miércoles, 27 de marzo de 2013

La Auditoría Forense


En un reciente artículo colgado en el blog, tuve la oportunidad de comentar mi opinión sobre el futuro de la función auditora, partiendo para ello de la consideración de los riesgos que en la actualidad se presentan en la gestión empresarial. Llegando a la conclusión que el riesgo de fraude, que como sabemos fue uno de los orígenes de la función auditora, seguía manteniendo viva su importancia, debido a lo cual su supervisión debería ocupar un espacio relevante en la actividad de las auditorías internas; motivo por el que defendíamos la conveniencia de especializar a determinados auditores internos en la investigación de los fraudes, tal y como se hace con otros tipos de riesgos.

Nuestra defensa en la labor de lucha contra el fraude por parte de las auditorías internas creemos que viene justificada por muchos motivos, entre otros porque siendo nuestra actividad complementaria a la función de las auditorías externas, en estas resulta obvio que en su ámbito de actuación sí incluye el fraude de la información financiera, que es específicamente tratado por la Statement on Auditing Standards No. 99, que define este fraude como un acto intencional que provoca un error importante en los estados financieros, y su contenido mantiene el mismo nivel de desconfianza que SarbanesOxley, pero aquí lo explicita, señalando como principio de actuación del auditor el escepticismo.

Estando claro el campo de actuación de los auditores externos en la lucha contra el fraude, entendemos que la actuación los internos también lo debería estar, ya que nos corresponde supervisar e investigar aquellas otras tipologías de fraudes que no sean específicas de la información financiera. Que es el ámbito de actuación que le corresponde a la llamada genéricamente auditoría forense, aunque por mi parte preferiría llamarla Inspección, ya que el término “forense” presupone la  decisión previa de las autoridades judiciales del encargo de investigar y analizar hechos en los que presuntamente existan situaciones de delitos, corrupción y/o fraudes, lo cual no suele ser lo habitual, pues las investigaciones habitualmente son decisiones adoptadas en el ámbito empresarial.

La importancia de esta faceta auditora se puede observar por la existencia de su correspondiente certificación profesional, otorgada en esta ocasión por la Association of Certified Fraud Examiners,  en forma similar a como ISACA actúa en el entorno de las tecnologías de la información.

En opinión de esta Asociación el árbol del fraude abarca tres grandes apartados: 

a) La apropiación indebida de activos
b) La corrupción, y
c) Reportes Fraudulentos.

Los dos primeros se deberían adscribir dentro del alcance de los Planes de las Auditorías Internas, atendiendo a las ramificaciones que aparecen en las gráficas que se indican a continuación. En tanto que el aspecto relacionado con los Reportes Financieros es el objetivo a cubrir por los externos.



Siguiendo estos dos esquemas podríamos concluir que el campo de actuación de la Inspección abarcará cualquier acto ilícito que pueda producirse. 

Debido a esta gran diversidad de formas de cometer fraudes y hacer corrupción, no resulta fácil estandarizar los procedimientos de la Inspección, lo que exigen al auditor apelar a su experiencia y juicio profesional al preparar los procedimientos de auditoría que sean efectivos para determinar y cuantificar estos hechos. Pudiendo,  no obstante, indicar algunas técnicas apropiadas para la realización de las inspecciones: 
 
a) Detección de pautas de comportamiento fraudulentas.
b) Trabajos basados en la totalidad de la población, no en muestras.
c) Enfoque hacía la evidencia: entrevistas, documentos, prueba digital.
d) Uso de la Tecnología (Minería de datos).
e) El reporte de los informes suelen ser materia reservada y no se “discuten” con el área investigada.
 
Pudiendo calificarse su actuación en preventiva y detectiva:

Preventiva: Enfoque proactivo orientado a proporcionar aseguramiento o asesoría  respecto de su capacidad para disuadir, prevenir (evitar), detectar y reaccionar ante los fraudes, e implementar programas y controles anti fraude; esquemas de alerta temprana de irregularidades; sistemas de administración de denuncias, etcétera.

Detectiva: Enfoque reactivo orientado a identificar la existencia de fraudes  mediante la investigación de los mismos llegando a establecer su cuantía; efectos directos e indirectos; posible tipificación; presuntos autores, cómplices y encubridores, método empleado, controles no eficaces, etcétera.

