EL ESCEPTICISMO TAMBIÉN

Como bien conocemos, el Marco Internacional para la Práctica Profesional de la Auditoría Interna es el documento que recoge las Normas que debemos cumplir los profesionales que nos dedicamos a la función de auditoría interna, así como los consejos que The Institute of Internal Auditors entiende oportuno compartir a fin de que nos familiaricemos con las mejores prácticas al uso dentro del ámbito de la actividad auditora. Todo ello sin olvidar el Código de Ética que debe guiar nuestras funciones  para poder conseguir la debida confianza de las distintas partes interesadas respecto de  nuestro trabajo.

Dicho Código de Ética afecta individualmente a los profesionales que desarrollamos trabajos de auditoría interna, así como a las organizaciones que proveen este tipo de servicios . Motivo por el que, al efectuar las evaluaciones de calidad de las Unidades de Auditoría Interna, no solo se verifica que existe el Código, sino que el mismo esté asumido formal y expresamente por los diferentes miembros que conforman, o colaboran, con dichas Unidades.

Sus principios y reglas de conducta del Código son cuatro: Integridad, Objetividad, Confidencialidad y Competencia,  en base a los cuales debemos ajustar nuestra actividad, pero sin olvidar que estos requisitos no son los únicos que hemos de respetar, ya que existen  otros requerimientos para ejercer adecuadamente nuestra función, como por ejemplo: escepticismo profesional, inexistencia de conflictos de intereses con las partes auditadas, empatía, etcétera.

Con respecto al escepticismo profesional, podemos señalar que es un concepto que no se cita en ningún momento en nuestro Marco Profesional, por lo que podríamos entender que el mismo no es requerido para ejercer nuestra actividad, lo cual consideráramos personalmente que no se ajusta a la realidad, puesto que si partimos de la definición que se recoge en el Diccionario de la Real Academia Española, hemos de entenderlo como: Desconfianza o duda de la verdad o eficacia de algo. Posicionamiento que es una premisa básica que debemos emplear los auditores al ejercer la función, sobre todo si estamos actuando en entornos de fraudes, ya que nuestra eficacia se pondrá de manifiesto si vemos la “botella medio vacía, en vez de medio llena”.

En este sentido el PCAOB, que como sabemos son las siglas en inglés de Public Company Accounting Oversight Board, corporación sin fines de lucro creada por la Ley Sarbanes-Oxley de 2002 para supervisar la calidad de  auditorías externas, define el escepticismo profesional como una ACTITUD que requiere una mente inquisitiva y una evaluación crítica de las evidencias de auditoría, ya que ello resulta esencial para el desempeño de cada auditoría y la consecución de auditorías efectivas.

En palabras de su Presidente, Martin Baumann, la falta de aplicación de un nivel adecuado de escepticismo profesional puede impedir a los auditores  la obtención de pruebas adecuadas para apoyar sus opiniones, pero también carencias de escepticismo  pueden impedir a los auditores  la identificación de errores materiales en los estados financieros.

Si bien el escepticismo profesional es importante en todos los aspectos de la auditoría, es particularmente importante en áreas que incluyen la valoración administrativa significativa, especialmente en las zonas con gran incertidumbre en la medición.

Recomendaciones que entendemos trasladables a la actividad de los auditores internos, debiendo asumirlas íntegramente aunque no estemos actuando en el ámbito de las verificaciones del contenido de los estados financieros, como es el caso de los auditores externos, pues no debemos ignorar que frecuentemente, o al menos posiblemente, en determinadas circunstancias los responsables de los entes auditables no compartirán con los auditores toda la información que rodea al proceso o actividad que estemos supervisando, lo que podría conducir a la obtener conclusiones inadecuadas o valoraciones no ajustadas a la realidad, lo que impediría sugerir recomendaciones verdaderamente eficaces.

Adoptar una postura escéptica, no significa que mantengamos un comportamiento inquisitorial, que no es deseable, y no es a lo que nos estamos refiriendo, sino que lo que esta pretende es que profundicemos en la razonabilidad y veracidad de los comentarios y argumentos recibidos, de forma que podamos concluir acertadamente en las causas reales que justifique los debilidades de los procesos auditados. Lo cual resultará imprescindible en la fase de determinar las oportunidades de mejora que podamos aportar a las organizaciones.

