lunes, 24 de noviembre de 2014

¿Por qué evaluaciones de calidad de las auditorías internas?



De acuerdo con el Marco Internacional para la Práctica Profesional de Auditoría Interna, según su Norma 1.300, se hace preceptivo que las Unidades de Auditoría Interna desarrollen y mantengan un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditora.

Dicho programa se debe materializar a través de dos enfoques diferentes, uno interno y otro externo. El interno incluye evaluaciones continuas y otras periódicas. Siendo las continuas las que se preocupan de analizar el día a día del desempeño de la función, en tanto que las periódicas se orientan a supervisar el cumplimiento de la definición de auditoría interna, de las Normas  y los respectivos Códigos de Ética.
Por lo que respecta a las evaluaciones externas, éstas se ocupan de verificar, desde una visión independiente a la organización, si las conclusiones de las evaluaciones internas son acertadas, y si la opinión de las partes interesadas, así como la supervisión de los procedimientos, políticas y las actuaciones de la Unidad de Auditoría confirman la opinión interna sobre el cumplimiento de los requerimientos del Marco citado.

En base a lo que hemos indicado surge ya una primer diferencia con las evaluaciones de calidad que siguen el esquema de la ISO 9001, pues, como bien sabemos, ISO certifica en calidad a aquellas organizaciones que  tienen desplegado un sistema de mejora continua, que siga sus pautas, y en las  que su objetivo sea avanzar en la  consecución de las expectativas de los clientes, internos y externos, pero sin que el valor absoluto observado sea determinante para la conclusión de la evaluación, puesto que lo que se requiere es que se apliquen los procedimientos normativos que permita progresar en la búsqueda del cumplimiento de las expectativas de los clientes.

Sin embargo, las evaluaciones de calidad que siguen los protocolos del Instituto de Auditores Internos, se preocupan en conocer el grado de atención de las expectativas de los clientes internos y externos, así como de la atención de los requerimientos del Marco, calificando de favorables sus evaluaciones solo cuando el resultado de ese “examen” sea positivo.

Esta diferenciación es determinante, pues las Unidades de Auditoría, desde la perspectiva de la Norma 1.300 ya citada, exclusivamente se certificarán si disponen de un grado de calidad que supere un determinado nivel, medido este desde la perspectiva del cumplimiento de las Normas y a haber alcanzado un grado de satisfacción de sus clientes adecuado.

En este sentido, y como una mejor práctica de los reguladores que velan por las buenas actuaciones en el ámbito del control interno, podríamos citar el ejemplo de la Superintendencia de Banca, Seguros y AFP Peruanas, SBS, ya que su reglamentación no solo exige la existencia en las organizaciones por ella reguladas (las del sistema financiero) de Unidades de Auditoría Interna, sino que, adicionalmente, y antes de que acabe el presente año 2014, según su Circular G.161-2012, exige que dichas Unidades de Auditoría Interna (UAI) , se sometan a evaluaciones externas según la Norma 1.300. 

Es evidente que la decisión de requerir esta evaluación externa persigue un claro objetivo, el que las citadas UAI no sean algo estético que cumpla exclusivamente una exigencia legal, sin que su operativa atienda a los requerimientos de fiabilidad, eficacia y eficiencia que debe esperarse de nuestra labor auditora.

Este objetivo, que esperamos redunde en la aportación real del valor que se derive de la actuación de las auditorías afectadas, hemos de señalar que no es novedoso, puesto que si recordamos las medidas que se introdujeron después de los lamentables y penosos casos de ENRON, Tyco International, WorldCom,…., que dieron origen a la mundialmente conocida Ley Sarbanes-Oxley, por la que se creó también la Junta de Supervisión sobre las Firmas Contables que dictaminan sobre los estados contables y el control interno de las compañías cotizadas en USA, es decir a las auditorías externas de dichas  sociedades. 

Esta junta esta definida en la Sección 101 de dicha Ley con el nombre PCAOB (Public Company Accounting Oversight Board) la cual tiene la potestad, entre otras atribuciones, de emitir Normativa para regular la práctica de auditoría externa frente a la SEC (Securities and Exchange Comisión), que es el organismo de los Estados Unidos equivalente a la Comisión Nacional del Mercado de Valores español. Por tanto, es el supervisor evaluador de las firmas de auditoría externas, al igual que el MIPPAI entiende debe efectuarse con las auditoras internas, al menos una vez cada cinco años.