Para ir acabando, y entendiendo que se comparte la idea de que la lucha contra el fraude es un objetivo empresarial muy importante, en el que las Unidades de Auditoría Interna tienen un rol muy significativo que realizar, puesto que, aunque Es un riesgo que resulta inevitable, solo tiene como espacio y límite el ingenio humano, lo cual requiere que los auditores y los responsables de control estén siempre  actualizados de los métodos que se emplean para detectarlo y prevenirlo. Solo se volverá manejable si se logran entender los elementos que lo generan.

Jesús Aisa Díez 

Madrid, 25 de Marzo de 2013

jueves, 21 de marzo de 2013

¿Qué auditorías internas tenemos?



Una de la actividades habituales de los Institutos de Auditoría Interna, es la de tomarle el pulso a la profesión en sus respectivos ámbitos de responsabilidad, y así poder compararse con la existente en otros entornos, fundamentalmente los anglosajones donde la situación suele  ser algo más avanzada, aportando posteriormente las recomendaciones que procedan realizar para reducir los gap que pudieran existir. 

En la encuesta realizada no hace mucho por el Instituto español, se llegaban a unas conclusiones que me gustaría compartir, al entender que pueden ser una referencia también válida de cómo podría estar la actividad auditora en el entorno Iberoamericano. 

Aunque las preguntas incorporadas a los cuestionarios suelen ser de muy variado signo, los comentarios que vamos a realizar se limitarán a aquellos aspectos que entendemos mejor definen los prototipos de los Departamentos de Auditoría existentes en nuestros entramados empresariales.
En primer lugar podría destacarse la limitada antigüedad de la función de auditoría, la cual, de acuerdo con los resultados de las respuestas emitidas, solo en un 25% de las Unidades existentes en las empresas españolas acumulan más de 25 años de existencia, un 40% tienen entre 10 y 25 años de experiencia, y el resto, algo más de la tercera parte de ellas, no alcanzan los 10 años. Situación que es bastante asimilar a la que se aprecia en los otros dos ámbitos de referencia empleados. (Europa y EEUU).

Por el contrario, al consultar sobre el tipo de empresas en el que los auditores internos desarrollan su actividad, la situación es que en España cerca de la mitad, en concreto el 47%, trabajan en empresas cotizadas en la Bolsa; destacando, del 53% restante, el bajo porcentaje de los auditores internos que desempeñan su actividad en el sector público, pues esta solo alcanza el 3% de las respuestas. Porcentaje que difiere sensiblemente de la situación observada en las respuestas de EEUU, con un 18% trabajando en el ámbito público, y especialmente Europa con un 28% de las respuestas. 

En lo que se refiere al sector empresarial en el que se desenvuelven las empresas en las que están ubicados los encuestados, las respuestas arrojan para España un claro sesgo hacia el sector financiero, con un 70%, seguido del de las telecomunicaciones pero con solo ya con un 8,5%. Nivel de concentración en el sector financiero que también es observable en Europa y EEUU, pero sin alcanzar tan alto porcentaje, pues se sitúa en un 35 % y 28%, respectivamente.

Indagando sobre los protocolos corporativos existentes en las organizaciones que les permitan guiar su actividad auditora, las respuestas obtenidas permitirían concluir que las Auditorías Internas en España disponen, para realizar su función, de los siguientes documentos: Plan a corto Plazo de Auditoría Interna, 86% de los casos; seguido del Código de Ética, 79%; Plan Estratégico a Largo Plazo, 75%; Estatutos de Auditoría Interna, 72%; Modelos de gestión de riesgos empresariales, 70%; Código de buen gobierno corporativo, 69%; Estatuto del Comité de Auditoría, 61%; Estatuto del Consejo, 58% y Manual de Auditoría Interna, 57%. Situación muy similar a la encontrada en los otros ámbitos que sirvieron de referencia.

Valorar la situación que reflejan estos datos es un ejercicio muy subjetivo, y dependerá de cómo  veamos el vaso: si medio lleno o medio vacío. 

