¿ Cuándo finalizan las auditorías?

El proceso auditor tiene, como cualquier otro proceso empresarial, varias fases, debiendo ser atendidas y revisadas convenientemente para asegurar que se alcancen los objetivos perseguidos. En el caso de las auditorías internas el objetivo es el garantizar razonablemente el grado de eficiencia del control interno existente  de las Organizaciones en las que trabajemos.

En su inicio, parece claro que las auditorías nacen cuando se decide incluirlas en el Plan Anual de Auditoría, desarrollándose posteriormente con su planificación, programación, trabajo de campo, reuniones con los auditados, etcétera.

En este punto nos surge una primera duda, cómo de amplio es este etcétera, hasta dónde alcanza.

Parece evidente que en el extremo del final del proceso auditor esté la fase de preparación y envío del informe en borrador, el análisis de los comentarios recibidos de los auditados, y la confección-distribución del informe final, en el que, necesariamente, debe incluirse el plan de acción asumido por los responsables del ente auditado, conteniendo asimismo la identificación de los encargados de realizar las acciones correctoras estimadas necesarias, y las fechas estimadas de realización.

Si nos atenemos a lo recogido por el Marco Profesional para la Práctica Profesional de la Auditoría Interna, que como sabemos, es el “libro de cabecera” de los auditores internos al encontrarse en él recogidas las pautas de actuación que no son de aplicación, observaremos que en la Norma 2500, Seguimiento del Progreso, se señala que: El director de Auditoría interna debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados a la dirección. Aclarándose este requerimiento en el sentido de que: el director de auditoría interna debe establecer un proceso de seguimiento para vigilar y asegurar que las acciones de la dirección hayan sido implantadas eficazmente, o que la alta dirección haya aceptado el riesgo de no tomar medidas (N. 2500. A1).

En base a lo cual estimamos que, en principio, un informe de auditoría no estaría acabado hasta que no esté implementada la última de las recomendaciones recogidas en el informe final, y se haya confirmado la eficacia de las recomendaciones sugeridas o, en su defecto, haber sido desestimadas por la alta dirección.

Por estos principios de actuación, los Planes anuales de Auditoría deben contemplar las acciones necesarias para verificar el grado de atención real a las recomendaciones de las auditorías previamente realizadas, actuando de forma selectiva en función del riesgo y de la exposición al mismo, ya que no resultará posible supervisar todas las recomendaciones emitidas con anterioridad.

En este contexto, una sugerencia que suele ofrecerse a la Unidades de Auditoría Interna que se someten a evaluaciones externas de calidad, es la de buscar la necesaria pro-actividad de las áreas auditadas, requiriendo su compromiso de informar a aquellas del avance de la implementación de los planes de remediación aceptados, de forma que, al cumplirse el plazo previsto, los responsables de los procesos susceptibles de mejoras informen a Auditoría de la situación existente y, en su caso, de los motivos de los incumplimientos y las reprogramaciones necesarias. De esta forma, si una acción está reconocida por los propietarios de los procesos como no implantada, no se hace preciso la verificación del estatus real por auditoría, reservando nuestras actuaciones para los casos en los que se nos haya confirmado la atención de las mejoras recogidas en los planes de acción. 

De acuerdo con esta dinámica, cuando se efectúe la verificación de la situación verdaderamente existente por parte de Auditoría, nos podemos encontrar con que la misma responde a la información aportada por los propietarios de los procesos, que entendemos será la situación más probable, pero también será posible que nos encontremos con que la información aportada previamente haya sido inexacta, en cuyo caso procedería informar a la Comisión de Auditoría sobre este conflicto, a fin de que se adopten las medidas correctoras que procedan, pues no solo se habrían incumplido los compromisos asumidos, sino también probablemente habrá existido voluntad de confundir. Aspectos que entendemos se deben aclarar con la mayor prontitud posible.

En este contexto, una buena práctica que Auditoría Interna debería sugerir, tanto a la alta dirección de la Organización, como a la Comisión de Auditoría, es la posibilidad de vincular los “bonus” a los gestores, al grado de atención a las recomendaciones asumidas por ellos en los planes de acción derivados de los informes de auditoría a los que se hayan visto sometidos.

Por consiguiente, la respuesta a la pregunta con la que encabezamos estas líneas sería que: Una auditoría solo estará concluida cuando se hayan implementados todas las recomendaciones incluidas en los Informes, y adicionalmente hayamos comprobado que la eficacia que de ellas se esperaba, se está alcanzando.

Por tanto si esto fuese así, entendemos que esta conclusión debería guiar nuestras actuaciones, a fin de poder incrementar el auténtico valor que aportemos a las Organizaciones, pues no debemos olvidar que “el papel lo aguanta todo”.

Un abrazo 

Fortalezas y debilidades de las Unidades de Auditorías internas según encuestas a los clientes y a nuestros colaboradores

Uno de los productos obtenidos en las evaluaciones de calidad de las Unidades de Auditoría Internas, realizadas de acuerdo con los protocolos  The Institute of Internal Auditors, son los resultados de las encuestas efectuadas a una muestra representativa de los clientes de la Unidad evaluada, así como también de los propios miembros del Departamento/Gerencia de Auditoría.

