lunes, 30 de septiembre de 2013

Con quién debemos coordinarnos los auditores.








Un aspecto básico con el conseguir la deseada eficiencia de las actividades empresariales, es la coordinación que debe existir entre ellas, de forma que se complementen y apoyen, aprovechándose mutuamente del esfuerzo y resultados de sus respectivas actividades, evitando duplicidades y eliminando “tierras de nadie” que, por una u otra causa, impidan una adecuada cobertura de los distintos procesos empresariales. 

Esta adecuada coordinación entre actividades, se asemeja con una “carrera de relevos”, en la que cada corredor cumple con su tramo de la carrera, entregando el “testigo” al siguiente atleta para que continúe su marcha hacia la meta final. El éxito no solo dependerá de lo veloces que hayan sido los participantes, sino también de la sincronización que exista en la entrega de los “testigos”.  

Por ello, y como ya hemos tenido oportunidad de comentar previamente en otros artículos, en la actividad de las Auditorías Internas es imprescindible, como se recoge en la Norma 2050, Coordinación, que el responsable de la Unidad  comparta información y coordine actividades con otros proveedores internos y externos de servicios de aseguramiento y consulta. 

Entre los proveedores de aseguramiento existentes en las Organizaciones, desde mi punto de vista hay uno que entiendo es fundamental para nuestra función: el responsable de la Gerencia de Riesgos de la empresa. Pero no solo por lo que su actividad pueda ayudar/orientar al trabajo de las Unidades de Auditoría Interna, sino también en sentido inverso desde la perspectiva de lo que las conclusiones de los trabajos de auditoría les aportará a las Gerencias de Riesgos.

Resulta evidente que la existencia de los mapas de riesgos levantados por la Gerencia de Riesgos es una información muy útil para la actividad auditora, puesto que facilitan, en base a la información en ellos recogidos, la selección de los entes auditables que entendamos oportuno acometer en un futuro inmediato. Pero también, en sentido contrario, que los resultados de los trabajos de auditoría interna resultarán básicos para el Gestor de Riesgos, dado que nuestras conclusiones, debidamente soportadas confirmarán, o en su caso cuestionarán, las valoraciones que sobre los riesgos auditados manejase la Organización según el Sistema de Gestión de Riesgos aplicado, corrigiéndose los errores que se hayan detectado.

Esta interacción: Auditoría Interna versus Gerencia de Riesgos, la entendemos imprescindible para conseguir una  eficiente y simultanea optimización de ambas actividades, pues no debemos ignorar que son complementarias, como señala el modelo de las tres líneas de defensa, en el que el Gestor de Riesgos es una segunda línea, mientras que nosotros, los auditores, estamos ubicados en la tercera línea.
No obstante esta evidente necesidad de coordinación y apoyo mutuo, no siempre es reconocida y ejercitada, pues no es extraño que ambas unidades dentro de las Organizaciones se puedan observar como rivales de la evaluación de los riesgos. Lo cual es un grave error.

En mi opinión no debiera existir tal rivalidad, pues ambas actividades tienen un rol diferente, pero complementario dentro del Sistema de Gestión de Riesgos. El Gestor de riesgos levantando los mapas de riesgos e interrelacionándolos con los procesos, a fin de determinar los que pudieran estar más amenazados y resultar susceptibles de afectar a la consecución de los objetivos empresariales, propiciando así la concreción de los “apetitos de los diferentes riesgos” por parte de la Gerencia, así como recabar y gestionar la adopción de las medidas que se consideren pertinentes para reconducir dichos riesgos a la zona de tolerancia establecida, las cuales deberán estar recogidas en los planes de acción que deberían solicitar a los responsables de dichos procesos críticos. Planes de acción que deben ser compartidos con Auditoría Interna, a fin de que esta pudiese valorar la suficiencia de los mismos, así como la eficacia/eficiencia de los controles previstos incorporar en los procesos previamente cuestionados.

Por su parte Auditoría Interna debe compartir con el Gestor de Riesgos, como parte interesada en el  conocimiento de las conclusiones y planes de acción decididos por el propietario de los procesos auditados, la parte de los informes que les afecten, a fin de que puedan actualizar convenientemente los mapas de riesgos de la organización, así como conocer los controles que se pretendan introducir/mejorar en los procesos críticos auditados.

