Un aspecto básico para desarrollar una
actividad de auditoría interna eficiente, es la seleccionar los entes
auditables que se entiendan oportunos incluir en los planes de auditoría, ya
que al ser nuestros recursos, como los que las demás Unidades de la empresa, escasos, debemos
hacer una adecuada identificación de los
temas a los que dedicaremos atención en los próximos meses. Motivo por
el que las Normas del Instituto de Auditores Internos señalan que la
planificación debe estar basada en riesgos, a fin de determinar las prioridades
de nuestra actuación.
De acuerdo con lo que he podido conocer
en la forma en el que este requerimiento normativo es atendido por las Unidades
de Auditoría Interna a las que tenido la oportunidad de acceder, puedo comentar
que aplicar esta modalidad de selección de trabajos es la más habitual, y es la
que, salvo las excepciones en ámbitos en los que las exigencias de los
supervisores son elevadas, es la que
determina el mayor porcentaje de actividades a atender por Plan, destacando
sobre las correspondientes a solicitudes del Comité de Auditoría y Gerencias,
por tanto, hasta aquí todo perfecto.
No obstante lo anterior, creo que también
es posible que nos encontremos con metodologías de aplicación de este
principio, que no sean las más adecuadas, ya que de ellas se derivarían
resultados que podríamos denominar no óptimos. Veamos algunos ejemplos.
En primer lugar creo que el criterio de,
llamémosle “gradualidad”, aplicado por algunas organizaciones
holding que
se reservan para la Corporación la
decisión última de la aprobación del Plan agregado, según la sistemática en la
que en un primer nivel se evalúan los riesgos a nivel local, preparando una
propuesta de plan que es posteriormente trasvasado al nivel de zona superior
para que en ella se re-evalúen las propuestas de sus Unidades de Auditoría
Internas dependientes, volviendose a
decidir la composición de los planes según la trascendencia o criticidad que
desde ese nivel se estimen de los riesgos nuevamente valorados, para finalmente
trasladar el borrador del plan conjunto a la Corporación para que se tomen las
decisiones que correspondan a ese nivel y
desde la perspectiva de la cabeza del holding, lo
cual puede ser muy válido desde esa perspectiva, pues se van a dedicar los
recursos de una manera homogénea en todo el perímetro societario, supervisando
entes auditables de entidad homogénea.
Sin embargo, y por la gradualidad que
probablemente se dará a la tipificación de los riesgos según su impacto, dado
que a nivel local o subsidiaria un riesgo crítico tendrá menos valor que el que
se le asignará a nivel zona o a nivel Corporación, ya que lo que a nivel
empresa sea trascendente y susceptible de incluir en el Plan de Auditoría, al
alejar el punto de decisión de ese entorno, la gravedad de lo observado en ese
primer nivel habrá ido disminuyendo sensiblemente, ya que lo que puede ser
preocupante a nivel filial, puede no serlo a nivel Corporación, al ser dos
dimensiones diferentes.
Por ello, en el modelo de determinación
de los Planes de Auditoría a aplicar en entornos tipo holding, deberemos tener en consideración esta
circunstancia, permitiendo que las criticidades establecidas a nivel local se
actualicen con los factores de corrección que se estimen adecuadas, al pasar a
la evaluación a niveles más elevados de la estructura empresarial, ya que en
caso contrario la problemática de las filiales estará devaluada, y solo será
auditada cuando la situación también sea percibida como preocupante por la
Corporación.
Otro aspecto que también hemos observado
es que, en algunas ocasiones, y después de haber valorado adecuadamente la
ponderación de los distintos entes auditables analizados, el corte para decidir
su inclusión o exclusión del Plan se determina en base a la media de los
valores determinados para los diferentes procesos/subprocesos analizados, de
forma que los que estén por debajo de la medía no se incluyen en el Plan,
mientras que los que hayan superando ese valor, sí se incluyen en el borrador
del Plan.
Esta sistemática puede parecer
estadísticamente oportuna, pero comporta una debilidad, ya que, cuanto más alta
sea el valor de la media, menor será el entorno de control interno de la
organización, ya que, en una escala del 0 a 100 puntos, si el promedio del
conjunto se deteriora, aumentará el valor de la media, lo que reflejará un
deterioro del control interno percibido, como consecuencia de la más elevada
estimación de la importancia de los riesgo, pero que irá acompañada de un menor
el número de auditorías a realizar. Lo cual no parece lógico, ya que a menos
confortabilidad en la situación de los riesgos, mayor actividad de auditoría.
La situación inversa también se produciría, a menor valor de la media, es
decir, a mejor control interno percibido, mayor sería en número de auditoría a
realizar
Por ello, el pasa o no pasa al Plan, no
debería fijarse por este criterio pues nos conduce a situaciones no adecuadas.
Como hemos visto por estos dos ejemplos,
la metodología que hayamos decidido aplicar para determinar el Plan en base a
riesgo, puede condicionar la adecuación de la composición de los Planes, por lo
que se hace necesario que el modelo a aplicar esté debidamente contrastado, y
exento de repercusiones negativas, que impidieran conseguir la necesaria
eficiencia de la actividad auditora, pues si bien esta no solo depende de lo
adecuado de la composición del plan, sí
que es condición necesaria para ello.
