Share this

Una metodología de Auditoría Basada en Riesgos

Por
Juan Villanueva Chang
 
En el “Marco Internacional para la Práctica Profesional de la Auditoría” del Institute of Internal Auditors IIA, se señala a los “Documentos de Posicionamiento” como textos de consulta muy recomendados.
 
Los Documentos de Posicionamiento contribuyen con amplio alcance a las partes interesadas y los auditores a entender temas sobre gobierno, riesgos y control, incluso delimitar funciones de auditoría.
 
Los actuales documentos de posicionamiento divulgados en la web del IIA son:
 
· El papel de la auditoría en relación con la gestión integral de riesgos corporativos (Enero, 2009).
· Alternativas de obtención de recursos para la función de auditoría (Enero 2009)
· Las tres líneas de defensa de una efectiva gestión de riesgos y control (Enero 2013).
El primer documento fue emitido el 2004 por el Instituto de Auditores del Reino Unido e Irlanda, cuya importante declaración permitió resolver el problema de conocer el alcance del auditor en la gestión del riesgo empresarial.
A propósito del tercer documento emitido este año, clarifica aún más el rol que deben cumplir todas las funciones creadas en una entidad en defensa de una efectiva gestión de riesgos. Compromete a la alta dirección a establecer y delimitar dichas funciones mediante tres líneas de defensa para el logro de dicho objetivo.
La primera línea precisa el rol que debe cumplir los gerentes operativos en la gestión de riesgos y control, quienes en realidad son los que poseen y administran los riesgos. La segunda línea a clarificar el rol de diversas unidades creadas para supervisar los riesgos, tales como las unidades de gestión de riesgos, cumplimiento, calidad, entre otros; y la tercera línea en las funciones que recae en auditoría para garantizar en forma independiente su opinión sobre el cumplimiento del rol las anteriores líneas de defensa a la alta dirección.
Estos documentos de posicionamiento fortalecen la necesidad de adoptar un cambio metodológico en las labores de auditoría. En la búsqueda de una guía que permita a los auditores desarrollar una metodología alineada a las actuales delimitaciones en la gestión de riesgos y control, resulta conviene resaltar el aporte del “Position Statement: Risk Based Auditing (RBIA)” emitido por el Instituto de Auditores del Reino Unido e Irlanda el 2003.
El documento reconoce los malos entendidos para adoptar el cambio hacia una auditoría basada en riesgos y ofrece algunas orientaciones sobre cómo acercarse a él.
Se precisa que el objetivo de una RBIA es ofrecer garantía independiente a la Junta que:
 
·Los procesos de gestión de riesgo que se ha puesto en práctica en la organización funcionan según lo previsto.
·Que el proceso de gestión de riesgos tiene responsables.
·Las respuestas para mitigar los riesgos son adecuados y eficaces.
·Que exista un buen marco de controles para mitigar los riesgos que la administración desea tratar.

El documento proporciona un esquema para adoptar un enfoque de auditoría basada en riesgos, señalando los puntos de atención que deben ser auditados en la gestión de riesgos.
Un aspecto a resaltar es la necesidad de lograr medir el grado de madurez de la gestión de riesgos en la organización por parte de los auditores, lo que requiere amplio entendimiento del funcionamiento de la organización y proporcionando un diagrama de niveles de madurez de la gestión de riesgos, resaltando el avance de tipo de enfoque de auditoría a desarrollar.
Se resalta que cada organización determina el nivel que desea lograr al implementar la gestión de riesgos. Este enfoque no excluye el uso de sistemas basados ​​en proceso automatizados de ciertas auditorías y permite enlazarse directamente con el marco de la gestión de riesgos y aprovechar sinergias.
Por
Juan Villanueva Chang