Llevar a cabo una labor de auditoría no es una labor fácil si se piensa que el objetivo de la misma es abarcar todos los aspectos evidentes y no evidentes que son protagonistas a la hora de conocer el balance de la empresa respectiva. La labor de un auditor al mismo tiempo debe ser la de detectar las fortalezas de la empresa y trabajar sobre ellas para cubrir aquellos aspectos que representan un riesgo para la misma.
De tal manera que debe ser una labor exhaustiva de diagnóstico, análisis y proyección de recomendaciones para darle un tratamiento a corto, mediano y largo plazo a los problemas detectados. Sin embargo, dentro de esta reflexión cabe darle lugar a la manera en la que el auditor debe organizar su plan de trabajo; es decir, cómo centrar sus revisiones, cómo debe priorizar qué auditar y concentrarse en lo que más le importa a la empresa. Una variable que desafortunadamente va a influir en ese sentido es la de los recursos para cubrir los planes de auditoría en la empresa que a menudo son insuficientes y por lo tanto estos no pueden ser extensos, y en cambio, deben ser concisos y claros.
Bajo esta mirada, varios son los recursos a los que puede acudir un auditor interno para llevar a cabo su labor. Aunque en general el proceder de un auditor se da de manera autónoma, es importante reconocer que existe un documento que organiza el plan de auditoría y proporciona así una hoja de ruta clara para realizar pruebas efectivas en la auditoría. Este documento se conoce como Risk and Control Matrix (RCM) o Matriz de Riesgo y Control (RCM). Cabe mencionar que aunque esta es una hoja de ruta para los auditores internos, puede ser modificada de acuerdo al criterio de los profesionales y a las necesidades que tenga la empresa. Sin embargo, resulta valioso conocer las variables que influyen en la RCM y que son un aporte valioso para el desarrollo de una labor de auditoría.
- Los objetivos de la revisión, es decir que se debe conocer lo que se está auditando, para establecer los criterios bajo revisión para determinar así si estos mismos están logrando sus propósitos. Se debe establecer un horizonte claro para que al final del ejercicio se pueda hacer una evaluación exacta de aquello que fue efectivo y aquello que no.
- Los riesgos, que se contemplan dentro del cumplimiento de los objetivos; es decir, aquellas amenazas, factores y eventos que podrían impedir que la empresa tenga un desarrollo de su actividad.
- Los controles que administran o mitigan los riesgos comerciales evaluados, estos serán los programas y proceso diseñados que se incluyen para gestionar las amenazas dentro de la empresa.
- Los pasos de auditoría, que se llevarán cabo para evaluar el diseño y la efectividad operativa de los controles internos.
Todas estas variables deben ser consideradas para el diseño del plan de trabajo de cada auditor. Evidentemente, estas van a variar de empresa a empresa, pues no todas comparten una misma situación comercial. Así, mientras en una los objetivos pueden estar encaminados a optimizar los procesos de calidad, en otra se pueden centrar en la optimización de la situación financiera. Tener una estructura de desarrollo siempre va a ser beneficioso, pues permite abarcar los puntos claves de un ejercicio de auditoría. A continuación, Murdock (2017), explica con mayor detalle cada una de estas variables, para que el trabajo se lleve a cabo de manera más clara. Se expone entonces los elementos que hacen parte de las variables nombradas anteriormente.
Respecto a los objetivos, se establecen como el primer paso dentro de la auditoría, deben documentarse de acuerdo a las expectativas de la empresa. De igual manera, aquellos que se han establecido previamente dentro de la misión y la visión de la empresa, son aquellos que van a determinar las labores de los trabajadores, es decir, van a ser la guía de lo que ellos van a realizar todos los días. Por lo tanto, se puede decir que los objetivos permiten evaluar la eficiencia y efectividad porque se establecen como los parámetros requeridos por la empresa. Como se puede evidenciar, se habla de dos tipos de objetivos: los primeros son los que ha establecido previamente la empresa de acuerdo a su actividad comercial y los segundos son los que debe establecer el auditor en su plan de trabajo. Ambos son de gran importancia, pero sobretodo, el auditor no debe desconocer los objetivos de la empresa, pues es sobre ellos que va a establecerse la base de su trabajo.
Respecto a los riesgos, una vez se han establecido los parámetros de cumplimiento de los objetivos comerciales y del plan de auditoría, es necesario identificar aquellas situaciones o factores que representan una amenaza para el cumplimiento de dichos objetivos. Este resulta ser uno de los pasos más exhaustivos durante la auditoría, ya que se trata de eliminar todas las posibilidades de fracaso para la empresa. Es comprensible entonces hablar de que cualquier situación puede representar un riesgo ya sea pequeño o grande y por lo tanto existen diferentes maneras de darle tratamiento a los mismos. Los planes de acción para mitigar los impactos que pueda generar un riesgo deben partir de una categorización de los riesgos; por ejemplo en categorías como: cumplimiento, informes operativos, financieros, informes no financieros, estratégicos, tecnología de la información, seguridad de la información y fraude. Lo que es más, los riesgos también se van a clasificar de acuerdo a su nivel de emergencia o impacto: alto, medio o bajo. Esta clasificación va a determinar tanto el impacto del riesgo si se materializara como la probabilidad de que ocurra el riesgo.