En mi opinión creo que nos ayudaría a opinar sobre la situación existente, si observamos el negativo de la foto, el cual nos indica que: Un 14% de las Unidades de Auditoría no disponen de un Plan anual del trabajo a realizar; el 21 % no dispone de Código de ética, el 28% no tienen un Estatuto de la función; el 30% no puede apoyarse en un Modelo de gestión de riesgos empresariales, y un 43% no ha elaborado, o no le han aprobado, un Manual de Auditoría. La conclusión que proceda la dejo a su criterio.

En lo que se refiere al contenido de los Planes de auditoría, podemos señalar que, de acuerdo a las respuestas, su composición porcentual se corresponde con: 
  
  • Riesgos operacionales (28%);
  • Riesgos financieros (21%);
  • Riesgos de tecnología de la información (15%);
  • Riesgo de cumplimiento normativo (11%);
  • Crédito/liquidez (10%);
  • Eficacia del sistema de la gestión de riesgos (10%);
  • Gobierno corporativo (10%);
  • Riesgos estratégicos del negocio (8%);
  • Fraude (8%),
  • Y así hasta un 2% para supervisar los Riesgos reputacionales
 
Pudiendo comentar, como aspectos más llamativos, que solo un 10%  de la actividad de auditoría interna está asignada a supervisar la eficacia de los sistemas de gestión de riesgos y el 8% a a tratar los riesgos estratégicos.

Respecto de las respuestas sobre si la organización emplea para su actividad el Marco Internacional para la Práctica Profesional de Auditoría Interna, solo un 36,54% contesta afirmativamente. Ver Gráfico.

Para ir acabando nos gustaría exponer lo señalado por el Instituto español respecto de la dependencia funcional del Director de Auditoría Interna con respecto a los Comités de Auditoría, destacando, de acuerdo a las respuestas recibidas, que:
  
  • Un 71% de los Comités de Auditoría revisa el desempeño del Director de Auditoría (DAI).
  • Un 64% de los Comités asegura que el DAI recibe el apoyo y cooperación adecuados por parte de la dirección.
  • Un 57% asegura que el DAI tiene presupuesto y plantilla adecuada.
  • El 50% de los Comités proporcionan una orientación general al DAI.
  • El 29% de los Comités aprueban la remuneración del DAI.


Aquí nuevamente sugiero veamos la foto en negativo.

En resumen, si la situación fuese extrapolable, podríamos llegar a señalar que la situación en la que se desenvuelve la actividad de auditoría interna en nuestros ambientes empresariales, aún no puede calificarse de óptima, al quedar todavía algunos aspectos que mejorar. Erradicación de debilidades que se convierte en el objetivo en el que todos debemos trabajar, a fin de conseguir  mejorar la calidad y prestigio de la actividad de auditoría. Para ello, en mi opinión, lo principal es que tengamos claro hacía donde debemos caminar, que debilidades deben ser subsanadas y qué estrategia debemos emplear para ello. 

En este sentido, creo oportuno recordar la Hoja de ruta que incorporamos en un reciente artículo reproducido en este mismo blog, titulado: “Decálogo para la formalización de Programa de aseguramiento y mejora de la calidad”,  empezando por la resolución de las carencias documentales que puedan existir, como las comentadas anteriormente.


Jesús Aisa Díez 
21 de marzo de 2013

lunes, 18 de marzo de 2013

El futuro de las Auditorías Internas está en su pasado

 

Una reciente encuesta de una de las “big four” muestra que la profesión de auditoría interna está en continuo cambio y que se adapta con rapidez a un mundo que parece estar a la vez expandiéndose, contrayéndose y cambiando… Siempre evolucionando. 

Dicha encuesta revela que la reducción de costes encabeza la lista de prioridades de los directores de auditoría interna en estos momentos, pues la prolongación de las crisis obliga a adoptar medidas con las que ganar en eficiencia de la actividad. Aún así, otras cuestiones como la intensificación de la globalización, la adaptación a riesgos nuevos y emergentes y la escasez de recursos relacionados con las tecnologías de la información siguen ocupando los primeros puestos de dicha lista. 

