Planes de Auditoría en Grupos multinacionales y en organizaciones corporativas multiempresa

Como bien conocemos, los planes de auditoría, de acuerdo con lo especificado en la Norma 2020 del Marco Internacional para la Práctica Profesional de Auditoría Interna, deben ser presentados y aprobados por la alta dirección y el Consejo, para lo cual el Director de Auditoría Interna ha de efectuar previamente un análisis de los riesgos que puedan afectar a su organización, a fin de poder determinar las prioridades que debe conceder a la actividad auditora por el dirigida (Norma 2010).

Aspectos que, cuando estemos operando en organizaciones a nivel empresa no representan ninguna duda respecto de cómo actuar para atender  ambos  requerimientos normativos, pero que, cuando estemos trabajando en ambientes de corporaciones multinacionales y/o multifunción, habrá que valorar la forma de desarrollar ambos preceptos, ya que en estos casos normalmente la forma operar estará supeditada a una dependencia corporativa, aunque desarrollada de forma descentralizada, en la que el Director General de Auditoría Interna a nivel de Grupo tendrá la responsabilidad global de la función de auditoría a nivel de toda la Corporación, aunque materializada esta en forma deslocalizada,  surgiendo entonces algunas dudas respecto de que criterios debemos aplicar a nivel empresa para determinar las formas de actuar.

La primera duda con la que nos podemos enfrentar es si los planes de auditoría organizacionales deberíamos deducirlos evaluando los riesgos de los procesos a nivel empresa o en el contexto del Grupo, ya que dependiendo de la decisión adoptada los planes de auditoría serán diferentes, y lo que es más importante, los recursos de auditoría para atenderlos también serán distintos, ya que las sinergias, en uno y otro caso diferirán.

Si actuamos a nivel de empresa los planes serán el resultado de la evaluación y priorización de los riesgos que afecten a los procesos de cada subsidiaría o filial; en tanto que si actuamos en el entorno de todo el Grupo, la priorización será la que se derive del contexto corporativo, en el que se habrá ponderado la importancia de los procesos según su relevancia relativa, pudiendo encontrarnos que, un proceso/riesgo trascendente a nivel empresa, en un entorno corporativo podría no reflejar ya esa valoración, al haberse devaluado dentro del conjunto de los entes auditables de la corporación.

La elección de una u otra forma de actuar tiene ventajas e inconvenientes, por lo que habrá que analizarlas detalladamente y decidir la que en cada caso se considere más oportuna, pero sobre todo más eficiente. 

A modo de reflexión de a lo que nos puede conducir un análisis de los universos de auditoría a nivel empresa, es que, en base a ello,  y según la entidad de las mismas, y a los recursos de auditoría localmente disponibles, el que en las organizaciones más representativas del Grupo se pudieran excluir entes auditables que fuesen comparativamente más significativos que otros incluidos en los planes de auditoría de empresas de menores dimensiones, aunque en el ranking global no lo fuesen, lo que no dejaría de representar una incoherencia. Por todo ello, y debido a que la gravedad de los riesgos es algo relativo, fundamentalmente si los estuviésemos valorando de forma cualitativa, se hace necesario que deberíamos emplear una misma escala para poder concluir sobre la severidad o importancia de los riesgos de forma homogénea en toda la Corporación.

Respecto del circuito de presentación y aprobación, entendemos que la forma más adecuada es que se presenten a la alta dirección y al Comité de Auditoría a nivel local, a fin  de que opinen sobre su adecuación a las necesidades del mantenimiento del nivel requerido para un adecuado control interno, recogiendo sus comentarios y peticiones, elevando   posteriormente dichos planes a nivel de Corporación para que puedan emitir su propia valoración y aprobación definitiva. Circuito que entendemos también válido para la presentación de los resultados obtenidos en el desarrollo de los planes de auditoría.

Espero que quienes tengan oportunidad de actuar en estos entornos, consideren de utilidad estas opiniones, las cuales entendemos podrían ser adecuadas para seguir incidiendo en la mejora del valor que aportan las auditorías, ya que estaremos incidiendo, entre otras cuestiones, en nuestra productividad.

Un saludo.

Jesús Aisa Díez

27 de Octubre de 2014

Los planes de auditoría con altura de miras

Un aspecto que suele ser objeto de debate, cuando los evaluadores de calidad de la institución en la que colaboro nos reunimos para poner en común nuestros puntos de vista, es el correspondiente al alcance que debemos dar a estas evaluaciones, ya que hay quien opina que debemos focalizarlo exclusivamente hacia: (i) la operativa empleada por las unidades de auditoría internas para desarrollar su trabajo, (ii) así como a los soportes institucionales con que cuenta para actuar con independencia y objetividad (Estatuto, Código de Ética, Manual de Metodología, etcétera), y (iii) a su capacidad para actuar.

