La auditoría basada en riesgos sirve para hallar amenazas, identificarlas, caracterizarlas, categorizarlas, evaluarlas y determinar opciones de gestión. Este tipo de auditoría aborda riesgos operativos, emergentes, financieros, administrativos y todos aquellos que tienen la capacidad para impedir el logro de objetivos estratégicos en la organización.
Son muchas las razones, o beneficios, por las que se realiza una auditoría basada en riesgos. Una de ellas es comprobar que los controles implementados para contener amenazas funcionan.
Otra es garantizar la continuidad del negocio y crear un marco de operación tranquilo y seguro. Existen muchas formas para realizar una auditoría basada en riesgos. Exploramos cinco de ellas.
¿Qué técnicas probadas existen para realizar una auditoría basada en riesgos?
Cada una de estas técnicas requiere habilidades diferentes de auditoría. El perfil de la evaluación varía de acuerdo con cada técnica. Todas, no obstante, requieren un intensivo trabajo de planificación y comunicación antes de emprender el trabajo de campo.
Las cinco técnicas de auditoría basada en riesgos más efectivas son:
1. Auditoría rápida
El principal objetivo es mitigar el impacto que produce la auditoría sobre los procesos, sobre los empleados y sobre las actividades cotidianas en el área auditada. Esta técnica prevé una semana, o dos, para planificación, investigación y elaboración de un plan de trabajo.
La exhaustiva planificación facilita abordar el trabajo de campo en apenas una semana, en la que cada día el auditor se reúne con sus auditados para informar sobre los avances de la auditoría basada en riesgos. En una etapa final, posterior, el auditor elabora informes en los que plasma sus hallazgos, adjunta evidencia y aporta sus comentarios.
¿Para quién es esta auditoría?
La auditoría rápida funciona mejor en organizaciones que reúnen las siguientes características:
- Procesos definidos y funcionales.
- Sistemas de Gestión y procesos apoyados por tecnología.
- Han pasado por varias auditoras anteriores, incluso algunas de terceros.
- Gestión eficiente de documentos y registros, usualmente automatizada y digitalizada.
- Resultados de evaluaciones de riesgos anteriores satisfactorios.
¿Qué requiere esta auditoría?
Para alcanzar los objetivos propuestos, este modelo de auditoría necesita un periodo de planificación amplio, antes de llegar al trabajo de campo. Así mismo, el auditor necesita:
- Un alcance preciso, definido y limitado.
- Realizar una auditoría cada vez con objetivos específicos.
- Duplicar el esfuerzo en la etapa anterior y posterior al trabajo de campo.
- Tener un cronograma de trabajo exacto y cumplirlo.
¿Qué habilidades requiere el auditor?
El auditor debe ser, además, un eficaz gestor de proyectos con conocimiento profundo del trabajo que se realiza en el área que auditará y de los procesos que evaluará.
2. Auditoría en tiempo real
Además de los riesgos y su tratamiento, el auditor evalúa la gobernanza y la tarea del equipo que lidera el proyecto auditado para gestionar amenazas. El auditor asume el rol de coordinador y comunicador sobre riesgos y promueve acciones para la gestión en tiempo real.
¿Para quién es esta auditoría?
La auditoría en tiempo real resulta ideal para:
- Procesos de implementación de nuevas herramientas.
- Procesos nuevos.
- Proyectos diseñados para ejecutarse en periodos de tiempo cortos.
¿Qué requiere esta auditoría?
El auditor, en este tipo de auditoría basada en riesgos, necesita involucrarse en el proyecto desde su inicio. Además, es preciso contar con:
- Interlocución con el director del proyecto o el equipo que lidera.
- Conocimiento sobre el objetivo del proyecto.
- Colaboración e interacción con otras áreas de la organización relacionadas.
- Reuniones diarias para compartir expectativas y alinear objetivos.
¿Qué habilidades requiere el auditor?
El auditor necesita ostentar experiencia en implementación y evaluación de proyectos nuevos, como el desarrollo de nuevos productos o la adopción de una nueva solución informática. También necesita conocimiento sobre el objetivo del proyecto o contar con la asesoría cotidiana de un experto.
Aprende cómo llevar a cabo una auditoría basada en riesgos de manera efectiva para obtener resultados más productivos en tu organización #RiskManager #ISO31000 Clic para tuitear3. Auditoría de autoevaluación
La auditoría basada en riesgos que se desarrolla con base en esta técnica permite al auditor conducir a sus auditados, mediante procesos eficaces de comunicación y capacitación, para que ellos mismos evalúen los procesos que ejecutan o los proyectos que lideran, de tal forma que puedan identificar problemas y puedan proponer estrategias para solucionarlos.
La auditoría así desarrollada se convierte en un taller en el que es muy importante, por supuesto, el liderazgo del auditor, pero también la participación de todos los integrantes del proyecto.
¿Para quién es esta auditoría?
