Hasta dónde hemos interiorizado, y aplicado, las nuevas herramientas de Auditoría.

Para los que seguimos el Marco Internacional para la Práctica Profesional de Auditoría Interna como orientador de las actividades de la función auditora, tenemos claro que, la evaluación de los riesgos, es un aspecto fundamental para el desarrollo de nuestra actividad, puesto que, con él podremos incidir en dos de sus aspectos trascendentes: en primer lugar en la determinando de forma eficiente del contenido del Plan de Auditoría Interna que propongamos para su aprobación a la alta dirección y al Comité de Auditoría, pero también para guiar el desarrollo de nuestros trabajos dentro del capítulo correspondiente al aseguramiento. Es por tanto una herramienta básica y de “obligado” empleo. Recordemos en este sentido lo señalado por las Normas 2010 y 2120, fundamentalmente.

Recientemente he tenido la oportunidad de participar en una encuesta realizada a los asistentes de un seminario realizado en Colombia sobre el tema: La administración de Riesgos: Herramienta de gestión empresarial y de Auditoría Interna. Cuyas conclusiones me gustaría compartir, debido a lo interesante de sus respuestas, puesto que, como reflejamos en la figura con la que ilustramos estas líneas, entiendo que nos facilitarán el camino para alcanzar los objetivos fijados.

Obviamente el resultado de esta muestra, en principio, solo debería ser extrapolable a ese entorno de empresarial, el colombiano, pues incluye la opinión de profesionales de: Bogotá, Cali, Medellín, Barranquilla, Cartagena de Indias, y un largo etcétera. Si bien, en mi opinión, también creo que refleja el ambiente de trabajo de otros muchos ambientes organizacionales, tanto en Iberoamérica, como en otras latitudes a este lado del Atlántico.

Las  preguntas que se incluyeron en la encuesta fueron:

a) Considera que lo expuesto en el seminario puede tener fácil aplicación en su empresa.  Para el 87,5% de los asistentes sí sería aplicable, para el 12.5% no lo sería.

b) Si la respuesta había sido un SÍ, se preguntaba posteriormente si se consideraba entonces factible su próxima implantación. Para el 15% que entendieron que podría ser viable su implementación, enunciaron dificultades para que lo fuese de inmediato. Los motivos:

Inexistencia de una cultura organizacional de control interno adecuada, principalmente; así como la falta de involucración de la gerencia, pues faltaría convencerles sobre la necesidad de aplicar esta metodología.

c) Para los que respondieron afirmativamente a la primera pregunta, y no expusieron dificultades que impidieran su próxima implantación, se les requirió para que señalaran, cuales, no obstante, entendían serían los obstáculos de deberían ser superados. Aquí las repuestas abarcan un número considerable de circunstancias, que seguidamente enunciamos por orden de número de redundancia, mayor a menor:

1. Receptividad de la organización.
2. Elaboración de los Mapa de Riesgos.
3. Determinación de los KRI.
4. Dotaciones presupuestarias. Más recursos financieros y humanos.
5. La involucración decidida de la Gerencia General y del Comité de Auditoría.
6. Identificación de los riesgos significativos para determinar el Plan Anual de Auditoría.
7. Levantamiento y documentación de los procesos y los procedimientos.
8. Capacitación del personal actual de la Unidad de Auditoría Interna (UAI)
9. Cambio cultural de forma que se decida y actúe en base a la gestión de riesgos. Compromiso y colaboración de todas las gerencias
10. La eliminación de actuales actividades de control asumidas por la UAI, de forma que se liberen recursos para aplicar a esta nueva metodología
11. La falta de coordinación con el Gestor de Riesgos de la Organización.

d) Con independencia de los obstáculos que pudieran afectar a la aplicación de estas nuevas herramientas, se preguntaba qué parte considera Vd. de lo compartido en el seminario tendría mayor utilidad para su organización. Siendo las respuestas las siguientes, de acuerdo con el orden en el que aparecen reflejadas:

