Está en la página 1de 21

Plan de Auditoría

Basado en Riesgos

Material de Apoyo

Autor: Jesús Aisa Díez


Autor: Jesús Aisa Díez

Plan de Auditoría Basado en Riesgos


Para una adecuada exposición de los aspectos a desarrollar en este módulo,
desglosaremos su contenido en los siguientes apartados:

 El Instituto de Auditores Internos y el Plan de Auditoría. Integrantes.


 Cómo diseñarlo. Aplicación práctica.
 Distintas forma de actuar según exista, o no, un proceso ERM en la empresa.
 Distinta ponderación de sus componentes.
 Trámite a seguir para su aprobación.
 Auditorías con base a riesgos.
 Ejercicios prácticos y autoevaluación

Los planes de auditoría, bien sean estos anuales o plurianuales, son la manifestación de los
temas que pretenden ser atendidos por la función auditora en el periodo considerado. Es el
documento que debe ser sometido a aprobación de la alta dirección y del Consejo de
Administración antes de su desarrollo, y debe contener, aparte de los trabajos y actividades
que se prevén realizar, la estimación de los recursos precisos para su desarrollo, lo que permitirá
concluir sobre la suficiencia de los recursos disponibles para acometerlo.

Resulta evidente que si el Plan de Auditoría recopila las actuaciones que se pretenden acometer
en el periodo considerado, su contenido debe responder a criterios de prioridad, si es queremos
incidir en lo trascedente.

Esta prioridad puede estar justificada por el origen de las solicitudes de inclusión, por ejemplo:
primero las que procedan del Consejo de Administración, pero también por la oportunidad de
la supervisión de los procesos previstos a auditar, dadas las circunstancias que concurran
en ellos, fundamentalmente por la criticidad de los riesgos que les puedan afectar.

En este sentido, el Instituto de Auditores Internos en su Marco Internacional para la Práctica


Profesional para la Profesión de Auditoría Interna, ha incidido en la forma en que se debe
establecer la planificación de la función, tanto en sus Normas como en sus Consejos para
la Práctica, como vamos a recordar.

La Norma. 2010 nos señala que:

El Director de Auditoría Interna debe establecer planes basados en los riesgos a fin de determinar
las prioridades de la actividad de auditoría interna. Dichos planes han de ser consistentes con la
metas de la organización.

Mientras que el Consejo para la Práctica 2010-2, nos indica que:

La planificación necesita usar el proceso de gestión de riesgos, si este ha sido desarrollado


en la Organización. Al planificar un trabajo, el auditor interno ha de tener en consideración los
riesgos significativos de la actividad y los medios mediante los cuales la dirección puede aminorar
el riesgo hasta un nivel aceptable. El auditor interno utilizará técnicas de evaluación de riesgos
en el desarrollo del plan de la actividad de auditoría interna, así como para determinar prioridades
a la hora de asignar recursos.

La evaluación de riesgos se utiliza para examinar las unidades auditables y seleccionar las áreas
sujetas a análisis que deben incluirse en el plan de auditoría interna y que son las que tienen
mayor exposición al riesgo

1 www.auditool.org
Autor: Jesús Aisa Díez

Ante la situación descrita anteriormente, el auditor interno debe ser capaz de seleccionar
oportunamente los diferentes tipos de actividades que serán incluidas en el plan de auditoría
interna. Entre otras:

Actividades de análisis o aseguramiento del control: En esta actividad se analiza la


adecuación y eficacia de los sistemas de control existente, ofreciendo una seguridad razonable
de que los controles funcionan y los riesgos son gestionados de manera efectiva.

Actividades de investigación: Permiten determinar si la gestión organizacional tiene un nivel


inaceptable de incertidumbre sobre los controles relacionados con la actividad del negocio
o área de riesgo identificada, en cuyo caso el auditor interno llevará a cabo procedimientos para
obtener un mejor entendimiento de los riesgos residuales.

Actividades de consulta: Permiten aconsejar a los gestores de la Organización en el desarrollo


de los sistemas de control adecuados para mitigar riesgos inaceptables.

También deben identificarse controles innecesarios, redundantes, excesivos o complejos


que reduzcan el riesgo de manera ineficiente.

Sabemos que Auditoría Interna no tiene el monopolio de la supervisión del control interno en las
Organizaciones, pues existen diferentes tipos de proveedores de aseguramiento que
podríamos agrupar en función de a quien dirigen o informan de sus resultados, tales como:

La Auditoría Interna. Que trabaja para informar de sus conclusiones a la alta dirección y al
Consejo de Administración.

Los otros proveedores de aseguramiento (LOPD - Ley Orgánica de Protección de Datos, Calidad,
Seguridad e Higiene en el trabajo, medioambiente, etc.). Destinan los resultados de sus
actuaciones a las gerencias responsables de la actividad supervisada. Complementan la
supervisión que ellos como responsables operativos deben realizar.

