Gestión Riesgos en auditoria interna

Al igual que cualquier otra área de la organización, auditoría interna puede verse expuesta a diferentes riesgos que dificulten, entorpezcan o hagan ineficiente o insuficiente su labor. A continuación te contamos sobre algunos de estos riesgos.

¿Qué es una auditoría interna?

La auditoría interna es un proceso independiente y objetivo diseñado para evaluar la eficacia de los controles internos, la gestión de riesgos y los procesos de gobierno en una organización. Su propósito principal es identificar áreas de mejora, garantizar el cumplimiento normativo y fortalecer la capacidad de la empresa para alcanzar sus objetivos estratégicos.

El área de auditoría interna cumple un papel clave para el funcionamiento adecuado de los distintos procesos de una organización, pues entre otras labores se encarga de vigilar y monitorear que estos se realizan y se cumplen correctamente, ejerce un control interno. 

Para conocer más sobre el tema te dejamos nuestro ebook de auditoría interna, es gratis, descárgalo para que puedas llevarlo a todas partes sin necesidad de conexión a internet. 

El objetivo de las auditorías debe ser agregar valor constante a la empresa y aportar al cumplimiento de sus metas. Así, un auditor interno tiene la responsabilidad de verificar si los sistemas de gestión que ha implementado la organización funcionan de manera eficiente y eficaz. Además, por medio de los informes de su auditoría, debe presentar cuáles son las falencias, inconformidades y oportunidades de mejora que tienen estos sistemas. 

De esta forma el auditor ayuda a evitar la materialización de riesgos como fraudes, lavado de dinero, operativos, incumplimientos normativos, ataques cibernéticos, entre otros, pues recomienda cuáles son las acciones que se deben tomar y los controles que se deben ajustar en los sistemas para que esto no suceda. 

Sin embargo, como en las demás áreas de la empresa, los auditores internos pueden estar expuestos a riesgos al momento de realizar su labor. Esto se conoce como riesgo de auditoría y consiste, en general, en causas internas y externas que obstaculizan este proceso, impidiendo muchas veces que se conozcan las vulnerabilidades o fallas de los sistemas, evitando así que se lleven a cabo mejoras. 

¿Cuáles son los riesgos de auditoría interna? 

• Desconocimiento por parte del auditor de la norma en la que va a basar su auditoría (ISO 9001, ISO 27001, ISO 31000, entre otras). Esto tiene que ver con una mala o incompleta aplicación de las metodologías utilizadas para las auditorías, lo que posibilita que no se realice correctamente según lo dispuesto por un estándar. 
  
  
• Falta de apoyo y de confianza por parte de la alta dirección. Como en todo lo que tiene que ver con la gestión de riesgos, sin el apoyo, compromiso e interés de la alta dirección es difícil que el auditor pueda demostrar la importancia de la labor que realiza y lo beneficiosa que es para el mejoramiento continuo de los procesos y por ende, para la continuidad de la empresa. 
  
  
• Mala planeación de la auditoría. Es importante que el auditor planifique el proceso adecuadamente, considerando los procesos y personas a auditar, así como el tiempo necesario que le tomará hacerlo. Si hay una buena planeación, no debería haber incumplimientos en el plazo límite para terminarla. 
  
  
• Planes rígidos e inmodificables. Si bien se debe seguir un plan de auditoría, el auditor debe estar en la capacidad de adaptarlo o ajustarlo según las condiciones que se presenten durante el proceso porque estamos en un entorno en constante cambio y todo puede ser susceptible de cambiar, incluso las áreas o procesos a auditar.  
  
  
• Dificultad o incapacidad para auditar algunas fuentes de riesgo. Puede ser por falta de conocimiento o porque el auditor prefiere ser cauteloso y tomar distancia de algunas áreas o procesos para evitar discordias o señalamientos, sin embargo, no debe ser así porque independiente del área y sus líderes, se debe evaluar y auditar para garantizar que está funcionando correctamente y no representa posibles riesgos para la empresa.  
  
  
• Verificación y control ineficientes. Para realizar una buena auditoría es fundamental estar al tanto de las regulaciones y temas legales que le son aplicables a la empresa.  
• Comunicación inoportuna. Los resultados de la auditoría y recomendaciones a aplicar no solo deben presentarse de manera clara y precisa, también debe hacerse oportunamente, en el menor tiempo posible y no meses después para que la alta dirección y los encargados de las áreas auditadas puedan tomar acción rápidamente y prevenir así que las fallas identificadas faciliten la materialización de riesgos. 
  