Para que esta colaboración sea posible, entendemos que lo primero que debería hacerse es plantear abiertamente esta colaboración mutua, identificando las actividades a desarrollar por cada una de ambas Unidades, y describiendo detalladamente el proceso de actuación; el cual deberíamos someter a la aprobación del Comité de Auditoría para que lo sancionara, y le diera carácter de oficialidad que el mismo precisa.

En mi opinión, no existen razones para que no exista entendimiento, pues ambas unidades buscamos lo mismo, la mejora de la gestión de los riesgos y los controles de la Compañía; somos compañeros de viaje, no rivales.

Espero que se compartan estas reflexiones, y que su aplicación práctica permita mejorar el funcionamiento de la Unidad de Auditoría interna, y la del Sistema de Gestión de Riesgos.

Madrid, 29 de septiembre de 2013

lunes, 23 de septiembre de 2013

Hasta dónde hemos interiorizado, y aplicado, las nuevas herramientas de Auditoría.



Para los que seguimos el Marco Internacional para la Práctica Profesional de Auditoría Interna como orientador de las actividades de la función auditora, tenemos claro que, la evaluación de los riesgos, es un aspecto fundamental para el desarrollo de nuestra actividad, puesto que, con él podremos incidir en dos de sus aspectos trascendentes: en primer lugar en la determinando de forma eficiente del contenido del Plan de Auditoría Interna que propongamos para su aprobación a la alta dirección y al Comité de Auditoría, pero también para guiar el desarrollo de nuestros trabajos dentro del capítulo correspondiente al aseguramiento. Es por tanto una herramienta básica y de “obligado” empleo. Recordemos en este sentido lo señalado por las Normas 2010 y 2120, fundamentalmente.

Recientemente he tenido la oportunidad de participar en una encuesta realizada a los asistentes de un seminario realizado en Colombia sobre el tema: La administración de Riesgos: Herramienta de gestión empresarial y de Auditoría Interna. Cuyas conclusiones me gustaría compartir, debido a lo interesante de sus respuestas, puesto que, como reflejamos en la figura con la que ilustramos estas líneas, entiendo que nos facilitarán el camino para alcanzar los objetivos fijados.

Obviamente el resultado de esta muestra, en principio, solo debería ser extrapolable a ese entorno de empresarial, el colombiano, pues incluye la opinión de profesionales de: Bogotá, Cali, Medellín, Barranquilla, Cartagena de Indias, y un largo etcétera. Si bien, en mi opinión, también creo que refleja el ambiente de trabajo de otros muchos ambientes organizacionales, tanto en Iberoamérica, como en otras latitudes a este lado del Atlántico.


Las  preguntas que se incluyeron en la encuesta fueron:

a) Considera que lo expuesto en el seminario puede tener fácil aplicación en su empresa.  Para el 87,5% de los asistentes sí sería aplicable, para el 12.5% no lo sería.

b) Si la respuesta había sido un , se preguntaba posteriormente si se consideraba entonces factible su próxima implantación. Para el 15% que entendieron que podría ser viable su implementación, enunciaron dificultades para que lo fuese de inmediato. Los motivos:

Inexistencia de una cultura organizacional de control interno adecuada, principalmente; así como la falta de involucración de la gerencia, pues faltaría convencerles sobre la necesidad de aplicar esta metodología.

c) Para los que respondieron afirmativamente a la primera pregunta, y no expusieron dificultades que impidieran su próxima implantación, se les requirió para que señalaran, cuales, no obstante, entendían serían los obstáculos de deberían ser superados. Aquí las repuestas abarcan un número considerable de circunstancias, que seguidamente enunciamos por orden de número de redundancia, mayor a menor:

  1. Receptividad de la organización.
  2. Elaboración de los Mapa de Riesgos.
  3. Determinación de los KRI.
  4. Dotaciones presupuestarias. Más recursos financieros y humanos.
  5. La involucración decidida de la Gerencia General y del Comité de Auditoría.
  6. Identificación de los riesgos significativos para determinar el Plan Anual de Auditoría.
  7. Levantamiento y documentación de los procesos y los procedimientos.
  8. Capacitación del personal actual de la Unidad de Auditoría Interna (UAI)
  9. Cambio cultural de forma que se decida y actúe en base a la gestión de riesgos. Compromiso y colaboración de todas las gerencias
  10. La eliminación de actuales actividades de control asumidas por la UAI, de forma que se liberen recursos para aplicar a esta nueva metodología
  11. La falta de coordinación con el Gestor de Riesgos de la Organización.