Los Auditores Externos. Buscan poder opinar sobre la bondad de los Estados Financieros, en el
sentido de que estos representen una imagen fiel de la realidad patrimonial. Su destino son los
accionistas de la Compañía.

Esta situación, sin embargo, no debe entenderse como que son actuaciones sin relación
entre ellas, sino todo lo contrario; una actuación eficiente de los recursos exige que haya una
adecuada coordinación de actuaciones, sin que se dupliquen esfuerzos para atender los mismos
temas, ni que existan huecos en los puntos de interés que no sean cubiertos por nadie. Es decir
sin solapamientos y sin vacíos.

En esta línea el Consejo para la Práctica 2050-3, nos indica que: El auditor interno puede hacer
uso del trabajo de otros proveedores internos o externos de servicios de aseguramiento sobre el
gobierno, gestión de riesgos y control.

2 www.auditool.org
Autor: Jesús Aisa Díez

Sumemos y aprovechemos esfuerzos

Lo que acabamos de comentar en el Slide anterior, en el sentido de que debemos coordinarnos


y aprovechar el esfuerzo y los resultados de los otros proveedores de aseguramiento que
también estén trabajando en la verificación de determinados aspectos de la gestión
empresarial, debe tener un condicionante, y es que el trabajo realizado, así como los
diagnósticos aportados sean fiables; lo cual en algunas ocasiones exigirá que Auditoría
Interna profundice en la forma en que trabajan estos otros proveedores, no el sentido de auditar
sus formas de trabajar, pero sí en la de poder opinar sobre la solvencia profesional de los mismos,
asegurándonos de que sus conclusiones son adecuadas y merecedoras de confianza.

No siempre todas las opiniones son certeras, y deben ser cuestionadas antes de emplearlas.

Como ejemplo de ello podemos citar los diagnósticos iniciales sobre la evolución de la crisis
española que aún padecemos, los cuales nos aportan un buen número de dudosas
opiniones, incluso las provenientes del propio Presidente del Gobierno.

3 www.auditool.org
Autor: Jesús Aisa Díez

Como resumen de la necesidad de que hemos de trabajar empleando un planteamiento holístico


con el que hacer más eficiente nuestra actividad, me gustaría reproducir las palabras de Rod
Winters, ex-Presidente del Instituto de Auditores Internos Global, el cual llegó a la conclusión de
que “Auditoría Interna debe hacer menos, lo más importante, con menos recursos. Centrarnos
en lo que sea significativo y apoyándonos en la tecnología como herramienta de trabajo, pues si
bien ésta comporta riesgos, es incuestionable que también es una oportunidad con la que mejorar
la eficiencia, la eficacia y la calidad de nuestros trabajos”.

Este planteamiento creo que lo podríamos enunciar como la regla de los signos, aquella que nos
decía que “menos por menos arroja un más”; es decir, si queremos ser eficientes, no solo
eficaces, debemos ser muy selectivos a la hora de decidir dónde aplicamos los recursos escasos
de los que vamos a disponer. “No demos palos de ciego”, vayamos a revisar lo que entendamos
está con dificultades.

Si somos capaces de actuar de esta manera, nuestros esfuerzos, los imprescindibles, deben
centrarse en lo verdaderamente significativo para la consecución de los objetivos que
preveamos no están en un nivel de aseguramiento óptimo.

Hacer más cosas, no es sinónimo de hacerlo mejor.

4 www.auditool.org
Autor: Jesús Aisa Díez

La volatilidad y el dinamismo de los entornos profesionales requieren que las organizaciones


avancen en sus prácticas y modelos de evaluación y gestión de riesgos, pero teniendo en
consideración algunos aspectos importantes:

 Hemos de reforzar el plan de auditoría interna poniendo también el foco en los riesgos
emergentes (Seguridad laboral, medioambiente,…)

 Debemos flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditoría con
la mayor frecuencia posible.

 Hay que proporcionar aseguramiento sobre la función del ERM de la compañía.

Atender las recomendaciones que hemos ido señalando, requiere que esta forma de proceder
debe estar reflejada en el Plan de Auditoría, el cual se diseñará teniendo en cuenta varios inputs,
obtenidos a través de fuentes diversas, como son: las propias percepciones de los auditores,
pero también la de aquellos otros agentes internos y externos con intereses en la Organización.

Todo ello sin olvidarnos que los medios de los que dispondremos para desarrollarlo, tanto desde
el punto de vista cuantitativo, como cualitativo, no serán ilimitados, sino escasos, y sin olvidar
tampoco que es el Plan el que debe determinar los medios y no al contrario.

En forma resumida un esquema de actuación para concretar la propuesta del Plan Anual de
Auditoría, es el que se recoge en el esquema reproducido en el presente Slide.