Por todo ello, aunque en realidad las evaluaciones de calidad no se deben entender como auditorías a los auditores internos, sí que son supervisiones de las formas de desarrollar su actividad, así como la verificación del grado de adecuación a las Normas del Institute of Internal Auditors (IIA) ya que, como conocemos, éstas recogen las mejores prácticas que deben ser conocidas y aplicadas por las distintas Unidades de Auditoría Interna, siempre que quieran regirse por los requerimientos de los especialistas de esta actividad.
Por todo ello, no solo porque lo determinen los órganos reguladores que nos sean de aplicación, sino porque también es una forma de poder conocer los gap que aún quedarían pendientes de corregir para poder estar en los estándares de calidad requerido por el IIA, aconsejamos que se valore la oportunidad de realizar las evaluaciones externas de calidad, lo cual, aparte de permitirnos conocer cuáles pueden ser las mejoras que podríamos incorporar en nuestra actividad, también posibilitan el compartir con las organizaciones en las que desempeñemos la actividad el buen hacer que se nos haya observado, lo que redundará en una mejora de nuestra imagen en el interior de la compañía.

Espero que, por estas, y la necesaria atención de la Norma 1300, que las Unidades de Auditoría que aún no se hayan decidido en evaluarse externamente, lo reconsideren y valoren la oportunidad de hacerla. En nuestra opinión siempre será una decisión acertada.

Jesús Aisa Díez
24 de noviembre de 2014
Publicado por en No hay comentarios:

lunes, 17 de noviembre de 2014

Balance del curso sobre Plan de Auditoría en base a riesgos

Invitado por la Gobernación de Antioquia, Colombia, he tenido la oportunidad de volver a visitar ese precioso país, y poder compartir experiencias con sus profesionales. En esta ocasión la ponencia se centraba en debatir sobre la forma de gestionar los Planes de Auditoría en base a Riesgos. Tema que también tuve la oportunidad de desarrollar previamente en Bogotá los días 4 y 5 de Noviembre pasado.

En ambos encuentros los resultados creo que pueden calificarse de satisfactorios, debido al enorme interés que observamos en los participantes por el tema expuesto, lo que viene a evidenciar la priorización que desde las distintas organizaciones, tanto privadas como públicas, se están actualmente concediendo a la gestión de los riesgos empresariales; considerado a este como un camino estratégico para conseguir los objetivos empresariales, entre los que no debemos ignorar la necesidad de optimizar la labor de las Unidades de Auditoría, de forma que seamos muy selectivos en el momento de elegir los entes auditables que pretendamos supervisar en el corto plazo, centrando nuestra atención en los procesos que resulten determinantes para alcanzar las metas marcadas por las organizaciones.

De los cuestionarios cumplimentados por los asistentes a la reunión de Bogotá, creemos que pueden sacarse algunas conclusiones que consideramos importantes, pues nos permiten inducir en dónde se focaliza actualmente el interés de los profesionales con los que nos relacionamos.

En primer lugar, destacaríamos que de los asistentes, el 30% estaba adscrito a labores de gestión en sus empresas, en tanto que, el 70% restante, actuaba en el ámbito de la supervisión. Llama nuestra atención que, a pesar que el título nos dirigía hacia los profesionales de la función auditora, casi una tercera parte de los asistentes actuaban en el ámbito de la gestión, lo que entendemos como un indicador con el que apreciar el interés que la labor auditora está levantando actualmente en las organizaciones, lo que vendría a demostrar la importancia que se le concede a nuestra actividad. 

Otro de los aspectos que también consideramos muy positivo de la opinión de los participantes, es la que se refiere a la respuesta dada a la pregunta: ¿Cómo entienden que podrían aplicarse los aspectos aprovechables de la metodología expuesta en sus organizaciones?. Habiéndose obtenido un 50% de opiniones que entendían que se podrán aplicar en el corto plazo, y el otro 50% en el medio plazo. Por consiguiente, para la mitad de los asistentes, los que consideraron viable su implementación a corto plazo, no se debieron observar dificultades que impidieran acometer el proyecto de implantar un Sistema de Gestión de Riesgos en sus empresas, ámbito que necesariamente también se contempló en el seminario. Por lo que, en estos casos, estaríamos ante un contexto exclusivo de voluntad empresarial, como condición última para acometerlo.

