. También asegura que los trabajos y recursos de auditoría sean priorizados de manera eficiente.

Aquí hay algunos puntos clave a tener en cuenta al realizar auditorías internas basadas en el riesgo:

i) Comprender el negocio, sus objetivos y riesgos

A diferencia de una auditoría basada en una lista de verificación que evalúa el cumplimiento de un conjunto específico de requisitos, una auditoría basada en el riesgo tiene un alcance más amplio y requiere una comprensión de las estrategias, metas y objetivos de la organización. Los auditores deben tener un conocimiento profundo del negocio, incluidas sus fortalezas, debilidades y desafíos, para que puedan planificar sus auditorías para centrarse en las áreas de riesgo más críticas.

Un buen lugar para comenzar es identificando los objetivos clave del negocio y los riesgos asociados. Con base a eso, los trabajos de auditoría se pueden priorizar y programar para proporcionar información sobre dónde los controles son adecuados con respecto a esos riesgos y dónde no lo son. Se deben considerar los riesgos en toda la organización, ya sean legales, de cumplimiento, TI o riesgos tecnológicos. Los auditores deben profundizar lo suficiente como para identificar el riesgo comercial o la categoría de riesgo más importantes que podrían impedir la capacidad de un proyecto para cumplir sus objetivos. También deben verificar que las partes interesadas estén incorporando riesgos en los procesos de toma de decisiones y planificación estratégica.

Otra área importante para evaluar es la disposición de la compañía para enfrentar lo inesperado. Los auditores deben determinar si existen pasos o controles bien definidos para administrar los cambios potencialmente significativos que podrían afectar el sistema de control interno general. Por ejemplo, ¿qué sucede cuando la alta dirección identifica una deficiencia en sus propios procesos? ¿Cómo lo abordan, qué acciones toman y a quién informan? Hacer este tipo de preguntas ayuda a los auditores a determinar qué tan preparada está la organización para el cambio.

ii) Involucrar a la Alta Dirección

Mientras diseñan un programa de auditoría y monitoreo basado en el riesgo, los auditores internos harían bien en trabajar estrechamente con los equipos de liderazgo y alta dirección para alinear la estrategia comercial, los riesgos y los problemas con la misión de auditoría. Las oportunidades regulares para el diálogo y la comunicación permiten a los auditores internos utilizar la asistencia de la alta dirección para realizar una verdadera «evaluación de riesgos» de varias áreas comerciales, al tiempo que comprenden la tolerancia al riesgo y los umbrales.

Los riesgos emergentes deben identificarse de manera colaborativa con los equipos de gestión. De hecho, los altos directivos deben participar y acordar las prioridades de alto riesgo para el plan de auditoría. Dado que en última instancia son los «dueños» del riesgo, es probable que ya hayan identificado riesgos emergentes que podrían amenazar a la organización. La transparencia y la comunicación continua son clave para garantizar que las auditorías estén diseñadas de manera óptima para centrarse en los riesgos más importantes.

iii) Determinar la Tolerancia y el Apetito de Riesgo de la Alta Dirección

El apetito de riesgo o riesgo aceptable es la cantidad de exposición al riesgo que una empresa está dispuesta a aceptar. Las partes interesadas deben establecer umbrales de riesgo para identificar cuándo y dónde deben implementarse los controles. Este proceso es esencial para distinguir entre los controles que son «agradables de tener» y los que son necesarios para proteger las funciones comerciales.

Para los auditores, el primer paso es identificar y comprender las políticas de gestión de riesgos vigentes, así como el apetito de riesgo a nivel de procesos organizacionales e individuales. Luego, determine la tolerancia al riesgo de la alta dirección, y úsela como punto de partida para evaluaciones de riesgo independientes.

Este enfoque de aprovechar los verdaderos apetitos por el riesgo y los niveles de tolerancia agrega credibilidad al proceso de gestión de problemas de auditoría. Cuando los auditores entienden la «tolerancia» de la alta dirección, pueden identificar mejor una brecha de control que está a punto de romper el umbral de tolerancia y marcarlo como un problema crítico para la presentación de informes.

iv) Evaluar el Impacto y la Probabilidad del Riesgo

Una vez que se han identificado los riesgos clave, deben evaluarse para determinar su probabilidad e impacto en la organización, así como la capacidad de la alta dirección para mitigar estos riesgos. Las auditorías internas deben evaluar la efectividad de los procesos definidos y determinar si la administración está abordando adecuadamente los riesgos más significativos. Los resultados también se pueden usar en la actividad de planificación de auditoría.

Cada organización tendrá una actitud diferente ante los riesgos. Por lo tanto, los parámetros de evaluación de riesgos deben definirse en función de las necesidades únicas de cada organización. Sin embargo, hay algunas prácticas universales a tener en cuenta:

1. Defina el impacto del riesgo utilizando métodos cuantitativos y cualitativos, teniendo en cuenta los factores que más afectan a la organización (por ejemplo, regulaciones, expectativas de los accionistas y la comunidad).
2. Al definir la probabilidad de riesgo, establezca claramente el rango general de valores o el nivel de categorías. Intente usar más niveles, si es posible, y descríbalos cualitativamente. Incluya cualquiera o todos los valores que puedan encontrarse, de modo que las situaciones se puedan diferenciar fácilmente.
3. Asegúrese de que las evaluaciones incluyan todos los aspectos de riesgo para un área comercial específica. Examine los puntos críticos en el proceso para asegurarse de que tengan controles relevantes y efectivos.
4. Asegúrese de que las pruebas de control estén diseñadas para cubrir adecuadamente las posibles preocupaciones. Asegúrese de que los procesos de prueba estén bien documentados con documentos de respaldo o evidencia. Habilite las excepciones para que se validen si es necesario.
5. Esté preparado para presentar y verificar todas las conclusiones, hallazgos de auditoría, informes y planes de acciones correctivas a la gerencia.

A manera de conclusión

Los auditores internos, en virtud de su comprensión de los riesgos y controles en toda la empresa, están bien posicionados para no solo ayudar a las organizaciones a mejorar la eficiencia operativa y el cumplimiento, sino también impulsar un mejor desempeño comercial. A través de auditorías internas basadas en el riesgo, pueden ser los asesores estratégicos que la empresa necesita que sean, al proporcionar información más oportuna y profunda sobre los riesgos, así como consejos sobre cómo responder a los problemas. Armados con estos conocimientos, las partes interesadas pueden tomar medidas proactivas para catalizar el crecimiento del negocio de una manera que sea fiel a su apetito de riesgo, valores e integridad.