Si observamos el desglose efectuado sobre los diferentes inputs que deben considerarse
para determinar la composición del Plan de Auditoría, veremos que el que más se repite es el
correspondiente a la evaluación de riesgos, bien la realizada por la propia Unidad de Auditoría
Interna, como la que se reflejaría, en su caso, en el Proyecto Corporativo de Gestión de Riesgos.

5 www.auditool.org
Autor: Jesús Aisa Díez

Con esta forma de actuar en la definición de los contenidos y el alcance de los Planes de
Auditoría, es evidente que no se incluirán en ellos la revisión de todos los procesos que
intervengan en desarrollo de la actividad empresarial, sino solo aquellos que, según la criticidad
o relevancia derivada de la matriz riesgos/procesos se consideren, de acuerdo con su
importancia en la consecución de los objetivos empresariales, estén en una situación que
aconseje su supervisión; así como aquellas otras actividades que sean requeridas por la alta
dirección y el Comité de Auditoría.

Así como también los trabajos de consultoría que pudieran habérsenos solicitado por parte de
las distintas gerencias; los planes de formación que entendamos oportuno desarrollar por los
auditores en el periodo considerado; el seguimiento de los planes de mejora y/o acción
derivados de anteriores trabajos de auditoría; los programas de aseguramiento y mejora
de la calidad a efectuar; etcétera, etcétera, así hasta enumerar detalladamente TODAS las
actuaciones que entendamos oportunas para conseguir la seguridad razonable de la eficacia
del modelo de control interno empleado en la Organización.

Llegado a este punto creemos que ya podemos incidir en las dos premisas que han de regir la
actividad auditora:

(i) Supervisar lo trascendente, es decir aquello que pueda afectar a los objetivos básicos
de la organización y
(ii) Hacerlo de la manera más eficiente posible.

Aspectos ambos que no debemos olvidar si pretendemos que la actividad aporte auténtico valor
a la organización en la que trabajemos. Para ello.

Planifiquemos la actividad con base a:

 Los objetivos estratégicos y los riesgos del negocio.

 Los requerimientos y exigencias de los reguladores o supervisores.

 Las exigencias normativas aplicables.

 Todo lo anterior, procurando obtener la máxima eficacia de la función.

6 www.auditool.org
Autor: Jesús Aisa Díez

Tampoco debemos olvidar que, dado que las condiciones del entorno son cambiantes, los
Planes de Auditoría que presentemos a aprobación de la Comisión de Auditoría deben ser
flexibles, permitiendo su actualización cuando las circunstancias lo requieran, lo que obligará
a tener que reevaluar su contenido con la mayor frecuencia posible, lo que, entendemos,
desaconseja preparar Planes plurianuales con el que cubrir todo el universo de auditoría en un
determinado espacio temporal, pues difícilmente se podrán ejecutar, sobre todo en la parte que
hayamos postergado para dentro de uno o dos años, ya que la actualización de lo que
deberíamos hacer, según los datos de cada momento, se verá modificado cuando volvamos a
repetir el ejercicio de priorizar las actuaciones.

En este sentido, definir un Universo de Auditoría que deba ser analizado íntegramente a lo largo
de un periodo plurianual (tres o cuatro años), pensamos que es desaprovechar recursos, pues
la escasez de los mismos nos debería exigir focalizarnos, año tras año, en la revisión de los
puntos trascendentes, obviando aquellos que estén un nivel más bajo.

Por ello:

a) Actualicemos los inputs con la máxima frecuencia posible.

b) Si un ente auditable entendemos que no comporta riesgos significativos o apreciables,


no debería incluirse en el Plan.

c) Olvidémonos de Planes plurianuales.

d) Partir del mapa de riesgos existente en cada momento

Pero sobre todo: ¡Que no debemos jugar a acertar, sino a no equivocarnos!

Es evidente que la postura que representa este slide nosotros no la defendemos, pues aunque
nuestra profesión nos exige que seamos escépticos, ello no nos debe conducir a situaciones tan
extremas, ya que para actuar de esta manera precisaríamos de un volumen de recursos que
bajo ningún concepto nos serían habilitados, pero lo que es aún peor, estaríamos revisando
procesos perfectamente gestionados, sobre los que no podríamos aportar ninguna
recomendación de mejora, y en donde no olvidemos es dónde radica una de las formas de
aportación de valor.

Otra forma de exponer lo que acabamos de señalar, es nuestro rechazo a una teoría hasta hace
poco tiempo defendida por algunos especialistas en la actividad auditora, cuál era la de desglosar
el universo de Auditoría en entes auditables, de forma que, debidamente jerarquizados los
mismos, todos ellos fuesen auditados en un periodo de tres o cuatro años.

Reiteremos: Los planes no deberían ser tan rígidos. Las circunstancias cambian, adaptémonos
a ellas

Si de la teoría pasamos a la acción, siguiendo las recomendaciones ya expuestas con


anterioridad, lo primero que deberíamos hacer es planificar las actuaciones que nos permitan
definir el Plan de Auditoría con base a Riesgos, por lo que definir su hoja de ruta lo consideramos
prioritaria.

