¿Crear un plan de auditoría basado en riesgos, es un mito?

La idea de que los planes de auditoría deben basarse en riesgos es tan antigua y ampliamente aceptada que no le damos ninguna segunda consideración. Y sin embargo, en mis 16 años de experiencia en riesgos en 4 continentes, he visto cientos de planes de auditoría y puedo asegurarte que ninguno de ellos estaba basado en riesgos. Eran basadas en opiniones y sentimientos, algunas incluso tenían colores y palabras cualitativas que describían la exposición al riesgo percibido, algunas estaban basadas en la materialidad y, sin embargo, ninguna era basada en el riesgo porque estaban desconectadas del perfil de riesgo organizacional subyacente.

Si eres un auditor interno y estás seguro de que tu plan de auditoría está basado en riesgos, desplázate hasta el final del artículo, he añadido una lista de verificación rápida que te hará cambiar de opinión 🙂

El problema: la mayor mentira que la IIA ha vendido a las empresas es que los auditores entienden el riesgo

La IIA incluso publicó una guía sobre cómo crear un plan de auditoría basado en riesgos. Desarrollo del Plan de Auditoría Interna Basado en Riesgos, 2020Revisé cuidadosamente la directriz cuando salió y nuevamente hoy y puedo garantizar que, cualquiera que siga esta mejor práctica, no tiene un plan de auditoría basado en riesgos, el 87% del tiempo.

En línea con el principio del Código de Ética de objetividad y la Norma 1100 – Independencia y Objetividad, los auditores internos deben realizar su propio trabajo para validar que todos los riesgos clave hayan sido documentados y que la importancia relativa de los riesgos esté reflejada con precisión. Desarrollo del Plan de Auditoría Interna Basado en Riesgos, 2020

Creo que esto es la ironía en su máxima expresión, volveré a los principios del Código de Ética un poco más adelante en el artículo.

Las evaluaciones de riesgos suelen incluir metodologías tanto cuantitativas como cualitativas. Una amplia selección de software está disponible para ayudar a la actividad de auditoría interna a realizar evaluaciones de riesgos que resultan en datos tanto cuantitativos como cualitativos. Desarrollo del Plan de Auditoría Interna Basado en Riesgos, 2020

Bueno, solo conozco un software que convierte registros de riesgos cualitativos en cuantitativos y utiliza la teoría de la utilidad para cuantificar y comparar adecuadamente los riesgos financieros y no financieros. Perspectiva del Arquero.

En sus evaluaciones de riesgos, los auditores internos deben estimar tanto el riesgo inherente — el riesgo que existe si no hubiera controles en marcha — como el riesgo residual. Desarrollo del Plan de Auditoría Interna Basado en Riesgos, 2020

Está demasiado gracioso. Tengo un artículo completo sobre por qué esto es un ejemplo típico de tonterías cuando los auditores crean artificialmente un concepto completamente nuevo para ajustarse a su agenda y no sirven para ningún propósito práctico en los negocios. Si sabes que los auditores son los únicos beneficiarios de toda la conversación inherente/residual, hay algo seriamente mal.  La mejor alternativa a los conceptos de riesgo "inherente" y "residual".

El CAE o los auditores internos asignados deben documentar las razones de su determinación del riesgo residual. Esta justificación respalda la opinión de la auditoría interna sobre las prioridades de riesgo. Desarrollo del Plan de Auditoría Interna Basado en Riesgos, 2020

Esta es una de las muchas razones por las que el riesgo priorizado derivado de dicho enfoque no tiene nada que ver con la exposición real al riesgo que enfrenta la empresa y en lo que los auditores deberían haberse centrado todo este tiempo.

Los resultados de la evaluación de riesgos con niveles de riesgo para cada unidad auditada pueden representarse gráficamente en un mapa de calor u otro gráfico similar para ayudar a mostrar la clasificación de prioridades. Los mapas de calor son especialmente útiles cuando ciertos criterios tienen un peso mayor que otros y en presentaciones visuales para la junta y la alta dirección.