Esperando que se compartan estas opiniones, dadas las fechas en las que nos encontramos, aprovecharé para desear unas felices fiestas navideñas a todos aquellos amigos que tengan la curiosidad de leer estas líneas. Un saludo.

Jesús Aisa Díez

Madrid, 21 de diciembre de 2013

Ver, oir y callar.

Un aspecto relevante de la actividad de las Auditorías Internas, es el correspondiente a la concreción del Plan de Auditoría a proponer a la aprobación de la alta dirección y al Consejo, ya que la eficacia de la función auditora vendrá condicionada por una adecuada selección de los entes auditables, puesto que, si estos no fuesen los más apropiados, estaremos distrayendo recursos realizando trabajos que no vienen avalados por las prioridades de atención que deben marcar nuestra acción. Motivo por el que, desde las Normas del Institute of International Auditors, se insiste en que: “El director de auditoría interna debe establecer un plan basado en riesgos, a fin de  determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización.” 

Hasta aquí creo que existirá un alto consenso entre todos los auditores que tengan a bien leer estos comentarios, ya que parece que es lo adecuado. Pero aceptando lo señalado por la Norma, podríamos preguntarnos seguidamente, ¿de qué forma el director de auditoría tiene conocimiento las metas de la organización? .

Obviamente hay diversos modelos, uno de ellos sería que el responsable de auditoría reciba copia de las actas de los Comités de Dirección en donde se debaten los temas que afectan al día a día de la empresa, y donde adicionalmente se deciden los objetivos actualizados de la misma, una vez identificados los riesgos que la amenacen.

Otra forma es que, si el superior jerárquico del director de auditoría asiste a dichos Comités de Dirección, que comparta con este los temas tratados tan pronto disponga de tiempo para ello.

Otra alternativa es que el propio director de auditoría interna asista a las reuniones del Comité de Dirección, lo cual es, desde nuestra perspectiva, la mejor de  las soluciones posibles, pero marcando una línea roja que no debería sobrepasarse, como más adelante veremos.

La presencia del director de auditoría en los Comités de Dirección, aparte de ser, probablemente,  la mejor solución para que este conozca con inmediatez y total objetividad los temas tratados, también cubren otros aspectos relevantes destacados por el propio Institute of International Auditors, como son, por ejemplo, el que el responsable de auditoría sea considerado como un miembro clave del equipo directivo, o que este sienta que tiene un “asiento en la mesa” en la que se discute la estrategia de la organización, tal y como se incluye en el apéndice C-1 correspondiente al modelo de entrevista con el Director de Auditoría Interna correspondiente a la nueva versión de las herramientas a emplear en la evaluaciones externas de la calidad de la función de auditoría (apartados 7.2 y 11.1).

Por consiguiente, a fin de que pueda evidenciarse por la organización la relevancia funcional del director de auditoría, así como para cubrir su propia autoestima, su presencia en el Comité de Dirección parece también aconsejable. Pero tenemos una duda, cual debería ser su rol en dichos órganos de debate y decisión.

En nuestra opinión entendemos que su presencia debe ser sin voz y sin voto, solo como oyente y testigo de los debates que se produzcan, ya que, de no ser así, podría producirse un conflicto de intereses que condicionaría su posterior independencia y objetividad. 

Esta neutralidad en los debates no debemos considerarla como indiferencia del responsable de auditoría a los temas y decisiones que puedan producirse en el seno de dichos Comités, puesto que su mutismo no debe considerarse como asentimiento de lo que se pueda aprobar, ya que si esto, en su opinión, no es lo que más apropiado, su actuación debería ser la de comentar sus conclusiones con su superior jerárquico y/o funcional, tal y como recoge la Norma 2600, a fin de que estos adopten la decisiones que consideren pertinentes.