Pero existimos otros que entendemos que nuestra evaluación debe también incidir sobre los aspectos que puedan afectar al adecuado gobierno corporativo de la organización, como por ejemplo: composición de los Comités de Auditoría, presencia del director de auditoría en los órganos de decisión de las compañías, capacidad real de los auditores en supervisar las actuaciones de los consejeros, entre otras actuaciones, ya que consideramos que estos aspectos son determinantes para condicionar el adecuado entorno de control en el que nos podamos desenvolver los auditores.

Por ello, creemos que desde auditoría interna no solo debemos incidir en los procesos operativos de las distintas unidades, sino también evaluar y opinar sobre aquellos temas que afecten a los miembros del Consejo, garantizando, razonablemente, que actúan disponiendo siempre de la información más completa, y de buena fe, con la diligencia y atención debidas, y en el más alto interés de la sociedad y de los accionistas (ver Punto VI. Las responsabilidades del Consejo. Principios de Gobierno Corporativo OCDE. 2004). Pues como la propia definición de nuestra actividad recoge, tres son los procesos sobre los que hemos de actuar: Riesgos, controles y gobierno corporativo. No debiendo olvidar respecto de este último proceso lo que las buenas prácticas sobre gobernanza corporativa no señalan respecto a: la necesidad de asegurarnos de que los miembros del directorio sean idóneos para su cargo, tengan un claro entendimiento de su principal papel en el gobierno corporativo de la organización, y que no estén sujetos a influencias indebidas de la administración o intereses externos. Es decir que no deterioren el requerido Tone at the top.

Desgraciadamente son muchas las experiencias, al menos en España, que evidencian las irresponsables actuaciones de los Consejos de Administración, donde no es frecuente que pase un día sin que nos levantemos con un nuevo escándalo. El último el de las denominadas tarjetas black empleadas por los consejeros y ejecutivos de la antigua Caja Madrid, hoy integrada en Bankia, por las que los responsables de la Caja crearon dos listas de consejeros y directivos: los que tenían más responsabilidad podían gastar al año hasta 50.000 euros con las tarjetas ‘black’, y los que apenas tenían responsabilidad, 25.000 euros anuales. Estos  gastos no tenían que ser justificados, ni tributaban.

Este nuevo escándalo ha saltado cuando se hicieron públicos determinados correos electrónicos del entonces presidente de la citada Caja, Miguel Blesa, y la unidad de auditoría interna de la entidad recibió el encargo de investigar qué eran esas tarjetas opacas al fisco. Circunstancia que se produjo entre los últimos meses del pasado año o inicio del ejercicio actual.

Lo primero que hizo auditoría interna fue identificar todas las tarjetas de esas características, identificándolas entre el elevado número de tarjetas corporativas que tiene la entidad, concluyendo, según los datos recogidos por la prensa que, en 10 años, los 86 beneficiarios de las black, cargaron a las mismas más 15 millones de euros. Bien, veremos cómo termina el asunto, pero me temo que sin exigir responsabilidades a nadie.

Pero volviendo a retomar el asunto que nos ocupa, es decir la necesidad de que auditoría tenga “altura de miras”, y se ocupe también de verificar el adecuado comportamiento de la alta gerencia y de los Consejos, que con el ejemplo de la Caja Madrid, y el de las demás instituciones financieras rescatadas, creo que nos permiten concluir sobre la oportunidad y conveniencia de incidir en estos temas, sin que para ello tengamos que esperar a que nos lo encarguen, pues si hacemos una adecuada evaluación de los riesgos para determinar los planes de auditoría, estos temas, aparte del perjuicio económico que de ellos se derivan, tienen una incidencia sobre la reputación de las organizaciones, que pensamos les sitúan en la zona de alta severidad, ya que el control realizado es mínimo, en cuyo caso el riesgo residual será muy similar al inherente. Por ello entendemos que son firmes candidatos a ser entes auditables, y que auditoría debería supervisar.

No se me escapa que estos asuntos son comprometidos, y que posiblemente no nos permitan analizarlos, pero al menos considerémoslos y propongámoslos, y que sea el Comité de Auditoría quien asuma la decisión de eliminarlos del Plan. Siendo entonces la responsabilidad de su no inclusión de nuestro jefe funcional, no nuestra.

Espero que se comparta esta posición, y que cuando elaboremos el borrador del plan, no excluyamos ningún ente auditable por crítico y molesto que pueda resultar, sin tener que esperar a que nos lo encarguen para incidir en ellos, ya que de esa forma podremos incrementar el valor añadido que aportamos a las organizaciones.

