Las evaluaciones de calidad. Una calificación rígida o flexible

Como ya hemos comentado en algunas ocasiones anteriores, las evaluaciones de calidad de las Unidades de Auditoría Interna, no solo son un requisito establecido por las Normas que nos son de aplicación a los auditores internos, en tanto que queramos adaptar nuestras prácticas de actuación a lo recogido por The Institute of Internal Auditors, sino que también es una muy buena práctica con la que poder comparar la actividad que desarrollamos en nuestro ámbito de actuación, con respecto a los estándares considerados satisfactorios. Para ello, estimamos que el proceso de auditoría, como cualquier otro desarrollado en los entornos empresariales, debe estar inmerso en un proceso de mejora continua que permita ir avanzando en la consecución de las expectativas de las partes interesadas.

En este sentido, la sistemática a seguir con la que poder evaluar el grado de calidad alcanzado por las Auditoría Internas evaluadas, no pretende concluir en un “Totalmente cumple con las Normas”, ya que ello significaría que habríamos alcanzado la calidad máxima que podríamos conseguir, lo cual es una utopía, ya que siempre existirán oportunidades que nos permitirán ir mejorando la satisfacción de nuestros clientes. Por ello, en el mejor de los casos, la calificación máxima concedida es la de “Generalmente cumple” con las Normas.

Adicionalmente debemos señalar que la opinión que se conceda por parte de los evaluadores deberá tener en consideración determinados factores, pues si bien las Normas son idénticas para todas la Unidades de Auditoría, no debería ignorarse que las prácticas observadas estarán influenciadas por aspectos tales como: el entorno legal, el regulatorio y el cultural de la organización, la industria en la que se ejerza la función, el tamaño y las expectativas de las partes interesadas. Lo cual aporta una cierta flexibilidad a la rigidez que se derivaría de una aplicación estándar y rigurosa de los preceptos normativos existentes, evitando la calificación asignada en base a una estricta expresión algebraica del número de normas atendidas. Pues como señalaba el filósofo español Ortega y Gasset: Yo soy yo y mis circunstancias.

Es decir, que al valorar una función auditora deberemos ser sensibles a los entornos en los que se realiza la actividad, identificando los condicionantes que pudieran existir, y sin olvidar que lo importante no es solo el nivel de “calidad” apreciado, sino la progresión que se derive de los planes de actuación que puedan asumirse. 

Por ello, desde nuestra perspectiva, un aspecto trascendente de las evaluaciones de calidad está en la oportunidad de poder identificar oportunidades en los procedimientos de auditoría aplicados, que permitan la mejora de su eficacia y eficiencia. Oportunidades que deberían ser expuestas a los responsables de la función evaluada, no como un defecto en sus procedimientos, sino como una progresión de los mismos, para lo que resulta necesario que, al evaluar y comentar la situación observada, adoptemos una posición positiva y proactiva.

En este sentido, y dado que en determinadas circunstancias la aplicación estricta de las normas no es posible, como más adelante podremos comentar, se hace preciso que en estos casos nos fijemos, no tanto en la literalidad de las Normas, sino en su espíritu, que es lo que deberíamos valorar si se cumple, o no. Como sucede por ejemplo en la Norma 2030, cuando señala que “el director de auditoría debe asegurar que los recursos de auditoría interna sean suficientes y eficazmente asignados para cumplir con el plan aprobado”, cuando lo que debemos asegurarnos es de que los recursos sean adecuados para cumplir con el plan a desarrollar según las necesidades de la organización, pues no debemos olvidar que son los recursos los que deben adecuarse al plan, no éste a los recursos, que es lo que literalmente podría interpretarse que señala la norma.

Adicionalmente, y desde mi perspectiva, no todas las normas tienen la misma influencia a la hora de valorar la calidad de la función auditora, pues las hay que podrían ser determinantes, como por ejemplo, las siguientes: N.1100, Independencia y Objetividad; N.1120, Objetividad individual; N.1200, Aptitud y cuidado profesional; N.2010, Planificación; N. 2020, Comunicación y Aprobación; N. 2100 Naturaleza del trabajo, N. 2200, Planificación del trabajo; N. 2420, Calidad de la Comunicación y N. 2500, Seguimiento del Progreso. 