1. Aplicación de Indicadores de Riesgos Clave (KRI´s).
2. En la determinación de un Plan de Auditoría más eficiente.
3. Elaboración de los Mapas de Riesgos
4. Implementación del Sistema de Gestión de Riesgos.
5. Documentar las estrategias empresariales e informar de ellas a la UAI.
6. Ampliar el Plan de Auditoría de forma que incorpore las solicitudes de la alta dirección y el Comité de Auditoría, así como los recursos necesarios para atender imprevistos.
7. La búsqueda de la necesaria coordinación entre el responsable del Sistema de Gestión de Riesgos y el DAI.
8. El concepto de “apetito al riesgo”.
9. La participación activa del Comité de Auditoría y de la alta dirección en la evaluación de los resultados de la actividad de la UAI.
10. Los principios sobre control interno recogidos por la Superintendencia Financiera Colombiana, relativos a: Autocontrol, Autorregulación y Autogestión.

e) Por último se preguntaba también si, de estar ya empleándose algún Sistema de Gestión de Riesgos y/o metodologías de determinación del Plan de Auditoría en base a riesgos. ¿Qué aspectos de los temas tratados en el seminario, consideraban que deberían ser tenidos en consideración para seguir avanzando en el desarrollo de estos  dos procesos?. Las respuestas por orden de mayor a menor reiteración fueron:

1. El análisis previo de los riesgos para definir el ranking de los mismos según su criticidad, y amenaza a los objetivos empresariales.
2. El empleo de Indicadores de Riesgos Clave.
3. El empleo de herramientas informáticas desarrolladas.
4. Interrelación de los riesgos con los procesos, a fin de seleccionar los procesos más relevantes para la organización.
5. La aplicación de los resultados del proceso de Gestión de Riesgos, con los que alimentar y determinar el Plan de Auditoría Interna en base a riesgos, aumentando su eficiencia.
6. El seguimiento de las recomendaciones a incluir en el Plan de Auditoría.
7. La cultura de control interno a trasladar a toda la organización.
8. Trabajar con la referencia obligada del apetito al riesgo.
9. La necesaria consolidación del Comité de Auditoría como garante de la supervisión del control interno.
10. La necesaria coordinación entre el responsable de la Gestión de Riesgos y el DAI.
11. La incidencia sobre la eficacia y eficiencia de los controles existentes en los procesos empresariales. 

Como vemos, las opiniones han sido muy variadas, pero creo que podríamos sacar un común denominador de ellas, y concluir que los asistentes al seminario entendieron como prioritario para poder progresar en estas dos mejores prácticas de gestión, tanto empresarial, como del proceso auditor, para poder asegurarnos que, como condición sine qua non fijada por el IIA, atendemos la relevancia e importancia de los siguientes aspectos:

A) Una adecuada cultura organizacional sensible con el establecimiento de un entorno de control interno adecuado.

B) Involucración y compromiso decidido de la alta dirección y el Comité de Auditoría en la consecución de la meta anterior.

C) Descripción previa de los procesos empresariales donde se puedan identificar los riesgos y los controles que estén presentes en ellos.

D) Una adecuada coordinación, y apoyo mutuo, entre el Gestor de Riesgos y el DAI.

E) Suficiente dotación de recursos, no solo humanos, sino adicionalmente financieros y de sistemas de información.

Entiendo que estas conclusiones pueden ser útiles para aquellas organizaciones que estén pensando en dar el salto hacia un sistema de gestión empresarial en base a riesgos, o implementar un Plan de Auditoría en base a riesgos, en cuyo proyecto las UAI tienen un campo de actuación con mucho protagonismo, asesorando y tutelando la forma de diseñarlo e implementando. Espero que sea visto de esta manera, para así poder asegurar que estamos atendiendo lo que es el slogan del Instituto de Auditores Internos España, cuando cita como meta propia la de: Progresar compartiendo.

Jesús Aisa Díez

22 de septiembre de 2013