La auditoría basada en riesgos permite enfocar la auditoría en los riesgos más relevantes, optimizando recursos y generando mayor valor para la organización.
La auditoría basada en riesgos se centra en la priorización de las unidades auditables conforme a criterios entre ellos los riesgos de la organización previamente definidos por la organización. Dado que los recursos disponibles son limitados, se vuelve esencial determinar qué procesos o áreas deben auditarse primero y cuáles pueden ser postergados. Esta metodología permite segmentar el universo auditable y aplicar criterios de criticidad, facilitando así la toma de decisiones estratégicas y eficientes respecto al orden y alcance de las auditorías.
¿Cómo funciona esto en la práctica?
- Identifica los riesgos clave: Se identifican y evalúan los riesgos más relevantes que podrían afectar a la organización. (Por ejemplo: fraude, pérdida de datos, incumplimiento legal)
- Evaluación de riesgos previos: Antes de auditar, se realiza un análisis de riesgos para identificar amenazas clave, su impacto potencial y su probabilidad de ocurrencia.
- Priorización del plan de auditoría: Las auditorías se programan y ejecutan en función del nivel de criticidad de cada unidad, optimizando el uso de los recursos disponibles.
- Mayor alineación estratégica: El enfoque se alinea con los objetivos del negocio y fortalece la gobernanza, al anticipar y mitigar posibles fallos que puedan afectar el desempeño organizacional.
Desde el “Universo auditable” en Pirani, no solo puedes aplicar este enfoque de auditoría basada en riesgos, sino también incorporar otros criterios de criticidad definidos por tu organización. Esto permite valorar de forma más completa y estratégica cada auditoría planificada, alineándose con los objetivos y prioridades del negocio.
Principales criterios para la auditoría
Aunque se utilizarán varios criterios, el “riesgo" será el factor principal a considerar. Las unidades auditables son aquellos temas o áreas que se someterán a auditoría, y la criticidad de cada una se definirá según los criterios establecidos.
Unidades auditables
Cada área que se audite será denominada una "unidad auditable". A continuación, algunos ejemplos de posibles unidades auditables:
- Gestión de recursos físicos
- Asesoría legal
- Direccionamiento estratégico
La variabilidad de la auditoría dependerá de la “criticidad” asignada a cada “unidad auditable”. Al aplicar esta metodología, se asegura que los recursos de auditoría se distribuyan eficientemente, concentrándose en las áreas con mayor riesgo.
¿Cómo funcionan los criterios de calificación para la auditoría basada en riesgos?
Para determinar la priorización de las unidades auditables, se utilizarán varios criterios de calificación. Estos criterios permiten evaluar la importancia y urgencia de cada unidad, ayudando a asignar recursos de manera eficiente. Los criterios definidos son los siguientes:
- Nivel de riesgo: Corresponde a la evaluación del riesgo inherente asociado a una unidad auditable, considerando su impacto potencial en los objetivos de la organización. El nivel de criticidad se determina a partir del promedio del riesgo inherente de todos los riesgos identificados en dicha unidad, proporcionando así una visión integral de su exposición al riesgo.
- Meses desde la última auditoría: El tiempo transcurrido desde la última auditoría a la unidad auditable. Las áreas con mayor tiempo sin auditar suelen tener una mayor probabilidad de cambios significativos o no detectados.
- Cambios significativos en la unidad auditable: Evaluación de modificaciones o transformaciones importantes en la unidad.
- Interés de la alta dirección: El nivel de atención y prioridad que la alta dirección asigna a la unidad auditable, lo cual puede influir en la urgencia de la auditoría.
- Estado de auditoría: El estado de la unidad auditable se determina a partir de los planes de auditoría que tenga asociados. Si la unidad está vinculada a planes de auditoría en curso, su estado será “En auditoría”; si los planes han finalizado, se mostrará cómo “Auditado"; y si no tiene ningún plan de auditoría asociado, su estado será “No auditado”.
- Nivel de criticidad: El nivel de criticidad indica cuán importante o riesgosa es esa unidad dentro de la organización, sirve para priorizar qué unidades deben ser auditadas con mayor urgencia o frecuencia. Un nivel “alto de criticidad” indica que la unidad auditable se debe tener en cuenta primero para iniciar un “Plan de auditorías".
¿Cómo funciona la matriz de priorización?
La matriz de priorización es una herramienta clave dentro del enfoque de auditoría basada en riesgos. Su función principal es ordenar las unidades auditables según su nivel de criticidad, facilitando así la toma de decisiones sobre qué auditar primero.
Las unidades con menor criticidad se colocan en la parte inferior, ya que no requieren atención inmediata del equipo auditor.
Además, cada unidad auditable actualiza automáticamente su nivel de criticidad según los criterios definidos por el sistema o ajustados por el usuario. Lo que representa una gran ventaja en tareas de actualización manuales y garantiza que las auditorías siempre se enfoquen en las unidades más críticas.
¿Cómo crear una unidad auditable?
Una vez le doy a “Crear mi primera unidad auditable”
Se deberá completar un formulario con campos de datos como: nombre de la unidad, descripción (opcional), tipo de unidad, responsable y si ha sido auditada previamente.
En la parte derecha del formulario se mostrará el nivel de “criticidad", el cual variará automáticamente según las respuestas del usuario. Este valor será clave para la priorización en la matriz de auditoría.
Se contemplan dos tipos de unidad auditable:
- Personalizada: El usuario define libremente el tipo de unidad a auditar.
- Proceso: El usuario debe seleccionar un proceso ya mapeado en el sistema para auditar. En este caso, también se deberá indicar el responsable y si ha sido auditado previamente.
Si el usuario selecciona la opción “Si” en el campo ¿Se ha auditado previamente?, el sistema solicitará ingresar la fecha de la última auditoría realizada a esa unidad.
Una vez seleccionada la fecha de la última auditoría, se desplegará la “Calificación de criticidad". Esta se definirá a partir de las calificaciones de los distintos criterios establecidos. A medida que se asocian los riesgos, la criticidad irá ajustándose según los criterios específicos. Además, se tendrá en cuenta:
- Número de meses desde la última auditoría
- Interés de la alta dirección
- Posibles cambios en la unidad auditable
¿Cómo asociar un riesgo?
La idea es que, al hacer clic en "Asociar Riesgos", el usuario podrá vincular los riesgos relevantes a la unidad auditable. Esto permitirá ajustar la calificación de criticidad y garantizar que se consideren todos los factores de riesgo al priorizar la auditoría.
Te aparecerá una pantalla donde podrás seleccionar los riesgos que deseas asociar a la unidad auditable. Los riesgos inherentes se promedian para determinar la calificación final de criticidad de la unidad.
Los números asociados a los riesgos se promedian, lo que determinará la calificación final del riesgo para la unidad auditable.
Todo el proceso de asociación de riesgos, calificación, definirán la criticidad de la unidad auditable.
Recuerda:
El propósito de este proceso es garantizar que las unidades auditables se auditen en el menor tiempo posible, permitiendo al mismo tiempo que el consejo directivo tome decisiones informadas sobre qué auditorías deben realizarse y cuáles no. Además, se asegura que se tomen en cuenta todos los criterios relevantes definidos por el equipo de auditoría o el consejo directivo, garantizando una priorización de auditoría transparente y eficiente.
¡Ahora puedes hacerlo! Empieza a gestionar tu auditoría basada en riesgos.
¿No cuentas con el sistema de gestión de Auditorías? ¡Agenda una demo! →
No olvides calificarnos 👇 ¡Tu opinión es muy importante!