En un nuevo informe de la encuesta se ofrece información sobre la forma en que las funciones de auditoría interna pueden perfeccionar sus actuales procesos de evaluación de riesgos y planificación de auditorías, y se explora la forma en que los auditores pueden comprender y auditar mejor los riesgos emergentes y estratégicos a los que se enfrentan sus organizaciones.
El informe, Enhancing Risk Assessments & Audit Planning: 10 Key Considerations , fue publicado el 5 de octubre por Wolters Kluwer y TeamMate, un sistema de gestión de auditoría interna que forma parte de Wolters Kluwer Tax & Accounting. La columna vertebral del informe son los hallazgos de la 2016 TeamMate Global Audit Technology Survey , que encuestó a casi 600 líderes mundiales de la auditoría en julio y agosto pasados.
«Nuestra intención era recopilar datos útiles sobre las prácticas actuales y previstas en tres procesos de auditoría relacionados e interdependientes: la evaluación de riesgos, la planificación de la auditoría y la presentación de informes sobre estas actividades a la dirección y al comité de auditoría», se afirma en el informe.
Basándose en los resultados de la encuesta, aquí hay 10 mejores prácticas que los líderes de auditoría interna pueden utilizar para reforzar sus esfuerzos de evaluación de riesgos.
1. Pasar a un proceso de evaluación de riesgos más continuo. Casi la mitad de los encuestados indican que evalúan el riesgo de manera continua o combinan una evaluación anual del riesgo con alguna forma de evaluación continua del mismo. En cuanto a los encuestados que actualmente evalúan los riesgos ya sea en forma anual o periódica, el 56% espera pasar a un proceso de evaluación de riesgos más continuo en los próximos dos años.
2. 2. Abordar los riesgos estratégicos de la organización. La mayoría de los encuestados dijeron que sus procesos de evaluación de riesgos incluyen la evaluación formal de los riesgos estratégicos de sus organizaciones. Además, el 70% tiene una confianza alta o razonable en que su personal de auditoría interna identificará cualquier cambio importante en el perfil de riesgo estratégico de la organización o será informado de esos cambios de manera oportuna.
3. 3. Apuntar a los riesgos emergentes. Existe un creciente enfoque en los riesgos emergentes, ya que el 55 por ciento de los encuestados informan de que cuentan con un proceso formal para identificar, evaluar e informar sobre estos riesgos, mientras que el 44 por ciento proporciona a sus comités de auditoría un informe regular sobre la evaluación de los riesgos emergentes por parte de la auditoría interna.
De los que actualmente no incluyen los riesgos emergentes en sus evaluaciones, el 62% tiene previsto hacerlo en un plazo de dos años.
4. Considerar el impacto de los factores de riesgo macro. Casi la mitad (49 por ciento) de los encuestados dijeron que actualmente están evaluando los factores externos de macro-riesgo, como los riesgos sistémicos, políticos o macroeconómicos. Además, casi la mitad de los encuestados cuyas evaluaciones de riesgo no incluyen actualmente los macro riesgos planean añadir ese componente dentro de un par de años.
5. Concéntrese más en los ciberriesgos. Los datos del estudio del Cuerpo Común de Conocimientos del Instituto de Auditores Internos muestran que la ciberseguridad es el mayor riesgo tecnológico al que se enfrentan los auditores internos hoy en día. Como resultado, la mayoría (85 por ciento) de los grupos de auditoría interna están cambiando sus procesos de evaluación de riesgos para mejorar su cobertura de los ciberriesgos, según la encuesta de TeamMate.
6. Ampliar las aportaciones de las funciones conexas para reforzar las evaluaciones de los riesgos. Los participantes en la encuesta han adoptado la idea de que cuanto más fuerte sea la aportación al proceso de evaluación de riesgos, mejor será el resultado.
El 73 por ciento de los encuestados informan que coordinan o alinean sus evaluaciones de riesgo con otras unidades de riesgo y control, como la gestión del riesgo empresarial (ERM), el cumplimiento, la tecnología, las finanzas y el aspecto jurídico. Casi tres cuartas partes también piden a la dirección que haga aportaciones para sus evaluaciones de riesgos.
7. 7. Mejorar las técnicas de evaluación de riesgos. Las técnicas de evaluación de riesgos siguen evolucionando en sofisticación. Según la encuesta, el 22% de los encuestados utiliza actualmente el análisis de escenarios, el 15% utiliza la previsión u otros modelos de riesgo y el 11% realiza pruebas de estrés en relación con los principales supuestos económicos.
En los próximos dos años, el 37% de los encuestados espera vigilar los principales indicadores de riesgo, el 35% espera realizar datos o análisis estadísticos, y es probable que el 22% evalúe los efectos de las tecnologías innovadoras o perturbadoras.
Hablando de tecnología, algo menos de la mitad de los encuestados la utilizan actualmente para apoyar su proceso de evaluación de riesgos, pero el 76% espera utilizar más la tecnología en los próximos dos años.
8. Haz que tu planificación de la auditoría sea más dinámica. Aunque el 57 por ciento de los encuestados informan de la realización de un plan de auditoría anual con algunas actualizaciones periódicas, un gran número (40 por ciento) está actualizando sus planes de auditoría ya sea mensualmente o a medida que el trabajo de auditoría se va completando.
Sin embargo, de cara al futuro, el 5% de los encuestados ya están realizando auditorías totalmente rodantes, mientras que otro 28% probablemente pasará a un plan de auditoría rodante en los próximos dos años.
9. Mejore su informe de riesgos. Además de perfeccionar sus procesos de evaluación de riesgos, los auditores internos también parecen mejorar sus informes sobre los resultados de los procesos.
Mientras que el 61 por ciento de los encuestados informan de que utilizan la documentación de Microsoft Word, Excel o PowerPoint para informar sobre los riesgos, el 22 por ciento utiliza nuevos enfoques para informar sobre los riesgos, que van desde mapas de calor, tableros de riesgos y SharePoint hasta informes combinados con una función de ERM.
10. Abordar las expectativas de la administración y del comité de auditoría. «En última instancia, un grupo de auditoría interna necesita asegurarse de que sus evaluaciones de riesgos y sus procesos de planificación de la auditoría están alineados con las expectativas de los principales interesados y las cumplen, si no las superan», dice el informe.
Dicho esto, el 42% de los encuestados dijeron que sus comités de auditoría consideraban que proporcionar una garantía general sobre las prácticas de gestión de riesgos de la organización matriz era una función primordial de la auditoría interna.
Además, el 58% proporciona a los comités de auditoría una opinión sobre la idoneidad de los procesos de gestión de riesgos de la organización, mientras que el 75% informa tanto al comité de auditoría como a la dirección sobre la forma en que los cambios en el perfil de riesgos de la organización se reflejan en el plan de auditoría.