Un aspecto de la actividad de las Unidades de
Auditoría Interna en el que creo que existe un consenso generalizado, es el
correspondiente a la conveniencia de definir los planes de trabajo a
desarrollar en base a los riesgos que en cada momento amenacen a los procesos
de las correspondientes Organizaciones, ya que se entiende que es la forma más
adecuada para lograr la debida eficacia que nos es exigible; por ello, este
proceder se ve recogido como requerimiento de las Normas Internacionales para
el Ejercicio Profesional de la actividad en su epígrafe 2010, señalando que: “El
Director de Auditoría Interna debe establecer un plan basado en riesgos, a fin
de determinar las prioridades de la actividad….”
Varias son las formas que existen para poder
identificar los riesgos que pueden afectar a los objetivos empresariales, de
las que destacaríamos la correspondiente al empleo de los denominados por su
siglas en inglés KRI´s, es decir los
indicadores de riesgos clave, que podemos entenderlos, no solo como: valores
con correlación estadística con determinados riesgos, que pueden utilizarse
como sistema de alertas preventivas o tempranas, sino en su sentido más amplio, como
cualquier información que nos permita interpretar o diagnosticar
anticipadamente una determinada amenaza, pues lo importante es detectar la presencia de
riesgos por sus síntomas más primigenios (es decir cuando aún la fase crítica
no se haya manifestado), pues siempre será preferible detectarlos y
prevenirlos, en vez de tener que corregir sus efectos.
En este contexto, cuando nos refiramos al empleo de KRI´s no deberíamos
olvidar considerar los Control Self Assessment (CSA,s), ya que según el
IIA se definen como “ proceso que permite a la Dirección y al personal a
participar en la revisión de los controles existentes para comprobar su
adecuación y recomendar, acordar e implementar las mejoras a los controles
existentes”. Aportando la
capacidad de:
a) Participar en la evaluación del control interno
b) Evaluar riesgos
c) Desarrollar preventivamente planes de acción destinados a subsanar
debilidades identificadas
d) Evaluar la probabilidad de alcanzar objetivos determinados.
Aunque los CSA´s no son una herramienta exclusiva de los auditores, su
utilización por parte de Auditoría Interna comporta una serie de beneficios que
vamos a enumerar, constituyendo una de las técnicas modernas con las que
mejorar nuestra eficiencia, por lo que aconsejamos su uso siempre que sea
posible, dada su evidente utilidad que, según la opinión del IIA, podemos
resumir en los siguientes cuatro puntos:
- Mejora el rol del Departamento de Auditoría Interna. Con los CSA´s los auditores se convierten en un reconocido socio del negocio, en vez de un adversario.
- Incrementa la autoestima del personal adscrito a Auditoría Interna. El personal de Auditoría se siente más útil e importante para la Organización al propiciar mejoras en los Procesos.
- Aumenta las habilidades para localizar las áreas de alto riesgo. Los CSA´s ayudan a localizar los riesgos no bien atendidos en la Organización, lo que posibilita una mejor definición del Plan Auditor.
- Optimiza el uso eficiente de los recursos. Con los resultados de los CSA´s se pueden identificar con un uso muy reducido de recursos las áreas con carencias de control.
Pero, con independencia de lo que el IIA señala, ¿qué
son exactamente los CSA?. Una respuesta escueta, pero que consideramos válida,
sería la que los define como: Cuestionarios debidamente
estructurados dirigidos a los gestores sobre diversas cualidades de los
procesos de los que estos sean responsables, o sobre el entorno de control
interno de la Organización, que permitan a través de las respuestas facilitadas sacar conclusiones.
Es, por consiguiente, una alternativa a la típica
forma de actuar de la auditoría interna ya que, en lugar de realizar pruebas y
observaciones directas, el auditor facilita un procedimiento mediante el cual
los gerentes y empleados de la entidad
realizan su propio análisis de
los procesos de negocio de los que ellos participen y sean responsables,
opinando sobre la situación del grado de control existente en el mismo.
Para ello, se precisa diseñar un cuestionario en el que se incluyan las preguntas adecuadas, pero
tendiendo que sean simples, y que propicien respuestas del tipo SÍ o NO, TENGO-NO
TENGO, cuidadosamente redactadas para que no presenten dudas interpretativas a
los encuestados, así como estimaciones muy simples sobre riesgos:
ALTO-MEDIO-BAJO.
Para su cumplimentación es frecuente recabar la
opinión de los gestores empleando reuniones tipo “workshop“. Sin embargo,
cuando los encuestados sean numerosos o estén dispersos es preferible la
encuesta escrita, en vez de estos talleres, como también sucede cuando la
cultura de la Organización no garantice debates abiertos y sinceros. Todo ello
sin olvidar que para que el proceso tenga verdadera utilidad se hace
imprescindible garantizar la bondad de las respuestas, por lo que se deberá
solicitar que su envío venga acompañado de una manifestación explicita y
suscrita por el responsable de su confección, en la que expongan su compromiso
de veracidad en las respuestas facilitadas, pero también de su aceptación y
facilitador de la verificación de cualquier dato de los facilitados.
A título de ejemplo vamos a reproducir parte del CSA
empleado para poder conocer el grado de control del Proceso de Compras empleado
en una determinas empresa, en el que se incluyen las preguntas que se estiman
permitirán, a través de las respuestas recibidas, estimar la forma en que se
está gestionado el proceso elegido.
Una vez en poder de Auditoría Interna las respuestas a estos cuestionarios, en los que se incluyen los resultados de las opiniones de los responsables de la gestión de los procesos analizados, procede que se observen si existen áreas y/o procesos que no presentan ninguna alerta sobre el grado de control, así como aquellos otros en los que la situación no sea tan favorable o tranquilizadora, en cuyo caso, y en función de la importancia del proceso, o de los procesos administrados por las áreas con déficits de control, se debería requerir a los propios responsables que aporten las razones que en su opinión justifiquen la situación de carencia previamente reconocida por ellos.
De no resultar convincentes los argumentos expuestos
se debería analizar la conveniencia de realizar una auditoría convencional que
aporte una visión imparcial y objetiva sobre
las causas reales que justifiquen la situación evidenciada, incluyéndolo
en el Plan de Auditoría a realizar.
Por consiguiente, los CSA´s no son auditorías, sino autoevaluaciones del grado de
control existente en un proceso o actividad, aportando información cualitativa
sobre el grado de riesgo que existe en el mismo. Lo que nos pondrá sobre la
pista de los aspectos de control interno que deban ser supervisados y, en su
caso, mejorados.
Jesús Aisa Diez
Madrid, 18 de Mayo de 2013
No hay comentarios:
Publicar un comentario