d) Con independencia de los obstáculos que pudieran afectar a la aplicación de estas nuevas herramientas, se preguntaba qué parte considera Vd. de lo compartido en el seminario tendría mayor utilidad para su organización. Siendo las respuestas las siguientes, de acuerdo con el orden en el que aparecen reflejadas:
  1. Aplicación de Indicadores de Riesgos Clave (KRI´s).
  2. En la determinación de un Plan de Auditoría más eficiente.
  3. Elaboración de los Mapas de Riesgos
  4. Implementación del Sistema de Gestión de Riesgos.
  5. Documentar las estrategias empresariales e informar de ellas a la UAI.
  6. Ampliar el Plan de Auditoría de forma que incorpore las solicitudes de la alta dirección y el Comité de Auditoría, así como los recursos necesarios para atender imprevistos.
  7. La búsqueda de la necesaria coordinación entre el responsable del Sistema de Gestión de Riesgos y el DAI.
  8. El concepto de “apetito al riesgo”.
  9. La participación activa del Comité de Auditoría y de la alta dirección en la evaluación de los resultados de la actividad de la UAI.
  10. Los principios sobre control interno recogidos por la Superintendencia Financiera Colombiana, relativos a: Autocontrol, Autorregulación y Autogestión.

e) Por último se preguntaba también si, de estar ya empleándose algún Sistema de Gestión de Riesgos y/o metodologías de determinación del Plan de Auditoría en base a riesgos. ¿Qué aspectos de los temas tratados en el seminario, consideraban que deberían ser tenidos en consideración para seguir avanzando en el desarrollo de estos  dos procesos?. Las respuestas por orden de mayor a menor reiteración fueron:
  1. El análisis previo de los riesgos para definir el ranking de los mismos según su criticidad, y amenaza a los objetivos empresariales.
  2. El empleo de Indicadores de Riesgos Clave.
  3. El empleo de herramientas informáticas desarrolladas.
  4. Interrelación de los riesgos con los procesos, a fin de seleccionar los procesos más relevantes para la organización.
  5. La aplicación de los resultados del proceso de Gestión de Riesgos, con los que alimentar y determinar el Plan de Auditoría Interna en base a riesgos, aumentando su eficiencia.
  6. El seguimiento de las recomendaciones a incluir en el Plan de Auditoría.
  7. La cultura de control interno a trasladar a toda la organización.
  8. Trabajar con la referencia obligada del apetito al riesgo.
  9. La necesaria consolidación del Comité de Auditoría como garante de la supervisión del control interno.
  10. La necesaria coordinación entre el responsable de la Gestión de Riesgos y el DAI.
  11. La incidencia sobre la eficacia y eficiencia de los controles existentes en los procesos empresariales. 

Como vemos, las opiniones han sido muy variadas, pero creo que podríamos sacar un común denominador de ellas, y concluir que los asistentes al seminario entendieron como prioritario para poder progresar en estas dos mejores prácticas de gestión, tanto empresarial, como del proceso auditor, para poder asegurarnos que, como condición sine qua non fijada por el IIA, atendemos la relevancia e importancia de los siguientes aspectos:

A) Una adecuada cultura organizacional sensible con el establecimiento de un entorno de control interno adecuado.

B) Involucración y compromiso decidido de la alta dirección y el Comité de Auditoría en la consecución de la meta anterior.

C) Descripción previa de los procesos empresariales donde se puedan identificar los riesgos y los controles que estén presentes en ellos.

D) Una adecuada coordinación, y apoyo mutuo, entre el Gestor de Riesgos y el DAI.

E) Suficiente dotación de recursos, no solo humanos, sino adicionalmente financieros y de sistemas de información.

Entiendo que estas conclusiones pueden ser útiles para aquellas organizaciones que estén pensando en dar el salto hacia un sistema de gestión empresarial en base a riesgos, o implementar un Plan de Auditoría en base a riesgos, en cuyo proyecto las UAI tienen un campo de actuación con mucho protagonismo, asesorando y tutelando la forma de diseñarlo e implementando. Espero que sea visto de esta manera, para así poder asegurar que estamos atendiendo lo que es el slogan del Instituto de Auditores Internos España, cuando cita como meta propia la de: Progresar compartiendo.

