Planificación de la Auditoría
Esta etapa tiene por objeto desarrollar un conocimiento preliminar de las áreas a auditar y las materias que se examinarán en detalle en las etapas de Evaluación y/o Ejecución. También incluye una identificación cabal de los procesos, riesgos y controles existentes para determinar cuáles son las materias de mayor interés para un examen en particular, así como conocer e identificar las necesidades de información de los responsables de los procesos a auditar.
La planificación del trabajo de auditoría deberá incluir la definición de las áreas que serán auditadas, la frecuencia y oportunidad de las revisiones y los equipos de trabajo con sus respectivos presupuestos de horas y costos. Esta planificación del trabajo de auditoría es una actividad que debe efectuarse anualmente, sin embargo, debe tenerse en consideración los siguientes aspectos:
- Debe definirse en primer lugar un plan en que se establezcan objetivos de revisión de largo plazo, esto debido al tamaño de la empresa y a la diversidad de operaciones que se realizan, lo cual haría imposible efectuar una revisión total en un solo año. Básicamente se requiere un plan base en que se definan las frecuencias y periodicidad en que se efectuarán las revisiones.
- La base para formular esta planificación es el análisis de los riesgos estratégicos que subyacen o enfrenta la Organización.
- La planificación para el año debe considerar tanto el marco de referencia que le dan los objetivos de revisión de largo plazo como la evolución de los negocios, prioridades de la administración y cambios en los riesgos en el ejercicio bajo examen.
- En el proceso de planificación deben intervenir principalmente los niveles superiores de la contraloría (Contralor, Jefe de Departamento, Supervisores y Asesor). Asimismo, deben considerarse los aportes que entreguen las directrices y lineamientos de la alta dirección y el aporte de otras gerencias relacionadas, tales como jefaturas de operaciones, riesgo, créditos.
- La planificación es un proceso continuo que no termina con la formulación de un plan. Debe darse debida consideración a los hechos o circunstancias futuras y sus efectos en la planificación del año.
Para llevar a cabo los aspectos anteriormente señalados, es preciso completar las siguientes etapas:
1. Conocimiento de Procesos Mayores (Mega Procesos) e Investigación Preliminar
El examen preliminar permite identificar cuáles son las áreas de un mayor interés en que orientaremos los esfuerzos de auditoría. Este examen debe comprender los aspectos relevantes del entorno económico, político y cultural pertinente a la Organización, así como las características más significativas de ella, como son: Objetivos de la Organización, Estrategias y Políticas, características de sus recursos, los proyectos futuros y la Cultura Organizacional. Un aspecto importante de esta fase, es la revisión general de riesgos y controles, sistemas y prácticas administrativas, que sirven de base para la definición de las áreas de riesgo.
Las áreas de riesgo se refieren a materias que son relevantes para el buen funcionamiento de la entidad y donde existen fundamentos para sostener que en ellas hay una alta probabilidad de encontrar fallas o que por su significancia podrían producir un impacto en la Organización. Al efectuar este proceso de selección pueden considerarse factores tales como los montos involucrados, los riesgos de auditoría previstos, la sensibilidad o impacto de la materia, los intereses de la administración y de la unidad auditada, etc.
La investigación preliminar considera los siguientes pasos:
- Recopilación de Información Preliminar
- Identificación de Áreas, Procesos y Evaluación de Riesgos Estratégicos
- Evaluación del Ambiente de Control
1.1 Recopilación de Información Preliminar
Consiste en reunir antecedentes que nos permitan conocer las distintas áreas a auditar en forma inicial y corresponde básicamente a la recopilación de Plan Estratégico de Negocios, Presupuestos e Informes de Gestión, Informes de Auditoría anteriores, Información de Sistemas productivos y de información, Papeles de trabajo de auditoría externas, Manuales de procedimientos, Organigrama, etc.
Toda la documentación recopilada se debe procesar y evaluar a objeto de obtener un conocimiento completo de todas las áreas a auditar, observando además, aquellas materias relevantes a considerar en la Auditoría. En esta fase se deberá lograr un entendimiento del ambiente de control e identificar los controles de alto nivel. El objetivo es entender la operación completa del área o negocio a auditar, dialogar con las diferentes gerencias involucradas a objeto de conocer los planes y proyectos de éstas, los cambios en los sistemas y cualquier otra materia que impacte sobre el control interno en funcionamiento. Se persigue en definitiva, identificar, actualizar y confirmar los factores de riesgo de cada área.
1.2 Identificación de Áreas, Procesos y Evaluación de Riesgos Estratégicos
Sobre la base de toda la información recopilada en las distintas actividades contempladas en las etapas anteriores, se deberán identificar los riesgos que se encuentran presentes y que pueden afectar el logro de los objetivos en la empresa.
Para ello, se deberá confeccionar una matriz, que permita identificar para cada proceso sus riesgos, a fin de proceder a cuantificarlos.
La confección de esta malla o matriz requerirá que se ejecuten las siguientes tareas:
- Descripción de cada riesgo a ser evaluado, identificando su relevancia y una evaluación preliminar.
- Cada riesgo debe ser evaluado en cuanto a su importancia o impacto (alto, medio y bajo) y la probabilidad de ocurrencia de eventos indeseados (alta, media, baja).
- Analizar la ponderación de cada uno de los elementos identificados.
- Definir una escala de puntuación, asociada a distintos niveles de riesgo.