Encuentra acá todo lo que necesitas saber sobre la gestión de riesgos →
_______Encuentra acá todo lo que necesitas saber sobre la gestión de riesgos →
_______Conoce cuál es la función que cumple el área de auditoría, cuáles son las cinco etapas básicas para llevar a cabo una auditoría en tu organización y cómo hacerla más simple a través del uso de una herramienta tecnológica.
Una auditoría interna, de acuerdo con el Instituto de Auditores Internos (IIA), se trata de “una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización”.
En general, el objetivo de la auditoría interna es brindar aseguramiento, asesoría y análisis basados en riesgos para que la organización cumpla sus objetivos y pueda mejorar la eficacia de sus procesos de gestión de riesgos, control y gobierno.
Entre otros principios, según IIA, la función de auditoría interna debe:
Además, quien se desempeñe como auditor debe ser una persona competente y con debido cuidado profesional, contar con los recursos adecuados y comunicarse de manera efectiva con las diferentes áreas de la organización.
A continuación podrás entender cuál es la función que cumple auditoría en las organizaciones, con base en el nuevo Modelo de las Tres Líneas del IIA; además, te contaremos sobre las etapas claves que debe tener una auditoría y cómo puedes llevarla a cabo de una manera mucho más simple y eficiente a través del sistema de gestión de Auditorías de Pirani.
Para comprender mejor la importancia que tiene el área de auditoría interna en una organización, es necesario conocer y entender en qué consiste el nuevo Modelo de las Tres Líneas de la Auditoría Interna, desarrollado por el Instituto de Auditores Internos y que sustituye o actualiza el tradicional Modelo de las Tres Líneas de Defensa.
Este nuevo Modelo, según lo planteado por el IIA, “ayuda a las organizaciones a identificar las estructuras y los procesos que mejor facilitan el logro de los objetivos y promuevan un gobierno sólido y de gestión de riesgo”.
Para Olga Torres García, directora de Operaciones en Pirani, lo que diferencia a este nuevo Modelo de Tres Líneas del Modelo de Tres Líneas de Defensa es la generación de valor en la organización gracias al trabajo coordinado de las tres líneas, las cuales son:
Los roles de esta línea están alineados con los procesos de producción y la prestación de servicios, incluyendo los roles de soporte. Como explica Olga Torres, son los encargados de implementar y ejecutar los procesos, las políticas, la gestión de riesgos; se trata de la operación.
Los roles de esta línea asisten en la gestión de riesgos, están relacionados con el cumplimiento normativo, el control interno, la seguridad de la información, el aseguramiento de la calidad. Estos roles brindan acompañamiento a la primera línea con el fin de que ejecuten los procesos de manera correcta, es decir que sí respondan a la estrategia planteada. En síntesis, la segunda línea acompaña, asesora y apoya a la primera línea para que cumplan con los procesos establecidos.
Estas dos primeras líneas tienen una interrelación muy estrecha.
Se trata de la auditoría interna, un área que debe ser independiente y proporcionar un aseguramiento objetivo. Auditoría interna se encarga de revisar y verificar que todos los procesos en la organización funcionan correctamente, para esto recogen y analizan información de lo que hacen la primera y segunda línea buscando identificar debilidades o fallas que se puedan presentar en la gestión de riesgos, el cumplimiento normativo, etc. y que no están alineadas con la estrategia organizacional.
La auditoría interna debe informar sobre sus hallazgos y observaciones a la dirección y al órgano de gobierno con el fin de promover la mejora continua.
El personal que hace parte de esta tercera línea debe caracterizarse por tener un conocimiento muy amplio del negocio, una visión estratégica, es decir, conocer muy bien todos los procesos de la organización, las políticas, los procedimientos, el contexto interno y externo, los productos y servicios que ofrece, el mercado en el que está, las normativas que le son aplicables, etc. porque todo esto les permite identificar de una mejor manera las fallas u oportunidades de mejora para el aseguramiento de la organización.
Adicionalmente, como asegura Olga Torres, la auditoría interna debe estar alineada a la estrategia organizacional, vincularse de forma diferente con todo el personal y brindar un verdadero acompañamiento a la primera y segunda línea para agregar, mantener y maximizar valor. Esta es una de las principales responsabilidades de la tercera línea.
En este Modelo de las Tres Líneas de la Auditoría Interna, también están incluidos los proveedores de aseguramiento externo, es decir los entes reguladores o entes certificadores que tienen un propósito diferente: verificar el cumplimiento de una normativa o certificar que la organización cumple con esta.
