lunes, 1 de julio de 2013

Universo de Auditoría y los riesgos emergentes



Por lo señalado por el Marco Internacional para la Práctica Profesional de la Auditoría Interna, conocemos, a través de lo recogido en su Consejo para la Práctica 2010-1, que se denomina Universo de Auditoría a la lista de todas las posibles auditorías que pudieran realizarse, y que éstas son consecuencia de diversos inputs, como por ejemplo: La información obtenida por parte de la alta dirección y del Consejo de Administración (Directorio),  el plan estratégico de la organización y los resultados del proceso de gestión de riesgos, entre otros.

Es sobre el Universo de Auditoría sobre el que el equipo de auditores debe trabajar a fin de seleccionar aquellas auditorías que se consideren necesario realizar, a fin de aportar las garantías razonables sobre el control interno realmente existente en la Organización, incorporándolas en el Plan de Auditoría a desarrollar. 

Tanto los componentes del Universo de Auditoría, como del Plan de Auditoría, son lo que denominamos “entes auditables”, los cuales no responden necesariamente a una estructura prefijada, puesto que su alcance puede ser un determinado área de la organización, un proceso, un riesgo o una actividad. Lo que hace falta es que la supervisión a efectuar nos permita concluir con veracidad sobre la eficacia del grado de control existente en el ente elegido para ser auditado. 

Resulta habitual que en la definición del Universo de Auditoría se parta de la identificación de  los riesgos a los que la organización puede estar sometida, para después decidir la forma de verificar o supervisar por Auditoría Interna su adecuada gestión. Dinámica de actuación que nos conduce a una primera conclusión: los Universos de Auditoría no son estables, puesto que son cambiantes en la misma medida que lo son los riesgos que amenazan a los objetivos empresariales.

En este contexto, los Directores de Auditoría cuando definen su universo de  trabajo, no deben olvidar los denominados “riesgos emergentes”, que podríamos definirlos como aquellas amenazas que tienen una naturaleza propia y van más allá de la capacidad de control de la empresa y que, por mucho que su probabilidad pareciera baja en otros tiempos, su impacto es ahora tan importante, con potencial de destrucción o de generación de oportunidades, que obliga a tenerlos en consideración. Nos estamos refiriendo, por ejemplo al: cambio climático, inseguridad alimentaria, volatilidad en el suministro energético, cambios tecnológicos o crisis financiera mundial, resultando preciso controlarlos a través de indicadores cualitativos y cuantitativos que nos permitan detectar cambios en el entorno.

Pero estos “cisnes negros”, como también se les denomina, no son tan extraños y conviven con nuestras organizaciones, pues nos estamos refiriendo en concreto también a amenazas tales como: la seguridad, el cambio climático, la sanidad o los riesgos laborales.

En el primer caso, la seguridad, todos hemos sido testigos de cómo en los aeropuertos se han cambiado las medidas de control, habiéndose conseguido reducir los atentados hasta porcentajes muy satisfactorios.

En cuanto al cambio climático, no podríamos decir lo mismo, puesto que las emisiones de gases de efecto invernadero no se están reduciéndose al ritmo deseado, ni tan siquiera al programado.
En la parte de la sanidad y prevención de riesgos laborales, tan relacionados entre sí, hay que reconocer que aunque se está trabajando para solucionar las deficiencias en algunos aspectos como por ejemplo la prevención y control de la legionella o la entrega de fármacos y servicios sanitarios, aún existen graves carencias.

En resumen de estos riesgos, el de seguridad parece controlado, los de sanidad y de prevención de riesgos laborales, aunque en algunos casos se escapa de nuestra capacidad de decisión, en otros aún nos queda trabajo por realizar; pero que podemos decir respecto del cambio climático, ¿hacemos todo lo que está en nuestras manos?, ¿incluimos en nuestro Plan auditorías ambientales?, ¿disponemos de protocolos en los que se describa cómo abordar la supervisión de los procesos operativos agresivos con el entorno?, ¿estamos preparados ante los inminentes impactos derivados de este cambio global?, ¿tenemos al menos identificados estos procesos?, ¿existen proveedores de aseguramiento del riesgo ambiental?, ¿mantenemos con ellos la debida coordinación?, ¿el Comité de Auditoría es receptor de los informes ambientales?, etcétera.

De haber respondido mayoritariamente con un NO a estas preguntas, considero que nuestro Plan de Auditoría adolecería de una carencia importante, que creo debería corregirse tan pronto nos fuese posibles. La sostenibilidad de nuestra empresa dependerá de ello y las generaciones futuras nos lo agradecerán.

Por si alguno de los que lean estas reflexiones, se animasen a incluir en sus próximos Planes de Auditoría Interna algún ente auditable relacionado con el medioambiente, sugiero que se tome como base la ISO 14.001, que puede resultar muy útil. Y si quieren ir un paso más, y conocer el impacto real que este problema, así cómo poder minimizarlo, recomiendo que si se deciden a calcular la huella de carbono generada por sus organizaciones,  se basen para ello en las Normas GHG Protocol, PAS 2050 y, en un futuro, mediante la ISO que se está preparando específicamente para ello.

El no incluir el riesgo ambiental en nuestros mapas de riesgos, o no considerarlo en el momento de definir nuestro Universo de Auditoría, así como posteriormente en el Plan de trabajo, entiendo que no es la situación óptima, ya que todos los procesos empresariales, de una u otra manera, tienen impacto en el entorno. Verifiquemos en qué grado.

Saludos.

Jesús Aisa Diez
30 de junio de 2013

No hay comentarios:

Publicar un comentario