En resumen, nuestra opinión es que el director de auditoría debe estar presente en las reuniones del Comité de Dirección, a fin de que pueda conocer los distintos puntos de vista de los responsables de la gestión presentes en el mismo, así como sus conclusiones, pero sin intervenir o influir en la decisión gerencial que se adopte, ya que eso escapa a nuestra función, y además condicionaría y comprometería la objetividad de la función auditora. Por lo que la postura de nuestra amiga Mafalda no responde a lo que estamos defendiendo, pues sí debemos ver y oír, pero solo debemos limitar nuestra capacidad de hablar.  

Jesús Aisa Díez

29 de noviembre de 2013

¿Se cumple la propiedad conmutativa en la Norma 2020?. Comunicación y aprobación.

Un aspecto que suele ser frecuentemente debatido con los responsables de las Unidades de Auditoría Interna que se someten a evaluaciones externas de calidad, es la forma en que se debe interpretar la Norma 2020, ya que, como sabemos esta nos indica que: El Director de Auditoría Interna debe comunicar los planes y requerimientos de la actividad de auditoría interna, incluyendo los cambios provisionales significativos, a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director de auditoría interna también debe comunicar el impacto de cualquier limitación de recursos. Surgiendo la duda de si la secuencia de las actuaciones recogidas en el literal de la Norma conlleva a que la revisión corresponde a la alta dirección y su aprobación al Consejo, o si ambas actuaciones le corresponde simultáneamente a ambos, o es suficiente que lo realice la alta dirección o el Consejo, indistintamente.

Aunque en alguna ocasiones la descripción de las Normas puede resultar de complicada interpretación, ya que al usar la versión en español, podemos estar “sufriendo” los defectos de una no demasiado correcta traducción; en el caso que no ocupa no sucede esa situación, pues la norma no solo describe con claridad la responsabilidad de ambos estamentos, alta dirección y Consejo, en la aprobación de los Planes de Auditoría, sino que, adicionalmente, la secuencia de su participación en el proceso debe ser la que se recoge en su enunciado: primero la alta dirección y después el Consejo.

Pero veamos porque parece ser que me siento tan seguro de ello. En primer lugar porque la decisión final de las actuaciones a realizar por Auditoría Interna no se circunscribe exclusivamente a lo que el Director de Auditoría finalmente opine, sino que este debe considerar las inquietudes de todas las partes interesadas, pero fundamentalmente las de la alta dirección y el Consejo. Por ello, el que tanto la alta dirección como el Consejo puedan opinar sobre el contenido de los Planes, no hace más que facultar a estos a que propongan la realización de aquellos trabajos que consideren necesarios para una mejor supervisión del Control interno de la Organización.

Hasta aquí creo que podemos coincidir en que tanto la alta dirección como el Consejo pueden, y deben, aportar sus opiniones sobre la suficiencia de la actividad de auditoría recogida en la propuesta de Plan, adecuándolo y ampliándolo a lo que se estime más conveniente.

Pero aún nos quedaría por justificar la bondad del orden (primero la alta dirección y en segundo lugar el Consejo). La razón de ello la estimo también adecuada por varios motivos.

Supongamos que al presentar el Director de Auditoría su propuesta de Plan anual a la alta dirección, ésta considera que los recursos precisos desbordan los medios que está dispuesta a ofrecer a la Unidad de Auditoría, exigiendo la eliminación de varios trabajos. Obviamente el responsable de Auditoría tomaría nota y actuaría en consecuencia, recortando el alcance del Plan, pero dejando evidencia en el acta donde se tomó dicha decisión de las causas que lo propiciaron.

Seguidamente el Director de Auditoría presentaría el Plan recortado por la alta dirección, a la correspondiente posterior aprobación del Consejo, el cual, como jefe funcional de Auditoría y responsable de la supervisión de su actividad, deberá valorar si comparte la solicitud de reducción del alcance del Plan realizada por la alta dirección, o si discrepa de ella, en cuyo caso estaríamos ante una cuestión que debe resolverse entre ambos estamentos. En cualquier caso, lo que finalmente se decida nos conducirá a una responsabilidad compartida entre todas las partes intervinientes en el conflicto (dirección de auditoría interna, alta dirección y Consejo), asumiendo cada una de ellas las responsabilidades que puedan derivarse de sus respectivos planteamientos, según acontezcan los hechos en los próximos meses.