Estas encuestas constan, en el apartado correspondiente a los clientes, de 24 preguntas, agrupadas en seis grandes bloques: (i) Relación con la alta dirección, (ii) Personal de Auditoría, (iii) Alcance de los trabajos de Auditoría, (iv) Procesos e informes de Auditoría, (v) Administración de la función de Auditoría y (vi) Valor agregado. En tanto que las preguntas realizadas a los miembros de la Unidad de Auditoría evaluada son 36, agrupadas en tres apartados: (i) Relación con la Gerencia, (ii) Evaluación de la capacitación /experiencia de los auditores y (iii) Evaluación de la práctica de la actividad de Auditoría.

Los resultados de estas encuestas permiten cubrir varios objetivos, en primer lugar, a los evaluadores de la función sometida al proceso de supervisión de la calidad, al conocer cuál es la percepción que existe en la Organización en relación con los servicios prestados por la función auditora, pero desde una doble perspectiva: los clientes y los propios miembros de la función auditora.

Finalmente los resultados de estas encuestas son facilitados a los responsables de las Unidades de Auditoría Interna evaluadas, incluyendo una comparativa de las respuestas individuales obtenidas en su Organización versus la media acumulada de las evaluaciones previamente realizadas; lo que permitirá realizar un doble análisis: el individual a través de la interpretación de los resultados obtenidos directamente en la propia empresa, y otro de alcance relativo comparando las respuestas obtenidas  en la empresa con las conseguidas en el resto de Organizaciones evaluadas. Con estos dos análisis se podrán conocer las debilidades, o fortalezas, manifestadas por los encuestados de nuestra empresa, pero también los gaps que pudieran existir entre la situación particular y la media aportada como referencia, lo que posibilitará saber si estamos “mejor” o “peor” que el promedio del conjunto ya evaluado.

A esta última información agregada es a la que queremos prestar atención, identificando los puntos fuertes y las debilidades de la actividad auditora considerada en forma colectiva, en base a las respuestas a las citadas cuestiones trasladadas a los encuestados (clientes y auditores). Por ello, a continuación reproduciremos la situación acumulada disponible.

En primer lugar observemos la situación reconocida por los propios auditores, debiendo señalar que las preguntas pueden ser respondidas en cuatro niveles: Malo (1), Regular (2); Bueno (3) y Excelente (4).

De acuerdo con estos datos, los puntos mejor valorados por los auditores en sus respuestas se corresponden con las siguientes preguntas:

 4. Entendimiento de la misión y objetivos de la actividad de la auditoría interna,

11. Objetividad e Independencia,

27. Ser objetivo y actuar con independencia,

28. Comprender y aplicar los valores centrales,

29. Asumir responsabilidades en el desarrollo del trabajo.

En tanto que las oportunidades de mejora, dado que su valoración es inferior al 3 (correspondiente al nivel  Bueno), serían, las que a continuación señalamos:

19. Seminarios de formación dentro de la compañía. Temas específicos.

20. Seminarios de formación dentro de la compañía. Temas generales.

21. Seminarios externos, temas de auditoría.

22. Seminarios externos. Otros temas.

25. Rotación entre departamentos operativos.

26. Participación/asociación en organizaciones empresariales.

De donde se puede observar una elevada demanda de formación de los auditores, que entendemos es un aspecto al que se debiera conceder la atención que ello merece.

Pasando ahora a las respuestas/opiniones de los clientes, entre los que se habrá considerado: a una representación de la alta dirección y a determinados responsables operativos de entes auditables recientemente supervisados, elegidos conjuntamente entre el Director de Auditoría Interna y el Director del Proyecto de Auditoría.

Los cuestionarios son, como en el caso anterior, totalmente confidenciales, y se han de devolver, una vez cumplimentados, directamente al Director del Proyecto de evaluación interna, sin la intervención de ningún responsable de la Unidad de Auditoría Interna evaluada.

A fin de potenciar la bondad de las opiniones, las respuestas a los cuestionarios permiten el anonimato, como forma de garantizar la total y absoluta discreción sobre el origen de las opiniones.

Entendemos significativo destacar que de las 24 preguntas incluidas en los cuestionarios de los clientes, ninguna de ella se sitúa, en promedio, en una puntuación inferior al 3, nivel Bueno, ya que las valoradas más bajas son la Pregunta 13 (Duración de las auditorías) y la 21 (Calidad del desarrollo profesional del personal de Auditoría Interna), pero ambas con un 3,15. En tanto que las que alcanzan los niveles más altos, son:

Pregunta Nº 2. Dependencia y ubicación organizacional de la Unidad de Auditoría Interna en la Organización (3,55)

Pregunta Nº 3. Acceso libre y sin restricciones de Auditoría Interna a la información (3,67).

Pregunta Nº 6. Profesionalidad de los auditores internos. (3.53).

Con estos datos, entendemos que, al menos las Unidades de Auditorías internas que se han sometido a las evaluaciones externas que los respaldan, podrían asegurar globalmente que consiguen un nivel de satisfacción de sus clientes internos muy alto, por lo que su actividad tendría la calidad requerida.

