Con la finalidad de atender algunas inquietudes respecto al artículo publicado, Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación, a continuación se explica un caso hipotético en una entidad de servicios.
Previa a la explicación del ejemplo, resulta indispensable coincidir con algunos parámetros:
- La práctica habitual para los auditores de utilizar fórmulas para determinar la prioridad de las auditorías no es nuevo, se remonta a la década de los 70.
- Existe la necesidad de confeccionar una metodología estable en el tiempo para determinar la prioridad de las auditorías, debido a limitaciones de su capacidad operativa y tiempo estimado para la realización de las revisiones. La metodología no es necesaria si en realidad es posible auditar en un año todo el universo auditable de una entidad.
- El proceso de planificación anual siempre ha exigido la construcción de métricas que nos ayuden a realizar una selección adecuada. Esto obliga a revisar al menos una vez al año el universo auditable de la organización.
- La ventaja de utilizar una metodología de este tipo ayuda al auditor a tener una guía neutral que resulta de la marcha de ciertos elementos del universo auditable, en vez de una simple selección arbitraria.
Ejemplo: Casa de Cambio ABC S.A.
a) Métricas del universo auditable:
La unidad de auditoría interna lo conforman dos personas (3 600 h/H) y el tiempo promedio para realizar cada auditoría es de 1 200 h/H. Estas limitaciones permitirían a la unidad de auditoría realizar 3 auditorías al año.
El universo auditable lo conforman 10 procesos operativos y de apoyo de la cadena de valor, así como 2 actividades auditables vinculadas a algunas políticas y regulaciones integrales. En caso no se haya identificado la cadena de valor, se puede emplear las unidades organizacionales.
Universo auditable
| Impacto |
Antigüedad última auditoría
| Percepción de riesgos | Debilidades de control |
| Transferencias de fondos vía electrónica |
B
|
15 meses
| Media |
12
|
| Cheques personalizados (giros) |
B
|
12 meses
| Media |
6
|
| Efectivo (Algunas Divisas) |
C
|
21 meses
| Alta |
7
|
| Metales amonedados |
A
|
6 meses
| Baja |
4
|
| Contabilidad y finanzas |
A
|
10 meses
| Alta |
2
|
| Recursos humanos |
A
|
8 meses
| Media |
3
|
| Servicios generales |
A
|
6 meses
| Baja |
7
|
| Seguridad física |
C
|
6 meses
| Alta |
8
|
| Plan de recuperación y continuidad operativa |
B
|
12 meses
| Media |
6
|
| Seguridad e higiene de salud en el trabajo |
B
|
3 meses
| Baja |
3
|
b) Fórmula para prioridad de auditorías:
PA= T (20%) + A (20%) + [PR (30%) + DC (30%)]
PA= Determinación de prioridad de auditoría
T= Tamaño (Nivel de impacto involucrado. Puede ser el nivel de impacto tomado del proceso de evaluación de riesgos, mapas de riesgos o de saldos contable, flujos de recursos involucrados en su operatividad, entre otros)
A = La antigüedad de la última auditoría
PR = Es el nivel de percepción que tiene la unidad de riesgos sobre cada unidad auditables. Cualquier escala de resultados que proporcione la unidad de riesgos o los dueños de los procesos, para fines de esta fórmula, se puede traducir en una simple calificación de alta, media y baja.
DC = Cantidad histórica de las debilidades de control identificadas en las auditorías pasadas.
PA= Determinación de prioridad de auditoría
T= Tamaño (Nivel de impacto involucrado. Puede ser el nivel de impacto tomado del proceso de evaluación de riesgos, mapas de riesgos o de saldos contable, flujos de recursos involucrados en su operatividad, entre otros)
A = La antigüedad de la última auditoría
PR = Es el nivel de percepción que tiene la unidad de riesgos sobre cada unidad auditables. Cualquier escala de resultados que proporcione la unidad de riesgos o los dueños de los procesos, para fines de esta fórmula, se puede traducir en una simple calificación de alta, media y baja.
