Balance del curso sobre Plan de Auditoría en base a riesgos

Invitado por la Gobernación de Antioquia, Colombia, he tenido la oportunidad de volver a visitar ese precioso país, y poder compartir experiencias con sus profesionales. En esta ocasión la ponencia se centraba en debatir sobre la forma de gestionar los Planes de Auditoría en base a Riesgos. Tema que también tuve la oportunidad de desarrollar previamente en Bogotá los días 4 y 5 de Noviembre pasado.

En ambos encuentros los resultados creo que pueden calificarse de satisfactorios, debido al enorme interés que observamos en los participantes por el tema expuesto, lo que viene a evidenciar la priorización que desde las distintas organizaciones, tanto privadas como públicas, se están actualmente concediendo a la gestión de los riesgos empresariales; considerado a este como un camino estratégico para conseguir los objetivos empresariales, entre los que no debemos ignorar la necesidad de optimizar la labor de las Unidades de Auditoría, de forma que seamos muy selectivos en el momento de elegir los entes auditables que pretendamos supervisar en el corto plazo, centrando nuestra atención en los procesos que resulten determinantes para alcanzar las metas marcadas por las organizaciones.

De los cuestionarios cumplimentados por los asistentes a la reunión de Bogotá, creemos que pueden sacarse algunas conclusiones que consideramos importantes, pues nos permiten inducir en dónde se focaliza actualmente el interés de los profesionales con los que nos relacionamos.

En primer lugar, destacaríamos que de los asistentes, el 30% estaba adscrito a labores de gestión en sus empresas, en tanto que, el 70% restante, actuaba en el ámbito de la supervisión. Llama nuestra atención que, a pesar que el título nos dirigía hacia los profesionales de la función auditora, casi una tercera parte de los asistentes actuaban en el ámbito de la gestión, lo que entendemos como un indicador con el que apreciar el interés que la labor auditora está levantando actualmente en las organizaciones, lo que vendría a demostrar la importancia que se le concede a nuestra actividad. 

Otro de los aspectos que también consideramos muy positivo de la opinión de los participantes, es la que se refiere a la respuesta dada a la pregunta: ¿Cómo entienden que podrían aplicarse los aspectos aprovechables de la metodología expuesta en sus organizaciones?. Habiéndose obtenido un 50% de opiniones que entendían que se podrán aplicar en el corto plazo, y el otro 50% en el medio plazo. Por consiguiente, para la mitad de los asistentes, los que consideraron viable su implementación a corto plazo, no se debieron observar dificultades que impidieran acometer el proyecto de implantar un Sistema de Gestión de Riesgos en sus empresas, ámbito que necesariamente también se contempló en el seminario. Por lo que, en estos casos, estaríamos ante un contexto exclusivo de voluntad empresarial, como condición última para acometerlo.

En lo que respecta a los condicionantes que se entendían pudieran existir para no aplicarlas de inmediato. Las respuestas se centraron en:

• Capacidad del personal de la Unidad de Auditoría Interna.
• Mayor coordinación con el Gestor de Riesgos.
• Contar con los recursos humanos suficientes.
• Cultura organizacional, compromiso de las gerencias en su conjunto
• Apoyo de la Gerencia General o del CEO.

De estas respuestas, la que se identifica con la necesaria coordinación con el Gestor de Riesgos, nos sitúa, creemos, en ámbitos empresariales donde ya estaría iniciándose la implantación del Sistema de Gestión de Riesgos, pero en el que Auditoría encuentra dificultades para colaborar en el mismo, ya que no existe la debida coordinación con el Gestor de Riesgos. Lo cual, aunque ya también percibido en otras ocasiones, no deja de sorprendernos, ya que no vemos puntos de conflicto entre las actividades a desarrollar por ambas unidades, sino todo lo contrario, complementariedad.

En cualquier caso, entiendo que este posible conflicto se pueda deber a la confusión que pudiera existir respecto de los roles que ambas unidades deben desempeñar, no solo desde la visión de los gestores de Riesgos, que pueden visualizarnos como unos competidores y cuestionadores de la  determinación y evaluación de los riesgos por ellos establecida, sino también por la indebida actuación que pudiesen realizar las auditorías internas “exigiendo” determinadas actuaciones con las que reconducir los riesgos residuales observados hasta zonas de menor incertidumbre en la consecución de los objetivos.

Si la causa de la no necesaria coordinación y complementariedad de actividades, fuese debida a la actuación inadecuada de auditoría, entendemos que el pronunciamiento realizado por el Instituto de Auditores Interno al respecto es determinante, como podemos recordar haciendo mención al famoso abanico de posibles escenarios en los que movernos recogidos en la figura, donde queda claro lo que debemos hacer, lo que podemos hacer y lo que nos está prohibido realizar.

Campo de actuaciones que deberíamos exponer con claridad y coordinarlas con el gestor de riesgos, con lo que habremos evitado que surjan dudas sobre hasta dónde vamos a intervenir en el proceso, evitando malas interpretaciones, pero sobre todo duplicidades.

Otro aspecto que también debería establecerse con el Gestor de Riesgos en estas conversaciones previas de coordinación, es la forma en la que Auditoría Interna pondrá a su disposición los resultados de las auditorías en base a riesgos y las conclusiones alcanzadas, de forma que estas puedan ser tenidas en consideración y modificar, en la medida que sea necesario, el mapa de riesgos corporativo, que es la responsabilidad del citado Gestor. Asimismo, y si no existiesen definidos por la Organización los apetitos o tolerancia a los riesgos, este también es un aspecto que debe ser puesto de manifiesto en las auditorías, a fin de que el Comité de Riesgo los proponga al Consejo de Administración/Directorio, a fin de este sea el que decida los niveles de riesgo que se entiendan compatibles con la consecución de los objetivos empresariales.

Por todo lo anterior, la interacción entre ambas Unidades es algo necesario, y que, aclarando los roles que vamos a realizar, no consideramos que sea motivo de polémica o malas interpretaciones, sino todo lo contrario. Por ello no vemos justificada la razón aludida para la implantación de un proceso de determinación del Plan de Auditoría en base a riesgos/Sistema de Gestión de Riesgos, la falta de coordinación con el responsable de riesgos, ya que debería ser una parte interesada en que lo desarrollemos, al ser un beneficiario directo de nuestro trabajo.

En cualquier caso, la experiencia observada es mucho más positiva que la que he tenido la oportunidad de apreciar no hace demasiado tiempo en el mismo entorno, por lo que creo vamos por el buen camino.

Pudiendo para terminar señalar que el Gestor de Riesgos y el Director de Auditoría Interna no son rivales, son colaboradores que deben aprovechar las sinergias de sus respectivas actuaciones.

Esperando que estos comentarios puedan resultar de interés, gracias por la atención que puedan prestarles. Saludos

Jesús Aisa Diez

16 de noviembre de 2014