Un Plan de auditoría basado en riesgos

Priorización de los riesgos relevantes

Desarrolla las diferentes revisiones según lo que la organización tiene identificado como riesgos relevantes. Todo riesgo relevante debe tener una política, estrategia, límites y estructura clara de cómo la organización lo administra. Es ahí donde el equipo de auditoría debe concentrar sus horas, revisiones y entendimiento con las áreas de negocio o monitoreo de la entidad, pues en la medida que los riesgos más importantes tengan un mayor control, es más probable que la entidad se encuentra entre límites aceptados.

Enfocado en procesos

El mapeo de los procesos críticos de la organización es fundamental previo a la gestión del riesgo operativo. Es en los procesos críticos, sea desde el punto de vista de continuidad o de impacto, en los que la auditoría debe focalizar sus revisiones, posibles errores o bien, posibles mejoras en el proceso. Ya la auditoría preocupada por ir al detalle de las transacciones y generalmente vinculada a temas estrictamente financieros no es la que predomina.

Se especializa en el negocio

Planes de auditoría efectivos entienden el funcionamiento de las líneas de negocio y evalúan la integridad de los riesgos comprendiendo la especificidad y alcance de cada uno, donde la regulación es cada vez más extensa y detallada. Dejó de ser efectivo el enfoque estándar de auditoría que aplicaba las mismas pruebas en cualquier industria. Por eso, los planes de capacitación de los auditores ahora deben estar diseñados para fortalecer el análisis cuantitativo y de datos, la evaluación de metodologías y modelos de gestión.

Es integral

Los planes de auditoría deben evaluar la gestión de cada riesgo o bien de cada proceso crítico desde tres perspectivas: gobierno, para asegurar que la estructura de roles y responsabilidades funciona; riesgo, para comprender si los tomadores de decisiones siguen la estrategia del riesgo de la organización, y control, para asegurar que las medidas preventivas o mitigadores forman parte de la cultura de todos los colaboradores.

Genera valor

El auditor moderno comprende que en sus revisiones el objetivo final no es encontrar observaciones o darse por satisfecho en cuanto a si las actividades de los procesos están de acuerdo a los procedimientos. El auditor también debe preocuparse por entender el negocio para poder generar recomendaciones y valor, de alternativas con las que podría mejorarse la gestión de la organización. Conservando su independencia, puede dar recomendaciones o sugerencias de acuerdo a su experiencia.

La auditoría interna continúa evolucionando de acuerdo a las tendencias en los diferentes sectores. El enfoque de supervisión basado en riesgos llegó para quedarse y el aseguramiento de evaluaciones formales, integrales y continuas son parte clave para que las organizaciones persigan sus objetivos en ambientes de control.