Por consiguiente, la opinión y aprobación de los Planes de Auditoría por la alta dirección y el Consejo, es condición sine qua non para dar transparencia a la responsabilidad final del contenido de  los Planes, o lo que es lo mismo a los medios de los que disponen las Auditorías internas, que aunque somos conscientes de que no pueden ser ilimitados, tampoco deben ser insuficientes para atender las necesidades de supervisión que se entiendan precisas. Por todo ello las Normas del Instituto de Auditores Internos reitera la necesidad de nuestra dependencia funcional del Consejo, ya que es quien nos puede apoyar y proteger ante posturas que supongan imposiciones o censuras de la gerencia a nuestros planteamientos objetivamente soportados, lo que requiere que siempre podamos acudir, o recurrir, al Consejo, como salvaguarda de nuestra función. Motivo por el que en este proceso no es válida la propiedad conmutativa, ya que el orden de los factores si afectaría al resultado.

Jesús Aisa Díez

21 de noviembre de 2013

Referencia a un modelo de auditoría óptimo

Por mis años de actividad, y responsabilidades, en la Unidad Corporativa de una gran multinacional española del sector de las telecomunicaciones, he tenido la oportunidad de conocer sus fortalezas y,  porque no decirlo, también sus oportunidades de mejora, las cuales fuimos, en la medida de lo posible, implementándolas según tuvimos oportunidad de ello.

Respecto de las fortalezas, creo que una de ellas es su estructura funcional, en la que se incluyen tres Unidades independientes: (i) la Auditoría Interna, (ii) la Inspección y (iii) la  Intervención. Con lo que su ámbito de actuación integral, como más adelante veremos, incide en todas las áreas que actualmente son identificadas como relevantes, tales como la lucha contra los fraudes, aunque este sea uno de los capítulos que más le está costando al  Institute of Internal Auditors reconocer como aspecto que no se escapan del alcance de las Auditorías Internas, pues basta recordar que, aún hoy, en su Norma 1210. A2 señala que: “los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude”.(Texto que entra en contradicción con indicado en la N 1210.A3, referida a los riesgos y controles claves en tecnología de la información, cuando solo cita que: no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información. Nadie es perfecto, y el IAI tampoco).

En el ámbito de la actividad auditora respecto al fraude, creo oportuno fijar nuestra atención en algunos aspectos que nos vienen a demostrar la innegable “responsabilidad” de los equipos de auditoría interna en la supervisión de este aspecto básico del control interno, como por ejemplo cuando el propio IAI  nos indica, como objetivos de la función auditora,  la evaluación de la eficacia de los procesos de gestión de riesgos y controles, relativos a la protección de activos, o lo que es lo mismo su integridad patrimonial, es decir la lucha contra los fraudes. En este sentido la actualización reciente de COSO I, incluye: como principio nº 8, el correspondiente a que: las organizaciones deben considerar la posibilidad de fraude en su evaluación de riesgos para el logro de sus objetivos.   

Pero volvamos a la estructura de la compañía a la que nos referimos, y aclaremos las funciones a desempeñar por las distintas unidades que lo componen.

 La unidad de Auditoría Interna asume la actividad habitual de la actividad auditora, por lo que su misión es la supervisión de los procesos, a fin de poder garantizar razonablemente: su eficiencia y eficacia, el cumplimiento de las leyes y normas que sean de aplicación, así como la fiabilidad de la información generada/distribuida.

