Existen numerosas metodologías de evaluación de riesgos –informatizadas y no informatizadas– disponibles para el área de Auditoría Interna. Éstas varían desde las simples clasificaciones de riesgo alto, medio y bajo basadas en el juicio del Auditor, hasta los cálculos complejos y aparentemente científicos que suministran una clasificación numérica de riesgo. El Auditor Interno debe tener en cuenta el grado de complejidad y detalle apropiados para la organización auditada.
Todas las metodologías de evaluación de riesgos dependen de juicios subjetivos en algún momento del proceso (por ej., para asignar ponderaciones a los diversos parámetros). El área de Auditoría Interna debe identificar las decisiones subjetivas requeridas a fin de utilizar una metodología específica y considerar si estos juicios pueden emitirse y validarse con un grado de exactitud apropiado.
Al decidir cuál es la metodología de evaluación de riesgos más apropiada, el área de Auditoría Interna debe tener en cuenta:
- El tipo de información que debe recopilarse (algunos sistemas utilizan el efecto financiero como única medida – esto no siempre resulta adecuado para las auditorías de TI).
- El costo del software u otras licencias requeridas para utilizar la metodología.
- El grado de disponibilidad de la información requerida.
- La cantidad de información adicional que debe recopilarse antes de poder obtener una salida confiable, y el costo de recopilar dicha información (incluyendo el tiempo que debe dedicarse a esa tarea).
- Las opiniones de otros usuarios de la metodología y sus puntos de vista sobre su eficacia en la tarea de mejorar la eficiencia y/o efectividad de sus auditorías.
- La buena disposición de la gerencia para aceptar la metodología como medio para determinar el tipo y nivel de trabajo de auditoría a realizar.
No puede esperarse que una metodología de evaluación de riesgos determinada resulte apropiada en todas las situaciones. Las condiciones que inciden en el desarrollo de las auditorías pueden modificarse con el tiempo. Periódicamente, el área de Auditoría Interna debe realizar una nueva evaluación de la idoneidad de las metodologías de evaluación de riesgos seleccionadas.
No hay comentarios:
Publicar un comentario