Adicional a los anteriores, otros riesgos que pueden enfrentar los auditores internos son: no contar con personal calificado en sus equipos, enfocarse en encontrar culpables y no en la prevención, realizar una investigación y evaluación incompleta, falta de información y de recursos, entre otros.  

Métodos de análisis de riesgos

A continuación te contaremos de manera detallada cuáles son los métodos de análisis de riesgos más utilizados para que puedas conocerlos a profundidad y ver cuáles puedes utilizar en tu gestión de riesgos:

1. Análisis cualitativo:Se basa en describir y priorizar riesgos según su probabilidad e impacto. No utiliza datos numéricos, sino juicios expertos.
   
   Ejemplo: Evaluar riesgos operativos en un nuevo producto identificando áreas críticas a través de sesiones de brainstorming con gerentes.
   
   

2. Análisis cuantitativo:
   Utiliza datos estadísticos y modelos matemáticos para medir el impacto potencial de los riesgos. Es ideal para organizaciones con acceso a datos históricos.

   Ejemplo: Determinar la probabilidad de fallos en un sistema TI mediante simulaciones Monte Carlo.

3. Análisis DAFO (DOFA):
   Este método identifica Debilidades, Amenazas, Fortalezas y Oportunidades para una visión estratégica.

   Ejemplo: Aplicar DAFO para evaluar el impacto de una nueva regulación ambiental en la industria de alimentos.

4. Análisis de escenarios:
   Consiste en desarrollar diferentes escenarios hipotéticos para evaluar cómo podrían afectar ciertos riesgos a la organización.

   Ejemplo: Modelar el impacto de una recesión económica en una empresa del sector financiero.

5. Análisis de causa raíz:
   Se enfoca en identificar el origen de un problema para evitar su recurrencia. Es un enfoque correctivo y preventivo.

   Ejemplo: Analizar la causa de incumplimientos normativos en el sector retail para optimizar procesos internos.

Cómo elegir el mejor método según el sector

Para que puedas implementar los métodos a tu sector, hemos seleccionado los principales sectores para darte ejemplos en cada uno, esta información te ayudará en tu gestión de riesgos para auditorías internas. 

1. Sector Alimentos:
   

   Recomendado: Análisis de causa raíz y DAFO.

• Por la alta regulación en seguridad alimentaria, los métodos deben enfocarse en prevenir problemas críticos y en identificar áreas de mejora estratégica.
• Ejemplo: Resolver fallos en la cadena de suministro para evitar contaminación.

2. Sector Retail:
   

   Recomendado: Análisis cualitativo y de escenarios.

• Este sector es dinámico y enfrenta riesgos como fluctuaciones de demanda o cambios regulatorios. Métodos ágiles y predictivos son clave.
• Ejemplo: Evaluar la adopción de nuevas tecnologías para mejorar la experiencia del cliente.

3. Sector Minero:
   

   Recomendado: Análisis cuantitativo y de causa raíz.

• Las operaciones mineras implican altos riesgos ambientales y de seguridad. Métodos detallados y correctivos son esenciales.
• Ejemplo: Cuantificar el riesgo de accidentes en zonas de extracción mediante datos históricos.

4. Sector Financiero:
   

   Recomendado: Análisis cuantitativo y de escenarios.

• Este sector requiere alta precisión en la gestión de riesgos financieros y cibernéticos. Métodos predictivos y numéricos aportan valor.
• Ejemplo: Modelar el impacto de una crisis económica en la rentabilidad del portafolio de inversiones.

Elegir el método correcto de análisis de riesgos depende de la naturaleza del sector, los objetivos de la organización y la complejidad de los riesgos. Adaptar estos métodos a las particularidades de cada industria asegura una gestión eficaz y estrategias de mitigación bien fundamentadas.

Cuéntanos en los comentarios qué otros riesgos de auditoría agregarías y qué hacer para evitarlos. 

Este contenido también te puede interesar:

• ¿Cómo realizar una auditoria interna virtual?
• Etapas y fases de la auditoría interna
• ¿Cómo hacer un plan de auditoría interna?
• Auditoría interna: etapas que debes tener en cuenta