Ok, esto es todo lo que realmente necesitas saber sobre el nivel de competencia de la IIA cuando se trata de gestión de riesgos. Se ha demostrado científicamente que los mapas de calor despriorizan los riesgos y son "peores que inútiles" Déjame dejar esto muy claro, la IIA está recomendando la astrología y los horóscopos en sus directrices oficiales. Seguramente, eso es una violación directa de los principios del Código de Ética. La última vez que lo comprobé, promover la pseudociencia y la astrología bajo la bandera de la independencia no es una buena idea.

Los CAEs deben reunirse con la alta dirección para revisar la evaluación de la auditoría interna, garantizar la exhaustividad y el entendimiento mutuo, y discutir las razones de cualquier diferencia significativa en las percepciones o calificaciones de riesgo.

Está bien, eso es solo una esperanza. ¿Cómo haces para que un contador compare notas con un cirujano? Eso es solo una analogía, una ilustración. El punto que estoy haciendo es que los auditores internos no tienen lo necesario. gestión de riesgos competencias para entender cómo se calcula la exposición al riesgo, cómo la incertidumbre afecta las decisiones u objetivos, cómo se correlacionan los riesgos, por qué cVaR debería usarse para algunos riesgos en lugar de VaR y qué papel juega el intervalo de confianza en las evaluaciones de riesgo y, por último, cómo no existe un enfoque de alcance empresarial para la evaluación de riesgos, cada riesgo tiene su propio modelo de riesgo y la agregación de riesgos está lejos de ser trivial.

Entonces, dime, ¿por qué la gerencia querría reunirse y tomar en serio a los auditores que vienen y hablan sobre riesgos, porque aparentemente necesitan ser independientes al planificar las auditorías? ¿Escucharías la opinión de un auditor sobre cirugía cardíaca o vacunación? La mayor mentira que la IIA ha vendido a las empresas es que los auditores entienden. gestión de riesgosLa metodología proporcionada en el Apéndice D de la Desarrollo del Plan de Auditoría Interna Basado en Riesgos, 2020 es una vergüenza absoluta, el Apéndice E no es más que negligencia.

Los siguientes libros figuran como referencias, así que quería agradecer personalmente a estos señores por contribuir a la destrucción de la auditoría y gestión de riesgos valor en todo el mundo:

• Wright, Rick A., Jr. Guía del Auditor Interno para la Evaluación de Riesgos 2ª edición Lake Mary, FL: Fundación de Auditoría Interna. 2018. https://bookstore.theiia.org/the-internal-auditors-guide-to-risk-assessment-2nd-edition.
• Urton L. Anderson, Michael J. Head, Sridhar Ramamoorti, Cris Riddle, Mark Salamasick y Paul J. Sobel. Auditoría interna: servicios de aseguramiento y asesoramiento, cuarta edición Lake Mary, FL: Fundación de Auditoría Interna. 2017. https://bookstore.theiia.org/internal-auditing-assurance-advisory-services-fourth-edition-2.

La solución: no replicar lo que los profesionales ya han hecho

Mi respuesta sencilla es usar cualquier información de riesgo que exista dentro del negocio. Los accionistas mayoritarios, los propietarios de riesgos y la segunda línea saben exactamente cuáles son los riesgos.

Sin embargo, a pesar de la "mejor práctica" de IIA los auditores deben comenzar con la segunda líneae. Pero, ¿qué pasa si los auditores no confían en la metodología de la segunda línea? Luego audita la segunda línea hasta que confíes en la metodología. Pero no te engañes; a menos que tengas matemáticos en el equipo de auditoría, no tienes ninguna posibilidad de auditar. gestión de riesgos la metodología que está utilizando el equipo de riesgos Externaliza la auditoría. ¿Qué pasa si el equipo de riesgos no está realizando un análisis de riesgos cuantitativo? Bueno, esa es una conclusión de auditoría fácil de detectar. Sea lo que sea que esté haciendo el equipo de riesgos, no es gestión de riesgos, deberían mejorar la metodología o ser despedidos. Los buenos gestores de riesgos pueden determinar bastante rápido cómo se compara el cVaR de riesgo de mercado con el cVaR de riesgo operativo y si el ciber o el clima son tan grandes como todos hacen parecer. Legal, HSE, seguridad, TI tienen mucha información sobre riesgos significativos en sus áreas de responsabilidad, pero lo que es más importante, saben exactamente dónde están las áreas de control débil.

