Una prioridad efectiva implica mantener la sincronización con las prioridades de riesgo de la organización y seguir un enfoque basado en riesgos para planificar la auditoría interna. Al vigilar constantemente los cambios organizacionales que pudieran alterar el plan, el director ejecutivo de auditoría (DEA) estará bien equipado y posicionado para efectuar recomendaciones debidamente sustentadas a la gerencia y al consejo directivo sobre el uso más eficaz de los recursos de auditoría interna.
Dado el tamaño potencial del universo de auditoría, el alcance del trabajo relacionado, y la necesidad de utilizar eficientemente los recursos limitados de auditoría interna, es fundamental priorizar y planificar los trabajos de auditoría, basándose en una evaluación de riesgos anual vista desde la perspectiva de las metas y objetivos de la organización.
La mayoría de los modelos utilizados por los DEA para priorizar su trabajo de auditoría tienen en cuenta factores tales como el impacto financiero, la liquidez de activos, la competencia de la gerencia, la calidad de los controles internos, el grado de cambios o estabilidad, el tiempo transcurrido desde el último trabajo de auditoría, la complejidad, y los riesgos estratégicos. Al realizar trabajos de auditoría, los métodos y técnicas para probar y validar exposiciones deben tener en cuenta la materialidad y probabilidad de ocurrencia del riesgo.
Si bien las áreas de atención del plan de auditoría anual varían como resultado de la evaluación de riesgos y elementos relacionados de la actividad de auditoría interna, dicho plan anual siempre deberá tener en cuenta dos áreas críticas:
- A lo largo del año, el DEA debe realizar una cantidad suficiente de trabajos de auditoría y recabar suficiente información que le permita formarse un juicio sobre la adecuación y eficacia de los procesos de gestión de riesgos y control de la organización.
- La actividad de auditoría interna debe revisar los programas de cumplimiento de regulaciones con que cuenta la organización.
Una vez desarrollado un plan de auditoría basado en riesgos, el DEA debe comunicar los planes, requerimientos de recursos y limitaciones relacionadas de la actividad de auditoría interna a la alta dirección y al cuerpo de gobierno apropiado para su revisión y aprobación.
Los cambios en la dirección, objetivos, énfasis y enfoques de la gerencia deben reflejarse en cambios en el universo de auditoría y el plan de auditoría respectivo, que pudiera requerir una actualización frecuente (trimestral). Todos los cambios de importancia deben enviarse a las entidades de supervisión para su revisión y aprobación.
Por último, el plan de auditoría debe contemplar el uso más eficaz de los recursos de auditoría interna. Alinear las tareas de auditoría interna con las metas y objetivos operativos y estratégicos de la organización mediante una evaluación de riesgos asegurará la utilización eficiente de los recursos de auditoría interna a la vez que proporcionará a la gerencia información valiosa sobre las actividades de gestión de riesgos.
Referencias:
PA 2010-1: Planificación PA 2010-2: Enlace del Plan de Auditoría con los Riesgos y Exposiciones PA 2020-1: Comunicación y Aprobación PA 2120.A1-1: Evaluación e Información sobre Procesos de Control