Evaluación e informes de gestión de riesgos en auditoría interna

Publicado el • Actualizado el • 6 minutos y 45 segundos de lectura

Gestión de riesgos

El Instituto de Auditores Internos define riesgo como ‘la posibilidad de que ocurra un evento que tendrá un impacto en el logro de los objetivos’. Utilizando esta definición, la gestión de riesgos es «las acciones tomadas por la dirección para mitigar el riesgo para la organización y sus activos». Es importante señalar, antes de hablar sobre el papel de la auditoría interna en la gestión de riesgos, que la gestión de riesgos es responsabilidad de la dirección, no de la auditoría interna. La auditoría interna es responsable de evaluar la calidad de los procesos de gestión de riesgos de la organización.

La auditoría interna cumple su propósito de evaluación de la gestión de riesgos de dos maneras principales: realizando una evaluación de riesgos en toda la empresa y realizando evaluaciones de control interno. Una evaluación de riesgos de toda la empresa implica entrevistar a los miembros de la junta, los altos directivos y otros empleados clave para identificar los riesgos más importantes para la organización. Los controles internos son procesos implementados por la administración para garantizar la integridad de los estados financieros, los objetivos operativos y el cumplimiento de las regulaciones y políticas aplicables.

Evaluación de riesgos para toda la empresa

El método principal utilizado por los auditores internos para evaluar los procesos de gestión de riesgos de la organización es realizar una evaluación de riesgos en toda la empresa. Esto implica entrevistar al personal clave de toda la organización y preguntarles cuáles creen que son los riesgos más importantes a los que se enfrenta. Cuando se han identificado esos riesgos, auditoría interna puede realizar un análisis de brechas y usar una matriz de riesgos para analizar los riesgos identificados por la administración.

Se realiza un análisis de brechas comparando los riesgos identificados por la administración con los riesgos identificados por la auditoría interna. Si la auditoría interna ha identificado riesgos que la administración no identificó, puede haber motivos para cuestionar los procesos de administración de riesgos en la organización. La auditoría interna no debe ser consciente de ningún riesgo que la administración no identifique. Si es así, entonces debe hacerse la pregunta: ¿por qué la gerencia no sabía esto?

  Margen de segmento y toma de decisiones en contabilidad

Por supuesto, ni la administración ni la auditoría interna están garantizadas para identificar todos los riesgos que enfrenta una organización. Antes de los ataques terroristas del 11 de septiembre de 2001, pocos auditores habrían esperado que la dirección de las aerolíneas estuviera seriamente preocupada por los terroristas que secuestraban aviones y los usaban como armas. Siempre habrá cosas que no sabemos. Pero los buenos procesos de gestión de riesgos identificarán la mayoría de los riesgos y, cuando se produzcan riesgos imprevistos, esos procesos evaluarán cómo pasaron desapercibidos.

Usando una matriz de riesgo

Una matriz de riesgos es una herramienta de evaluación 2×2 con dos ejes: probabilidad e impacto. Cada eje se mide de menor a mayor y el lugar donde cae un riesgo en esos dos espectros determina su gravedad. Un riesgo que tiene una alta probabilidad de ocurrir y un alto impacto si lo hace es más severo que un riesgo que tiene una baja probabilidad de ocurrir y un bajo impacto si ocurre. Cuanto mayor sea el riesgo, más esfuerzo debería poner la gestión para mitigar ese riesgo.

Matriz de riesgo 2×2
nulo

También es importante considerar el riesgo inherente y el riesgo residual asociado con fallas de los controles internos o riesgos identificados por la administración. El riesgo inherente es el riesgo asociado con un evento si no se hace nada para mitigar el riesgo. El riesgo residual es el grado de riesgo que permanece después de que se implementan los controles internos. Por ejemplo, el riesgo inherente de que se pueda robar efectivo es alto, pero cuando se implementan controles internos, como guardar efectivo en una caja fuerte y limitar la cantidad de efectivo disponible, el riesgo residual es considerablemente menor y probablemente aceptable para la administración.

