¿PLANIFICACIÓN DE LA AUDITORÍA: ÚTIL O NO?
Estándar
14 Domingo Feb el año 2016
Publicado en Auditoría , de auditoría basado en el riesgo
Etiquetas
Planificación de la auditoría. Es esa época del año cuando pienso sobre el plan de auditoría de mi propio departamento. Es el área que parece reunir la mayor cantidad de preguntas de los nuevos auditores y parece ser el área de nuestra profesión donde existe menos acuerdo. En particular, ¿cuál es la planificación de auditoría basado en el riesgo?
Todos sabemos lo que pensamos que es. Yo diría que hay muy poco acuerdo.Si tenemos en cuenta la pregunta a partir de las normas y el Instituto por un momento. Es una norma de funcionamiento – por lo que se refiere a cómo se hacen las cosas, no sobre nosotros per se . Por lo que el nivel superior estándar de 2010:
El director ejecutivo de auditoría debe establecer un plan basado en el riesgo para determinar las prioridades de la actividad de auditoría interna, en consonancia con los objetivos de la organización.
Bueno, esto suena bien hasta que desmenuces un poco, en particular, lo que se basa en el riesgo? Así que esto significa el establecimiento de prioridades de trabajo – así que como auditores deberíamos ver algunas cosas basadas en riesgo. Pero ¿significa esto bruto o neto? Por lo tanto las áreas de la organización siente que está más expuesta al (riesgo neto alta)? O tal vez las áreas en las que la organización está menos expuesta, sino que trabaja más duro para controlar el riesgo (alto riesgo bruto)? ¿Qué clase de riesgo – financiera? ¿Organizativo? Repuational? etc. Para el perfil de riesgo será muy diferente a través de estos. ¿Qué hay de proximidad? Por lo que los riesgos que son más propensos a cristalizarse en cuestiones?
Volvamos a las normas:
El director ejecutivo de auditoría es responsable de desarrollar un plan basado en el riesgo. El director ejecutivo de auditoría tiene en cuenta el marco de gestión de riesgos de la organización, incluyendo el uso de niveles de apetito de riesgo establecidos por la dirección de las diferentes actividades o partes de la organización.
Así como CAE, la interpretación dice que tengo una responsabilidad para entregar un plan basado en el riesgo. Esto debe tomar en cuenta el marco de gestión del riesgo y el riesgo de la organización del apetito. Así que tener en cuenta? No haga caso, registro, uso, seguir, de acuerdo, interpretar? ¿Qué? el riesgo aceptado por la Organización. A qué nos referimos de forma individual o en su conjunto? Así que si una organización tiene un muy alto apetito por el riesgo, como Enron decir, tengo que estar de acuerdo o trabajar dentro de ella o proporcionar una anulación? Hmmm más confuso por momentos.
Volvamos a las normas:
Si no existe un marco, el director ejecutivo de auditoría utiliza su / su propio juicio de los riesgos después de la consideración de las aportaciones de la alta dirección y el consejo. El director ejecutivo de auditoría debe revisar y ajustar el plan, según sea necesario, en respuesta a los cambios de negocio, riesgos, operaciones, programas, sistemas y controles de la organización.
Así que sólo puedo usar mi propio juicio, donde no existe el marco? ¿O me impongo mi propio juicio sobre ella? Debo ajustar en relación con la organización del cliente. Así que mucho parece sencilla, mis planes deben de alguna manera trabajar con el cliente. La dirección, tipo o forma del ajuste se siente bastante vago sin embargo. Si un cliente no quiere que trabaje en un área, debería hacerlo de todos modos o trabajar con el cliente?
Volver a las normas:
2010.A1
El plan de la actividad de auditoría interna de compromisos debe basarse en una evaluación de riesgos documentada, llevado a cabo por lo menos anualmente. La entrada de la alta gerencia y la junta debe ser considerado en este proceso.
El plan de la actividad de auditoría interna de compromisos debe basarse en una evaluación de riesgos documentada, llevado a cabo por lo menos anualmente. La entrada de la alta gerencia y la junta debe ser considerado en este proceso.
