Por
lo señalado por el Marco Internacional para la Práctica Profesional de la
Auditoría Interna, conocemos, a través de lo recogido en su Consejo para la
Práctica 2010-1, que se denomina Universo de Auditoría a la lista de todas las posibles
auditorías que pudieran realizarse, y que éstas son consecuencia de diversos
inputs, como por ejemplo: La información obtenida por parte de la alta
dirección y del Consejo de Administración (Directorio), el plan estratégico de la organización y los
resultados del proceso de gestión de riesgos, entre otros.
Es
sobre el Universo
de Auditoría
sobre el que el equipo de auditores debe trabajar a fin de seleccionar aquellas
auditorías que se consideren necesario realizar, a fin de aportar las garantías
razonables sobre el control interno realmente existente en la Organización,
incorporándolas en el Plan de Auditoría a desarrollar.
Tanto
los componentes del Universo
de Auditoría,
como del Plan
de Auditoría,
son lo que denominamos “entes auditables”, los cuales no responden
necesariamente a una estructura prefijada, puesto que su alcance puede ser un
determinado área de la organización, un proceso, un riesgo o una actividad. Lo
que hace falta es que la supervisión a efectuar nos permita concluir con
veracidad sobre la eficacia del grado de control existente en el ente elegido
para ser auditado.
Resulta
habitual que en la definición del Universo de Auditoría se parta de la identificación
de los riesgos a los que la organización
puede estar sometida, para después decidir la forma de verificar o supervisar
por Auditoría Interna su adecuada gestión. Dinámica de actuación que nos
conduce a una primera conclusión: los Universos de Auditoría no son estables, puesto que son
cambiantes en la misma medida que lo son los riesgos que amenazan a los
objetivos empresariales.
En
este contexto, los Directores de Auditoría cuando definen su universo de trabajo, no deben olvidar los denominados
“riesgos emergentes”, que podríamos definirlos como aquellas amenazas que
tienen una naturaleza propia y van más allá de la capacidad de control de la
empresa y que, por mucho que su probabilidad pareciera baja en otros tiempos,
su impacto es ahora tan importante, con potencial de destrucción o de
generación de oportunidades, que obliga a tenerlos en consideración. Nos
estamos refiriendo, por ejemplo al: cambio climático, inseguridad alimentaria,
volatilidad en el suministro energético, cambios tecnológicos o crisis
financiera mundial, resultando preciso controlarlos a través de indicadores
cualitativos y cuantitativos que nos permitan detectar cambios en el entorno.
Pero
estos “cisnes negros”, como también se les denomina, no son tan extraños y
conviven con nuestras organizaciones, pues nos estamos refiriendo en concreto
también a amenazas tales como: la seguridad, el cambio climático, la sanidad o
los riesgos laborales.
En
el primer caso, la seguridad, todos hemos sido testigos de cómo en los
aeropuertos se han cambiado las medidas de control, habiéndose conseguido
reducir los atentados hasta porcentajes muy satisfactorios.
En
cuanto al cambio climático, no podríamos decir lo mismo, puesto que las
emisiones de gases de efecto invernadero no se están reduciéndose al ritmo
deseado, ni tan siquiera al programado.
En
la parte de la sanidad y prevención de riesgos laborales, tan relacionados
entre sí, hay que reconocer que aunque se está trabajando para solucionar las
deficiencias en algunos aspectos como por ejemplo la prevención y control de la
legionella o la entrega de fármacos y
servicios sanitarios, aún existen graves carencias.
En
resumen de estos riesgos, el de seguridad parece controlado, los de sanidad y
de prevención de riesgos laborales, aunque en algunos casos se escapa de
nuestra capacidad de decisión, en otros aún nos queda trabajo por realizar;
pero que podemos decir respecto del cambio climático, ¿hacemos todo lo que está
en nuestras manos?, ¿incluimos en nuestro Plan auditorías ambientales?,
¿disponemos de protocolos en los que se describa cómo abordar la supervisión de
los procesos operativos agresivos con el entorno?, ¿estamos preparados ante los
inminentes impactos derivados de este cambio global?, ¿tenemos al menos
identificados estos procesos?, ¿existen proveedores de aseguramiento del riesgo
ambiental?, ¿mantenemos con ellos la debida coordinación?, ¿el Comité de
Auditoría es receptor de los informes ambientales?, etcétera.
De
haber respondido mayoritariamente con un NO a estas preguntas, considero que
nuestro Plan de Auditoría adolecería de una carencia importante, que creo
debería corregirse tan pronto nos fuese posibles. La sostenibilidad de nuestra
empresa dependerá de ello y las generaciones futuras nos lo agradecerán.
Por
si alguno de los que lean estas reflexiones, se animasen a incluir en sus
próximos Planes de Auditoría Interna algún ente auditable relacionado con el
medioambiente, sugiero que se tome como base la ISO 14.001, que puede resultar
muy útil. Y si quieren ir un paso más, y conocer el impacto real que este
problema, así cómo poder minimizarlo, recomiendo que si se deciden a calcular
la huella de carbono generada por sus organizaciones, se basen para ello en las Normas GHG Protocol, PAS 2050 y, en un futuro,
mediante la ISO que se está preparando específicamente para ello.
El
no incluir el riesgo ambiental en nuestros mapas de riesgos, o no considerarlo
en el momento de definir nuestro Universo de Auditoría, así como posteriormente
en el Plan de trabajo, entiendo que no es la situación óptima, ya que todos los
procesos empresariales, de una u otra manera, tienen impacto en el entorno.
Verifiquemos en qué grado.
Saludos.
Jesús Aisa Diez
30 de junio de 2013
No hay comentarios:
Publicar un comentario