Observemos que en el slide que ahora comentamos aparece una línea de puntos rojos, con ella
lo que queremos marcar es la diferencia entre las actuaciones que Auditoría Interna puede
aprovechar del proceso ERM aplicado en la Organización, y lo que debemos hacer, exista o no
ese proceso. Los apartados debajo de la línea de puntos son de obligada realización por parte
de Auditoría, tenga la Organización un sistema de Gestión de Riesgos Empresariales
funcionando, o no.

7 www.auditool.org
Autor: Jesús Aisa Díez

Puesto que nuestro objetivo es decidir el Plan de Auditoría con base a los riesgos a los que debe
enfrentarse la empresa, si hay un modelo de gestión basado en riesgos, aprovechémoslo, pero
si este no existe, no importa, nuestra obligación es tomar las decisiones basadas en las
amenazas que directamente percibamos y que deben ser debidamente administradas.
Obviamente el actuar en uno u otro escenario no es similar ni tampoco baladí, pues si la empresa
ya ha avanzado en el desarrollo de un proceso tipo ERM, a Auditoría Interna le resultará más
sencillo desenvolverse en ese ambiente. Pero si no existe, no es excusa para no abordarlo,
únicamente que esa circunstancia exigirá un mayor esfuerzo por nuestra parte.

Las fases sobre las que tendremos que trabajar entendemos que serían:

1) Analizar el Proceso de Gestión de Riesgos de la organización.

2) Opinar sobre su efectividad (madurez y fiabilidad).

3) Acceder al Mapa de Riesgos de la Organización.

4) Conocer los apetitos a los riesgos de las principales amenazas.

5) Identificar las acciones correctoras definidas por los gestores para reconducir riesgos
residuales hacia la zona de tolerancia.

6) Identificar de los procesos con mayor relación con los objetivos estratégicos de la
organización.

7) Ordenar los procesos críticos según la visión de Auditoría Interna.

La hoja de ruta que exponíamos en el anterior Slide, se vería complementada con los siguientes
otros seis pasos:

8) Valoración del grado y eficacia del control existente en estos procesos

9) Priorización de los procesos según Auditoría

10) Definir ponderaciones y pesos de los distintos ítems a considerar.

11) Ordenar los posibles trabajos por su grado de relevancia deducida.

12) Cuantificar los recursos y trabajos a incluir en el plan Auditor.

13) Gestionar la aprobación del Plan de Auditoría elaborado.

8 www.auditool.org
Autor: Jesús Aisa Díez

Ya lo hemos comentado que si la empresa no tuviese desarrollado un proceso de Gestión Integral


de Riesgos en el que apoyarse, nos tocaría actuar en forma decidida en ese ambiente, obviando
las ayudas que pudiésemos obtener del análisis corporativo realizado al respecto, pero,
como bien señalábamos al principio del curso, siempre que hay una situación desfavorable,
un riesgo, existirá una oportunidad. En este caso sería la de promover al más alto nivel la
necesidad de mejorar los procesos de gestión con base a riesgos, acomodando la función de la
corporación a las técnicas de administración consideradas una mejor práctica.

Recordemos: Si no existe el proceso de Gestión Integral de Riesgos o ERM en la empresa.


¡TODO NUESTRO! Manos a la obra, pero sin olvidar:

 Defender el establecimiento del Proceso de Gestión Integral de Riesgos y

 Desarrollarlo con base a Modelos tipo ERM.

Resulta evidente que si nuestra actuación al comenzar el proceso de planificación de las


actividades depende de la experiencia acumulada por la Organización en la gestión de
riesgos, deberemos averiguar cuál es el nivel que este ha alcanzado en la empresa. Este
conocimiento es lo que pretenden los cinco primeros pasos que se recogen en la hoja de ruta
expuesta.

Para hacer más completo el desarrollo conceptual sobre la forma de gestionar el proceso,
supongamos que sí existen precedentes en la Organización sobre la gestión empresarial con
base a riesgos, y veamos como pensamos que debería ser en ese supuesto, que es lo que
resultará más normal, el comportamiento del Director de Auditoría Interna.

Dicho de otra manera posicionémonos respecto de lo que ya haya avanzado en la Gestión de


Riesgos la Organización

Si la situación con la que nos encontramos fuese que ya se está trabajando en el Sistema de
Gestión de Riesgos, entonces Auditoría Interna ya debería disponer de una valoración preliminar
respecto del grado de bondad del Proceso de Gestión de Riesgos empleado por la empresa, del
que se deduciría la confianza que debe darse a las conclusiones que de él se derivasen, pues
no debemos olvidar que:

9 www.auditool.org
Autor: Jesús Aisa Díez

El proceso de Gestión Integral de Riesgos es una actividad corporativa, en la que Auditoría


Interna no debe ser ajena, debiendo tener opinión formulada respecto a su grado de utilidad para
la Organización y, sobre todo, de su bondad.

