Se puede definir una auditoría de riesgos como una tarea exhaustiva para identificar riesgos. Pero, ¿esto no es lo que se hace en el proceso de gestión de riesgos rutinario? Sí. Sin embargo, la auditoría de riesgos va más allá: a la par con la consideración de riesgos no identificados y no evaluados con anterioridad, se avala o se comprueba la eficacia del trabajo realizado por las personas a las que se les ha asignado tal responsabilidad.
Una auditoría de riesgos es entonces, en otras palabras, la búsqueda de esos riesgos que hasta ahora han pasado inadvertidos por todos los filtros y controles. La importancia de la tarea se entiende si consideramos que un riesgo que tiene la posibilidad de ocultarse de tal manera, puede resultar lesivo en extremo.
En algunas organizaciones se prefiere el término “revisión de riesgos”, que parece en cierto modo más acertado. La auditoría de riesgos es finalmente eso. Una revisión para ver qué se ha quedado fuera de la gestión, entender por qué ha sucedido y formular acciones para corregir las fallas y, por supuesto, tratar los riesgos encontrados.
Auditoría de riesgos – La planificación
Como todas las tareas que se emprenden en el mundo organizacional, la auditoría de riesgos requiere una etapa de planificación. No se trata de una auditoría de certificación o de conformidad con algún estándar, como aquellas a las que solemos hacer referencia de forma recurrente en este espacio. Por lo tanto, la metodología y la mecánica en la práctica guarda diferencias sustanciales. La planificación en particular implica:
- Establecer el alcance de la auditoría, que puede ser para un área en particular, como para toda la organización y todas sus ubicaciones.
- Determinar los métodos que se utilizarán para recopilar información. Pueden ser entrevistas, observación, revisión de documentos, utilizar una lista de verificación o simplemente una reunión de todos ellos.
- Elaborar un cronograma de las actividades que se realizarán durante la auditoría.
- Obtener los informes de auditorías anteriores.
- Informar a los empleados, especialmente a los que serán entrevistados, sobre la práctica de la auditoría de riesgos, los objetivos y las razones por las que se practicará.
Agotada la etapa de planificación lo que sigue es realizar la auditoría en la práctica. Estos pasos servirán de guía para hacerlo.
Auditoría de riesgos – 6 Paso para efectuarla
Las auditorías de riesgos pueden ser rutinarias o responder a una necesidad extraordinaria. En el primer caso, suelen obedecer a una programación anual. Bien se trate de una auditoría de riesgos planificada o sobrevenida, los pasos a seguir son:
1. Conformar el equipo de auditoría
Este es un paso que bien podría encajar en la etapa de planificación. La auditoría, dependiendo del tamaño y la complejidad de la organización, puede requerir un equipo. El auditor líder o el auditor único que se encargue de la tarea debe ser un profesional con suficiente experiencia en el área de gestión de riesgos, que, además, domine las técnicas de auditorías internas.
El auditor debe gozar de cierto grado de independencia. Si esto no es posible, o si no se cuenta con un profesional que reúna estas características, el camino a seguir es la contratación de un auditor externo.
2. Realizar una reunión de apertura de la auditoría
Con el equipo de auditoría conformado, o con la designación del auditor interno, podemos pasar a la auditoría sobre el terreno. Durante la reunión de apertura el auditor comunica a los empleados los objetivos, el alcance y la metodología que utilizará para llevar a cabo la tarea.
Asimismo, informará a los empleados que pretende entrevistar para asegurar su disponibilidad. Finalmente, la reunión de apertura termina con la comunicación del cronograma de actividades y el tiempo esperado para su cumplimiento.
3. Lista de verificación de documentos y revisión de procesos
El siguiente paso es la obtención o elaboración de una lista de verificación en la que el auditor incluya todos los documentos que revisará, los procesos que observará y los controles que verificará. Una checklist de auditoría asegurará que nada quede fuera de la revisión. Gracias a esta valiosa herramienta, el auditor adquiere una comprensión real de la dimensión de la tarea y de los puntos críticos en los que debe enfocar su atención.
Una #AuditoríaRiesgos es la forma de examinar y evaluar la gestión y los procesos para identificar y tratar los riesgos. Aprende cómo hacerla en 6 pasos #ISO31000 #RiskManager Share on X4. Recolección de información, documentos y evidencias
Este es el centro de toda la auditoría. El auditor y su equipo deben seguir rigurosos protocolos. Esto implica que se debe guardar reserva sobre el contenido de las entrevistas, documentarlas de forma suficiente, registrar hora, lugar y condiciones precisas de las mismas o de cualquier actividad en la que se recolecte información o evidencias.
Es importante que se acometa esta etapa en el menor tiempo posible y es recomendable que se realice en horario de trabajo para evitar comentarios sobre las actividades y sobre el trabajo del auditor no relacionados con la finalidad de la auditoría.
5. Analizar las evidencias y generar los informes
Los informes en una auditoría de riesgos son substancialmente diferentes a los de otras actividades de este tipo análogas. Los hallazgos que se reportan en estos informes son en esencia riesgos no identificados con anterioridad. Los informes en auditorías de riesgos incluyen recomendaciones para la eliminación, mitigación o tratamiento de los riesgos encontrados, pero también se informa sobre la causa raíz de los problemas que impidieron la identificación, evaluación y tratamiento oportuno de los riesgos objeto del informe.
6. Monitoreo y seguimiento
El mismo informe final, usualmente dirigido a la Alta Dirección, incluirá los mecanismos de control, monitoreo y seguimiento que el auditor considere procedentes, y los tiempos que determina para su aplicación. Tanto los informes de auditoría, como los resultantes de las actividades de seguimiento y monitoreo, son material imprescindible para la próxima evaluación.
Diplomado Risk Manager
Las organizaciones necesitan profesionales expertos en el área de gestión de riesgos, con el conocimiento y las competencias necesarias para adelantar auditorías internas. El Diplomado Risk Manager cumple con estas condiciones y además ofrece un interesante valor para los profesionales que optan por este programa de excelencia: una triple titulación, de la Escuela Europea de Excelencia, de ISOTools y de ERCA. Entre otros beneficios, permite a los alumnos ejercer en cualquier país de la Comunidad Europea y de América Latina.
Es una oportunidad para asumir una posición de liderazgo en tu organización: inicia tu formación ahora.
Para este Diplomado, la Escuela Europea de Excelencia te apoya por medio de su programa de becas Excellence. Conócelo aquí.