Las condiciones económicas actuales también tienen otras implicaciones en la actividad de auditoría interna, ya que han salido a la luz grandes riesgos de fraudes que, aunque existían desde hace tiempo, el descenso en el nivel de la actividad económica ya no permite su ocultación. Además, los despidos de las plantillas y otras reducciones de costes similares están a menudo reduciendo drásticamente, o incluso eliminando, capas cualificadas de la gerencia media, al tiempo que importantes funciones de control también se han podido ver afectadas por estos cambios. 

Debido a estas circunstancias los responsables de los departamentos de Auditoría Interna se están viendo obligados a actualizar sus Planes con mayor frecuencia, adecuándolos a las amenazas vigentes de cada momento, ajustando sus recursos a las capacidades necesarias para ocuparse de los riesgos de negocios contemporáneos, de los que destacaríamos los estratégicos y de negocio, por delante, hoy en día, de los de cumplimiento o financieros. Lo cual, posiblemente, comportará cambios en las estructuras de los Departamentos.

En este mismo sentido podemos señalar que en un Foro de Expertos de Auditoría Interna celebrado en Madrid a iniciativa del IAI España, se constituyeron varios grupos de trabajo para analizar las iniciativas puestas en marcha por las Direcciones de Auditoría ante la situación económica financiera actual, al entender por parte del Instituto que la crisis podría estar afectando a la función auditora respecto de los contenidos y la naturaleza de los trabajos a desarrollar, bien por decisión propia o por demanda de los Comités de Auditoría y/o de la alta dirección, a los que los responsables de las Auditorías han de ofrecer soluciones.

Entre las conclusiones que se obtuvieron destacamos dos que consideramos de importancia para el asunto que nos ocupa:

1ª) Existencia de una opinión generalizada de que actualmente resultan especialmente significativos los riesgos de fraude, morosidad, solvencia, reputación, crédito a clientes, entre otros, por lo que los procesos en los que estén presentes se han situado en niveles de máxima prioridad en la supervisión a realizar por auditoría interna.

2ª) Esta modificación de la importancia relativa de algunos riesgos, ha producido cambios en la naturaleza de los trabajos de auditoría, pues, debido a las nuevas prioridades, se ha pasado a dar un mayor peso a los trabajos de índole correctivo, que aunque no signifique renuncia a la concepción moderna de auditoría, ni un cambio de filosofía, permite vislumbrar un cierto retorno hacia lo básico, recuperando y recurriendo a la faceta inspectora. Aunque ahora ya no se denomine así, sino por su terminología anglosajona: Forensic  Auditing, pues parece que suena mejor.

Por todo ello, la idea que queremos transmitir se resume señalando que los cambios observados en la función de auditoría necesarios para ajustar su actividad a la trascendencia de los riesgos que realmente inciden hoy en los negocios, han puesto en valor la utilidad de disponer de equipos especializados con los que investigar los fraudes (Inspección o Auditoría Forense), ya que este es un riesgo específico, que siempre está presente en  las organizaciones, que se podrá reducir, pero nunca eliminar.

Admitiendo lo que al inicio de este artículo señalábamos respecto  a la necesidad de introducir cambios, éstos no necesariamente han de ser consecuencia de grandes innovaciones, pues las experiencias anteriores pueden seguir siendo plenamente válidas.

De compartir este planteamiento, surge la pregunta sobre qué recomendaciones podrían trasladarse a aquellos DAI que quisieran aplicar las sugerencias que se encuentran en estas líneas, debiendo destacar que una de las claves del éxito está en la prevención, en la que la difusión por toda  la organización de la existencia de los programas de gestión del riesgo de fraude resultará vital. Así como también lo es la creación de la conciencia de que los controles de detección son eficaces.

Por ello creemos oportuno que se debería incidir en los siguientes aspectos:

a) Habilitación de un canal de denuncias anónimo hacia las Comisiones de Auditoría, para el uso de cualquier empleado de la sociedad.

b) Implantación de indicadores de fraude tipo banderas rojas que nos alerten sobre la existencia de indicios de posibilidad de fraudes, o del deterioro del control interno existente.

c) Ser beligerante con los defraudadores; lo importante es el hecho, no la cuantía, si lo defraudado ha sido poco, es porque no se ha tenido posibilidad de aumentarlo.

d) Especialice a parte de su equipo de auditores en el riesgo de fraude, que sean los que atiendan las llamadas de la organización para actuar ante situaciones sobrevidas, pero también para que elaboren un plan de trabajo anual preventivo con el que juzgar la existencia de  indicios de fraudes.