Una auditoría, de acuerdo con la norma ISO 19011:2018, se trata del “proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”.
Para realizar una auditoría en la organización, es importante conocer y tener en cuenta cinco etapas básicas:
Para que una auditoría sea efectiva, lo primero que se debe hacer es entender el contexto de la organización, tener claro qué es lo que va a ser auditado.
Esta preparación o planeación, también conocida como contexto de la auditoría, se realiza a través de la construcción de un programa de auditoría, que según la norma ISO 19011:2018 consiste en los “acuerdos para un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico”.
Con el sistema de gestión de Auditorías de Pirani es muy fácil crear el programa de auditorías y establecer el contexto de estas. Para hacerlo, se debe proporcionar la siguiente información:
Sumado a todo lo anterior, en esta primera etapa del contexto de la auditoría, Pirani permite especificar cuáles son los procesos que van a ser auditados, es decir, seleccionar solo aquellos que serán revisados por parte del auditor líder y su equipo de trabajo.
Esta segunda etapa consiste en planear cada detalle de la auditoría a realizar, es decir, especificar los planes y las tareas que se van a ejecutar. Una buena práctica es hacer una segregación de la auditoría y esto se logra a través de planes individuales, que pueden ser para cada uno de los procesos a auditar.
Los planes de auditoría pueden ser:
En el sistema de gestión de Auditorías de Pirani crear estos planes es muy fácil. Lo primero es seleccionar la opción de “Agregar plan” y con esto:
Luego de haber creado y guardado estos datos del plan de auditoría, es posible agregar un mayor detalle del plan, es decir, el checklist, que le permite al auditor preparar mejor cada uno de los planes en función de lo que va a auditar y de la persona que será auditada.
Para detallar cada uno de los planes de auditoría creados en Pirani, hay que agregar la siguiente información:
En Pirani se pueden crear cuantos ítems se necesiten, todos van a tener la misma estructura. Generalmente estos ítems están relacionados con los numerales de la norma a auditar (ISO 9001, ISO 27001, ISO 45001, etc.), pero también pueden ser según los procesos, es decir, el auditor va a verificar que los procesos se ejecutan de acuerdo a lo establecido por la organización.
Una vez se haya completado el checklist, el sistema de gestión de Auditorías de Pirani presenta un resumen del plan de auditoría que ha sido creado, con información como:
Esta etapa consiste en llevar a cabo la auditoría que ha sido previamente planeada. En Pirani, luego de tener el plan de auditoría el responsable de esta puede dar clic en “Enviar a pendiente de ejecución”, esto quiere decir que el plan que se construyó ya no puede ser editado, ni modificado: ya se puede iniciar como tal la ejecución de la auditoría.
En la ejecución de la auditoría el auditor responsable podrá tener la siguiente información:
Después de completar toda esta información, el auditor podrá tener una de estas dos opciones:
La etapa de remediación consiste en corregir o ajustar los hallazgos del auditor, esto lo debe hacer la persona auditada.
Luego de que el auditor termina de hacer la auditoría, a través de Pirani el auditado recibe un correo electrónico con la información de los hallazgos, un resumen de lo que encontró el auditor. Con esta información, el auditado debe crear sus planes de remediación.
Esto lo debe hacer con cada uno de los hallazgos identificados durante la etapa de ejecución. Cuando finalice esto, podrá ver el detalle o resumen del plan de auditoría realizado:
Y cuando todos los planes de auditoría estén finalizados, el programa de auditoría queda automáticamente finalizado.
Esta es la última etapa. Aquí el auditor líder puede generar en Pirani un informe del programa de auditoría ejecutado, es un reporte consolidado que muestra un resumen de todo lo que se auditó: procesos auditados, hallazgos encontrados, hallazgos remediados, hallazgos sin remediar, comentarios y recomendaciones de los auditores, etc.
Este informe, que el auditor líder puede descargar fácilmente en formato PDF, sirve para presentarlo a la alta gerencia o junta directiva para que conozca el detalle del proceso de auditoría que se llevó a cabo en la organización y con base en esto pueda tomar decisiones.
De esta manera, siguiendo estas 5 etapas y llevándolas a cabo con Pirani, en tu organización podrán realizar auditorías mucho más simples, eficientes y efectivas.
Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.
Empezar prueba gratis