Mientras que la denominada Inspección, que es lo que últimamente y aplicando un calificativo anglosajón, como prueba de su utilidad, se denomina forensic audit, la cual se ocupa de la investigación de los hechos fraudulentos, tanto en forma preventiva, como de forma correctiva. En forma coloquial podemos decir que las Unidades de Auditoría se ocupan de los “usos”, mientras que las de Inspección se dedican a los “abusos”.Como ejemplo de lo que subyace en lo que acabamos de decir, podemos señalar que Auditoría se dedica a la supervisión, por ejemplo, del proceso de compras en genérico, intentando opinar sobre él para mejorar su eficacia y eficiencia, mientras que la inspección se ocuparía de investigar lo que ha podido ocurrir en un determinado proceso de compras donde se han evidenciado irregularidades, identificando las causas y los responsables de los hechos acontecidos.

Por último nos quedaría la Intervención, la cual, en términos iberoamericanos, la podríamos identificar con “contraloría”, ya que es aquella que, por la relevancia de determinados controles, los mismos son realizados por la propia Unidad de Intervención, tales, como, por ejemplo, las firmas mancomunadas en la ordenación de pagos, en los que los especialistas de Auditoría que se encargan de la Intervención, asumen esta segregación de funciones, no progresando ningún compromiso de pago, lo pida quien lo pida, si el interventor no da su conformidad a la oportunidad del mismo, tanto en tiempo como en forma. Entre ellos las nóminas y suplidos de los empleados de la Organización.

Una característica de este modelo, aparte del de su probada eficacia, es que las tres áreas están interrelacionadas, puesto que Auditoría, si observa debilidades de control en algún proceso, se lo trasladaría a la de Inspección para que indague si, aprovechándose de esa circunstancia, se hubiesen producido fraudes. En sentido contrario, si Inspección detectase  fallos en algún proceso que posibilitasen la ocurrencia de fraudes, esta incidencia se pondría en conocimiento de Auditoría para que analizase las oportunidades de mejora del citado proceso. Por último el área de intervención, al ser un control operativo existente en determinados procesos, también será susceptible de ser auditado/ inspeccionado; lo mismo que las áreas de auditoría e inspección son “intervenidas” en todos los documentos generadores de desembolsos generados por dichas unidades.

El conjunto de las actividades de estas tres áreas, todas ellas dirigidas y coordinadas por el Director Ejecutivo de Auditoría, creo que aporta un plus de eficacia que entiendo conveniente recomendar, aunque para ello debamos tener especialistas en cada una de ellas, ya que las técnicas aplicadas no son idénticas, e incluso pueden diferir en algunos  aspectos, como sucede, por ejemplo, en la distribución de los informes de la Auditoría y de la Inspección, ya que los de esta última, dado su carácter reservado, deben tener una distribución restringida y selectiva. 

Espero que, al menos, con estas líneas haya podido abrir una vía de debate sobre el tema. Si fuese así me alegraría.

Jesús Aisa Díez

4 de Noviembre de 2013

¿COSO III, cuál es su alcance?

Este pasado mes de mayo, después de varios años de preparación, ha sido publicado el Marco sobre Control Interno actualizado, pasando a identificarse de forma coloquial como COSO III. Dando así continuidad a la saga de los COSO´s, iniciada en 1992 con el Marco ahora actualizado (COSO I), y posteriormente ampliada con el Enterprice Risk Management (ERM), año 2004, o COSO II.

Desde mi perspectiva, si bien COSO I dedicaba toda su atención a la forma de entender, y atender, el control interno de las organizaciones, con el documento del año 2004, es decir con el ERM, se seguía manteniendo la preocupación por el control interno, pero se incidía y ampliaba un aspecto básico para conseguirlo, en concreto, la descripción del  proceso de  gestión de los riesgos, por lo que se detallaban, como nuevos elementos: (I) el establecimiento de los objetivos empresariales, (ii) la identificación de eventos que pudiesen afectarles y (iii) las respuestas a los riesgos. Aparte de considerar que los objetivos deben ser consecuentes con la estrategia fijada por la Organización.

