Por
Juan Villanueva Chang
En el “Marco
Internacional para la Práctica Profesional de la Auditoría” del Institute of Internal Auditors IIA, se señala
a los “Documentos de Posicionamiento” como textos de consulta muy recomendados.
Los Documentos de
Posicionamiento contribuyen con amplio alcance a las partes interesadas y los
auditores a entender temas sobre gobierno, riesgos y control, incluso delimitar
funciones de auditoría.
Los actuales documentos
de posicionamiento divulgados en la web del IIA son:
· El papel de la auditoría en
relación con la gestión integral de riesgos corporativos (Enero, 2009).
· Alternativas de obtención
de recursos para la función de auditoría (Enero 2009)
· Las tres líneas de
defensa de una efectiva gestión de riesgos y control (Enero 2013).
El primer
documento fue emitido el 2004 por el Instituto de Auditores del Reino Unido e
Irlanda, cuya importante declaración permitió resolver el problema de conocer
el alcance del auditor en la gestión del riesgo empresarial.
A propósito del
tercer documento emitido este año, clarifica aún más el rol que deben cumplir
todas las funciones creadas en una entidad en defensa de una efectiva gestión
de riesgos. Compromete a la alta dirección a establecer y delimitar dichas
funciones mediante tres líneas de defensa para el logro de dicho objetivo.
La primera línea
precisa el rol que debe cumplir los gerentes operativos en la gestión de
riesgos y control, quienes en realidad son los que poseen y administran los
riesgos. La segunda línea a clarificar el rol de diversas unidades creadas para
supervisar los riesgos, tales como las unidades de gestión de riesgos,
cumplimiento, calidad, entre otros; y la tercera línea en las funciones que
recae en auditoría para garantizar en forma independiente su opinión sobre el
cumplimiento del rol las anteriores líneas de defensa a la alta dirección.
Estos documentos de posicionamiento fortalecen la
necesidad de adoptar un cambio metodológico en las labores de auditoría. En la
búsqueda de una guía que permita a los auditores desarrollar una metodología
alineada a las actuales delimitaciones en la gestión de riesgos y control,
resulta conviene resaltar el aporte del “Position Statement: Risk Based Auditing (RBIA)” emitido
por el Instituto de Auditores del Reino Unido e Irlanda el 2003.
El documento
reconoce los malos entendidos para adoptar el cambio hacia una auditoría basada
en riesgos y ofrece algunas orientaciones sobre cómo acercarse a él.
Se precisa que el
objetivo de una RBIA es ofrecer garantía independiente a la Junta que:
·Los procesos de gestión de
riesgo que se ha puesto en práctica en la organización funcionan según lo previsto.
·Que el proceso de gestión
de riesgos tiene responsables.
·Las respuestas para
mitigar los riesgos son adecuados y eficaces.
·Que exista un buen marco de
controles para mitigar los riesgos que la administración desea tratar.
El documento
proporciona un esquema para adoptar un enfoque de auditoría basada en riesgos,
señalando los puntos de atención que deben ser auditados en la gestión de
riesgos.
Un aspecto a
resaltar es la necesidad de lograr medir el grado de madurez de la gestión de
riesgos en la organización por parte de los auditores, lo que requiere amplio
entendimiento del funcionamiento de la organización y proporcionando un
diagrama de niveles de madurez de la gestión de riesgos, resaltando el avance
de tipo de enfoque de auditoría a desarrollar.
Se resalta que
cada organización determina el nivel que desea lograr al implementar la gestión
de riesgos. Este enfoque no excluye el uso de sistemas basados en proceso
automatizados de ciertas auditorías y permite enlazarse directamente con el
marco de la gestión de riesgos y aprovechar sinergias.
Por
Juan Villanueva Chang
