El mapa de aseguramiento es un escáner de la organización, el cual revela la interrelación de la compañía desde sus departamentos, se identifican los procesos, se evalúa el cumplimiento de los objetivos de la compañía y se desarrolla la identificación y asociación de los riesgos.
Para la auditoría interna la realización del mapa de aseguramiento implica cotejar la cobertura del mismo frente a los riesgos clave a los que se encuentra expuesta en la organización. Este proceso permite a una empresa identificar y comprender las lagunas existentes en el proceso de gestión de riesgos y ofrece a las partes interesadas confianza de que los riesgos están siendo gestionados y comunicados, y de que se cumplen las obligaciones legales y reglamentarias a las que se encuentra sometida la compañía.
El mapa estratégico beneficia a la organización, principalmente en la implementación efectiva de los planes de acción y seguimiento de procesos de mejoramiento, que asegura la información sobre los riesgos a los cuales se enfrenta, y cómo están siendo tratados estos riesgos, de tal manera que dicha información se encuentre disponible para la alta dirección. La realización del mapa se lleva a cabo en toda la organización para poder comprender en dónde residen los roles y responsabilidades de riesgos y aseguramiento.
El objetivo es asegurar que existe un proceso integral de riesgos y aseguramiento carente de posibles lagunas y sin duplicidad de esfuerzos. De esta manera, el propósito último de un mapa de aseguramiento es facilitar al máximo órgano directivo y a la gerencia, primero, la situación, a una fecha determinada, del nivel de aseguramiento global en relación a los principales riesgos que pueden impactar en la compañía; segundo, identificar la función que proporciona el aseguramiento; y, tercero, evaluar los riesgos por categorías en función del grado de aseguramiento proporcionado.
El departamento de auditoría interna, entre sus demás funciones, se encuentra facultado para desarrollar un reporte anual con la pretensión de ser socializado con el máximo órgano directivo de la organización y en general con el equipo ejecutivo.
Dicho informe puede presentar la estructura de proveedores de aseguramiento de la organización, la cobertura provista, las áreas de mayores riesgos, y las áreas donde existen riesgos residuales frente a los cuales no se han implementado prácticas de mitigación o prevención. En este sentido, es de señalar que el reporte generalmente nombrado como mapa de aseguramiento se encuentra bajo la responsabilidad del departamento de auditoría interna.
Para la elaboración del mapa estratégico la auditoría interna debe tener en cuenta una estructura que consta básicamente de 4 fases:
Se deben identificar los procesos o actividades relevantes para la compañía para garantizar la integridad del mapa de aseguramiento, a fin de certificar la integridad de este. Es importante elaborar en primera instancia un mapa de procesos; lo anterior con el propósito de identificar para cada uno de los procesos el responsable de la actividad y la función de aseguramiento que ejerce el segundo nivel de control en cada una de estas.
En cada uno de los procesos previamente señalados en la fase anterior se deben asociar los riesgos potenciales que se pueden desprender. El propósito es asociar los principales riesgos a los que se enfrenta la empresa.
Se deben determinar las funciones que potencializan los riesgos; esto con el propósito de evaluar el nivel de aseguramiento de cada función respecto al riesgo bajo su supervisión.
El objetivo es asociar los principales riesgos a los que se enfrenta la sociedad, ya identificados en el modelo de riesgos, a sus correspondientes procesos. Es importante señalar que no todos los procesos tienen los mismos riesgos, ni todos los riesgos están presentes en todos los procesos.
Para culminar con éxito la fase es relevante valorar individualmente cada riesgo asociado a cada proceso; sumado a esto se deben clasificar los riesgos inherentes y el control existente sobre ellos.
Definir los planes de intervención que pueden ser implementados por las diferentes áreas a partir del conocimiento de los riesgos, especialmente por el área de control interno a fin de desarrollar planes de mitigación y prevención que disminuyan la potencialidad de los riesgos identificados. Esta fase se debe enfocar en los riesgos de mayor potencialidad y debe constar de: planes de acción, plazo de ejecución y responsable.
Con todo lo anterior se conforma el mapa de aseguramiento, en el cual se interrelacionan los procesos, funciones, responsables y riesgos potenciales.