Auditoría interna y gestión de riesgos

Auditoría interna y gestión de riesgos en ISO 31000 son dos conceptos que van de la mano. La auditoría interna debe evaluar y contribuir a la gestión de riesgos, aportando así a la mejora de los procesos de control, utilizando un enfoque sistemático y disciplinado.

La auditoría interna es una actividad que suele proporcionar independencia a los gestores del sistema de gestión de riesgos, frente a la Alta Dirección. Esto garantiza que los riesgos comerciales de mayor impacto, se traten de forma adecuada y así mismo, el sistema de controles internos de la organización opere de forma efectiva y eficiente. Esto explica de manera precisa la importancia de la relación entre auditoría interna y gestión de riesgos en un sistema de gestión basado en la norma ISO 31000.

Auditoría interna y gestión de riesgos en ISO 31000

La gestión de riesgos es un proceso que promueve el logro rentable de la organización y el alcance de sus objetivos, asegurando que la Alta Dirección obtenga información confiable sobre el desempeño de las actividades relacionadas con el tratamiento y la gestión de riesgos.

Dentro de este esquema, auditoría interna y gestión de riesgos, son procesos complementarios: apoyando el proceso de gestión de riesgos, la auditoría interna verifica que:

1) Se aplique el proceso de gestión de riesgos en forma apropiada y que todos los elementos del proceso sean adecuados y suficientes.

2) El proceso de gestión de riesgos está en consonancia con las necesidades estratégicas y la política de la organización.

3) Todos los riesgos significativos han sido identificados y están siendo tratados.

4) Los controles son diseñados e implementados de forma correcta, con el fin de mantener los objetivos del sistema de gestión de riesgos.

5) Los controles críticos son adecuados y efectivos.

6) Se están ejecutando planes para mejorar la gestión de riesgos.

7) Existe un progreso apropiado, según lo previsto en el plan de gestión de riesgos.

Conozca la importancia de la #AuditoríaInterna y gestión de riesgos en #ISO31000 Clic para tuitear

Auditoría interna y gestión de riesgos, cuando no se cuenta con un sistema de gestión

Entonces, no es raro que la auditoría interna de una organización deba trabajar en estrecha cooperación con los encargados del sistema de gestión de riesgos. En algunas organizaciones, que no cuentan con un sistema de gestión de riesgos, la auditoría a menudo proporciona una visión sobre la gestión de riesgos más amplia que la que se puede obtener de un consultor externo, siempre que se presenten ciertas condiciones:

1) Debe quedar claro que la Alta Dirección sigue siendo responsable de la gestión de riesgos. El plan de trabajo debe incluir una estrategia clara para que, en un periodo de tiempo definido, estas responsabilidades sean asumidas por un miembro de la Alta Dirección.

2) La naturaleza y las condiciones en las que se preste el servicio de auditoría interna, debe documentarse dentro de la misma auditoría.

Consultoría externa

En áreas de mayor riesgo, en las que la Alta Dirección reconoce la necesidad de aumentar y mejorar los controles, existe la oportunidad para que la auditoría interna pueda agregar valor a la organización por medio de actividades de consultoría.

Aunque estas actividades de asesoramiento y consultoría pueden ser una parte valiosa en un plan de auditoría, el alcance de esta práctica es limitado, y puede ajustarse a tres aspectos:

  • Aseguramiento del proceso de gestión de riesgos en sí.
  • Aseguramiento de riesgos significativos de alto impacto.
  • Seguimiento del estado del plan de tratamiento de riesgos.

La seguridad en el proceso de gestión del riego en sí, puede ser realizada para proporcionar una seguridad razonable a la Alta Dirección de que la gestión de riesgos de una organización está diseñada, documentada y puesta en práctica para lograr sus objetivos.

Curso ISO 31000 Gestión de Riesgos

Para comprender la estrecha relación entre auditoría interna y gestión de riesgos en ISO 31000, así como para obtener los conocimientos necesarios para la implementación de un sistema de gestión de riesgos basado en la norma ISO 31000, la Escuela Europea de Excelencia ha creado el curso ISO 31000 Gestión de Riesgos.

Asegure una plaza en este programa para su organización, accediendo aquí

.