Qué es un sistema de gestión de riesgos y por qué tenemos que implantarlo en nuestra firma de auditoría

El pasado jueves 6 de octubre de 2022 impartimos un curso sobre la gestión de riesgos en firmas de auditoría en base a los cambios normativos propiciados por el Reglamento de Auditoría y por la norma de gestión de calidad NGC1. La ponencia fue a cargo de D.Manuel Rejón y de un servidor, y tuvimos el placer de exponer por primera vez en España la novedad que el nuevo enfoque orientado a riesgos va a suponer en la actividad diaria de las firmas y despachos de auditoría.

Este enfoque ya ha sido adoptado por la mayoría de las normas ISO y, mas concretamente, la ISO9001-2015 ya se adaptó al enfoque orientado a riesgos en el año 2015. Esto obligó a todas las empresas certificadas con este sistema de gestión a modificar parte de sus sistema.

En el caso de las firmas de auditoría, es necesario implantar una gestión de riesgos que tenga en cuenta, tanto los riesgos de calidad descritos en la NIGC, como los originados por el incumplimiento de los requerimientos del RLAC en los artículos 66 y siguientes.

Reglamento de auditoría organizacion interna

Cortesía de M.Rejón

Fundamentalmente, lo que se pide a las firmas y despachos de auditoría es que integren en sus sistemas de calidad, un sistema de gestión de riesgos que identifique los riesgos que puedan hacer que se incumplan los objetivos de calidad y de organización interna, y que diseñen respuestas que los minimicen o anulen completamente.

El equipo de la suite de auditoría Gesia ha desarrollado un módulo nuevo que ha integrado en la herramienta audiQ para la gestión y control de calidad en despachos de auditoría. Además, se ha modificado completamente el master o modelo de manual de calidad para incorporar en él los requisitos de la nueva normativa reguladora.

Para el caso de la gestión de riesgos, hemos incorporado el siguiente procedimiento que permitirá dar el cumplimiento documental necesario para completar nuestro manual. Lógicamente, para realmente estar al tanto de los requerimientos en cuanto a la gestión de riesgos se refiere, será necesario realizar los pasos del proceso descrito y documentarlos adecuadamente.

—————————————————————————————–

PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS EN [LA FIRMA]

OBJETIVO

La valoración de riesgos es un proceso mediante el cual se identifican y analizan los riesgos de [LA FIRMA] y que pueden afectar a la consecución de los objetivos.

Para ello es necesario analizar las condiciones, circunstancias, acciones u omisiones que pueden afectar de forma adversa el logro de sus objetivos de calidad, teniendo en cuenta la naturaleza y circunstancias de la firma de auditoría y sus encargos, para poder identificar y valorar de los riesgos de calidad y de organización interna.

Identificar los riesgos de calidad, que tengan una posibilidad razonable de que ocurran y que, en caso de ocurrir, puedan tener un efecto significativo en el logro de uno o más objetivos de calidad.

Valorar los riesgos de calidad identificados para diseñar respuestas que anulen o minimicen su impacto.

POLÍTICA

Describir las políticas y procedimientos a seguir por [LA FIRMA] para conseguir los objetivos de calidad respecto la gestión de riesgos.

ALCANCE

El presente procedimiento es aplicable a todo el personal de [LA FIRMA] y es aplicable a:

– Riesgos de la organización interna: Riesgos que afecten a la actividad de auditoría (LAC art.28,66).
– Riesgos de gestión de la calidad: Riesgo de que no se cumpla con la norma aplicable y de que los informes que se emitan no sean adecuados a las circunstancias.

Para ello se usarán los procedimientos:

– Administrativos contables.
– Administrativos para identificación de riesgos: incluyendo entre estos la protección de los sistemas informáticos, tratamiento de datos personales y los necesarios para asegurar la continuidad y regularidad de las operaciones
– Del sistema de gestión y control de calidad para dar respuestas a los riesgos de calidad.

RESPONSABILIDADES

La responsabilidad variará en función del área a la que afecten los riesgos. Será necesario ir al procedimiento general del área o áreas a las que afecte el riesgo para identificar al responsable o responsables del diseño e implementación de la respuesta al mismo.

DESARROLLO

OBJETIVOS DE CALIDAD

Los objetivos de calidad están definidos para cada una de las áreas de este sistma de gestión y control de calidad en la sección ÁREAS. Además de la descripción del área, existe un campo donde se describen los objetivos de calidad de y de organización del área necesarios cumplir con la normativa de auditoría y para
conseguir la calidad necesaria en la realización de los encargos.

IDENTIFICACIÓN DE RIESGOS

Para la identificación de los riesgos que afectan a la organización, se realizará un DAFO o un método similar, mediante el cual se analizarán los factores externos e internos que podrían poner en riesgo la consecución de los objetivos establecidos para cada una de las áreas.

Estos riesgos se clasificarán atendiendo si son de gestión de calidad o si son de organización interna.

VALORACIÓN

Una vez identificados, éstos se valorarán atendiendo a dos ejes: Impacto o gravedad y Probabilidad o frecuencia.

La graduación del Impacto y Probabilidad para cada escenario de riesgo se asigna en una escala de 1 a 5, de acuerdo con los siguientes criterios para cada una de las variables consideradas:

Impacto o gravedad

– Insignificante: No tiene un efecto significativo en los resultados anuales
– Menor: si las consecuencias obligan a modificar algunos medios o procesos causando perturbaciones económicas asumibles en los resultados anuales.
– Medio: si las pérdidas originan dificultades considerables en el corto plazo obligando a modificar algunos objetivos con repercusión en los resultados anuales.
– Grave: si su severidad es tal en los resultados que obliga a reconsiderar no solo el corto plazo, sino todos los planes de futuro de la organización.
– Catastrófica: si amenazan la propia supervivencia de la organización.

Probabilidad o frecuencia

– Muy baja: No existe probabilidad de que pueda acontecer algo.
– Baja: si sucede de forma extraordinaria (una vez en la existencia de la organización).
– Media: si acontece rara vez (menos de una vez cada diez años).
– Alta: si tiene lugar alguna vez en un periodo de diez años.
– Muy alta: si ocurre todos los años. Mapa de calor

La multiplicación de la probabilidad por el impacto está asociada a una paleta de colores que varía desde verde claro hasta rojo, siendo el primero el riesgo mas bajo y siendo el último el riesgo mas alto.

La representación gráfica del impacto potencial y la probabilidad de cada riesgo hace que la importancia de la gestión de riesgos sea más tangible para los empleados, que no tienen una formación específica en gestión de riesgos.

Se consideran como significativos aquellos riesgos que estén fuera de la zona verde o zona segura.

En la sección de gestión de riesgos se deberá reflejar también quién ha realizado la valoración y en qué fecha.

RESPUESTAS

A continuación [LA FIRMA] establecerá un plan de acción o respuesta para responder a uno o varios riesgos de calidad. Estas respuestas pueden ser de varios tipos:

– Políticas o procedimientos
– Planes de acción
– Acciones correctivas
– Establecimiento de indicadores de calidad
– SEGUIMIENTO Y EVALUACIÓN

Al menos una vez al año, se comprobará la efectividad de las respuestas y medidas adoptadas y se evaluarán los riesgos para comprobar si dichas respuestas han contribuido a anular o minimizar los riesgos.

————————————————————————–

David Uyarra

Socio de Esys consultores informáticos y responsable de calidad operacional de Audinfor, S.L.

audiQ.es

 

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.