En este contexto, habrá que tener presente si Auditoría hubiese trasladado a los responsables
de la gestión de riesgos diversas recomendaciones, dependiendo de cómo estos hubiesen
actuado con las mismas, pues si hicieron caso omiso de ellas, la situación, a los efectos que nos
ocupa, no diferiría de aquella otra en la que no dispusiésemos de antecedentes en los que
apoyarnos. Pero de momento sigamos describiendo el proceso ya iniciado.

Lo que resultará determinante es el análisis del mapa de riesgos existente en la Organización,


en el que deben estar ubicados, de acuerdo con su importancia, los riesgos residuales que
existan en el entorno de los procesos empresariales críticos.

De acuerdo con esta información, Auditoría Interna debe hacer su propio análisis sobre estas
estimaciones, identificando aquellas con las que pudiera estar de acuerdo, según su
conocimiento del negocio y su experiencia, y con cuáles no.

Con las que comparta la opinión de los gestores, solo en los casos que resulte oportuno
y conveniente, deberá analizar si las decisiones empresariales adoptadas en la administración
de los distintos riesgos residuales son aplicadas y resultan lo eficaces que se estimó en
principio. Mientras que para los casos en los que no se comparta la opinión de los gestores, o
existan dudas respecto de su eficacia, debería procederse a una verificación de su verdadera
utilidad y coherencia con los objetivos perseguidos, incluyendo, en su caso, los procesos o
subprocesos afectados en el borrador del Plan.

10 www.auditool.org
Autor: Jesús Aisa Díez

En resumen, la actuación de Auditoría Interna debe centrase en las posibles discrepancias


que pudieran existir respecto de la estimación de la importancia de los riesgos identificados
dentro el mapa global, es decir su “verdadera” posición respecto del entorno de la tolerancia al
riesgo, analizando en detalle las razones que puedan existir para proponer modificaciones de la
posición del riesgo, incluyendo también estas verificaciones en el borrador del plan de auditoría,
ya que serían trabajos a efectuar supervisando si la eficacia de los controles permiten mantener
el riesgo en la posición definida por los gestores o si deben adoptarse medidas correctoras
complementarias.

Prosiguiendo con el proceso de gestión por parte de Auditoría, y con independencia de las
verificaciones que debamos realizar referente a la adecuada evaluación de los riesgos
residuales, a lo que ya nos hemos referido, lo que sí debemos tener claro es que las tres zonas
en las que podemos dividir el mapa de riesgos demandarán a la organización de las respuestas
adecuadas, tal y como se describen en el slide, actuaciones que deben ser comprobadas y
validadas por Auditoría Interna, ya que es la única forma de supervisar adecuadamente si el
proceso de gestión de riesgos empleado es el correcto.

La primera pregunta que debe hacerse Auditoría es si, para aquellos riesgos evaluados
en la zona de alto riesgo, las del cuadrante superior derecho, se han tomado las decisiones
oportunas para reconducirlos en forma conveniente, acercándolos hacia la zona próxima al
apetito al riesgo que en cada caso se hubiese definido.

11 www.auditool.org
Autor: Jesús Aisa Díez

Si la conclusión es que no es así, deberían ser los procesos afectados por dichos riesgos los
primeros a incluir en el Plan de Auditoría. Asimismo Auditoría debería opinar sobre el apetito
al riesgo que haya sido adoptado por la organización, aportando su opinión a la alta dirección
y al Consejo de Administración. Ver Norma
2600.

Más adelante vendrían las opiniones sobre los riesgos menos importantes según el criterio de
los gestores, ahí Auditoría debe preguntarse si comparte y asume esa posición de los riesgos,
ya que, en caso contrario, como ya hemos comentado, debe efectuar sus propias valoraciones
con la finalidad de poder aportar las necesarias conclusiones que corrijan y mejoren la opinión
de los gestores.

Una forma útil de poder opinar de manera objetiva sobre la situación “real” de los riesgos
residuales, es que Auditoría, para los riesgos críticos para los que tenga dudas sobre la situación
asignada por los gestores a los mismos, que analice y/o prepare unas fichas de trabajo en las
que se relacionen los riesgos que se pretendan analizar y los controles que se apliquen en el
proceso con los que mitigarlos. Una vez disponible esta información, lo que corresponde es la
valoración de la eficacia y suficiencia de dichos controles.

Al igual que sucede con otros aspectos del proceso ERM, estas fichas debieran estar previstas
para complementar por el Gestor de Riesgos Corporativo, en cuyo caso Auditoría accedería a
ellas, las analizaría y sacaría sus propias conclusiones. Si las fichas no existieran como práctica
habitual de la organización, Auditoría sí debiera elaborarlas, pues permiten sacar conclusiones
sobre la situación real que rodean a los riesgos críticos.

12 www.auditool.org
Autor: Jesús Aisa Díez

Entrando ya en la fase específica que le corresponde a Auditoría Interna, como actor


independiente en la supervisión del proceso de gestión de riesgos, he de volver a reproducir la
secuencia que estamos comentando:

(i) Conocer la estrategia de la organización,


(ii) Concluir en cuales en su opinión son los procesos más vinculados a la consecución
de esos objetivos y
(iii) Identificar los riesgos inherentes que Auditoría Interna asocie a estos procesos.

Los procesos identificados como más críticos, desde la perspectiva de Auditoría Interna, podrán,
o no, coincidir con las conclusiones previas disponibles, radicando en su posible discrepancia la
utilidad de este ejercicio, pues permitirá comparar las dos posiciones y actuar en consecuencia.

Este objetivo obligará a Auditoría Interna a replicar el mismo modelo que podría haberse
realizado con anterioridad por los gestores, pero ahora dependiendo exclusivamente de su
propia opinión, ya que lo que se trata es de poder comparar las conclusiones obtenidas según
ambos modelos. Por ello, partiendo de las perspectivas del negocio que determinen sus
objetivos estratégicos, tanto cualitativos como cuantitativos, deben relacionarse con los
procesos operativos con los que se desarrollen estas estrategias. Tal y como recoge el
presente slide, en la que partiendo de los objetivos estratégicos y de sus respectivas metas, se
han asociado con los procesos en los que descansarán dichas estrategias.

13 www.auditool.org
Autor: Jesús Aisa Díez

Progresando en la hoja de ruta que nos hemos marcado, ahora correspondería pasar a conocer
los factores que pueden afectar a los riesgos que hayamos observado y que se pueden producir
al desarrollar los procesos críticos.

La figura que recogemos en el slide, entendemos que es un ejemplo evidente de lo que debemos
buscar, pues en este caso el riesgo de accidente dependerá fundamentalmente de la agresividad
del conductor, que sería el factor más determinante. En este caso el control de llevar los
cinturones puestos poco puede contrarrestar el peligro. Atendiendo a las 4 formas de combatir
los riesgos, solo habría una válida, la de rechazarlo, bajándonos del coche.

Llegar a concluir sobre los factores de riesgo que pueden afectar a los procesos, exige un análisis
profundo de los mismos, así como un elevado conocimiento sobre su operativa, para ello, si fuese
necesario, Auditoría Interna debería apoyarse en el conocimiento que los propios gestores tienen
de los mismos.

Veamos un ejemplo: Reducirlos. En este caso el objetivo perseguido es la reducción de los


costos operativos de la empresa. La vía elegida: la mecanización de las actividades y su
deslocalización buscando mercados de trabajo con mano de obra más competitiva.

Pero analizando las dificultades con las que nos podemos encontrar para llevar adelante este
forma de actuar, nos encontramos con los siguientes condicionantes (o lo que es lo mismo los
siguientes factores de riesgo para alcanzar los objetivos perseguidos): la falta de
conocimientos informáticos de los nuevos empleados, la falta de un software que se adapte a
nuestras necesidades, la rigidez del mercado nacional de origen que nos impida una fácil y
económica resolución de los contratos laborales existentes, etc.

Lo que nos conduciría a identificar tres riesgos inherentes: TI, Recursos Humanos y Fallos en
los servicios.

Siendo este el panorama, lo que la organización debe localizar son las soluciones a estas
amenazas.

14 www.auditool.org
Autor: Jesús Aisa Díez

Supongamos que los mecanismos de gestión de riesgos empleados por la empresa hayan sido
los siguientes:

Factores de riesgo: Controles a implementar:


Falta de conocimientos informáticos de la
Cursos de formación rápida
plantilla
Inexistencia de aplicaciones estándar que
Contratación para el desarrollo de Software.
sean de uso para la empresa
Dificultades para desvincular al personal
Negociación con sindicatos.
existente
Formación del personal deslocalizado con el
Cursos de formación in situ
proceso
Traslado de los productos terminados
Acuerdo agencias transporte
cumpliendo plazos

Auditoría Interna debe concluir es si está o no conforme con la nueva evaluación de la criticidad
del proceso según las medidas adoptadas, y, en cualquier caso, aún faltaría validar la eficacia
de los controles implementados, por lo que no debemos descartar incluir este proceso entre
los que deberíamos supervisar en un futuro próximo.

Supongamos que la experiencia profesional de los auditores les hace concluir que la eficacia de
los controles es la que se indica seguidamente:

Cursos de formación rápida……………………………………………… Dudosa


Contratación desarrollo de software……………………………………..Eficaz
Negociación con sindicatos……………………………… ………………Nula
Cursos de formación in situ……………………………..........................Dudosa
Acuerdo agencias de transporte…………………………… ……………Razonable

De ser así, el proceso, que sigue siendo crítico, pero los riesgos que le afectan han pasado a
ser: TI. Moderados; Recursos Humanos. Graves; Fallos en los servicios. Aceptable.