DC = Cantidad histórica de las debilidades de control identificadas en las auditorías pasadas.
c) Construcción de escalas para la medición de la fórmula:
IMPACTO
| Puntaje de Fórmula |
| A= Bajo 0 – 10 mil dólares | 5 |
| B= Medio 21 – 50 mil dólares | 15 |
| C= Alto 51 – Más de 51 mil dólares | 20 |
ANTIGÜEDAD AUDITORIA
| Puntaje de fórmula |
| 5= Más de 24 meses o nunca | 20 |
| 4= Entre 19 y 24 meses | 15 |
| 3= Entre 13 y 18 meses | 10 |
| 2= Entre 7 y 12 meses | 5 |
| 1= Entre 0 y 6 meses | 0 |
PERCEPCION DE G. RIESGOS
|
Puntaje de fórmula
| |
Alto
|
A
|
30
|
Medio
|
B
|
15
|
Bajo
|
C
|
5
|
DEBILIDADES DE CONTROL
|
Puntaje de fórmula
| |
| 5= Alto | Más de 21 |
30
|
| 4= Superior | 16 a 20 |
22.5
|
| 3= Medio | 11 a 15 |
15
|
| 2= Mínimo | 5 a 10 |
7.5
|
| 1= Ninguno | 0 a 4 |
0
|
d) Ranking de aplicación de la fórmula al universo auditable:
Universo auditable
|
T
|
A
|
PR
|
DC
|
Total
|
| Transferencias de fondos vía electrónica |
15
|
10
|
15
|
12
|
52
|
| Cheques personalizados (giros) |
15
|
5
|
15
|
6
|
41
|
| Efectivo (Algunas Divisas) |
20
|
20
|
30
|
7
|
77
|
| Metales amonedados |
5
|
0
|
5
|
4
|
14
|
| Contabilidad y finanzas |
5
|
5
|
30
|
2
|
42
|
| Recursos humanos |
5
|
5
|
15
|
3
|
28
|
| Servicios generales |
5
|
0
|
5
|
7
|
17
|
| Seguridad física |
20
|
0
|
30
|
8
|
58
|
| Plan de recuperación y continuidad operativa |
15
|
5
|
15
|
6
|
41
|
| Seguridad e higiene de salud en el trabajo |
15
|
0
|
5
|
3
|
23
|
El resultado de la fórmula de prioridad de auditorías, en función de las limitaciones de la capacidad operativa de que sólo se pueden efectuar 3 auditorías al año, seleccionan para el plan anual a las siguientes auditorías del universo auditable:
- Efectivo (Algunas Divisas)
- Seguridad física
- Transferencia de fondos vía electrónica
Como se explicó en el texto inicial, obviamente que al resultado de este ranking se puede alterar e incluir otras prioridades al resultado del análisis histórico de las métricas antes señaladas, como por ejemplo si hubiera denuncias sustentadas o pedidos especiales de nuestros clientes de la alta dirección, entre otros.
Es importante señalar que esta fórmula se puede mejorar con la construcción e inclusión de otras variables, tales como costos, tiempos de demora efectiva, etc. Igualmente, queda a criterio de cada unidad de auditoría proponer un peso distinto a cada factor incluido en la fórmula, sobre todo a la percepción del riesgo cuando se ha logrado un buen nivel de madurez de la gestión de riesgos.
Finalmente, para fortalecer la base teórica del tema, a continuación se sugiere algunas referencias:
Andrew Chambers (1992), “Effective internal audits”, England
Peter Jones (1999), “Statistical Sampling and Risk Analysis in Auditing”, England
Phil Griffiths (2005), “Risk – based auditing”, England
K.H. Spenser Pickett (2006), “Audit Planning: A risk – based approach”
David Griffiths,(2006), “Risk based internal auditing – Three views on implementation
Peter Jones (1999), “Statistical Sampling and Risk Analysis in Auditing”, England
Phil Griffiths (2005), “Risk – based auditing”, England
K.H. Spenser Pickett (2006), “Audit Planning: A risk – based approach”
David Griffiths,(2006), “Risk based internal auditing – Three views on implementation
Juan Alberto Villanueva Chang
No hay comentarios.:
Publicar un comentario