De ellas, la correspondiente a la Independencia y Objetividad, destacaría sobre todas las demás. Es decir, que sería condición sine qua non para la obtención de una valoración favorable. 

Si nos atenemos a la letra de la N1110, se nos describe cuándo debemos entender que existe verdadera independencia dentro de la organización, señal´ndonos que eso solo se produce cuando la Unidad de Auditoría Interna depende jerárquicamente a un nivel que le permita cumplir con sus obligaciones, pero también, y eso es lo que entendemos más significativo, cuando dependa funcionalmente del Consejo/Directorio. Describiendo posteriormente  algunos ejemplos de dependencia funcional.

De admitirse esta opinión, se nos ocurre que, por ejemplo, que deberíamos opinar en el momento de valorar la función auditora en una organización que no se corresponda con una sociedad cotizada, como por ejemplo una ONG, entidades sin ánimo de lucro, o empresas familiares que no dispongan de Consejo/Directorio. 

Obviamente la opinión debería apoyarse en otras bases diferentes a la dependencia funcional del inexistente Consejo, pues lo que habrá que averiguar es si el Director de Auditoría Interna actúa sin interferencias en su labor. Es decir, indagar sobre si se cumplen el espíritu de la norma, en el sentido de que su Unidad de Auditoría actúe con independencia de criterio, que es lo que se nos debe requerir, no tanto que dependa de un inexistente Consejo/Directorio.   

En el mismo sentido, la inexistencia del Consejo impediría, en principio, el cumplimiento de la 2020, pues no podríamos atenderla.

Comentamos estos puntos porque recientemente he tenido la oportunidad de poder valorar la actividad de una auditoría interna en una entidad docente, concretamente una Universidad, donde no existe una estructura organizativa empresarial convencional, pero en la que su función sí se ajustaba los principios de las Normas que nos son de aplicación, aunque hemos tenido que entender sus actuaciones en base a la realidad operacional en la que se encontraba, sin que ello nos haya impedido ser rigurosos en la valoración del cumplimiento de la filosofía de las Normas, en vez de en su letra. Lo cual, no obstante, nos posibilitó hacer algunas recomendaciones que esperamos sean de utilidad en su actividad diaria.

Por lo que, como conclusión de lo que hemos comentado, si queremos valorar alguna situación, lo que resulta recomendable, para no ejercer de fiscalizador intransigente, es ponernos en lugar de los evaluados, identificando los condicionantes en los que deben actuar. En base a ello podremos emitir recomendaciones viables que les peritan seguir avanzando en la consecución de los objetivos a conseguir. En nuestro caso, no lo olvidemos, la mejora del control interno de las organizaciones.

Jesús Aisa Díez

Madrid,10 de diciembre de 2014

 

¿Por qué evaluaciones de calidad de las auditorías internas?

De acuerdo con el Marco Internacional para la Práctica Profesional de Auditoría Interna, según su Norma 1.300, se hace preceptivo que las Unidades de Auditoría Interna desarrollen y mantengan un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditora.

Dicho programa se debe materializar a través de dos enfoques diferentes, uno interno y otro externo. El interno incluye evaluaciones continuas y otras periódicas. Siendo las continuas las que se preocupan de analizar el día a día del desempeño de la función, en tanto que las periódicas se orientan a supervisar el cumplimiento de la definición de auditoría interna, de las Normas  y los respectivos Códigos de Ética.

Por lo que respecta a las evaluaciones externas, éstas se ocupan de verificar, desde una visión independiente a la organización, si las conclusiones de las evaluaciones internas son acertadas, y si la opinión de las partes interesadas, así como la supervisión de los procedimientos, políticas y las actuaciones de la Unidad de Auditoría confirman la opinión interna sobre el cumplimiento de los requerimientos del Marco citado.