El segundo paso es hablar con los responsables de riesgo. Justo como sugiere la IIA. El problema es que, aunque los responsables de riesgos conocen sus riesgos mejor que nadie, también suelen estar motivados a ocultarlos y mantenerlos en secreto. El IIA olvida mencionar que entrevistar a los responsables de riesgos probablemente no produzca una representación significativa y honesta de la exposición real al riesgo, porque los responsables de riesgos son inteligentes y no apostarán en contra de sus propias bonificaciones. Así auditar el proceso de gestión del rendimiento y la metodología para calcular los KPI y los bonos antes de que realmente confíes en la opinión del responsable del riesgo.

El tercer paso es hablar con los accionistas. Es más fácil en las empresas privadas, donde los accionistas indican exactamente a los auditores dónde mirar. En público, hay muchos accionistas. Y sin embargo, no entiendo por qué las empresas no lo hacen utilizando el voto por poder en las Juntas Generales de Accionistas para preguntar a los accionistas sobre sus áreas de enfoque para el equipo de auditoría y los riesgos clave que los accionistas percibenLos inversores institucionales también deberían estar involucrados, ya que a menudo tienen una visión sólida sobre las prioridades de la auditoría. ¿No quería la auditoría convertirse en verdaderamente independiente?Bueno, aquí está la oportunidad.

Involucrar a expertos externos para el escaneo del horizonte también es una buena fuente de información sobre riesgos para el equipo de auditoría¿No sería genial si el equipo de riesgos y auditoría organizaran juntos un taller de exploración de horizontes o de eliminación de valor, o entrevistas con expertos externos?

La conclusión es que los auditores no son competentes para realizar evaluaciones de riesgos, por lo que no tienen más opción que confiar en las evaluaciones de riesgos de la segunda línea. Muchas evaluaciones de riesgo de segunda línea también son malas, por lo que los auditores deben auditar la metodología de riesgo de la segunda línea y ayudar a la empresa a corregirla, si la segunda línea todavía está utilizando horóscopos cualitativos. Cuando algo está roto, los auditores recomiendan arreglarlo, no crear una réplica peor de ello.

¿Qué más? ¿Qué olvidé?

– – – – – – – – – – – –

Lista de verificación para auditores

• ¿Cómo se compara su cVaR de mercado con el cVaR de crédito y el cVaR operativo?
• ¿Qué riesgos contribuyen más a la probabilidad de incumplimiento de convenios / riesgo de liquidez?
• ¿Los riesgos están dentro de los límites establecidos? ¿Se han activado recientemente los stops de pérdida? ¿Cuál es la previsión frente a los límites clave?
• ¿Qué riesgos operativos tienen la mayor exposición al riesgo?
• ¿Qué riesgos tuvieron cambios significativos en las pérdidas históricas?
• ¿Qué nivel de confianza se utiliza en los modelos de riesgo en toda la organización?
• ¿Qué riesgos significativos podrían afectar drásticamente las previsiones de EBITDA en los próximos 1, 3 y 5 años?
• ¿Qué tan concentrados están los proyectos de inversión?
• ¿Qué es el valor presente neto (VPN) de la empresa/proyecto con riesgo (NPV@risk)?

Si encontraste estas preguntas confusas, probablemente no sea una buena idea realizar una evaluación de riesgos sin la presencia de profesionales en riesgos.