Jesús Aisa Díez
22 de septiembre de 2013

jueves, 19 de septiembre de 2013

Plan de Auditoría en base a riesgos



Después de unas pequeñas vacaciones de verano, y de atender algunos compromisos, vuelvo a retomar la atención del blog, que espero poder mantener de forma continuada.

Para comenzar esta nueva etapa, quisiera comentar un aspecto que creo  significativo, cual es la determinación del Plan de Auditoría en base a riesgos, y la coherencia de nuestras decisiones con respecto de la información contenida en los mapas de riesgos institucionales derivados del Sistema de Gestión de Riesgos (SGR) de la organización en la que desarrollemos nuestro trabajo.

Si repasamos las Normas del IIA, nos encontramos con que, la 2010, nos indica que: El director de auditoría interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. Incorporando como interpretación de este requerimiento que: Para actuar según lo expresado, el director de auditoría interna debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la entidad.
De donde se deduce que Auditoría Interna debe tener una interacción directa y continua con el área de Gestión de Riesgos, que siendo el responsable de desarrollar el SGR, le corresponde elaborar el mapa de riesgos residuales que se adecue a los niveles apreciados respecto de las amenazas que incidan sobre los objetivos estratégicos y operativos de la empresa.

En estos mapas de riesgos aparecerán representados dichas amenazas, de acuerdo a la valoración de sus dos atributos básicos, impacto y probabilidad, que es la información que debe servir de base de trabajo de auditoría interna a la hora de definir sus próximas actuaciones.

Hasta aquí creo que todos estamos de acuerdo, pero la cuestión básica es, cómo aplicamos esta información. Me explico.

Supongamos que en el mapa de riesgos aparecen algunos de ellos situados en el cuadrante superior derecho, es decir los que se situarían en la zona roja de la figura.

Es evidente que esos riesgos no están bien controlados, por lo que los procesos en los que estos se manifiesten podrían ser candidatos a ser incluidos en el Plan de Auditoría. Pero, permítaseme plantear una duda, de forma directa o después de alguna actuación previa por parte de los responsables de dichos procesos.

En mi opinión, esos procesos en forma directa no deben ser incorporados al Plan de Auditoría, ya que, si la organización ha determinado que esos riesgos están mal gestionados, lo lógico y procedente es que el Gestor de Riesgos se dirija a los propietarios de los procesos afectados por dichos riesgos, solicitándoles confeccionen e implementen un plan de acción con el que reconducir la situación de esas amenazas, hacia el entorno del apetito al riesgo que se haya considerado viable con la consecución de los objetivos empresariales. Planes de acción que sí deben ser conocidos por Auditoría Interna a fin de evaluar la adecuada suficiencia de las medidas implementadas. Siendo,  a partir de ese momento cuando, en mi criterio, deberíamos considerar la conveniencia de supervisar dichos procesos, verificando la eficiencia y eficacia de los controles recientemente implementados, reevaluando la importancia del riesgo.

Incluir esos procesos en el Plan de Auditoría sin haberse realizado el plan de acción antes comentado, no aportará nada, ya que único que podremos verificar es que la situación es crítica y que urge actuar. Bueno, pero eso ya lo sabíamos según el dictamen del propio SGR desarrollado por la organización.

Sin embargo, y en sentido contrario, Auditoría Interna sí debería preocuparse de los procesos relevantes de la entidad en los que existan riesgos estimados como medios o bajos, ya que, una mala evaluación de los mismos pondría en cuestión los objetivos, ya que, la posible materialización de esas amenazas tendría unas repercusiones mayores que las previstas. Por lo que se hace recomendable que en el Plan de Auditoría Interna se incluyan dichos procesos como entes auditables, supervisando la bondad de la evaluación de los riesgos. Pues no debemos olvidar que somos la tercera línea de defensa.

Creo que si se actúa de la forma que hemos descrito estaremos aportando verdadero valor a las entidades en las que actuemos, por lo que ánimo a que se valore la oportunidad de trabajar en línea con estos planteamientos, siempre que se esté de acuerdo con ellos.

Jesús Aisa Díez
18 de septiembre de 2013