¿Se cumple la propiedad conmutativa en la Norma 2020?. Comunicación y aprobación.

Un aspecto que suele ser frecuentemente debatido con los responsables de las Unidades de Auditoría Interna que se someten a evaluaciones externas de calidad, es la forma en que se debe interpretar la Norma 2020, ya que, como sabemos esta nos indica que: El Director de Auditoría Interna debe comunicar los planes y requerimientos de la actividad de auditoría interna, incluyendo los cambios provisionales significativos, a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director de auditoría interna también debe comunicar el impacto de cualquier limitación de recursos. Surgiendo la duda de si la secuencia de las actuaciones recogidas en el literal de la Norma conlleva a que la revisión corresponde a la alta dirección y su aprobación al Consejo, o si ambas actuaciones le corresponde simultáneamente a ambos, o es suficiente que lo realice la alta dirección o el Consejo, indistintamente.

Aunque en alguna ocasiones la descripción de las Normas puede resultar de complicada interpretación, ya que al usar la versión en español, podemos estar “sufriendo” los defectos de una no demasiado correcta traducción; en el caso que no ocupa no sucede esa situación, pues la norma no solo describe con claridad la responsabilidad de ambos estamentos, alta dirección y Consejo, en la aprobación de los Planes de Auditoría, sino que, adicionalmente, la secuencia de su participación en el proceso debe ser la que se recoge en su enunciado: primero la alta dirección y después el Consejo.

Pero veamos porque parece ser que me siento tan seguro de ello. En primer lugar porque la decisión final de las actuaciones a realizar por Auditoría Interna no se circunscribe exclusivamente a lo que el Director de Auditoría finalmente opine, sino que este debe considerar las inquietudes de todas las partes interesadas, pero fundamentalmente las de la alta dirección y el Consejo. Por ello, el que tanto la alta dirección como el Consejo puedan opinar sobre el contenido de los Planes, no hace más que facultar a estos a que propongan la realización de aquellos trabajos que consideren necesarios para una mejor supervisión del Control interno de la Organización.

Hasta aquí creo que podemos coincidir en que tanto la alta dirección como el Consejo pueden, y deben, aportar sus opiniones sobre la suficiencia de la actividad de auditoría recogida en la propuesta de Plan, adecuándolo y ampliándolo a lo que se estime más conveniente.

Pero aún nos quedaría por justificar la bondad del orden (primero la alta dirección y en segundo lugar el Consejo). La razón de ello la estimo también adecuada por varios motivos.

Supongamos que al presentar el Director de Auditoría su propuesta de Plan anual a la alta dirección, ésta considera que los recursos precisos desbordan los medios que está dispuesta a ofrecer a la Unidad de Auditoría, exigiendo la eliminación de varios trabajos. Obviamente el responsable de Auditoría tomaría nota y actuaría en consecuencia, recortando el alcance del Plan, pero dejando evidencia en el acta donde se tomó dicha decisión de las causas que lo propiciaron.

Seguidamente el Director de Auditoría presentaría el Plan recortado por la alta dirección, a la correspondiente posterior aprobación del Consejo, el cual, como jefe funcional de Auditoría y responsable de la supervisión de su actividad, deberá valorar si comparte la solicitud de reducción del alcance del Plan realizada por la alta dirección, o si discrepa de ella, en cuyo caso estaríamos ante una cuestión que debe resolverse entre ambos estamentos. En cualquier caso, lo que finalmente se decida nos conducirá a una responsabilidad compartida entre todas las partes intervinientes en el conflicto (dirección de auditoría interna, alta dirección y Consejo), asumiendo cada una de ellas las responsabilidades que puedan derivarse de sus respectivos planteamientos, según acontezcan los hechos en los próximos meses.

Por consiguiente, la opinión y aprobación de los Planes de Auditoría por la alta dirección y el Consejo, es condición sine qua non para dar transparencia a la responsabilidad final del contenido de  los Planes, o lo que es lo mismo a los medios de los que disponen las Auditorías internas, que aunque somos conscientes de que no pueden ser ilimitados, tampoco deben ser insuficientes para atender las necesidades de supervisión que se entiendan precisas. Por todo ello las Normas del Instituto de Auditores Internos reitera la necesidad de nuestra dependencia funcional del Consejo, ya que es quien nos puede apoyar y proteger ante posturas que supongan imposiciones o censuras de la gerencia a nuestros planteamientos objetivamente soportados, lo que requiere que siempre podamos acudir, o recurrir, al Consejo, como salvaguarda de nuestra función. Motivo por el que en este proceso no es válida la propiedad conmutativa, ya que el orden de los factores si afectaría al resultado.

Jesús Aisa Díez

21 de noviembre de 2013

Referencia a un modelo de auditoría óptimo

Por mis años de actividad, y responsabilidades, en la Unidad Corporativa de una gran multinacional española del sector de las telecomunicaciones, he tenido la oportunidad de conocer sus fortalezas y,  porque no decirlo, también sus oportunidades de mejora, las cuales fuimos, en la medida de lo posible, implementándolas según tuvimos oportunidad de ello.