Finalmente – dirección, de manera clara. Debo tener una evaluación de riesgos documentada. Debo tomar la entrada de la alta dirección y el consejo.Gran – eso está claro. Vayamos más allá:
2010.A2
El director ejecutivo de auditoría debe identificar y considerar las expectativas de la alta dirección, el tablero y otras partes interesadas de dictámenes de auditoría interna y otras conclusiones.
El director ejecutivo de auditoría debe identificar y considerar las expectativas de la alta dirección, el tablero y otras partes interesadas de dictámenes de auditoría interna y otras conclusiones.
Tengo que tener en cuenta la gestión, administración y expectativas de otras partes interesadas. En el mundo real éstos chocan a menudo y son contradictorios. Cuyas expectativas importa más o menos? ¿Qué pasa si mi juicio independiente es hacer caso omiso de todas estas expectativas, di a hacer lo correcto o abrir todas sus mentes a algo nuevo?
Finalmente las normas dicen:
2010.C1
El director ejecutivo de auditoría debe considerar la aceptación de los trabajos de consultoría propuestas basadas en el potencial del compromiso para mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la organización. Compromisos aceptados deben ser incluidos en el plan.
El director ejecutivo de auditoría debe considerar la aceptación de los trabajos de consultoría propuestas basadas en el potencial del compromiso para mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la organización. Compromisos aceptados deben ser incluidos en el plan.
Arreglos de consultoría deben ser incluidos en el plan. Esto parece extraño, ya que la mayoría de los acuerdos de consultoría son ad hoc y surgen como sea necesario. Todo esto parece un poco periódica y anual, no ruede o se refleja la velocidad a la que se arriesgan y organizaciones parecen moverse.
Así que los propios estándares establecidos algunos principios muy alto nivel y ofrecen muy pocas reglas y poca orientación. Creo que es bueno, ya que la DEA debe tener espacio para hacer lo correcto en su contexto. Lo hace, sin embargo, proporcionar un problema en el mundo real. ¿Qué debe hacer un CAE? Lo que es “correcto” o “mejor”? En particular, creo que la frase más confuso y omni-significando es “riesgo basada ‘.
Entonces, ¿qué llamo planificación de la auditoría basada en el riesgo?
Bien en el apetito de riesgo que trabajo con el apetito de riesgo de la organización tanto de forma global como a nivel de unidad de negocio. Es decir informo mis opiniones basadas en riesgo neto, pero decido si este riesgo es bueno o malo dependiendo de la propensión al riesgo claramente establecida de la gestión. Así que una organización puede, en unidades de negocio, o de forma agregada, asumir un alto riesgo. Mientras esto es legal y es sancionado por la alta dirección en plena consulta de la tabla, a continuación, yo trabajo con ella. No es mi trabajo para decidir si el riesgo organizacional es bueno o malo, simplemente para probar la realidad del control (donde los medios de control de la gestión adecuada de los riesgos dentro de un apetito por el riesgo) e informar en este control es inadecuado para mitigar los riesgos dentro del apetito de gestión establecido . Me salvedad esto con dos sustituciones de auditoría: en que algo no ética o ilegal no se considerará comprendido en el apetito; y que el riesgo excesivo en conjunto con la organización, de tal manera que la organización podría fallar, son inapropiadas. Es mi trabajo de informar sobre ellos. Incluso si la junta les sanciona – por lo que la comunicación de informes sería la de la policía o las autoridades reguladoras.
