¿Cómo hacer un plan de auditoría interna?

¿Cómo realizar una auditoría interna que responda a las diferentes amenazas que afectan a las organizaciones? Una pregunta que al resolver, puede contribuir significativamente en tu proceso de control y gestión de riesgos.

Conocer cómo realizar un proceso de auditoría basada en riesgos, te ayudará a identificar y tomar medidas respecto a los riesgos técnicos y organizativos que pueden derivarse del exterior, interior, la parte técnica o la humana. A continuación te compartimos el paso a paso que puedes seguir para llevar a cabo un plan anual de auditoría.

Las auditorías con expertos en sistemas de protección y gestión integral del riesgo son esenciales para obtener un panorama objetivo sobre el estado de la organización.

En este caso nos basaremos en la propuesta del profesor Edwin Arley Giraldo Zapata, experto en auditoría y consultoría, para definir el paso a paso de este proceso que contribuye a gestionar riesgos y permite el control y gobierno por medio de un enfoque sistemático y disciplinado.

Según el autor, un plan basado en riesgos debe ser consistente con el plan estratégico de la organización, a fin de determinar prioridades.

Y para gestionar los riesgos operativos, legales y reputacionales a los que se puede ver expuesta una organización, es importante contar con una solución tecnológica como Pirani, que ayuda a identificarlos, evaluarlos, controlarlos y monitorearlos de manera fácil y eficiente, contribuyendo así a las auditorías internas y, por supuesto, al logro de los objetivos organizacionales.

Paso 1: Determinación del universo de auditoría

Según las etapas y fases de la auditoría interna, es necesario realizar un análisis general de la organización que será auditada. De esta manera, el equipo de auditoría puede tener una mejor comprensión de cómo funcionan los procesos y cuáles son los objetivos de la entidad.

Concretamente, el universo de auditoría se refiere al conjunto de áreas de la organización que son susceptibles de auditoría (gestión de talento humano, gestión financiera, gestión tecnológica, gestión comercial, gestión de comunicaciones) con el fin de brindar un aseguramiento adecuado a cada una de dichas funciones de negocio.

Paso 2: Establecimiento del plan de auditoría interna

En línea con las etapas y fases de la auditoría interna, el plan debe basarse en los datos recopilados en el primer paso y contener información como: objetivos, alcance y criterios de la auditoría, unidades y áreas que serán auditadas dentro de la empresa, funcionarios encargados de la calidad de los procesos, aspectos prioritarios, tiempo y duración de las inspecciones, entre otros.

El plan de trabajo debe basarse también en información documentada y se deben tener en cuenta los comentarios de la alta dirección y del consejo. El auditor que coordine la realización del plan anual es a su vez el encargado de comunicar los recursos que se requieren para la auditoría interna y el posible impacto en caso de que dichos recursos sean limitados.

Para realizar el plan anual es necesario evaluar el nivel de riesgo inherente en los procesos, identificar los requerimientos del comité de auditoría y la dirección, conocer cuáles son los requerimientos de ley para auditoría interna y documentar posibles hallazgos y oportunidades de mejora que surgieron en planes de épocas anteriores.

Paso 3: Plan anual de auditoría vs. recursos

Según los proyectos que surjan en el plan, es necesario destinar los recursos humanos, financieros y de tiempo que se requerirán para llevar a cabo el plan. De acuerdo a la disponibilidad de dichos recursos, será posible decantar los proyectos que se podrán atender, según el nivel de prioridad.

Paso 4: Comunicación y aprobación del plan

Finalmente el plan anual de auditoría debe ser presentado a la alta gerencia para obtener aprobación de este por parte de la junta directiva o del comité de auditoría. En esta presentación es necesario demostrar que se tomaron acciones en caso de limitación de recursos.

A su vez, te aconsejamos informar a la alta dirección y al consejo sobre los trabajos de auditoría que han sido reprogramados, cuáles son las razones de peso para ese cambio y cuál es el grado de riesgo asociado a los trabajos reprogramados.