Ley N.° 9699

Perspectivas

Ley N.° 9699: Medidas para la prevención de delitos dentro de las organizaciones

Auditores internos deben fortalecer las acciones de evaluación o vigilancia de los modelos de gobernanza, gestión y control adoptados por las organizaciones, en virtud de cumplir con sus funciones de aseguramiento, prevención y respuesta ante el riesgo

Tendencias en la auditoría interna

Las organizaciones han evolucionado hacia modelos de planificación donde la estrategia de riesgos pasa a ser una característica fundamental dentro de los planes de negocio. En este ejercicio, la definición de objetivos estratégicos, de acuerdo al apetito de riesgo organizacional, les da a las áreas clave sus roles en cómo administrar, tolerar, prevenir o trasladar el riesgo. En estos roles, también se ha redimensionado el papel de los equipos de auditoría.

En Costa Rica se observan diferencias en la gestión de riesgos entre entidades públicas y privadas. En estas últimas destacan el sector financiero que emula estándares internacionales establecidos por Basilea, COSO o marcos de referencia como ISO 31000, ISO 36000 e ISO 37001, y, entidades de otros giros comerciales que cada vez más utilizan modelos de gestión de riesgo empresarial, cuya madurez y énfasis dependerá de la industria y cuentan con más flexibilidad en algunas condiciones.

En el sector público, existen requisitos establecidos por la Contraloría General de la República, tanto en la Ley General de Control Interno (2002) como con el requerimiento para las instituciones de un Sistema Específico de Valoración de Riesgo Institucional (SEVRI). Este ha sido el intento oficial para que el sector gestione su operativa y estrategia de acuerdo a un enfoque de riesgos.

Sin embargo, la experiencia y los niveles de madurez varían de forma importante, y no ha sido lo más común encontrar organizaciones con una cultura de riesgos significativa, donde los órganos directores y los puestos clave compartan y complementen de manera formal, integral y continúa, los estándares de Gobierno, Riesgo y Cumplimiento (GRC) necesarios.

En este escenario, como tercera línea de defensa de la Junta Directiva u Órgano Director, la auditoría interna debe asegurar que las organizaciones gestionan el negocio bajo un ambiente de control y según su apetito de riesgo.

La auditoría interna continúa evolucionando de acuerdo a las tendencias en los diferentes sectores. El enfoque de gestión basado en riesgos llegó para quedarse y el aseguramiento de evaluaciones formales, integrales y continuas son parte clave para que las organizaciones persigan sus objetivos en ambientes de control. En el sector público, el punto de partida es que las entidades, persiguen intereses particulares y para lograrlos deben maximizar la eficiencia que implica también la mejor gestión de los riesgos a los que se enfrenta.

Recomendaciones para auditar en el sector público

  1. Promoción del control interno
    La gestión de riesgos está altamente relacionada a un ambiente de control. Las entidades comúnmente realizan autoevaluaciones de control interno que pueden ser una herramienta para proponer planes que conlleven al cierre de brechas, la mejora continua y la implementación de sanas prácticas, promoviendo la cultura de riesgos y el alineamiento organizacional desde la perspectiva de riesgos. La auditoría puede aportar de forma importante en cada organización tanto en el desarrollo metodológico de estas evaluaciones, como en el análisis posterior que permita darles seguimiento y promoción a los resultados encontrados.
  2. Marco orientador y riesgos relevantes
    Las entidades deben contar con su marco orientador en el que todo riesgo relevante debe tener su respectiva política, estrategia, límites y estructura clara de cómo la organización lo administra. Es en los riesgos relevantes donde deben concentrase los planes de auditoría. En el caso de que no los tenga, es uno de los primeros elementos a resolver y evidenciar. Es ahí donde el equipo de auditoría debe concentrar sus horas, revisiones y entendimiento con las áreas de negocio o monitoreo de la entidad. Pues en la medida que los riesgos más importantes tengan un mayor control, es más probable que la entidad se encuentra entre límites aceptados.
  3. Enfocada en procesos
    El mapeo de los procesos críticos de la organización es fundamental previo a la gestión del riesgo operativo. Es en los procesos críticos, sea desde el punto de vista de continuidad o de impacto, en los que la auditoría debe focalizar sus revisiones, posibles errores, o bien, posibles mejoras en el proceso. Se ha observado que muchas entidades parten de algunos procedimientos, no necesariamente estandarizados, lo cual no está vinculado a un mapeo exhaustivo de las actividades que se realizan.
  4. Especializarse en el negocio
    Planes de auditoría efectivos entienden el funcionamiento de los procesos clave y evalúan la integridad de los riesgos comprendiendo la especificidad y alcance de cada uno, donde la regulación es cada vez más extensa y detallada. Las entidades deben modernizar lo que implica tener un ambiente de control, donde los planes de auditoría son los mismos para cada periodo y se realizan con un objetivo de cumplimiento. Dejó de ser efectivo el enfoque estándar de auditoría que aplicaba las mismas pruebas en cualquier industria, lo cual requiere preparación. Por eso, los planes de capacitación de los auditores ahora deben estar diseñados para fortalecer el análisis cuantitativo y de datos, la evaluación de metodologías y modelos de gestión.
  5. Integralidad del proceso de los planes de auditoría
    Se debe evaluar la gestión de cada riesgo o bien de cada proceso crítico desde tres perspectivas. La primera es gobierno, para asegurar que la estructura de roles y responsabilidades funciona; la segunda, riesgo, para comprender si los tomadores de decisiones siguen la estrategia del riesgo de la organización. Finalmente, control, para asegurar que las medidas preventivas o mitigadores forman parte de la cultura de todos los colaboradores. Esta integralidad requiere a la auditoría participativa en el seguimiento sobre la toma de riesgos de la primera línea de defensa y el monitoreo de la segunda, donde la comunicación y complemento entre las áreas se convierte en un facilitador.
  6. Rol en la mejora continua
    El auditor moderno comprende que en sus revisiones el objetivo final no es encontrar observaciones o darse por satisfecho en caso de que las actividades de los procesos estén de acuerdo a los procedimientos. Tampoco puede ser cumplir con una serie de informes finales que muchas veces no pasan a ser punto de análisis a los órganos de control o de toma de decisiones. El auditor también debe preocuparse por entender la entidad para poder generar recomendaciones y valor, de alternativas con las que podría mejorarse la gestión de la organización. Conservando su independencia, puede dar recomendaciones o sugerencias de acuerdo a su experiencia.

Did you find this useful?
Tendencias en la auditoría interna

Al Día con Deloitte