En función del riesgo de planificación no creo en la planificación basada en el riesgo total. En parte porque este es un camino a justificar al nivel más extremo, la falta de recursos de auditoría. He oído ‘oh auditemos único riesgo estratégico “(a pesar de esta declaración incluye el riesgo estratégico, que es un concepto sin sentido) para justificar la cobertura de una organización más de 20, 40 y el registro de breakingly 150 ciclos de auditoría del año. No no no.La auditoría interna necesita una mejor cobertura si ha de ser significativa.¿Por qué? Debido a que no hay tal cosa como el riesgo estratégico. Para empezar la mayoría de las organizaciones no tienen una estrategia. Para aquellos que lo hacen, el punto en el que la estrategia se vuelve significativa y auditable está en el “conjunto de acciones coherentes ‘nivel. Para la mayoría de las organizaciones importantes y complejos son tales que para un riesgo de ser vista organizativo es decir estratégica significativa e impactante, que son demasiado esotérico. En realidad los riesgos de alto nivel como una “caída de las ventas” o “pérdida de competitividad ‘tienen más probabilidades de toda una cartera de acciones y actividades que tienen que ocurrir para que el riesgo puede manejar o cristalizan. Así riesgos estratégicos tienen napa de riesgos y raíces que se extienden dentro de la organización. Por lo que un plan estratégico basado en el riesgo debe trazar los detalles del trabajo de auditoría en las raíces para ser verdaderamente estratégica. El problema para mí es una de las intervenciones de auditoría no coherencia estratégicas. Debo reconocer que algunas organizaciones pueden tener el riesgo estratégico extraño, pero éstos son pocos y distantes entre sí, y lo más probable es que no controlables por la organización. Esto significa que los planes de auditoría necesitan hacer caso omiso de los riesgos estratégicos y trazar las raíces de la web de los riesgos de la organización en un todo coherente.
Algunos del plan debe ser no del riesgo basada. Hay varias cosas que un buen servicio de auditoría debe hacer que se requieren que nada tienen que ver con el riesgo. La cobertura de las finanzas, la cobertura de las TI, la cobertura de otros riesgos especializadas. También satisfacer las necesidades diversas de los reguladores. Estos deben ser acomodados. También tenemos que proporcionar un dictamen de seguridad periódica, por lo que la suficiencia anual es importante. En última instancia tenemos que hacer menos cosas ‘estratégica’ también, de lo contrario la dieta de aseguramiento es demasiado rica, tanto para las estructuras de gobierno y de gestión.
¿Hay que tener en cuenta la evaluación de riesgos de gestión? Bueno, sí – pero con salvedades. En primer lugar las mayoría de los sistemas de gestión de riesgos aplicadas por los equipos de gestión son pobres, o al menos subóptima. organizaciones maduras de riesgo son muy poco frecuente. Si los hay, siempre van a estar conectados a tierra en el paradigma del pensamiento administrativo. Sin duda, un buen servicio de auditoría debe desafiar y sentarse fuera de eso. Así que yo creo que es probable que un buen servicio de auditoría debe ser un reto en su pensamiento y llevar a cabo una evaluación independiente.
Quiero ver a un menor número de servicios de auditoría utilizando un universo de auditoría (que no me gustan ellos han visto: Correr hacia el riesgo o ? Riesgo de auditoría base ) Quiero justificaciones menos delgadas de la falta de cobertura vestido como siendo basado en el riesgo. Quiero auditoría basado en el riesgo significa realmente la comprensión y mirando a los riesgos, no ordenar las partes organizativas de riesgo bruto y luego priorizarlos. Todas estas dos enfoques dimensionales para la planificación basada en el riesgo son inútiles.
Quiero ver más servicios de auditoría realmente conocen y comprenden sus clientes, el riesgo real y la exposición al riesgo real, y contar con los recursos para proporcionar un nivel significativo de la cobertura para ofrecer una respuesta de auditoría sensata. Claro que puedo justificar cualquier número de planes y probablemente no hay un plan adecuado, pero hay planes equivocadas. Estos son los que tienen ciclos de 20 años de cobertura de la organización, con un proxy del riesgo bruto solamente, o de los que se adhieren a la secuencia de comandos de gestión de riesgos solamente (incluso asumiendo su escrito bien). Por encima de todo quiero ver la profesión hacen mejor que los actuales – Entonces, ¿cómo plan?
No hay comentarios.:
Publicar un comentario