Para Murdock (2017), la clasificación de los riesgos es una tarea que requiere de mucho responsabilidad y que siempre va a estar medida de acuerdo a la subjetividad del auditor. Es decir que pueden existir muchas percepciones acerca de un mismo riesgo, ya que para alguna persona puede ser alto, pero para otra puede ser medio o bajo. Por tal motivo, la evaluación de riesgos es una tarea que va a requerir una serie de datos adicionales, o descripciones más detalladas, que se basen en rangos y hechos explícitos para cada uno. De igual manera se pueden utilizar herramientas estadísticas como la probabilidad y otro tip de datos que le brinden la seguridad al auditor a la hora de clasificar un riesgo. Evidentemente, se trata de una de las fases de mayor relevancia dentro del proceso de auditoría, y en la que generalmente se invierte mayor cantidad de tiempo y de recursos. Sin embargo, es una fase que necesita quedar bien hecha y que va a determinar a largo plazo el éxito de la tarea de auditoría.
El siguiente paso va a estar determinado por la variable de controles, es decir la documentación de los controles que la administración comercial ha implementado para mitigar los riesgos y proteger los activos de la compañía. Esto va a significar que para cada situación de riesgo se debe asignar un sistema de control que lo mitigue. Por lo tanto, los controles van a variar tanto como lo hagan los riesgos; es decir que también va a existir una categorización determinada por las características del riesgo. Algunas de las clasificaciones más importantes de los controles son: preventivo, que se desarrolla antes de que una situación de riesgo se de en la empresa; detective, que permite determinar cuándo ocurre un evento de riesgo en la empresa; manual, cuando es realizado por un individuo al que se le asigna una tarea determinada; automatizado, que se desarrolla a través de una aplicación informática u otro tipo de máquina; combinado: cuando un individuo es el que opera la aplicación o la maquinaria utilizada para la mitigación del riesgo; finalmente, también se determina que los controles pueden ser clasificados de acuerdo a una frecuencia de control: anual, semanal, diario, varias veces al día, semestral o cada vez que el auditor considere pertinente, por ejemplo, cada vez que se de una transacción comercial.
Dentro de esta variable también se asignan responsabilidades a la persona que tenga la capacitación y aptitudes adecuadas para darle un seguimiento a los mecanismos de control y el riesgo identificado. Estos roles se asignan con la intención de que exista una persona que si bien lidere la actividad, también se responsabilice a la hora de evaluar los resultados. El dueño del riesgo y del mecanismo de control, es el encargado de llevar un diario de campo entendido como informes y las mediciones necesarias. Esto lleva a considerar otro punto relevante dentro de la variable del control y es la necesidad de establecer un momento de evaluación de los mismos. En este punto de la auditoría, los controles deben ser efectivos; sin embargo, durante un proceso varias variables pueden salirse de control o no comportarse de la manera esperada. Por tal motivo, es necesario aplicar los correctivos necesarios durante el establecimiento de los mecanismos de control. Como se ha podido ver en esta reflexión, el orden va a tener una influencia real en el éxito del plan de auditoría, por lo que es necesario que exista un mecanismo de evaluación que se enfoque en la relevancia de las situaciones de riesgos: ir del riesgo más relevante o de mayor impacto, hacia el riesgo de menor impacto.
La última variable se refiere a los procedimientos de la auditoría que establezca el auditor de acuerdo con las variables mencionadas anteriormente. Se espera que de esta manera y entendiendo que debe existir siempre un orden en los procedimientos de auditoría, se le de un tratamiento global y detallado a todos los aspectos de la empresa que necesiten ser evaluados. Estos procedimientos pueden ser tanto de inspección, observación, confirmación, repetición, analíticos, entre otros, sin olvidar aquellos que proyecten las recomendaciones para el mejoramiento de la empresa. La RCM es una hoja de ruta que de manera general establece un serie de variables, pero que en definitiva el auditor interno, bajo su criterio profesional, debe establecer su plan de trabajo. Se espera entonces que cada paso de la auditoría tenga un propósitos y le permita establecer los mecanismos de control más adecuados para cada situación y así, la tarea del auditor sea precisa y concisa.
Finalmente, el auditor como parte de la intención de añadir un mayor valor a su trabajo, debe impulsar una cultura de crecimiento empresarial basada en la gestión de los riesgos. Esto va a estar determinado por el fortalecimiento del sentido de pertenencia de los empleados hacia la misión y la visión de la empresa, esto es, sus objetivos comerciales. Encaminar a los trabajadores hacia una cultura de trabajo enfocado en hacer bien sus labores va a ser un buen primer paso para encaminar su proceso de auditoría. De esta forma, se espera crear una cultura de mejora continua en la que deben participar cada uno de los integrantes de la empresa. Esto es, que tanto directivos como trabajadores de todas las áreas creen un ambiente de trabajo cooperativo.
Y luego Agregar a la pantalla de inicio.