Las organizaciones del sector público enfrentan una variedad de riesgos, desde amenazas cibernéticas hasta limitaciones presupuestarias hasta preocupaciones de cumplimiento. Si bien los equipos de auditoría internos en el sector gubernamental podrían no ser responsables de resolver todos esos riesgos, deben asegurarse de que sigan con protocolos relevantes de gestión de riesgos.
Por lo tanto, es esencial que los equipos de auditoría interna estén realizando evaluaciones de riesgos de auditoría interna para determinar cómo se ven estos riesgos.
“La auditoría basada en el riesgo asegura que la actividad de auditoría interna esté centrando sus esfuerzos en proporcionar servicios de garantía y asesoramiento relacionados con los principales riesgos de la organización … Esto requiere que los auditores internos tengan un conocimiento práctico de conceptos básicos, marcos, herramientas y técnicas relacionadas con el riesgo y la gestión de riesgos”, explica el instituto de los auditores internos (IIA).
En este artículo, examinaremos cinco consejos para ayudar a los auditores internos del sector público a construir mejores planes de auditoría basados en el riesgo. Estos incluyen:
1) Defina tus objetivos
Antes de que se atasque demasiado en los detalles de la ejecución de una evaluación de riesgos de auditoría interna, dé un paso atrás y considere lo que está tratando de lograr. Hacerlo incluye encontrar la alineación interna dentro de su equipo de auditoría y con otras partes interesadas.
Como aconseja Baker Tilly, los equipos de auditoría internos “deberían reunirse con los diversos grupos de partes interesadas: la gerencia, el comité de auditoría y el órgano rector” para explicar el proceso, establecer expectativas para los resultados y escuchar los resultados deseados, como un medio para adaptar el enfoque o la identificación de otras actividades cuando la auditor interna puede agregar valor “.
2) Organice sus datos
La realización de una evaluación de riesgos de auditoría interna también requiere prácticas de datos fuertes. Pero antes de que pueda llegar a un lugar donde esté utilizando análisis de datos para identificar riesgos clave, las organizaciones del sector público a menudo deben organizar sus datos primero.
La información puede mantenerse en una variedad de sistemas que hace que el análisis sea ineficiente, si no ineficaz. Herramientas como Teammate+ usan un marco de API de intercambio de datos para reunir datos de diferentes fuentes, como la gobernanza, el riesgo y los sistemas de cumplimiento (GRC) y las herramientas de planificación de recursos empresariales (ERP), lo que le brinda una imagen completa de lo que está sucediendo dentro de su organización.
3) Gézate ágil
Si pasa por una auditoría completa basada en el riesgo sin recibir comentarios en el camino, entonces es fácil salir de la pista. Por un lado, los riesgos podrían haber cambiado desde el momento en que la auditoría comenzó a cuando finalmente concluye. Y cuando presenta a los líderes de las partes interesadas al final de la evaluación de riesgos, puede ser difícil incorporar sus comentarios en sus controles internos y procesos de garantía.
Participar en auditoría ágil puede ayudar. Al dividir una evaluación de riesgos de auditoría interna en trozos más manejables, donde las diferentes áreas de riesgo pasan de la planificación a las etapas de presentación en sprints cortos: los auditores internos del sector público, pueden tener más fácil adaptarse para cambiar e incorporar comentarios.
4) Ve dinámico
La auditoría ágil crea una evaluación dinámica de riesgos de auditoría interna. En lugar de abordar estas evaluaciones como una ocurrencia anual, puede revisar los riesgos del sector público de manera más continua.
Eso significa colaborar con otros departamentos durante todo el año para mantenerse al día con los riesgos emergentes, que es donde las buenas prácticas de intercambio de datos también son útiles. Las evaluaciones de riesgos dinámicas o continuas también pueden dar como resultado informes más frecuentes para que pueda mantener a todos al tanto y obtener sus comentarios oportunos. Tener una sólida herramienta de evaluación de riesgos de auditoría interna como Teammate que puede ayudarlo a simplificar la puntuación de riesgos y crear informes de auditoría eficientes hace una gran diferencia.
5) Mantener los requisitos del sector público
Por último, trabajar en auditoría interna en el sector gubernamental significa mantenerse al tanto de los riesgos generales como la seguridad cibernética y las preocupaciones financieras, junto con la satisfacción de las directrices y regulaciones de políticas públicas específicas. Los auditores internos del sector público a menudo recurren a fuentes como Wolters Kluwer, que proporciona recursos como seminarios web y otras ideas expertas para que pueda aprender lo que necesita hacer para fortalecer la auditoría interna como organización gubernamental.
Después de estos cinco consejos, puede contribuir en gran medida a crear una fuerte evaluación de riesgos de auditoría interna y un mejor proceso de auditoría en general. Incluso si parece que su organización no enfrenta muchos riesgos, realizar una auditoría basada en el riesgo puede ayudarlo a mantenerse al tanto de cualquier cambio en su nivel de riesgo. En lugar de ser sorprendidos, construir un plan de evaluación de riesgos de auditoría interna confiable puede ayudar a su organización a controlar el riesgo, sin embargo, eso toma forma.