lunes, 30 de septiembre de 2013

Con quién debemos coordinarnos los auditores.








Un aspecto básico con el conseguir la deseada eficiencia de las actividades empresariales, es la coordinación que debe existir entre ellas, de forma que se complementen y apoyen, aprovechándose mutuamente del esfuerzo y resultados de sus respectivas actividades, evitando duplicidades y eliminando “tierras de nadie” que, por una u otra causa, impidan una adecuada cobertura de los distintos procesos empresariales. 

Esta adecuada coordinación entre actividades, se asemeja con una “carrera de relevos”, en la que cada corredor cumple con su tramo de la carrera, entregando el “testigo” al siguiente atleta para que continúe su marcha hacia la meta final. El éxito no solo dependerá de lo veloces que hayan sido los participantes, sino también de la sincronización que exista en la entrega de los “testigos”.  

Por ello, y como ya hemos tenido oportunidad de comentar previamente en otros artículos, en la actividad de las Auditorías Internas es imprescindible, como se recoge en la Norma 2050, Coordinación, que el responsable de la Unidad  comparta información y coordine actividades con otros proveedores internos y externos de servicios de aseguramiento y consulta. 

Entre los proveedores de aseguramiento existentes en las Organizaciones, desde mi punto de vista hay uno que entiendo es fundamental para nuestra función: el responsable de la Gerencia de Riesgos de la empresa. Pero no solo por lo que su actividad pueda ayudar/orientar al trabajo de las Unidades de Auditoría Interna, sino también en sentido inverso desde la perspectiva de lo que las conclusiones de los trabajos de auditoría les aportará a las Gerencias de Riesgos.

Resulta evidente que la existencia de los mapas de riesgos levantados por la Gerencia de Riesgos es una información muy útil para la actividad auditora, puesto que facilitan, en base a la información en ellos recogidos, la selección de los entes auditables que entendamos oportuno acometer en un futuro inmediato. Pero también, en sentido contrario, que los resultados de los trabajos de auditoría interna resultarán básicos para el Gestor de Riesgos, dado que nuestras conclusiones, debidamente soportadas confirmarán, o en su caso cuestionarán, las valoraciones que sobre los riesgos auditados manejase la Organización según el Sistema de Gestión de Riesgos aplicado, corrigiéndose los errores que se hayan detectado.

Esta interacción: Auditoría Interna versus Gerencia de Riesgos, la entendemos imprescindible para conseguir una  eficiente y simultanea optimización de ambas actividades, pues no debemos ignorar que son complementarias, como señala el modelo de las tres líneas de defensa, en el que el Gestor de Riesgos es una segunda línea, mientras que nosotros, los auditores, estamos ubicados en la tercera línea.
No obstante esta evidente necesidad de coordinación y apoyo mutuo, no siempre es reconocida y ejercitada, pues no es extraño que ambas unidades dentro de las Organizaciones se puedan observar como rivales de la evaluación de los riesgos. Lo cual es un grave error.

En mi opinión no debiera existir tal rivalidad, pues ambas actividades tienen un rol diferente, pero complementario dentro del Sistema de Gestión de Riesgos. El Gestor de riesgos levantando los mapas de riesgos e interrelacionándolos con los procesos, a fin de determinar los que pudieran estar más amenazados y resultar susceptibles de afectar a la consecución de los objetivos empresariales, propiciando así la concreción de los “apetitos de los diferentes riesgos” por parte de la Gerencia, así como recabar y gestionar la adopción de las medidas que se consideren pertinentes para reconducir dichos riesgos a la zona de tolerancia establecida, las cuales deberán estar recogidas en los planes de acción que deberían solicitar a los responsables de dichos procesos críticos. Planes de acción que deben ser compartidos con Auditoría Interna, a fin de que esta pudiese valorar la suficiencia de los mismos, así como la eficacia/eficiencia de los controles previstos incorporar en los procesos previamente cuestionados.

Por su parte Auditoría Interna debe compartir con el Gestor de Riesgos, como parte interesada en el  conocimiento de las conclusiones y planes de acción decididos por el propietario de los procesos auditados, la parte de los informes que les afecten, a fin de que puedan actualizar convenientemente los mapas de riesgos de la organización, así como conocer los controles que se pretendan introducir/mejorar en los procesos críticos auditados.

Para que esta colaboración sea posible, entendemos que lo primero que debería hacerse es plantear abiertamente esta colaboración mutua, identificando las actividades a desarrollar por cada una de ambas Unidades, y describiendo detalladamente el proceso de actuación; el cual deberíamos someter a la aprobación del Comité de Auditoría para que lo sancionara, y le diera carácter de oficialidad que el mismo precisa.

En mi opinión, no existen razones para que no exista entendimiento, pues ambas unidades buscamos lo mismo, la mejora de la gestión de los riesgos y los controles de la Compañía; somos compañeros de viaje, no rivales.

Espero que se compartan estas reflexiones, y que su aplicación práctica permita mejorar el funcionamiento de la Unidad de Auditoría interna, y la del Sistema de Gestión de Riesgos.

Madrid, 29 de septiembre de 2013

No hay comentarios:

Publicar un comentario