La autoevaluación funciona bien para proyectos o áreas lideradas por profesionales integrales que requieren un dominio total de recursos y funciones. El modelo se ajusta a:
- Proyectos que pueden experimentar un viraje imprevisto en estrategia, en táctica, en alcance o en objetivos.
- Organizaciones que desean implementar el enfoque basado en el riesgo como componente integral en todas sus áreas.
- Proyectos sometidos a inspección o regulación constante.
- Procesos experimentales.
- Organizaciones interesadas en formar auditores internos especializados en riesgos.
¿Qué requiere esta auditoría?
Esta técnica de auditoría necesita un compromiso definitivo de parte de los participantes en el proyecto, que finalmente serán auto evaluadores. Además, se necesita:
- Procesos de trabajo planificados y definidos con mucha precisión.
- Realización de pruebas, inspecciones o evaluaciones periódicas de acuerdo con la evolución del proyecto.
- Interacción constante entre los miembros del equipo y el auditor.
¿Qué habilidades requiere el auditor?
Por definición, el auditor en esta técnica de auditoría basada en riesgos debe ser un profesional con habilidades de comunicación excelentes y con competencias como educador o instructor. Debe tener, además, habilidades como conciliador y solucionador de problemas. Mente abierta, empatía y capacidad para solucionar problemas inmediatos completan el perfil del auditor en un modelo de autoevaluación.
4. Auditoría de mejora de proyectos maduros
Los proyectos que ya han alcanzado etapas de madurez y han sido sometidos a otras técnicas de auditoría basada en riesgos, como los mencionados, están listos para asumir un enfoque en el que, además de identificar riesgos, se busque la mejora de los procesos y de los indicadores de rendimiento.
¿Para quién es esta auditoría?
Por supuesto, organizaciones o proyectos que han llegado a un punto de madurez aceptable. Otros perfiles interesados en esta técnica son:
- Proyectos liderados por personas que siempre buscan alcanzar nuevos objetivos.
- Organizaciones en proceso de expansión y crecimiento.
- Sistemas de Gestión que buscan certificación o recertificación.
- Organizaciones con controles maduros ya probados y certificados.
- Organizaciones que se han fusionado o han incursionado en nuevos mercados.
- Organizaciones que han emprendido procesos de Transformación Digital.
¿Qué requiere esta auditoría?
Procesos o proyectos que ya han alcanzado un nivel de madurez óptimo, es el primer requisito. Como requerimientos adicionales es posible mencionar:
- Procesos con alto grado de definición, probados y dotados con controles efectivos.
- Resultados de auditorías anteriores que certifiquen la madurez del proyecto.
- Lideres proactivos con capacidad para interactuar con el auditor y guiar procesos de mejora continua.
¿Qué habilidades requiere el auditor?
Auditores con amplia experiencia en el área que hayan liderado equipos y tengan el conocimiento necesario para reconocer un proceso maduro. Habilidad para reconocer y aprovechar oportunidades de mejora, para obtener evidencia de ella y argumentarla por escrito y de forma oral en sus informes.
5. Auditoría de análisis de datos
Este modelo de auditoría basada en el riesgo asume un enfoque analítico y matemático soportado por datos y registros indiscutibles. Los resultados son exactos y las conclusiones ofrecen trazabilidad y previsiones estadísticas hacia el futuro.
¿Para quién es esta auditoría?
El análisis de datos se puede incorporar, como técnica accesoria, en otro modelo de auditoría, incluidos los ya mencionados en este informe. Es especialmente ideal para:
- Proyectos que persigan objetivos medibles en términos de cifras específicas.
- Proyectos que requieran para su aprobación el cumplimiento de indicadores muy precisos.
- Proyectos con debilidades en costes o en la expectativa de rentabilidad.
- Proyectos que son regulados por organismos externos o por otros terceros.
¿Qué requiere esta auditoría?
El primer requerimiento para esta técnica de auditoría basada en riesgos es el suministro de información suficiente, transparente y accesible. Esto va de la mano de:
- Soporte tecnológico adecuado al fin que se persigue.
- Profesionales expertos en el tratamiento, almacenamiento y evaluación de datos.
- Planificación rigurosa.
¿Qué habilidades requiere el auditor?
El auditor necesita conocimiento y habilidad para gestionar y entender la gestión de grandes cantidades de datos. El conocimiento matemático y estadístico es por supuesto indispensable. Capacidad de análisis lógico y habilidad para producir informes en los que la mayor parte del contenido está conformado por cifras completa el perfil del auditor en este modelo de auditoría.
Diplomado en Risk Manager
Los diferentes tipos de auditoría basada en riesgos es uno de los apartados que estudian los alumnos del Diplomado en Risk Manager. Este programa, líder en el área de Gestión de Riesgos en la Escuela Europea de Excelencia, es también un formador de auditores en Sistemas de Gestión en el área.
Los alumnos del Diplomado tienen la oportunidad de interactuar con docentes y compañeros en diferentes latitudes del planeta. Por supuesto, adquieren una visión global y moderna de la Gestión de Riesgos. Es un trampolín excelente para tu carrera profesional. Empieza aquí.