En base a lo que hemos indicado surge ya una primer diferencia con las evaluaciones de calidad que siguen el esquema de la ISO 9001, pues, como bien sabemos, ISO certifica en calidad a aquellas organizaciones que  tienen desplegado un sistema de mejora continua, que siga sus pautas, y en las  que su objetivo sea avanzar en la  consecución de las expectativas de los clientes, internos y externos, pero sin que el valor absoluto observado sea determinante para la conclusión de la evaluación, puesto que lo que se requiere es que se apliquen los procedimientos normativos que permita progresar en la búsqueda del cumplimiento de las expectativas de los clientes.

Sin embargo, las evaluaciones de calidad que siguen los protocolos del Instituto de Auditores Internos, se preocupan en conocer el grado de atención de las expectativas de los clientes internos y externos, así como de la atención de los requerimientos del Marco, calificando de favorables sus evaluaciones solo cuando el resultado de ese “examen” sea positivo.

Esta diferenciación es determinante, pues las Unidades de Auditoría, desde la perspectiva de la Norma 1.300 ya citada, exclusivamente se certificarán si disponen de un grado de calidad que supere un determinado nivel, medido este desde la perspectiva del cumplimiento de las Normas y a haber alcanzado un grado de satisfacción de sus clientes adecuado.

En este sentido, y como una mejor práctica de los reguladores que velan por las buenas actuaciones en el ámbito del control interno, podríamos citar el ejemplo de la Superintendencia de Banca, Seguros y AFP Peruanas, SBS, ya que su reglamentación no solo exige la existencia en las organizaciones por ella reguladas (las del sistema financiero) de Unidades de Auditoría Interna, sino que, adicionalmente, y antes de que acabe el presente año 2014, según su Circular G.161-2012, exige que dichas Unidades de Auditoría Interna (UAI) , se sometan a evaluaciones externas según la Norma 1.300. 

Es evidente que la decisión de requerir esta evaluación externa persigue un claro objetivo, el que las citadas UAI no sean algo estético que cumpla exclusivamente una exigencia legal, sin que su operativa atienda a los requerimientos de fiabilidad, eficacia y eficiencia que debe esperarse de nuestra labor auditora.

Este objetivo, que esperamos redunde en la aportación real del valor que se derive de la actuación de las auditorías afectadas, hemos de señalar que no es novedoso, puesto que si recordamos las medidas que se introdujeron después de los lamentables y penosos casos de ENRON, Tyco International, WorldCom,…., que dieron origen a la mundialmente conocida Ley Sarbanes-Oxley, por la que se creó también la Junta de Supervisión sobre las Firmas Contables que dictaminan sobre los estados contables y el control interno de las compañías cotizadas en USA, es decir a las auditorías externas de dichas  sociedades. 

Esta junta esta definida en la Sección 101 de dicha Ley con el nombre PCAOB (Public Company Accounting Oversight Board) la cual tiene la potestad, entre otras atribuciones, de emitir Normativa para regular la práctica de auditoría externa frente a la SEC (Securities and Exchange Comisión), que es el organismo de los Estados Unidos equivalente a la Comisión Nacional del Mercado de Valores español. Por tanto, es el supervisor evaluador de las firmas de auditoría externas, al igual que el MIPPAI entiende debe efectuarse con las auditoras internas, al menos una vez cada cinco años.

Por todo ello, aunque en realidad las evaluaciones de calidad no se deben entender como auditorías a los auditores internos, sí que son supervisiones de las formas de desarrollar su actividad, así como la verificación del grado de adecuación a las Normas del Institute of Internal Auditors (IIA) ya que, como conocemos, éstas recogen las mejores prácticas que deben ser conocidas y aplicadas por las distintas Unidades de Auditoría Interna, siempre que quieran regirse por los requerimientos de los especialistas de esta actividad.

Por todo ello, no solo porque lo determinen los órganos reguladores que nos sean de aplicación, sino porque también es una forma de poder conocer los gap que aún quedarían pendientes de corregir para poder estar en los estándares de calidad requerido por el IIA, aconsejamos que se valore la oportunidad de realizar las evaluaciones externas de calidad, lo cual, aparte de permitirnos conocer cuáles pueden ser las mejoras que podríamos incorporar en nuestra actividad, también posibilitan el compartir con las organizaciones en las que desempeñemos la actividad el buen hacer que se nos haya observado, lo que redundará en una mejora de nuestra imagen en el interior de la compañía.

Espero que, por estas, y la necesaria atención de la Norma 1300, que las Unidades de Auditoría que aún no se hayan decidido en evaluarse externamente, lo reconsideren y valoren la oportunidad de hacerla. En nuestra opinión siempre será una decisión acertada.

Jesús Aisa Díez

24 de noviembre de 2014

Balance del curso sobre Plan de Auditoría en base a riesgos

Invitado por la Gobernación de Antioquia, Colombia, he tenido la oportunidad de volver a visitar ese precioso país, y poder compartir experiencias con sus profesionales. En esta ocasión la ponencia se centraba en debatir sobre la forma de gestionar los Planes de Auditoría en base a Riesgos. Tema que también tuve la oportunidad de desarrollar previamente en Bogotá los días 4 y 5 de Noviembre pasado.

En ambos encuentros los resultados creo que pueden calificarse de satisfactorios, debido al enorme interés que observamos en los participantes por el tema expuesto, lo que viene a evidenciar la priorización que desde las distintas organizaciones, tanto privadas como públicas, se están actualmente concediendo a la gestión de los riesgos empresariales; considerado a este como un camino estratégico para conseguir los objetivos empresariales, entre los que no debemos ignorar la necesidad de optimizar la labor de las Unidades de Auditoría, de forma que seamos muy selectivos en el momento de elegir los entes auditables que pretendamos supervisar en el corto plazo, centrando nuestra atención en los procesos que resulten determinantes para alcanzar las metas marcadas por las organizaciones.

De los cuestionarios cumplimentados por los asistentes a la reunión de Bogotá, creemos que pueden sacarse algunas conclusiones que consideramos importantes, pues nos permiten inducir en dónde se focaliza actualmente el interés de los profesionales con los que nos relacionamos.

En primer lugar, destacaríamos que de los asistentes, el 30% estaba adscrito a labores de gestión en sus empresas, en tanto que, el 70% restante, actuaba en el ámbito de la supervisión. Llama nuestra atención que, a pesar que el título nos dirigía hacia los profesionales de la función auditora, casi una tercera parte de los asistentes actuaban en el ámbito de la gestión, lo que entendemos como un indicador con el que apreciar el interés que la labor auditora está levantando actualmente en las organizaciones, lo que vendría a demostrar la importancia que se le concede a nuestra actividad. 

Otro de los aspectos que también consideramos muy positivo de la opinión de los participantes, es la que se refiere a la respuesta dada a la pregunta: ¿Cómo entienden que podrían aplicarse los aspectos aprovechables de la metodología expuesta en sus organizaciones?. Habiéndose obtenido un 50% de opiniones que entendían que se podrán aplicar en el corto plazo, y el otro 50% en el medio plazo. Por consiguiente, para la mitad de los asistentes, los que consideraron viable su implementación a corto plazo, no se debieron observar dificultades que impidieran acometer el proyecto de implantar un Sistema de Gestión de Riesgos en sus empresas, ámbito que necesariamente también se contempló en el seminario. Por lo que, en estos casos, estaríamos ante un contexto exclusivo de voluntad empresarial, como condición última para acometerlo.

En lo que respecta a los condicionantes que se entendían pudieran existir para no aplicarlas de inmediato. Las respuestas se centraron en:

• Capacidad del personal de la Unidad de Auditoría Interna.
• Mayor coordinación con el Gestor de Riesgos.
• Contar con los recursos humanos suficientes.
• Cultura organizacional, compromiso de las gerencias en su conjunto
• Apoyo de la Gerencia General o del CEO.

De estas respuestas, la que se identifica con la necesaria coordinación con el Gestor de Riesgos, nos sitúa, creemos, en ámbitos empresariales donde ya estaría iniciándose la implantación del Sistema de Gestión de Riesgos, pero en el que Auditoría encuentra dificultades para colaborar en el mismo, ya que no existe la debida coordinación con el Gestor de Riesgos. Lo cual, aunque ya también percibido en otras ocasiones, no deja de sorprendernos, ya que no vemos puntos de conflicto entre las actividades a desarrollar por ambas unidades, sino todo lo contrario, complementariedad.

En cualquier caso, entiendo que este posible conflicto se pueda deber a la confusión que pudiera existir respecto de los roles que ambas unidades deben desempeñar, no solo desde la visión de los gestores de Riesgos, que pueden visualizarnos como unos competidores y cuestionadores de la  determinación y evaluación de los riesgos por ellos establecida, sino también por la indebida actuación que pudiesen realizar las auditorías internas “exigiendo” determinadas actuaciones con las que reconducir los riesgos residuales observados hasta zonas de menor incertidumbre en la consecución de los objetivos.

Si la causa de la no necesaria coordinación y complementariedad de actividades, fuese debida a la actuación inadecuada de auditoría, entendemos que el pronunciamiento realizado por el Instituto de Auditores Interno al respecto es determinante, como podemos recordar haciendo mención al famoso abanico de posibles escenarios en los que movernos recogidos en la figura, donde queda claro lo que debemos hacer, lo que podemos hacer y lo que nos está prohibido realizar.

Campo de actuaciones que deberíamos exponer con claridad y coordinarlas con el gestor de riesgos, con lo que habremos evitado que surjan dudas sobre hasta dónde vamos a intervenir en el proceso, evitando malas interpretaciones, pero sobre todo duplicidades.

Otro aspecto que también debería establecerse con el Gestor de Riesgos en estas conversaciones previas de coordinación, es la forma en la que Auditoría Interna pondrá a su disposición los resultados de las auditorías en base a riesgos y las conclusiones alcanzadas, de forma que estas puedan ser tenidas en consideración y modificar, en la medida que sea necesario, el mapa de riesgos corporativo, que es la responsabilidad del citado Gestor. Asimismo, y si no existiesen definidos por la Organización los apetitos o tolerancia a los riesgos, este también es un aspecto que debe ser puesto de manifiesto en las auditorías, a fin de que el Comité de Riesgo los proponga al Consejo de Administración/Directorio, a fin de este sea el que decida los niveles de riesgo que se entiendan compatibles con la consecución de los objetivos empresariales.

Por todo lo anterior, la interacción entre ambas Unidades es algo necesario, y que, aclarando los roles que vamos a realizar, no consideramos que sea motivo de polémica o malas interpretaciones, sino todo lo contrario. Por ello no vemos justificada la razón aludida para la implantación de un proceso de determinación del Plan de Auditoría en base a riesgos/Sistema de Gestión de Riesgos, la falta de coordinación con el responsable de riesgos, ya que debería ser una parte interesada en que lo desarrollemos, al ser un beneficiario directo de nuestro trabajo.

En cualquier caso, la experiencia observada es mucho más positiva que la que he tenido la oportunidad de apreciar no hace demasiado tiempo en el mismo entorno, por lo que creo vamos por el buen camino.

Pudiendo para terminar señalar que el Gestor de Riesgos y el Director de Auditoría Interna no son rivales, son colaboradores que deben aprovechar las sinergias de sus respectivas actuaciones.

Esperando que estos comentarios puedan resultar de interés, gracias por la atención que puedan prestarles. Saludos

Jesús Aisa Diez

16 de noviembre de 2014

Planes de Auditoría en Grupos multinacionales y en organizaciones corporativas multiempresa

Como bien conocemos, los planes de auditoría, de acuerdo con lo especificado en la Norma 2020 del Marco Internacional para la Práctica Profesional de Auditoría Interna, deben ser presentados y aprobados por la alta dirección y el Consejo, para lo cual el Director de Auditoría Interna ha de efectuar previamente un análisis de los riesgos que puedan afectar a su organización, a fin de poder determinar las prioridades que debe conceder a la actividad auditora por el dirigida (Norma 2010).

Aspectos que, cuando estemos operando en organizaciones a nivel empresa no representan ninguna duda respecto de cómo actuar para atender  ambos  requerimientos normativos, pero que, cuando estemos trabajando en ambientes de corporaciones multinacionales y/o multifunción, habrá que valorar la forma de desarrollar ambos preceptos, ya que en estos casos normalmente la forma operar estará supeditada a una dependencia corporativa, aunque desarrollada de forma descentralizada, en la que el Director General de Auditoría Interna a nivel de Grupo tendrá la responsabilidad global de la función de auditoría a nivel de toda la Corporación, aunque materializada esta en forma deslocalizada,  surgiendo entonces algunas dudas respecto de que criterios debemos aplicar a nivel empresa para determinar las formas de actuar.

La primera duda con la que nos podemos enfrentar es si los planes de auditoría organizacionales deberíamos deducirlos evaluando los riesgos de los procesos a nivel empresa o en el contexto del Grupo, ya que dependiendo de la decisión adoptada los planes de auditoría serán diferentes, y lo que es más importante, los recursos de auditoría para atenderlos también serán distintos, ya que las sinergias, en uno y otro caso diferirán.

Si actuamos a nivel de empresa los planes serán el resultado de la evaluación y priorización de los riesgos que afecten a los procesos de cada subsidiaría o filial; en tanto que si actuamos en el entorno de todo el Grupo, la priorización será la que se derive del contexto corporativo, en el que se habrá ponderado la importancia de los procesos según su relevancia relativa, pudiendo encontrarnos que, un proceso/riesgo trascendente a nivel empresa, en un entorno corporativo podría no reflejar ya esa valoración, al haberse devaluado dentro del conjunto de los entes auditables de la corporación.

La elección de una u otra forma de actuar tiene ventajas e inconvenientes, por lo que habrá que analizarlas detalladamente y decidir la que en cada caso se considere más oportuna, pero sobre todo más eficiente. 

A modo de reflexión de a lo que nos puede conducir un análisis de los universos de auditoría a nivel empresa, es que, en base a ello,  y según la entidad de las mismas, y a los recursos de auditoría localmente disponibles, el que en las organizaciones más representativas del Grupo se pudieran excluir entes auditables que fuesen comparativamente más significativos que otros incluidos en los planes de auditoría de empresas de menores dimensiones, aunque en el ranking global no lo fuesen, lo que no dejaría de representar una incoherencia. Por todo ello, y debido a que la gravedad de los riesgos es algo relativo, fundamentalmente si los estuviésemos valorando de forma cualitativa, se hace necesario que deberíamos emplear una misma escala para poder concluir sobre la severidad o importancia de los riesgos de forma homogénea en toda la Corporación.

Respecto del circuito de presentación y aprobación, entendemos que la forma más adecuada es que se presenten a la alta dirección y al Comité de Auditoría a nivel local, a fin  de que opinen sobre su adecuación a las necesidades del mantenimiento del nivel requerido para un adecuado control interno, recogiendo sus comentarios y peticiones, elevando   posteriormente dichos planes a nivel de Corporación para que puedan emitir su propia valoración y aprobación definitiva. Circuito que entendemos también válido para la presentación de los resultados obtenidos en el desarrollo de los planes de auditoría.

Espero que quienes tengan oportunidad de actuar en estos entornos, consideren de utilidad estas opiniones, las cuales entendemos podrían ser adecuadas para seguir incidiendo en la mejora del valor que aportan las auditorías, ya que estaremos incidiendo, entre otras cuestiones, en nuestra productividad.

Un saludo.

Jesús Aisa Díez

27 de Octubre de 2014