Independientemente a esta satisfactoria visión global desde la perspectiva de los clientes, la información acumulada también servirá de referencia para que las distintas Organizaciones, individualmente consideradas, comparen la situación expuesta por sus clientes internos, con la media recogida en las estadísticas. Datos que a tales efectos, no solo de los clientes, sino también de los miembros de los equipos de auditoría,  se aportan como resultado de las evaluaciones, a fin de puedan analizarse y detectar las fortalezas que se deriven de las respuestas, pero también las debilidades de las que deberían preocuparse para no alejarse de la media de la profesión realizada con calidad.

Por consiguiente, y sirviendo lo comentado  de ejemplo de la utilidad que se deriva de los procesos Quality Assesment, debemos reiterar la conveniencia de abordar estos análisis, no solo para atender un requerimiento del citado  Institute of Internal Auditors, sino para poder aprovecharse de los aportes de valor que de ellos de derivan.

Espero que lo comentado y compartido pueda aportarles algún beneficio.

Jesús Aisa Díez.

14 de Febrero de 2014

El triángulo del fraude y la eficacia en la lucha contra los fraudes

Como sabemos el fraude empresarial es un riesgo que está presente en todo tipo de organizaciones y en cualquier latitud, por lo que se hace preciso concederle la grave importancia que tiene,  administrándole convenientemente. Para ello, y como actuamos con cualquier otro riesgo, hemos de empezar por  concretar cuáles son sus dos atributos, impacto y probabilidad.

Respecto del posible impacto, de acuerdo con las estadísticas elaboradas por  los especialistas, podemos decir que, en términos generales, el fraude tiene unas enormes repercusiones, estimadas, en promedio,  en el equivalente al 5% del importe de las ventas de cada año. Lo que nos da idea del impacto de dicho riesgo.

En cuanto a la probabilidad de ocurrencia, que sería el segundo de los atributos con los que podríamos  estimar la importancia del riesgo, tanto a nivel inherente como residual. Este dato nos lo podría facilitar la dimensión del famoso triángulo de fraude que sea aplicable en cada organización.

Recordemos que fue D. Cressey quien en 1961 expuso su conocida teoría respecto a los condicionantes para que se materialice el fraude, debiendo coexistir para ello tres  situaciones:

1º) Motivación (incentivo, presión). Cuando la Administración u otros empleados tienen un estímulo o presiones que les aportan razones justificativas para cometer fraudes.

2º) Poder (Oportunidad). Serían las circunstancias que facilitan las posibilidades de perpetuar fraudes (por ejemplo la ausencia de controles, controles ineficaces, o la capacidad de la administración para abrogar los controles).

3) Racionalización, actitud. Cuando las personas son capaces de racionalizar un acto fraudulento en total congruencia con su código de ética personal o que poseen una actitud, carácter o conjunto de valores que les permiten, consciente e intencionalmente, cometer un acto deshonesto.

Teniendo presente la representación gráfica del triángulo con el que encabezamos estas líneas, creemos que la dimensión que el mismo tenga, es decir su área, determinará la probabilidad de ocurrencia, ya que si los tres factores tienen una dimensión elevada, la probabilidad también lo será; por eso, la mejor  forma de combatir los riesgos de fraudes, es la de incidir sobre estos tres factores, reduciéndolos, pero no de forma simultánea, pues basta con que uno de ellos no esté presente para que el riesgo no se materialice, o en el peor de los caso que se minimice. Como representamos en el siguiente cuadro. 

Como se observa en la figura anterior, el lado que hemos reducido es el que se corresponde con la oportunidad, y ello no de forma caprichosa, sino porque es el factor en el que la Organización tiene una mayor capacidad de actuaciones, puesto que si bien sobre la motivación y la racionalización las empresas pueden adoptar decisiones que se trasladen a los comportamientos de los empleados, hemos de reconocer que al final, estos dos factores  (motivación y racionalización) dependen en gran medida de la postura que adopten los propios individuos, con independencia de las medidas que las empresas adopten para reconducirlos.

Por consiguiente, y siendo así, y no pretendiendo señalar que debemos desentendernos de las motivaciones y de la racionalización, pero sí para señalar que la trascendencia que tiene combatir/gestionar/administrar convenientemente el factor “oportunidad”, en donde radicaría el éxito de controlar la probabilidad de ocurrencia, de forma que si pudiésemos suprimirlo, habríamos conseguido eliminar totalmente el riesgo de fraude, a pesar de lo importante y altos que fuesen las motivaciones y la racionalización.

Como resultado de este planteamiento, y en la medida que se compartiese, deberíamos priorizar los controles con los que minimizar las “oportunidades” que puedan presentarse a los defraudadores, pues controlando estas, habremos incidido de forma eficaz en su combate, pero además si queremos que estos sean eficientes, deberemos decantarnos por los controles preventivos, que son de los que mayor  beneficio obtendríamos. De estos la segregación de funciones es de donde podemos esperar una mayor utilidad.

Saludos.

Jesús Aisa Díez

10 de Febrero de 2014.