El nuevo paradigma de las auditorías basadas en riesgos

Auditorías basadas en riesgos

La auditorías basadas en riesgos son un desafío para los auditores internos y para los organismos de certificación especializados. Ambos deben dejar de usar técnicas tradicionales de gestión de riesgos e imponer métodos creativos e innovadores a sus clientes si desean demostrar el cumplimiento del requisito estándar.

Este punto consiste en verificar que la organización haya tenido en cuenta el riesgo en todo momento y que no necesariamente debe haber documentos que lo demuestren.

Para auditar el enfoque basado en el riesgo, uno debe «pensar» sobre el riesgo implementando, administrando, manteniendo y mejorando un SGC. Específicamente, el estándar indica la necesidad de evaluar los riesgos en las siguientes áreas:

• Contexto de la organización.
• Procesos necesarios para el SGC.
• Riesgos asociados con la conformidad del producto o servicio.
• Riesgos posteriores a la entrega.

La intención parece ser que la organización determine de manera autónoma el nivel de rigor requerido para implementar este requisito de acuerdo con su grado de apetito por el riesgo.

Los auditores han sido entrenados para creer que las únicas formas aceptables de evidencia son los documentos y registros. Otras formas de obtener evidencia objetiva son:

• Observación directa del trabajo de una o múltiples partes.
• Recolección de evidencia oral, en entrevistas y conversaciones.
• Sonidos, olores, evidencia táctil.

El punto es que el estándar no requiere documentar estas evaluaciones, por lo que, al auditar el enfoque basado en el riesgo, los auditores deben evitar depender de documentos, registros y procedimientos. Algunos, que creen que no es posible auditar de otra manera que no sea sobre la base de documentos, deberían detenerse por un momento para examinar nuevos puntos de vista y nuevas tendencias.

Auditorías basadas en riesgos

La auditoría interna es esencial para garantizar que las organizaciones gestionen el negocio bajo un entorno de control y de acuerdo con su apetito de riesgo. Los auditores han tenido que transformar la forma tradicional de auditar y esto representa desafíos y oportunidades. El valor que puede proporcionar la auditoría dependerá de cuánto incorporen los equipos de auditoría las mejores prácticas y contribuyan a la generación de valor. Algunas de las características principales de los planes de auditoría basados ​​en riesgos son:

Priorización de los riesgos relevantes

Desarrollar las diferentes revisiones de acuerdo con lo que la organización ha identificado como riesgos relevantes. Todos los riesgos relevantes deben tener una estructura, límites y plan de acción claros de cómo la organización lo gestiona. Es allí donde el equipo de auditoría debe concentrar sus horas, revisiones y comprensión con las áreas comerciales o de monitoreo de la entidad, ya que en la medida en que los riesgos más importantes tienen un mayor control, es más probable que la entidad esté dentro de los límites. aceptado.

Enfocado en procesos:

El mapa de procesos críticos de la organización es esencial antes de la gestión del riesgo operacional. Es en los procesos críticos, ya sea desde el punto de vista de la continuidad o el impacto, que la auditoría debe enfocar sus revisiones, posibles errores o posibles mejoras en el proceso. Ya la auditoría relacionada con el detalle de las transacciones y generalmente vinculada a asuntos estrictamente financieros no es la predominante.

Especialización en el negocio:

Los planes de auditoría efectivos comprenden el funcionamiento de las líneas de negocio y evalúan la integridad de los riesgos, entendiendo la especificidad y el alcance de cada uno, donde la regulación es cada vez más extensa y detallada. El enfoque de auditoría estándar que aplicaba las mismas pruebas en cualquier industria ya no era efectivo. Por lo tanto, los planes de capacitación de auditores ahora deben diseñarse para fortalecer el análisis cuantitativo y de datos, la evaluación de metodologías y los modelos de gestión.

Enfoque Integral:

Los planes de auditoría deben evaluar la gestión de cada riesgo o cada proceso crítico desde tres perspectivas: gerencia, para garantizar que la estructura de roles y responsabilidades funcione; riesgo, para comprender si los responsables de la toma de decisiones siguen la estrategia y el control de riesgos de la organización para garantizar que las medidas preventivas o atenuantes sean parte de la cultura de todos los empleados.

Generar Valor:

El auditor moderno entiende que en sus revisiones el objetivo final no es encontrar observaciones o estar satisfecho de si las actividades de los procesos están de acuerdo con los procedimientos. El auditor también debe preocuparse por comprender el negocio con el fin de generar recomendaciones y alternativas con las que se pueda mejorar la gestión de la organización. Mientras mantiene su independencia, puede dar recomendaciones o sugerencias de acuerdo con su experiencia.

Tres líneas de Defensa:

Es recomendable utilizar diferentes líneas de defensa con respecto a la evaluación y gestión de los diferentes activos medidos y evaluados.

• Primera línea, para marcar una estrategia de aseguramiento del diseño
• Segunda línea, para aseguramiento clave automático
• Tercera línea para una estrategia enfocada en grandes riesgos.

Análisis de nuevos riesgos:

• Incremento en la probabilidad de fraudes
• Evaluación de riesgos desactualizada
• Plan de Auditoria anual con modificaciones
• Cambio en la forma de trabajar
• Programas de Auditoría inciertos
• Reprogramación en fechas de compromisos de implementación de informes emitidos
• Dificultades de acceso a la información
• Cambios en los procesos de cierres de auditorías
• Cambios en la emisión de informes
• Cambios en la presentación a la Alta Dirección

Próximos desafíos a las competencias de Auditoría Interna

• Orientado a la retroalimentación: Dispuesto a dar y recibir comentarios difíciles y adaptarse según los comentarios recibidos.
• Colaborativo: Trabajar en estrecha colaboración con otros, especialmente con personal no técnico.
• Comunicativo: Informes según el usuario final y presentación de información de diferentes maneras
• Orientados a los negocios: Impulsado para ejecutar objetivos empresariales, encontrando el camino correcto para alcanzarlos.
• Analítico: Ve e interpreta las conexiones entre los datos y transfórmarlos en información.
• Innovador: Aborda los problemas de forma creativa, abrazando nuevas técnicas y facilitadores.
• Inquisitivo: Hacer preguntas productivas y enfocarse en brindar respuestas claras y convincentes.
• Emprendedor: Cómodo trabajando a través de la ambigüedad y fuera de la estructura formal.

Software ISOTools Excellence para auditorías internas

El software ISOTools agiliza los sistemas de gestión y los modelos de excelencia. Se encuentra alojado en la nube, cumpliendo con todos los protocolos de seguridad de la información.

ISOTools trabaja de forma modular, por lo que cada proceso que se encuentra involucrado en nuestro sistema se trabajará mediante módulos que interactúan entre sí siendo escalables, flexibles y adaptables. Esto nos permite gestionar diferentes procesos frente a la metodología que utilice la organización.

Con el software ISOTools se reducirán los tiempos invertidos en la gestión de los diferentes procesos a nivel de identificación de elementos, creación de planes de acción, presentación de informes, etc. también nos permite reducir costos y aumentar el rendimiento de la organización.

Podrá disponer de aplicaciones con las que gestionar sus auditorías de control, y además estas aplicaciones se podrán configurar a sus necesidades.  Cuenta con un sistema de permisos que nos ofrece la posibilidad de restringir el acceso a dichas aplicaciones y establecer los responsables de cada uno de los procesos que se lleven a cabo durante la elaboración del plan o el programa de auditoría de control.

Si quiere obtener más información, solicítenos contacto.