Para los auditores y organismos de certificación especializados, las auditorías basadas en riesgos son un desafío, por ello, ambos deben dejar de usar técnicas tradicionales de gestión de riesgos e imponer métodos creativos e innovadores a sus clientes si desean demostrar el cumplimiento del requisito estándar, que consiste en verificar que la organización haya tenido en cuenta el riesgo en todo momento y que no necesariamente debe haber documentos que lo demuestren.
Para auditar el enfoque basado en el riesgo, es necesario «pensar» sobre el riesgo implementando, administrando, manteniendo y mejorando un Sistema de Gestión de Calidad (SGC). Específicamente, el estándar indica la necesidad de evaluar los riesgos en las siguientes áreas: Contexto de la organización, procesos necesarios para el SGC, Riesgos asociados con la conformidad del producto o servicio y Riesgos posteriores a la entrega.
Con ello se busca lograr que la organización determine de manera autónoma el nivel de rigor requerido para implementar este requisito de acuerdo con su grado de apetito por el riesgo.
Los auditores que aún utilizan la forma tradicional, creen que las únicas formas aceptables de evidencia son los documentos y registros. Sin embargo, existen otras formas de obtener evidencia objetiva como son: La observación directa del trabajo de una o múltiples partes, la recolección de evidencia oral, en entrevistas y conversaciones, los sonidos, olores, evidencia táctil.
Auditorías basadas en riesgos
La labor de la auditoría interna es esencial para toda organización, ya que garantiza que las organizaciones gestionen el negocio bajo un entorno de control y de acuerdo con su apetito de riesgo. Para los auditores, el transformar la forma tradicional de auditar, ha representado grandes desafíos y oportunidades.
Cabe mencionar que hoy es muy importante el valor que pueda proporcionar la auditoría, pero ello dependerá de cuánto incorporen los equipos de auditoría las mejores prácticas y contribuyan a la generación de valor. Algunas de las características principales de los planes de auditoría basados en riesgos son:
Priorización de los riesgos relevantes: Para ello se debe identificar los diversos riesgos a los que está expuesto la organización, lo que nos ayudará a identificar y priorizar los riesgos relevantes. Estos riesgos relevantes deben tener una estructura, límites y plan de acción claros de cómo la organización lo gestiona. Es allí donde el equipo de auditoría debe concentrar sus horas, revisiones y comprensión con las áreas comerciales o de monitoreo de la entidad, ya que en la medida en que los riesgos más importantes tienen un mayor control, es más probable que la entidad esté dentro de los límites. aceptado.
Enfocado en procesos: El mapa de procesos críticos de la organización es esencial antes de la gestión del riesgo operacional. Es en los procesos críticos, ya sea desde el punto de vista de la continuidad o el impacto, que la auditoría debe enfocar sus revisiones, posibles errores o posibles mejoras en el proceso.
Enfoque Integral: Los planes de auditoría deben evaluar la gestión de cada riesgo desde tres perspectivas: gerencia, para garantizar que la estructura de roles y responsabilidades funcione; riesgo, para comprender si los responsables de la toma de decisiones siguen la estrategia y el control de riesgos de la organización para garantizar que las medidas preventivas o atenuantes sean parte de la cultura de todos los empleados.
Generar Valor: El auditor moderno sabe que su labor no sólo se basa en encontrar observaciones o estar satisfecho de si las actividades de los procesos están de acuerdo con los procedimientos, sino que también, debe preocuparse por comprender el negocio con el fin de generar recomendaciones y alternativas con las que se pueda mejorar la gestión de la organización.
Tres líneas de Defensa: Es recomendable utilizar diferentes líneas de defensa con respecto a la evaluación y gestión de los diferentes activos medidos y evaluados.
Primera línea, para marcar una estrategia de aseguramiento del diseño.
Segunda línea, para aseguramiento clave automático.
Tercera línea para una estrategia enfocada en grandes riesgos.
Análisis de nuevos riesgos: Dentro de las funciones de auditoría, se deben evaluar la existencia de nuevos riesgos, como son: Incremento en la probabilidad de fraudes, la evaluación de riesgos desactualizada, el plan de Auditoria anual con modificaciones, cambio en la forma de trabajar, programas de Auditoría inciertos, reprogramación en fechas de compromisos de implementación de informes emitidos, dificultades de acceso a la información, cambios en los procesos de cierres de auditorías, cambio en la emisión de informes y cambios en la presentación a la Alta Dirección.
Desafíos a las competencias de Auditoría Interna
Orientado a la retroalimentación: Dispuesto a dar y recibir comentarios difíciles y adaptarse según los comentarios recibidos.
Colaborativo: Trabajar en estrecha colaboración con otros, especialmente con personal no técnico.
Comunicativo: Informes según el usuario final y presentación de información de diferentes maneras
Orientados a los negocios: Impulsado para ejecutar objetivos empresariales, encontrando el camino correcto para alcanzarlos.
Analítico: Ve e interpreta las conexiones entre los datos y los transforma en información.
Innovador: Aborda los problemas de forma creativa, abrazando nuevas técnicas y facilitadores.
Inquisitivo: Hacer preguntas productivas y enfocarse en brindar respuestas claras y convincentes.
Emprendedor: Cómodo trabajando a través de la ambigüedad y fuera de la estructura formal.
Fuente: Isotools