Pudiendo señalar que sería un Candidato a ser un ente auditable.

Después de realizado el ejercicio de evaluación por parte, tanto de los gestores, como de la
Unidad de Auditoría Interna, nos podemos encontrar con dos mapas de riesgos, el que han
elaborado los responsables gerenciales, y el que ha elaborado Auditoría. Con base a este último
es con el que debemos definir el borrador del Plan Auditor, identificando los procesos a revisar,
con base a la presencia en ellos de riesgos críticos en la consecución de los objetivos.

15 www.auditool.org
Autor: Jesús Aisa Díez

Mapa riesgos s/Auditoría Inter. Mapa riesgos s/gestores

Por ello, los procesos que den cabida a los riesgos: 4, 8 y 23, deben incluirse en el Plan de
Auditoría para su revisión inmediata, pero también un porcentaje a determinar de los que
se sitúan en la franja azul.

Ahora bien, cuando nos referimos a que debemos concebir el Plan de Auditoría con base a
riesgos, no debe entenderse que sea solo la evaluación de los riesgos la información que
hemos de considerar, puesto que existen también otros elementos que pueden aportarnos
información muy valiosa. Por este motivo, y de acuerdo con el ejemplo del presente slide, el Plan
no solo incluirá los procesos correspondientes a los 3 riesgos extremos y a los 22 altos, sino
también otros trabajos de acuerdo con la ponderación que finalmente asignemos a todos los
datos que debemos considerar.

16 www.auditool.org
Autor: Jesús Aisa Díez

Hemos de señalar que no existe una única mejor práctica que nos oriente definitivamente
sobre los inputs que deberíamos emplear para determinar el contenido de los Planes de
Auditoría, pues eso dependerá de muchas circunstancias, pero los que seguidamente citamos
pueden perfectamente formar parte de los aspectos que podrían influir en la definición de un
Plan Auditor:

 Ambiente general de control del proceso o del área


 Alteraciones del equipo de gestión o estructura
 Redefinición de los procesos o alteraciones/reconversión de los sistemas información
 Resultados obtenidos en anteriores trabajos de auditoria
 Resultados del proceso de Gestión de Riesgos
 Recomendaciones críticas pendientes
 Existencia de procedimientos escritos
 Juicio del auditor

Su ponderación o peso, así como el número de ítems a considerar, pueden variar y ajustarse a
la realidad de cada Organización. Lo que sí entendemos conveniente que sea cual sea el modelo
que vayamos a emplear, que se exponga con claridad al Consejo de Administración y a la alta
dirección, puesto que si ambos deben aprobar el Plan a acometer por Auditoría, deben saber
qué es lo que están aprobando, y cómo se ha concluido en él.

Si bien el ejemplo que se recoge en el slide anterior es totalmente didáctico y diseñado para
poder aclarar los conceptos que subyacen detrás de estas ponderaciones, el que aparece en
la actual pantalla por el contrario es real, y se ajusta al modelo empleado por una importante
multinacional española.

Si observamos con detalle los pesos que se han asignado a cada uno de los componentes,
se puede concluir que:

Siendo cierto que el Plan de Auditoría se basa en riesgos, se podría pensar que su peso relativo
es bastante reducido, puesto que, incluyendo el mapa de control, sería solo del 10%.

No obstante, si observamos cómo está estructurado el modelo, veremos que la importancia


estratégica de los procesos, más la importancia económica de los mismos agregarían un 30%
adicional en la ponderación, con lo que ya se alcanzaría un 40% debido a la gestión de riesgos,
mientras que el 60% restante se distribuye un 50% por los antecedentes existentes en Auditoría
(antigüedad auditorías anteriores, valoración final de los informes, recomendaciones críticas
pendientes) y un 10% adicional asignado al juicio subjetivo del Director de Auditoría Interna.
En resumen: un 40% para la gestión de riesgos y el 60% debido a los antecedentes/opinión de
Auditoría Interna, lo que nos hace pensar que el modelo no está aún muy “rodado”, y que
es muy conservador, habiendo migrando de un modelo en el que el 100% del Plan de
Auditoría se determinaba por el conocimiento que tuviese Auditoría, a otro en el que esta
característica se reduce, de momento, a un 60%.

17 www.auditool.org
Autor: Jesús Aisa Díez

Identificados los trabajos que estimemos necesario realizar, hay que cuantificar: las horas
necesarias para realizarlos, así como las horas de formación previstas, las de atención a las
consultorías solicitadas, las precisas para la supervisión de los planes de acción asumidos, etc.,
comparándolas con las disponibles. Situación que debe sancionar el Directorio y la alta dirección.

