La unidad de Auditorías y Riesgos (A&R) de la Firma Tutor Negotia TN, contempla la auditoría interna con actividad de gestión clave en el aseguramiento de los objetivos de negocio bajo un ambiente de control que está directamente relacionado al apetito al riesgo de los mismos, dicho sea de paso entre mas riesgo inherente muestre un objetivo o proceso más atención y recursos para la identificación de alternativas de solución o estrategias de mitigación desplegara la empresa y sus proceso de auditoria.
Como resultado de este proceso, el trabajo de los auditores se ha transformado de la auditoria tradicional que va la identificación y gestión del riesgo de fraude hasta la gestión de riesgos de objetivos de negocio y sus alternativas posibles ante contingencias identificadas, esto ha convertido la gestión de riesgos en retos y oportunidades clave para el éxito y seguridad en sus operaciones.
En la actualidad debemos transformar la auditoria en una herramienta de gestión con valor más allá de la identificación de desviaciones, sino en el perfeccionamiento de la gestión directiva-operativa hasta la integración de portafolios de proyectos identificando sus riesgos, oportunidades, respuestas oportunas al riesgo, y también, como una herramienta clave de comunicación información, control y reporte; entre más capacitado este el auditor en estas prácticas más valor agrega al proceso de auditoria.
Este proceso integra cuando menos los siguientes elementos:
Para elaborar el Plan basado en riesgos, el responsable de Auditoría Interna debe considerar los factores y antecedentes documentales, obtenidos de las entrevistas con los responsables de los diferentes procesos. Las actividades involucradas en la elaboración de este Plan deben llevarse a cabo conforme a la siguiente secuencia:
1. Identificar los objetivos estratégicos y de operación del negocio: Mediante las entrevistas y observaciones directas, el auditor interno debe obtener información documental sobre las metas que la organización se propone en puntos como el incremento de su participación en el mercado, reducción de costos, reconversión de una parte de su planta industrial y apertura de nuevas sucursales, así como sobre los procesos y sistemas que existen para lograrlo, manteniendo los diferentes niveles de operación del negocio.
2. Obtener el mapa de riesgos que afectan a cada objetivo: La administración de los riesgos implica que la organización cuente con una matriz actualizada que analice con base en su importancia los riesgos significativos que se enfrentan en cada uno de los procesos para lograr los objetivos planteados. El no contar con un mapa de riesgos implica en sí mismo un riesgo relevante. En dicho caso, el auditor interno debe elaborar el mapa de riesgos como base para su Plan, considerando la información obtenida de los responsables de cada proceso.
3. Identificar los procesos que incluyen los riesgos significativos: Una vez que el auditor cuenta con el mapa de riesgos, está en posibilidad de identificar y priorizar los procesos y controles que existen para prevenir y mitigar las amenazas sobre el logro de objetivos. La estructura y complejidad de los procesos, así como el nivel de importancia de los riesgos, varían de acuerdo con el giro, perfil y tamaño de la organización. Bajo esta consideración los procesos con riesgos significativos deben ser evaluados anualmente.
4. Determinar los recursos necesarios para evaluar los principales procesos: Identificados los procesos relevantes en relación con los riesgos, es necesario definir los recursos humanos, técnicos y presupuestales que el auditor interno requiere para llevar a cabo la evaluación del control interno.
5. Calendarizar la evaluación de los procesos de acuerdo con la operación del negocio: El Plan debe contemplar el tiempo de duración de cada auditoría y la oportunidad en que ésta se realizará, considerando el ciclo de negocio de la compañía o algunos otros factores tales como: actualización de procesos, automatización, incorporación o desarrollo de nuevos productos o negocios y ampliación de capacidad instalada.
6. Comentar el Plan con la Alta Dirección: Se deberá procurar presentar a la alta dirección los objetivos y alcance de las diversas auditorías que se incluyen en el Plan, para obtener retroalimentación sobre aspectos relevantes o estratégicos que pudieran ser incluidos en el desarrollo de las auditorías y, en su caso, sugerencias sobre auditorías que para la alta dirección pudieran ser relevantes o de alto impacto. Dichas proposiciones deben ponerse a consideración del Comité de Auditoría o el órgano de reporte, quien es el único facultado para modificar el Plan.
7. Obtener la aprobación del Comité de Auditoría o el órgano al que reporte el auditor: El auditor interno debe presentar al Comité el Plan de Auditoría, explicando la sustentabilidad de este, su enfoque basado en los riesgos estratégicos del negocio, la factibilidad de este y el valor que agrega a la organización. Será indispensable que se explique una adecuada alineación del presupuesto asignado al área de auditoría y la capacidad con que se cuenta para la ejecución de las auditorías.
Por Alfonso Ruelas