Plan de auditoría y monitoreo basado en el riesgo

El riesgo se define como un evento que puede evitar que una organización pueda lograr sus objetivos. Consideramos cuatro tipos de riesgos principales: operacionales, financieros, normativos, y reputacionales. El plan de auditoría y monitoreo basado en el riesgo es la forma más eficaz de realizar una evaluación de riesgos en esos cuatro ámbitos.




Matricúlate en el curso online ISO 31000: Gestión de Riesgos Corporativos

La elaboración y ejecución de un plan de auditoría y monitoreo basado en el riesgo requiere definir grupos específicos para la identificación de los riesgos, hacer entrevistas y encuestas, así como involucrar a la alta dirección y tener en cuenta los informes sobre hallazgos derivados de las auditorías anteriores.

El plan de auditoría y monitoreo basado en el riesgo, también implica, después de identificar los riesgos, priorizarlos, estableciendo la probabilidad de ocurrencia y la capacidad de impacto negativo de cada uno de ellos. Este ha de ser un proceso continuo y periódico, si es que se desea garantizar la efectividad de la tarea.

El desarrollo del plan de auditoría y monitoreo basado en el riesgo

Las normas internacionales sobre la práctica de auditorías internas dicen que la auditoría interna debe evaluar la efectividad y contribuir a la mejora de los procesos de gestión de riesgos. Esto se logra a través del desarrollo y la ejecución del plan de auditoría y monitoreo basado en el riesgo.

Las evaluaciones de riesgo y la priorización son elementos importantes en el desarrollo del plan. Las consideraciones relacionadas con el plan deben incluir:

  • La revisión de todas las áreas de negocios de la organización que van a ser auditadas.
  • Los recursos disponibles para implementar el plan.
  • Las horas necesarias para ejecutar el plan.
  • Actividades definidas de auditoría o monitoreo y la determinación sobre si son un resultado o un proceso orientado.
  • Flexibilidad para abordar los cambios en las prioridades dentro del plan.

El proceso de evaluación de riesgos continúa a través de la ejecución del plan, donde se reflejarán los objetivos propuestos.

La auditoría y el monitoreo en #ISO31000 requieren elaborar y ejecutar un plan. Aprenda cómo hacerlo. Clic para tuitear

La ejecución del plan de auditoría y monitoreo basado en el riesgo

La auditoría y el monitoreo son actividades dinámicas y continuas dentro de la implementación de un sistema de gestión de riesgos, y debe hacerse de acuerdo con las necesidades y el contexto de la organización. Cada actividad debe tener un marco definido que proporciona a la alta dirección la comprensión de las expectativas generales y el enfoque a medida que se ejecuta el plan.

El marco, para la ejecución del plan de auditoría y monitoreo basado en el riesgo, debe:

  • Establecer el propósito y el objetivo de la auditoría o el seguimiento.
  • Identificar el alcance de los objetivos, asegurando que sean medibles y precisos.
  • Considerar si se puede necesitar asesoría legal para establecer el enfoque de la actividad.
  • Llevar a cabo una discusión inicial con el área de negocios auditada, para obtener información relacionada con las características de la auditoría, el tiempo necesario y el proceso por el que se auditará.
  • Desarrollar un formato para la presentación de informes apropiado.
  • Realizar la auditoría o el monitoreo, según corresponda.
  • Identificar hallazgos preliminares y presentar observaciones.
  • Ofrecer la oportunidad para que los hallazgos y las observaciones sean validados por la organización o por el área auditada.
  • Finalizar los informes.
  • Identificar los procesos para el seguimiento después de que la alta dirección tome medidas correctivas relacionadas con los hallazgos y las observaciones.
  • Determinar los puntos clave de la auditoría o el monitoreo que deben ser reportados a la alta dirección.

El proceso general de desarrollo y ejecución del plan de auditoría y monitoreo según ISO 31000 debe ser documentadoEsto incluye una descripción de la forma en que se hace la evaluación de los riesgos y la metodología que se utilizó para priorizarlos.

Se deben adjuntar los documentos de trabajo que respaldan los hallazgos, los informes y las correcciones. Los planes de acción deben ser documentados y archivados apropiadamente.

Curso ISO 31000:2018 Gestión de Riesgos

La norma ISO 31000 fue actualizada en 2018. Se trata del estándar sobre gestión de riesgos más importante y más eficiente publicado hasta el momento. Por su importancia, y por la trascendencia que la gestión de riesgos tiene para la organización y para otros sistemas basados en normas ISO, la Escuela Europea de Excelencia presenta el Curso ISO 31000:2018 Gestión de Riesgos.

Este programa de alta calidad aporta los conocimientos, las herramientas y las competencias necesarias para implementar y auditar un sistema basado en esta norma. Reserve aquí su plaza.




Curso online ISO 31000