Es evidente que conseguir
una adecuada aportación de valor por parte de las auditorías internas precisa que la planificación de su actividad
sea apropiada; motivo por el que El Marco Internacional para la Práctica
profesional de la Auditoría Interna recoge, en su Norma 2010, que los Directores de las Unidades
de Auditoría Interna deben establecer su plan de trabajo basado en riesgos, a
fin de determinar las prioridades de la actividad a desarrollar; aclarando que
dichos planes han de ser consistentes con las metas de la Organización.
Requerimiento que es ampliado en los Consejos para la
Práctica CP 2010-1 y el CP 2010-2, los cuales describen pormenorizadamente cómo
debemos actuar para enlazar el Plan de Auditoría con los riesgos y demás
exposiciones que puedan afectar a las Organizaciones.
Partiendo de esta exigencia normativa, quizás resultara
apropiado que precisemos que debemos entender por Plan. En mi opinión una forma
acertada de describirlo es aquella que los define como: Documento que contempla en forma ordenada y coherente las
metas y objetivos que se quieren lograr, con indicación de los instrumentos,
mecanismos y acciones que se utilizarán para llegar a los fines deseados.
De acuerdo con ello, los Planes de Auditoría no solo deben
reseñar los entes auditables que serán objeto de análisis a lo largo del
periodo considerado, sino que han de incluir
adicionalmente toda la información complementaria con la que los
responsables de su aprobación (la alta dirección y el Directorio) puedan
entender adecuadamente: (i) qué es exactamente lo que el Director de Auditoría Interna les
propone acometer, (ii) el
alcance de los distintos trabajos seleccionados, (iii) los factores que motivan su
inclusión en el Plan, es decir los porqué de la conveniencia de incidir sobre ellos, aclarando si son
consecuencia del resultado de la gestión de riesgos empresariales, de
solicitudes expresas de las partes interesadas o cualesquiera otra razón.
Identificado el qué pretendemos hacer, así como el porqué, nos quedaría todavía por informar
del con quién. Es decir, los recursos que vamos a
necesitar para acometer dicho Plan de trabajo, a fin de que sean habilitados,
si así se considerase adecuado, por los responsables de aprobar dicho Plan.
Admitida la oportunidad de actuar según lo indicado, hay un
aspecto que no podemos ignorar, y es que los recursos disponibles son
limitados, por lo que será probable que en determinadas condiciones no se
puedan atender plenamente las peticiones de medios efectuada, o lo que es lo
mismo de aceptación
íntegra del Plan de trabajo propuesto, viéndose
entonces el Director de Auditoría en la necesidad de recortar sus pretensiones
de trabajo, ajustando estas a las posibilidades reales de actuación. En este
supuesto el Director de Auditoría Interna debería reconocer explícitamente la
incidencia que pudiera derivarse de esta limitación de recursos, a fin de que
quienes cuestionaron su aprobación compartan, en su caso, la responsabilidad
que les pudiera corresponder si la decisión resultase finalmente desacertada.
Otra buena práctica que entendemos recomendable sugerir para
el diseño y presentación del Plan auditor, es el de estructurarlo de forma que
puedan observarse fácilmente los aspectos más significativos atendidos por el
mismo. Es decir:
En primer lugar, y dado que será una de las partes con mayor
calado informativo que debiéramos tener en consideración, proponemos que las
acciones a realizar se agrupen según los objetivos a cubrir. Tales como:
- Actividad auditora prevista;
- Colaboraciones o consultorías a atender;
- Trabajos especiales a atender a requerimiento de los reguladores ;
- Seguimiento de recomendaciones a efectuar;
- Plan de Formación a desarrollar;
- Labores administrativas, asistencia a Comités, …
- Programa de aseguramiento y mejora de la calidad de la función estimado;
- Rotación prevista de auditores en áreas operativas;
- Etcétera.
Cada uno de estos sub-apartados debería estar desglosado en
las distintas acciones específicas incorporadas en cada uno de ellos,
recogiendo el detalle de los respectivos entes auditables, así como su alcance
y recursos estimados para su ejecución. (Obviamente el detalle de estos datos
deben ubicarse en un anexo del propio Plan, de forma que estén en disposición
de los responsables de su aprobación,
pero sin que su enumeración pormenorizada pueda dificultar una lectura ágil del cuerpo principal del
borrador del Plan sometido a probación).
En segundo lugar entendemos que deberían aparecer destacados
en el mencionado cuerpo principal del borrador del Plan, los recursos totales
necesarios versus los disponibles;
así como el porcentaje de entes auditables que se pretenden atender con las
auditorías previstas según el ranking de la importancia de los riesgos
existentes en cada uno de ellos. (Por ejemplo: 100% de los entes con
posibilidad de riesgos extremos, 80% con riesgos altos, 30% con riesgos
moderados, 5% con riesgos bajos,…), pero también el porcentaje de
requerimientos recibidos de los Supervisores/Reguladores dispuestos a atender,
y el número de las demandas de apoyo de las gerencias que hayan sido
consideradas, señalando en estos dos últimos casos las razones que pudieran
existir para no atender su totalidad.
Otro aspecto que debiera señalarse es el correspondiente a la
coordinación con los otros proveedores de aseguramiento efectuada,
identificando aquellos trabajos excluidos del Plan debido a que serán
aprovechados los realizados por dichos proveedores, evidenciando así el
esfuerzo de maximización de la eficiencia global.
También consideramos como una buena práctica el de
enumerar los beneficios de todo tipo que
se esperen como consecuencia de la actividad planificada. Tal cómo: Obtención
del certificado de calidad al que se piense someter a la actividad, obtención
de certificaciones profesionales para un número de auditores, grado de
incremento de la mecanización de la actividad, ahorros de costes como
consecuencia del empleo de auditorías a distancia, descuentos por volumen o
penalizaciones aplicables por los resultados esperados de la verificación del
proceso de compras a realizar, mejora de precios estimados derivados de la
revisión del proceso de adjudicaciones, minoración estimada de los fraudes,
incrementos de los ingresos por revisión del proceso de facturación, etcétera,
etcétera. Es decir, y hasta donde seamos capaces de identificar, aquellos
beneficios derivados de la actividad auditora, lo que nos permitirá incidir en la idea de que el control no es un
coste para las organizaciones, ya que se suele autofinanciar.
Es indudable que el nivel de desglose que proponemos,
“complicará” la elaboración del Plan de Auditoría, pero estamos convencidos que
este inconveniente se verá recompensado por las ventajas, de todo tipo, que
podremos obtener al informar adecuadamente, entre ellas el posible
reconocimiento del esfuerzo de transparencia efectuado, con el que posibilitar
una toma de decisiones debidamente documentada.
Jesús Aisa Díez
No hay comentarios:
Publicar un comentario