  ¿Qué es una cuenta de ahorros? - Definición y tipos

Evaluación de control interno

El otro método utilizado por auditoría interna para evaluar los procesos de gestión de riesgos son las evaluaciones de control interno . Estas son esencialmente las auditorías en las que la gente piensa cuando piensa en el trabajo que realiza la auditoría interna. Desde la conciliación de cuentas bancarias hasta la revisión de recibos realizados en tarjetas de compra para asegurarse de que los pagos grandes reciban una revisión y aprobación adecuadas, los auditores identifican y prueban estos controles internos para asegurarse de que estén funcionando. Si los controles internos están funcionando, auditoría interna puede informar que están en su lugar y funcionando de manera efectiva, mitigando así los riesgos identificados por la gerencia.

Informar las evaluaciones de la gestión de riesgos y el control interno

Una parte importante de cualquier auditoría interna es informar los hallazgos de la auditoría. Cuando la auditoría es una evaluación de control interno, como lo son muchas, el informe de auditoría identificará cualquier falla o debilidad en los controles internos. Estos informes deben ir al cliente, al equipo de gestión y al comité de auditoría de la junta directiva. Este registro de evaluaciones de control interno es importante para que la gerencia esté al tanto de la evaluación de la auditoría y para que la auditoría pueda continuar monitoreando los procesos de gestión de riesgos, específicos de esa área, que la gerencia pone en marcha.

Normalmente, el informe sobre las evaluaciones de la gestión de riesgos se realiza anualmente, al preparar el plan de auditoría anual. Dado que la evaluación de riesgos de toda la empresa conduce a las auditorías que terminan en el plan de auditoría, y dado que ese plan de auditoría es aprobado por el comité de auditoría, un informe de la idoneidad de las prácticas de gestión de riesgos es apropiado en ese momento.

  Teoría de los ciclos económicos de Hicks

Resumen de la lección

En conjunto, las evaluaciones de los controles internos y la evaluación de riesgos de toda la empresa se utilizan para comprender la solidez de los procesos de gestión de riesgos de una organización . Este no solo es uno de los objetivos principales de la auditoría interna, sino que es una actividad fundamental para ayudar a garantizar que la organización se gestione de forma eficaz. Al entrevistar al comité de auditoría y a otras partes interesadas clave de la organización, la auditoría interna puede identificar los riesgos clave para la organización y luego utilizar una matriz de riesgos para evaluar cada riesgo. Auditoría interna también realiza un análisis de brechas para garantizar que la evaluación de riesgos sea completa.

Los eventos impulsados ​​por riesgos tienen riesgos tanto inherentes como residuales . Comprender la diferencia entre riesgo inherente y residual es importante para decidir qué riesgos pasan de ser identificados en la evaluación de riesgos a ser parte del plan de auditoría. Debido a que el riesgo residual considera controles que mitigan el impacto del riesgo, pueden ser menos preocupantes que los riesgos sin suficientes controles internos.

La evaluación de auditoría de la gestión de riesgos y los controles internos debe informarse al cliente, a la dirección y, lo que es más importante, al comité de auditoría. Es así como el comité de auditoría y el directorio se aseguran de que la administración está cumpliendo con su obligación con los accionistas, así como la administración y los clientes saben dónde pueden mejorar las operaciones y las políticas.

Continúa con:

  1. Ciencias Económicas

    Política interna de Bill Clinton: economía, salud, bienestar y políticas sociales

    Reforma económica La plataforma de campaña del presidente Bill Clinton en las elecciones de 1992...

  2. Ciencias de la tierra

    Polinización artificial: definición, ejemplos y riesgos

    ¿Qué es la polinización artificial? Imagínese pasar una tarde tranquila en el parque. Aunque es...

  3. Marketing

    Entornos empresariales y las cuatro funciones de la gestión

    Cuatro funciones clave Los gerentes tienen que lidiar con múltiples fuerzas diferentes que tiran y...

  4. Jefe de Operaciones

    Tecnología de la información utilizada para la gestión de la cadena de suministro

    BTO (construido bajo pedido) Entre a cualquier tienda departamental y verá pasillos y pasillos de...

Selecciona un tema para seguir aprendiendo

Rodrigo Ricardo
Rodrigo Ricardo Editor y fundador