Respecto de las fortalezas, creo que una de ellas es su estructura funcional, en la que se incluyen tres Unidades independientes: (i) la Auditoría Interna, (ii) la Inspección y (iii) la  Intervención. Con lo que su ámbito de actuación integral, como más adelante veremos, incide en todas las áreas que actualmente son identificadas como relevantes, tales como la lucha contra los fraudes, aunque este sea uno de los capítulos que más le está costando al  Institute of Internal Auditors reconocer como aspecto que no se escapan del alcance de las Auditorías Internas, pues basta recordar que, aún hoy, en su Norma 1210. A2 señala que: “los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude”.(Texto que entra en contradicción con indicado en la N 1210.A3, referida a los riesgos y controles claves en tecnología de la información, cuando solo cita que: no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información. Nadie es perfecto, y el IAI tampoco).

En el ámbito de la actividad auditora respecto al fraude, creo oportuno fijar nuestra atención en algunos aspectos que nos vienen a demostrar la innegable “responsabilidad” de los equipos de auditoría interna en la supervisión de este aspecto básico del control interno, como por ejemplo cuando el propio IAI  nos indica, como objetivos de la función auditora,  la evaluación de la eficacia de los procesos de gestión de riesgos y controles, relativos a la protección de activos, o lo que es lo mismo su integridad patrimonial, es decir la lucha contra los fraudes. En este sentido la actualización reciente de COSO I, incluye: como principio nº 8, el correspondiente a que: las organizaciones deben considerar la posibilidad de fraude en su evaluación de riesgos para el logro de sus objetivos.   

Pero volvamos a la estructura de la compañía a la que nos referimos, y aclaremos las funciones a desempeñar por las distintas unidades que lo componen.

 La unidad de Auditoría Interna asume la actividad habitual de la actividad auditora, por lo que su misión es la supervisión de los procesos, a fin de poder garantizar razonablemente: su eficiencia y eficacia, el cumplimiento de las leyes y normas que sean de aplicación, así como la fiabilidad de la información generada/distribuida.

Mientras que la denominada Inspección, que es lo que últimamente y aplicando un calificativo anglosajón, como prueba de su utilidad, se denomina forensic audit, la cual se ocupa de la investigación de los hechos fraudulentos, tanto en forma preventiva, como de forma correctiva. En forma coloquial podemos decir que las Unidades de Auditoría se ocupan de los “usos”, mientras que las de Inspección se dedican a los “abusos”.Como ejemplo de lo que subyace en lo que acabamos de decir, podemos señalar que Auditoría se dedica a la supervisión, por ejemplo, del proceso de compras en genérico, intentando opinar sobre él para mejorar su eficacia y eficiencia, mientras que la inspección se ocuparía de investigar lo que ha podido ocurrir en un determinado proceso de compras donde se han evidenciado irregularidades, identificando las causas y los responsables de los hechos acontecidos.

Por último nos quedaría la Intervención, la cual, en términos iberoamericanos, la podríamos identificar con “contraloría”, ya que es aquella que, por la relevancia de determinados controles, los mismos son realizados por la propia Unidad de Intervención, tales, como, por ejemplo, las firmas mancomunadas en la ordenación de pagos, en los que los especialistas de Auditoría que se encargan de la Intervención, asumen esta segregación de funciones, no progresando ningún compromiso de pago, lo pida quien lo pida, si el interventor no da su conformidad a la oportunidad del mismo, tanto en tiempo como en forma. Entre ellos las nóminas y suplidos de los empleados de la Organización.

Una característica de este modelo, aparte del de su probada eficacia, es que las tres áreas están interrelacionadas, puesto que Auditoría, si observa debilidades de control en algún proceso, se lo trasladaría a la de Inspección para que indague si, aprovechándose de esa circunstancia, se hubiesen producido fraudes. En sentido contrario, si Inspección detectase  fallos en algún proceso que posibilitasen la ocurrencia de fraudes, esta incidencia se pondría en conocimiento de Auditoría para que analizase las oportunidades de mejora del citado proceso. Por último el área de intervención, al ser un control operativo existente en determinados procesos, también será susceptible de ser auditado/ inspeccionado; lo mismo que las áreas de auditoría e inspección son “intervenidas” en todos los documentos generadores de desembolsos generados por dichas unidades.

El conjunto de las actividades de estas tres áreas, todas ellas dirigidas y coordinadas por el Director Ejecutivo de Auditoría, creo que aporta un plus de eficacia que entiendo conveniente recomendar, aunque para ello debamos tener especialistas en cada una de ellas, ya que las técnicas aplicadas no son idénticas, e incluso pueden diferir en algunos  aspectos, como sucede, por ejemplo, en la distribución de los informes de la Auditoría y de la Inspección, ya que los de esta última, dado su carácter reservado, deben tener una distribución restringida y selectiva. 

Espero que, al menos, con estas líneas haya podido abrir una vía de debate sobre el tema. Si fuese así me alegraría.

Jesús Aisa Díez

4 de Noviembre de 2013