Jesús Aisa Díez

Madrid, 12 de Octubre 2014.

 

¿A quién debemos distribuir el resultado de nuestro trabajo?

Queridos amigos, después de un cierto tiempo de “vacaciones” en la atención del blog, que han resultado más prolongadas que lo que inicialmente pensé, vuelvo a retomar el hábito de contactar, periódicamente, con aquellos que consideren oportuno conocer nuestras reflexiones sobre diversos aspectos relacionados con el control interno, bien para compartirlas o cuestionarlas. Lo importante es el debate.

En esta ocasión el tema que quisiera comentásemos, es el correspondiente a la difusión de los informes de auditoría, que como bien sabemos es donde se materializa el resultado de nuestro trabajo, por lo que debemos   ser muy exigentes en su contenido, de forma que permita a sus receptores concluir con claridad y calidad sobre los aspectos detectados, haciéndose necesario atender a los requerimientos de: precisión, objetividad, concisión, utilidad, integridad y oportunidad, que nos recuerda la Norma 2420 del “libro de cabecera” de los auditores, el Marco Internacional para la Práctica Profesional de Auditoría interna  (MPPAI).

Pero sabiendo cómo debemos redactarlos, nos quedaría por decidir a quiénes se los entregamos, ya que dependiendo de su distribución podremos esperar una mayor o menor eficacia en el resultado del trabajo realizado. En este sentido nuevamente el MPPAI nos orienta adecuadamente, pero dejándonos grandes grados de libertad a la hora de decidir los destinatarios finales, pues la Norma 2440, Difusión de los resultados, solo nos indica que debemos entregarlos a las partes “apropiadas”. Pero sin precisar cuáles serían estas.

Esta pregunta puede parecer baladí, pero no lo es tanto, ya que, en mi experiencia, me he encontrado con dudas respecto si el responsable directo del ente auditado debe ser receptor directo de los informes, o lo debe ser solo su superior jerárquico, la alta dirección y el Consejo. De forma que el gerente auditado sea conocedor de los resultados del proceso de su responsabilidad supervisado, por la copia que le entregue su superior.

Esta forma de proceder la consideramos inapropiada, no solo desde una perspectiva personal, sino también interpretativa de la citada Norma 2440, ya que, según el Diccionario de la Lengua Española, el adjetivo apropiado, significa: Acomodado o proporcionado para el fin que se destina.

Surge entonces una nueva pregunta, ¿Cuál es fin perseguido?. La respuesta entendemos que es evidente: la modificación/mejora del proceso auditado; y quién estará en mejores condiciones de hacerlo que quien lo ejecuta. En nuestra opinión nadie, ya que este es quien conoce en detalle la forma de operar, y por consiguiente, las alternativas reales de que dispondremos.

Lo anterior, en modo alguno, presupone ninguna limitación en la distribución del informe a la cadena de mando del responsable auditado, pues son también partes interesadas y apropiadas, de las que dependerá, en muchas circunstancias, la aportación de los recursos para incidir en los planes de actuación que se consideren apropiados para superar las debilidades evidencias en la auditoría.

Otro aspecto que también debe contemplarse por los responsables de la Unidades de Auditoría Interna, en el momento de decidir la distribución de los informes, es el correspondiente a la entrega de los mismos a partes ajenas a la organización. 

En este punto la Norma 2440 A2, es suficientemente clara, ya que, salvo que exista regulación, obligación legal, estatutaria que así lo establezca, el Director de Auditoría Interna, debe: (i) evaluar el riesgo potencial para la organización, (ii) consultar con la alta dirección o consejero legal y (iii) controlar la difusión, restringiendo la utilización de los resultados.

En cualquier caso, y siempre que nos encontremos en una situación en la que entendiésemos que deberíamos comentar los resultados de las auditorías a partes ajenas, por encontrarnos por ejemplo con situaciones de índole legal, entendemos que esta debería ser comunicada directa, y reservadamente, al Presidente del Comité de Auditoría, para que sea este quien decida la actuación a realizar, dada su calidad de máximo responsable de la supervisión del control interno de la organización, pues no olvidemos que  el Comité es nuestro responsable funcional, por lo que ante una situación “comprometida”, no debemos actuar aisladamente, compartámosla con quien tiene capacidad de decisión.

Esperando que estas reflexiones puedan ser de interés, y con la intención de seguir manteniendo el contacto habitual por esta vía de comunicación, quedo a su disposición. Un saludo

Jesús Aisa Díez

Madrid, 6 de octubre de 2014