Resumiendo: (i) los fraudes podemos concluir que están presentes en todas las organizaciones, (ii) no parece que estén bien controlados, (iii) se evolución reciente es incremental y (iv) no existe ninguna forma con la que erradicarlos en su totalidad. Motivos por los que Auditoría Interna ha de estar atenta a esta situación, disponiendo de los profesionales que puedan desarrollar la necesaria supervisión que nos diagnostique los fallos de control existentes, la verdadera magnitud del problema y los factores de riesgo apreciados; si para ello se debe incluir en la estructura del Departamento de Auditoría Interna una Unidad de Inspección, la respuesta no es fácil de obtener, pues eso dependerá de múltiples circunstancias, pero lo que parece incuestionable es que la labor inspectora, o llamémosla sin complejos “policiaca”, hoy por hoy es necesaria dentro de la naturaleza de los trabajos a realizar por Auditoría Interna, aunque ello nos obligue a reconocer que en parte regresemos al pasado; pero al igual que cualquier tiempo pasado no siempre fue mejor, tampoco necesariamente ha de ser peor.

Somos conscientes que la concepción fiscalizadora de auditoría interna está mal vista, y que se ha visto reemplazada por otra visión más dinámica, menos agresiva y más participativa, la que representa su cara amable, al actuar como socio de los gestores y portadora de valor hacia las organizaciones. Aunque debemos señalar que este rechazo a la labor inspectora es debido a la forma de concebir ambas modalidades de auditoría, ya que se planteaban como excluyentes, o una u otra. Lo cual no está en nuestro modelo, puesto que defiende su coexistencia y complementariedad.

Fue este planteamiento dual  y excluyente el que provocó el rechazo a la labor inspectora -del latín inspicere (mirar adentro)- a realizar por la auditoría interna en su lucha contra fraude, que incluso se ha trasladado a las Normas emitidas por el IIA Global, puesto que, cuando se refiere al riesgo de fraude (Ver Norma 1210.A2) sigue señalando que: “el auditor interno debe tener suficiente conocimientos para evaluar el riesgo de fraude y  la forma que  se gestiona por la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude”, en clara discriminación con otros tipos de riesgo, como por ejemplo el de tecnología de la información, cuando en el mismo Marco, Norma 1210.A3, se señala que: “los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en tecnología  de la información y de las técnicas de auditoría disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado….”, aclarando, eso sí, que estos conocimientos no se espera concurran en todos los auditores, solo en aquellos cuya responsabilidad fundamental es la auditoría de tecnología informática.Dos preguntas nos surgen de los regulado por el IIA. Primera: ¿Por qué esta diferenciación en el rol a desempeñar por Auditoría Interna antes estos dos tipos de riesgos, los tecnológicos y los relativos al fraude?, y seguidamente ¿Quiénes en las organizaciones son los que tienen la responsabilidad principal es la detección e investigación del fraude?.

Por todo ello, la idea que queríamos transmitir se resume señalando que los cambios observados en la función de auditoría  para ajustar su actividad a la trascendencia de los riesgos que realmente inciden hoy en los negocios, han puesto nuevamente en valor la utilidad de disponer de equipos especializados con los que investigar los fraudes (Inspección), ya que este es un riesgo específico, que siempre está presente en las organizaciones, que se podrá reducir, pero nunca eliminar.

Por tanto, admitiendo lo que al inicio de este artículo señalábamos respecto a la necesidad de introducir cambios, estos no necesariamente han de ser consecuencia de grandes innovaciones, pues las experiencias anteriores pueden seguir siendo válidas, como lo demuestra el auge que la Auditoría Forense está teniendo en el ámbito de nuestra actividad, si bien hemos de reconocer que se está produciendo en un esquema de prestaciones externas de servicios vía outsourcing ofrecido por las consultoras. Pero de este tema ya hablaremos en otra ocasión.

Jesús Aisa Díez 
Madrid, 18 de Marzo de 2013.