Plan de Auditoría en base a riesgos

Después de unas pequeñas vacaciones de verano, y de atender algunos compromisos, vuelvo a retomar la atención del blog, que espero poder mantener de forma continuada.

Para comenzar esta nueva etapa, quisiera comentar un aspecto que creo  significativo, cual es la determinación del Plan de Auditoría en base a riesgos, y la coherencia de nuestras decisiones con respecto de la información contenida en los mapas de riesgos institucionales derivados del Sistema de Gestión de Riesgos (SGR) de la organización en la que desarrollemos nuestro trabajo.

Si repasamos las Normas del IIA, nos encontramos con que, la 2010, nos indica que: El director de auditoría interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. Incorporando como interpretación de este requerimiento que: Para actuar según lo expresado, el director de auditoría interna debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la entidad.

De donde se deduce que Auditoría Interna debe tener una interacción directa y continua con el área de Gestión de Riesgos, que siendo el responsable de desarrollar el SGR, le corresponde elaborar el mapa de riesgos residuales que se adecue a los niveles apreciados respecto de las amenazas que incidan sobre los objetivos estratégicos y operativos de la empresa.

En estos mapas de riesgos aparecerán representados dichas amenazas, de acuerdo a la valoración de sus dos atributos básicos, impacto y probabilidad, que es la información que debe servir de base de trabajo de auditoría interna a la hora de definir sus próximas actuaciones.

Hasta aquí creo que todos estamos de acuerdo, pero la cuestión básica es, cómo aplicamos esta información. Me explico.

Supongamos que en el mapa de riesgos aparecen algunos de ellos situados en el cuadrante superior derecho, es decir los que se situarían en la zona roja de la figura.

Es evidente que esos riesgos no están bien controlados, por lo que los procesos en los que estos se manifiesten podrían ser candidatos a ser incluidos en el Plan de Auditoría. Pero, permítaseme plantear una duda, de forma directa o después de alguna actuación previa por parte de los responsables de dichos procesos.

En mi opinión, esos procesos en forma directa no deben ser incorporados al Plan de Auditoría, ya que, si la organización ha determinado que esos riesgos están mal gestionados, lo lógico y procedente es que el Gestor de Riesgos se dirija a los propietarios de los procesos afectados por dichos riesgos, solicitándoles confeccionen e implementen un plan de acción con el que reconducir la situación de esas amenazas, hacia el entorno del apetito al riesgo que se haya considerado viable con la consecución de los objetivos empresariales. Planes de acción que sí deben ser conocidos por Auditoría Interna a fin de evaluar la adecuada suficiencia de las medidas implementadas. Siendo,  a partir de ese momento cuando, en mi criterio, deberíamos considerar la conveniencia de supervisar dichos procesos, verificando la eficiencia y eficacia de los controles recientemente implementados, reevaluando la importancia del riesgo.

Incluir esos procesos en el Plan de Auditoría sin haberse realizado el plan de acción antes comentado, no aportará nada, ya que único que podremos verificar es que la situación es crítica y que urge actuar. Bueno, pero eso ya lo sabíamos según el dictamen del propio SGR desarrollado por la organización.

Sin embargo, y en sentido contrario, Auditoría Interna sí debería preocuparse de los procesos relevantes de la entidad en los que existan riesgos estimados como medios o bajos, ya que, una mala evaluación de los mismos pondría en cuestión los objetivos, ya que, la posible materialización de esas amenazas tendría unas repercusiones mayores que las previstas. Por lo que se hace recomendable que en el Plan de Auditoría Interna se incluyan dichos procesos como entes auditables, supervisando la bondad de la evaluación de los riesgos. Pues no debemos olvidar que somos la tercera línea de defensa.

Creo que si se actúa de la forma que hemos descrito estaremos aportando verdadero valor a las entidades en las que actuemos, por lo que ánimo a que se valore la oportunidad de trabajar en línea con estos planteamientos, siempre que se esté de acuerdo con ellos.

Jesús Aisa Díez

18 de septiembre de 2013