Un aspecto básico con el conseguir
la deseada eficiencia de las actividades empresariales, es la coordinación que
debe existir entre ellas, de forma que se complementen y apoyen, aprovechándose
mutuamente del esfuerzo y resultados de sus respectivas actividades, evitando
duplicidades y eliminando “tierras de nadie” que, por una u otra causa, impidan
una adecuada cobertura de los distintos procesos empresariales.
Esta adecuada coordinación entre
actividades, se asemeja con una “carrera de relevos”, en la que cada corredor
cumple con su tramo de la carrera, entregando el “testigo” al siguiente atleta
para que continúe su marcha hacia la meta final. El éxito no solo dependerá de
lo veloces que hayan sido los participantes, sino también de la sincronización
que exista en la entrega de los “testigos”.
Por ello, y como ya hemos tenido
oportunidad de comentar previamente en otros artículos, en la actividad de las
Auditorías Internas es imprescindible, como se recoge en la Norma 2050,
Coordinación, que el responsable de la Unidad
comparta información y coordine actividades con otros proveedores
internos y externos de servicios de aseguramiento y consulta.
Entre los proveedores de
aseguramiento existentes en las Organizaciones, desde mi punto de vista hay uno
que entiendo es fundamental para nuestra función: el responsable de la Gerencia
de Riesgos de la empresa. Pero no solo por lo que su actividad pueda ayudar/orientar
al trabajo de las Unidades de Auditoría Interna, sino también en sentido
inverso desde la perspectiva de lo que las conclusiones de los trabajos de
auditoría les aportará a las Gerencias de Riesgos.
Resulta evidente que la existencia
de los mapas de riesgos levantados por la Gerencia de Riesgos es una
información muy útil para la actividad auditora, puesto que facilitan, en base
a la información en ellos recogidos, la selección de los entes auditables que
entendamos oportuno acometer en un futuro inmediato. Pero también, en sentido
contrario, que los resultados de los trabajos de auditoría interna resultarán
básicos para el Gestor de Riesgos, dado que nuestras conclusiones, debidamente
soportadas confirmarán, o en su caso cuestionarán, las valoraciones que sobre
los riesgos auditados manejase la Organización según el Sistema de Gestión de
Riesgos aplicado, corrigiéndose los errores que se hayan detectado.
Esta interacción: Auditoría Interna
versus
Gerencia
de Riesgos, la entendemos imprescindible para conseguir una eficiente y simultanea optimización de ambas
actividades, pues no debemos ignorar que son complementarias, como señala el
modelo de las tres líneas de defensa, en el que el Gestor de Riesgos es una
segunda línea, mientras que nosotros, los auditores, estamos ubicados en la
tercera línea.
No obstante esta evidente necesidad
de coordinación y apoyo mutuo, no siempre es reconocida y ejercitada, pues no
es extraño que ambas unidades dentro de las Organizaciones se puedan observar
como rivales
de la evaluación de los riesgos. Lo cual es un grave error.
En mi opinión no debiera existir
tal rivalidad, pues ambas actividades tienen un rol diferente, pero
complementario dentro del Sistema de Gestión de Riesgos. El Gestor de riesgos
levantando los mapas de riesgos e interrelacionándolos con los procesos, a fin
de determinar los que pudieran estar más amenazados y resultar susceptibles de
afectar a la consecución de los objetivos empresariales, propiciando así la
concreción de los “apetitos de los diferentes riesgos” por parte de la
Gerencia, así como recabar y gestionar la adopción de las medidas que se
consideren pertinentes para reconducir dichos riesgos a la zona de tolerancia
establecida, las cuales deberán estar recogidas en los planes de acción que
deberían solicitar a los responsables de dichos procesos críticos. Planes de
acción que deben ser compartidos con Auditoría Interna, a fin de que esta
pudiese valorar la suficiencia de los mismos, así como la eficacia/eficiencia
de los controles previstos incorporar en los procesos previamente cuestionados.
Por su parte Auditoría Interna debe
compartir con el Gestor de Riesgos, como parte interesada en el conocimiento de las conclusiones y planes de
acción decididos por el propietario de los procesos auditados, la parte de los
informes que les afecten, a fin de que puedan actualizar convenientemente los
mapas de riesgos de la organización, así como conocer los controles que se
pretendan introducir/mejorar en los procesos críticos auditados.
Para que esta colaboración sea
posible, entendemos que lo primero que debería hacerse es plantear abiertamente
esta colaboración mutua, identificando las actividades a desarrollar por cada
una de ambas Unidades, y describiendo detalladamente el proceso de actuación;
el cual deberíamos someter a la aprobación del Comité de Auditoría para que lo
sancionara, y le diera carácter de oficialidad que el mismo precisa.
En mi opinión, no existen razones
para que no exista entendimiento, pues ambas unidades buscamos lo mismo, la
mejora de la gestión de los riesgos y los controles de la Compañía; somos
compañeros de viaje, no rivales.
Espero que se compartan estas
reflexiones, y que su aplicación práctica permita mejorar el funcionamiento de
la Unidad de Auditoría interna, y la del Sistema de Gestión de Riesgos.
Madrid, 29 de septiembre de 2013
No hay comentarios:
Publicar un comentario