Con esta ampliación, creo, que los que tuvimos oportunidad de apoyarnos en estos protocolos, entendimos que la administración de riesgos era uno de los elementos fundamentales del Sistema de Control Interno con el que lograr la eficacia y eficiencia de las operaciones, la confiabilidad de los reportes y el cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestión de riesgos no son independientes del Sistema de Control Interno, sino que forman parte integral del mismo. En sentido inverso la afirmación contraria también es cierta, ya que no puede existir una adecuada gestión de los riesgos, si en la empresa no impera un buen control interno. Por ello la versión de COSO relativa a la Gestión de Riesgos Empresariales, ERM por sus siglas en inglés, la entendimos que era COSO I, ampliado con un sistema de gestión de riesgos. Es decir, que mejorándolo, lo anulaba y sustituía, a todos los efectos.

Por todo ello, esta ampliación del año 2004 permitió “corregir” algunos de los aspectos del Marco original que necesitaban mejorarse, por ejemplo: que los objetivos del control interno no debían limitarse a la “fiabilidad de la información financiera”, sino que debía darse cabida a todo tipo de información, no solo la financiera. También que el orden de los elementos, fuesen 5 u 8, debían partir del “entorno de control”, situándolo en el nivel más alto del cubo que gráficamente lo representaba, reconociendo así la validez del criterio “Tone at the top”, que nos indicaba que un buen tono en la parte superior se consideraba como un requisito previo para conseguir un adecuado y sólido gobierno corporativo. Adicionalmente se consideró oportuno señalar que los objetivos, fuesen estos operacionales, de reporting o de cumplimiento normativo, debían fijarse de forma coherente con los objetivos estratégicos previamente definidos, los cuales derivaban de la estrategia de la Organización, que era lo primero que había que conocer.

Hasta aquí, al menos, lo que yo entendí, pero debía estar equivocado, puesto que 9 años después de publicarse ERM, se difunde una nueva versión de COSO I, actualizada y mejorada. En ella se admiten todos los cambios/mejoras ya introducidas por COSO II, salvo que los elementos vuelven a quedar reducidos a 5, no haciendo referencia explícita al: Establecimiento de objetivos, Identificación de eventos y Respuesta a los riesgos; aunque el correspondiente a “evaluación de riesgos” sí admite de  manera inequívoca que la evaluación de riesgos debe incluir la identificación de los riesgos, su análisis y la respuesta que sea precisa. Adicionalmente se da entrada a los conceptos de la tolerancia al riesgo en la evaluación de los niveles aceptables de riesgo, e incluyendo como novedad, ahora sí, los conceptos de: velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos.

Además cuando se citan las mejoras que acompañan al nuevo Marco actualizado, se comenta que este ahora viene acompañado de dos nuevos y novedosos documentos: el correspondiente al Control Interno sobre la información financiera externa (ICEFR) y las herramientas de evaluación a emplear para valorar la eficacia del control interno; olvidándose, al parecer, que en el año 2006 el propio COSO publicó el documento “Control Interno para la información financiera para Pequeñas empresas cotizadas”, y en el 2009, la Guía para la Supervisión de Sistemas de Control Interno”.

Adicionalmente se expone que se habilita un proceso de transición para la entrada en vigor del nuevo Marco de 18 meses, fijándose esta en el 15 de Diciembre del 2014, siendo  efectiva hasta ese momento COSO I.

Algo, o su totalidad, no he debido interpretar adecuadamente, pues: (i) si los cambios son necesarios, por qué el periodo de transición de 18 meses, (ii) desde cuando COSO es de obligado cumplimiento en la gestión del Control Interno/ Sistemas de gestión de Riesgos para que haya que informar si hemos actuado según COSO I o COSO III, (iii) es realmente útil y, sobre todo factible, empezar a emplear mapas de riesgos multidimensionales.

Por último, no sé si los cambios de  COSO III conducirán a que pronto aparecerá un nuevo COSO IV, que sería el COSO II con los cambios que se deriven de la nueva versión del  Marco Integrado de Control Interno, o que ERM desaparece por haber sido subsumido en COSO III.

Si alguien me lo puede explicar, por favor, le ruego que me lo aclare. Hasta entonces, o al menos hasta el 15 de Diciembre de 2014, seguiré evaluando los riesgos según el método clásico midiendo “solo” su impacto y probabilidad.

Un saludo.

Jesús Aisa Díez 

24 de octubre de 2013