Pero sin olvidar incluir, e identificar, las acciones que serán realizadas por “los otros proveedores
de aseguramiento” que vayamos a aprovechar.

Incluir todo este detalle en la información que se reporta a quienes deben aprobar el Plan resulta
imprescindible, ya que la propuesta realizada no será efectiva, ni aplicable, hasta que no
esté sancionada en todos sus términos, fundamentalmente en lo que respecta a los recursos
asignados para desarrollarla. En este sentido, si los medios autorizados no fuesen suficientes
para abordar todo el Plan en su integridad, debe quedar claro en el acto de aprobación que
existirá escasez de recursos para acometerlo, y que se dejarán sin hacer determinados
trabajos considerados necesarios, cuya responsabilidad derivada no es aplicable
exclusivamente a Auditoría Interna, ya que será compartida con quienes no asignaron los
recursos en la dimensión precisa.

Un formato cuatrimestral del Plan de Auditoría adoptará un esquema similar al que recogemos
en la pantalla; pero si observamos hemos entrecomillado el calificativo “final”, con la intención
de remarcar que lo que se haya aprobado en el momento de la autorización por parte de la alta
dirección y del Directorio, puede ser modificado a lo largo del ejercicio, pues siempre habrá
situaciones sobrevenidas que harán necesario introducir cambios, bien por nuevas demandas
de las “partes interesadas”, bien porque la revisión y actualización, al menos semestral, de los
mapas de riesgo, aconsejen hacer modificaciones, ya que las prioridades han podido cambiar.

De estas situaciones habrá que dar cuenta al informar del cumplimiento del Plan aprobado en la
correspondiente Memoria de actividades.

18 www.auditool.org
Autor: Jesús Aisa Díez

Existen dos conceptos que no debemos confundir, diseñar el Plan de Auditoría con base a
riesgos (Instituto de Auditores Internos), no es lo mismo que auditar con base a riesgos.

 En el primer caso el objetivo es determinar qué es lo que debemos hacer.


 En el segundo lo que se nos pide es que desarrollemos la actividad auditora
supervisando el control interno de la Organización a través de la eficacia del Sistema de
Gestión de Riesgos existente.

Es la misma situación con la que se suelen enfrentar los entrenadores de los equipos de futbol
que compiten con el Real Madrid, ganarle obliga a contrarrestar a Ronaldo (el qué hacer), el
problema está en cómo hacerlo

El “Paper Position Statement Risk Based Internal Auditing del Institute of Internal
Auditors – UK and Ireland.” define la auditoría interna basada en riesgos (ABR), como:

“La metodología que une las auditorías internas con el marco general de la gestión de riesgo de
una organización, permitiendo a la auditoría interna ofrecer garantías al Directorio de que los
procesos de gestión de riesgos son efectivamente aplicados en relación con el apetito al riesgo”.

Existen otras muchas definiciones, pero todas ellas inciden en afirmar que son aquellas
metodologías con las que elaborar un programa de auditoría que permita focalizar las
pruebas de auditoría en los controles críticos puestos en marcha por la organización. Para ello
resultará básico:

 Centrándonos en lo importante.
 Ofrecer opinión independiente sobre la bondad del Sistema de Gestión de Riesgos.

19 www.auditool.org
Autor: Jesús Aisa Díez

Las auditorías con base a riesgos, consisten en: Evaluar la adecuación de los procesos de
Gestión de Riesgos, verificando:

 Que los objetivos de la organización están alineados con la estrategia de la empresa.


 Que los riesgos significativos están identificados y bien evaluados.
 Que se han seleccionado respuestas apropiadas a los riesgos de forma que estén en un
entorno de aceptación.
 Obtener oportuna información significativa sobre los riesgos críticos.

En resumen: Conjunto de procesos mediante los cuales las auditorías proveen aseguramiento
independiente al Directorio acerca de:

1) Si los procesos y medidas de gestión del riesgo que se encuentran implementadas están
funcionando de acuerdo a lo esperado;
2) Si los procesos de gestión de riesgos son apropiados y están bien diseñados, y
3) Si las medidas de control de riesgos que la Gerencia ha implementado son
adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el
Directorio.

Las auditorías con base a riesgos dependerán del nivel de desarrollo que la propia empresa ha
alcanzado en la gestión de riesgos en el área objeto de examen, y el grado en que han sido
definidos objetivos apropiados por la Gerencia contra los cuales pueden medirse los riesgos
asociados.

La Norma. 2600. Comunicación de la aceptación de los riesgos, es muy clara:

Cuando el Director de Auditoría Interna concluya que la dirección ha aceptado un nivel de riesgo
que pueda ser inaceptable para la organización, debe tratar este asunto con la alta dirección.
Si el asunto no se resuelve debe comunicarse la situación al Directorio.

20 www.auditool.org

También podría gustarte