En lo que respecta a los condicionantes que se entendían pudieran existir para no aplicarlas de inmediato. Las respuestas se centraron en:

  • Capacidad del personal de la Unidad de Auditoría Interna.
  • Mayor coordinación con el Gestor de Riesgos.
  • Contar con los recursos humanos suficientes.
  • Cultura organizacional, compromiso de las gerencias en su conjunto
  • Apoyo de la Gerencia General o del CEO.
De estas respuestas, la que se identifica con la necesaria coordinación con el Gestor de Riesgos, nos sitúa, creemos, en ámbitos empresariales donde ya estaría iniciándose la implantación del Sistema de Gestión de Riesgos, pero en el que Auditoría encuentra dificultades para colaborar en el mismo, ya que no existe la debida coordinación con el Gestor de Riesgos. Lo cual, aunque ya también percibido en otras ocasiones, no deja de sorprendernos, ya que no vemos puntos de conflicto entre las actividades a desarrollar por ambas unidades, sino todo lo contrario, complementariedad.

En cualquier caso, entiendo que este posible conflicto se pueda deber a la confusión que pudiera existir respecto de los roles que ambas unidades deben desempeñar, no solo desde la visión de los gestores de Riesgos, que pueden visualizarnos como unos competidores y cuestionadores de la  determinación y evaluación de los riesgos por ellos establecida, sino también por la indebida actuación que pudiesen realizar las auditorías internas “exigiendo” determinadas actuaciones con las que reconducir los riesgos residuales observados hasta zonas de menor incertidumbre en la consecución de los objetivos.

Si la causa de la no necesaria coordinación y complementariedad de actividades, fuese debida a la actuación inadecuada de auditoría, entendemos que el pronunciamiento realizado por el Instituto de Auditores Interno al respecto es determinante, como podemos recordar haciendo mención al famoso abanico de posibles escenarios en los que movernos recogidos en la figura, donde queda claro lo que debemos hacer, lo que podemos hacer y lo que nos está prohibido realizar.

Campo de actuaciones que deberíamos exponer con claridad y coordinarlas con el gestor de riesgos, con lo que habremos evitado que surjan dudas sobre hasta dónde vamos a intervenir en el proceso, evitando malas interpretaciones, pero sobre todo duplicidades.

Otro aspecto que también debería establecerse con el Gestor de Riesgos en estas conversaciones previas de coordinación, es la forma en la que Auditoría Interna pondrá a su disposición los resultados de las auditorías en base a riesgos y las conclusiones alcanzadas, de forma que estas puedan ser tenidas en consideración y modificar, en la medida que sea necesario, el mapa de riesgos corporativo, que es la responsabilidad del citado Gestor. Asimismo, y si no existiesen definidos por la Organización los apetitos o tolerancia a los riesgos, este también es un aspecto que debe ser puesto de manifiesto en las auditorías, a fin de que el Comité de Riesgo los proponga al Consejo de Administración/Directorio, a fin de este sea el que decida los niveles de riesgo que se entiendan compatibles con la consecución de los objetivos empresariales.

Por todo lo anterior, la interacción entre ambas Unidades es algo necesario, y que, aclarando los roles que vamos a realizar, no consideramos que sea motivo de polémica o malas interpretaciones, sino todo lo contrario. Por ello no vemos justificada la razón aludida para la implantación de un proceso de determinación del Plan de Auditoría en base a riesgos/Sistema de Gestión de Riesgos, la falta de coordinación con el responsable de riesgos, ya que debería ser una parte interesada en que lo desarrollemos, al ser un beneficiario directo de nuestro trabajo.

En cualquier caso, la experiencia observada es mucho más positiva que la que he tenido la oportunidad de apreciar no hace demasiado tiempo en el mismo entorno, por lo que creo vamos por el buen camino.
Pudiendo para terminar señalar que el Gestor de Riesgos y el Director de Auditoría Interna no son rivales, son colaboradores que deben aprovechar las sinergias de sus respectivas actuaciones.

Esperando que estos comentarios puedan resultar de interés, gracias por la atención que puedan prestarles. Saludos

Jesús Aisa Diez
16 de noviembre de 2014



Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)