auditoría basada en riesgo

Conoce por qué hacer auditorías basadas en riesgo




Por Jorge Alonso Ramírez Vega.

En todas las empresas el riesgo es latente, por lo que mantener una vigilancia puntual sobre las condiciones en las que se encuentra, permitirá una mejor toma de decisiones, así como asumir ajustes que permitan solventar los problemas de forma más efectiva.

En la anterior entrega hablamos acerca de los procesos que se llevan a cabo en el área de auditoría interna, en términos generales, y lo que debería hacer o no dicha unidad de negocio, en la revisión de los procesos determinados por cada una de las unidades generadoras de la organización.

Es pertinente entonces preguntar si ¿los procesos de revisión sobre pruebas selectivas y las observaciones detectadas tienen una calificación asignada? Son diversas las respuestas para esta incógnita y la más rápida sería decir, no necesariamente, ya que predomina el criterio del auditor y el nivel de calificación, riesgo o impacto que le determine o imponga, lo hará de acuerdo con los criterios o normas de auditoría, su “expertise”, conocimiento, argumentos, etcétera.

Vale la pena enfatizar que cualquier informe que genere el área de auditoría debería siempre ser acompañado de valor agregado o utilidad, aunque no siempre es así, no obstante, cuando sí es así podríamos hablar de una calificación “por riesgo”, y aunque dicha calificación tiene muchas variaciones, lo más común es delimitarlo así:

  • a) Alto
  • b) Medio
  • c) Bajo

También se pueden incluir dos calificaciones más (Medio-Alto y Medio-Bajo), todo dependerá de la metodología, procedimientos y nivel de profundidad con que se hagan las revisiones, y esas clasificaciones de riesgo pueden determinar en un momento dado, la pérdida potencial de recursos por no llevar adecuadamente actividades inherentes a los procesos de negocio de cada una de las áreas.

Hoy en día existen diferentes metodologías de revisión o de auditoría basadas en riesgo (en las próximas entregas se ejemplificará con una de ellas), que ayudan a despejar muchas dudas sobre lo que realmente están revisando los auditores o simple y llanamente son “recomendaciones” o “mejoras” a lo observado y/o probado en los recorridos “in-situ”.

Las auditorías basadas en riesgo siempre expresan con énfasis su resultado debido a que lo generan con base en datos históricos, comparativos, evolución de actividades y sobre todo incluye una calificación que evalúa la contribución hacia otras áreas y a toda la compañía en su conjunto.

Los riesgos delimitados siempre van a tener relación con los niveles de aceptación o tolerancia al incumplimiento en ciertas actividades, sean áreas comerciales, operativas o administrativas, y claramente reflejan la afectación en el tiempo que éstas pudieran tener, además de la repercusión monetaria, la aceptación, traslado, mitigación o cancelación de dichos riesgos.

Por otro lado, las auditorías basadas en modelos de riesgo más avanzados conllevan a tener sistemas especializados que hacen estadísticas, análisis descriptivos y ajustes directos a límites aceptables o condicionados para cada una de las unidades de negocio, por tanto es bueno siempre tener en consideración sistemas ya parametrizados o modelos simples de seguimiento o interacción con el usuario.

A manera de recordatorio, señalaremos que los riesgos asumidos por las compañías de una u otra manera, afectarán el buen hacer y las mejores prácticas llevadas a cabo en la organización, sin embargo, siempre es bueno estar conscientes y mantener una vigilancia puntual y expedita a fin de que las revisiones estén basadas en el cómo, cuándo, dónde, por qué, quién, para quién, costo, seguimiento, y otras variables por el estilo.

Síguenos en Facebook

Contenido relacionado:

Contenido recomendado: