View
93
Download
1
Embed Size (px)
Citation preview
LUNES, 25 DE MARZO DE 2013
Preguntas Sobre Fraude
En nuestro artículo: Supervisión continúa para la detección de fraudes, recibimos dos preguntas, las cuales presentamos a continuación:
Pregunta No. 1 – Existe alguna restricción en el Marco para Practica Profesional de la Auditoría Interna que diga que los Auditores Internos no deban desarrollar trabajos de investigación de Fraudes.
De acuerdo a las Normas emitidas por el IIA no existe ninguna restricción.
Los estándares sobre fraude establecen que:
2120.A2 La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la organización maneja gestiona el riesgo de fraude.
Otros aspectos importantes presentados en las Normas son:
1210.A2 Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es
de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.
1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar: El alcance necesario para alcanzar los objetivos del trabajo;
La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento;
La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control;
La probabilidad de errores materiales, fraude o incumplimientos; y
El costo de aseguramiento en relación con los beneficios potenciales.
Pregunta No. 2 - ¿Que consiste una auditoría de fraudes desarrollada por los Auditores Internos?
La Guía para la Práctica del IIA: Auditoría Interna y Frade en la Sección Investigación del Fraude Indica lo siguiente:
Para cada investigación se desarrolla un plan, siguiendo para ello los procedimientos o protocolos pertinentes establecidos por la organización. El investigador líder determina el nivel de conocimientos, destrezas y otras competencias requeridas para llevar a cabo la investigación de manera eficaz, y asigna personas competentes y apropiadas par formar el equipo. Este proceso incluye obtener seguridades en el sentido de que no existe posible conflicto de interés con quienes están siendo investigados o con cualquiera de los empleados de la organización:
El plan deberá considerar las siguientes actividades:
Recopilar evidencia a través de actividades de vigilancia, entrevistas y declaraciones escritas.
Documentar y preparar la evidencia, considerar las reglas legales de la evidencia, y los usos que la organización dé a la evidencia.
Determinar la magnitud del fraude.
Determinar las técnicas utilizadas para perpetuar el fraude.
Evaluar la causa del fraude.
Identificar a los perpetradores.
LUNES, 25 DE MARZO DE 2013
Preguntas Sobre Fraude
En nuestro artículo: Supervisión continúa para la detección de fraudes, recibimos dos preguntas, las cuales presentamos a continuación:
Pregunta No. 1 – Existe alguna restricción en el Marco para Practica Profesional de la Auditoría Interna que diga que los Auditores Internos no deban desarrollar trabajos de investigación de Fraudes.
De acuerdo a las Normas emitidas por el IIA no existe ninguna restricción.
Los estándares sobre fraude establecen que:
2120.A2 La actividad de auditoría interna debe evaluar la posibilidad de ocurrencia de fraude y cómo la organización maneja gestiona el riesgo de fraude.
Otros aspectos importantes presentados en las Normas son:
1210.A2 Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es
de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.
1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar: El alcance necesario para alcanzar los objetivos del trabajo;
La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento;
La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control;
La probabilidad de errores materiales, fraude o incumplimientos; y
El costo de aseguramiento en relación con los beneficios potenciales.
Pregunta No. 2 - ¿Que consiste una auditoría de fraudes desarrollada por los Auditores Internos?
La Guía para la Práctica del IIA: Auditoría Interna y Frade en la Sección Investigación del Fraude Indica lo siguiente:
Para cada investigación se desarrolla un plan, siguiendo para ello los procedimientos o protocolos pertinentes establecidos por la organización. El investigador líder determina el nivel de conocimientos, destrezas y otras competencias requeridas para llevar a cabo la investigación de manera eficaz, y asigna personas competentes y apropiadas par formar el equipo. Este proceso incluye obtener seguridades en el sentido de que no existe posible conflicto de interés con quienes están siendo investigados o con cualquiera de los empleados de la organización:
El plan deberá considerar las siguientes actividades:
Recopilar evidencia a través de actividades de vigilancia, entrevistas y declaraciones escritas.
Documentar y preparar la evidencia, considerar las reglas legales de la evidencia, y los usos que la organización dé a la evidencia.
Determinar la magnitud del fraude.
Determinar las técnicas utilizadas para perpetuar el fraude.
Evaluar la causa del fraude.
Identificar a los perpetradores.
La Auditoría Forense Jesús Aisa Díez
En un reciente artículo colgado en el blog, tuve la oportunidad de comentar mi opinión sobre el futuro de la
función auditora, partiendo para ello de la consideración de los riesgos que en la actualidad se presentan
en la gestión empresarial. Llegando a la conclusión que el riesgo de fraude, que como sabemos fue uno de
los orígenes de la función auditora, seguía manteniendo viva su importancia, debido a lo cual su
supervisión debería ocupar un espacio relevante en la actividad de las auditorías internas; motivo por el
que defendíamos la conveniencia de especializar a determinados auditores internos en la investigación de
los fraudes, tal y como se hace con otros tipos de riesgos.
Nuestra defensa en la labor de lucha contra el fraude por parte de las auditorías internas creemos que
viene justificada por muchos motivos, entre otros porque siendo nuestra actividad complementaria a la
función de las auditorías externas, en estas resulta obvio que en su ámbito de actuación sí incluye el
fraude de la información financiera, que es específicamente tratado por la Statement on Auditing
Standards No. 99, que define este fraude como un acto intencional que provoca un error importante en los
estados financieros, y su contenido mantiene el mismo nivel de desconfianza que Sarbanes–Oxley, pero
aquí lo explicita, señalando como principio de actuación del auditor el escepticismo.
Estando claro el campo de actuación de los auditores externos en la lucha contra el fraude, entendemos
que la actuación los internos también lo debería estar, ya que nos corresponde supervisar e investigar
aquellas otras tipologías de fraudes que no sean específicas de la información financiera. Que es el ámbito
de actuación que le corresponde a la llamadagenéricamente auditoría forense, aunque por mi parte
preferiría llamarla Inspección, ya que el término “forense” presupone la decisión previa de las autoridades
judiciales del encargo de investigar y analizar hechos en los que presuntamente existan situaciones de
delitos, corrupción y/o fraudes, lo cual no suele ser lo habitual, pues las investigaciones habitualmente son
decisiones adoptadas en el ámbito empresarial.
La importancia de esta faceta auditora se puede observar por la existencia de su correspondiente
certificación profesional, otorgada en esta ocasión por la Association of Certified Fraud Examiners, en
forma similar a como ISACA actúa en el entorno de las tecnologías de la información.
En opinión de esta Asociación el árbol del fraude abarca tres grandes apartados:
a) La apropiación indebida de activos
b) La corrupción, y
c) Reportes Fraudulentos.
Los dos primeros se deberían adscribir dentro del alcance de los Planes de las Auditorías Internas,
atendiendo a las ramificaciones que aparecen en las gráficas que se indican a continuación. En tanto que
el aspecto relacionado con los Reportes Financieros es el objetivo a cubrir por los externos.
Siguiendo estos dos esquemas podríamos concluir que el campo de actuación de la Inspección abarcará
cualquier acto ilícito que pueda producirse.
Debido a esta gran diversidad de formas de cometer fraudes y hacer corrupción, no resulta fácil
estandarizar los procedimientos de la Inspección, lo que exigen al auditor apelar a su experiencia y juicio
profesional al preparar los procedimientos de auditoría que sean efectivos para determinar y cuantificar
estos hechos. Pudiendo, no obstante, indicar algunas técnicas apropiadas para la realización de las
inspecciones:
a) Detección de pautas de comportamiento fraudulentas.
b) Trabajos basados en la totalidad de la población, no en muestras.
c) Enfoque hacía la evidencia: entrevistas, documentos, prueba digital.
d) Uso de la Tecnología (Minería de datos).
e) El reporte de los informes suelen ser materia reservada y no se “discuten” con el área investigada.
Pudiendo calificarse su actuación en preventiva y detectiva:
Preventiva: Enfoque proactivo orientado a proporcionar aseguramiento o asesoría respecto de su
capacidad para disuadir, prevenir (evitar), detectar y reaccionar ante los fraudes, e implementar programas
y controles anti fraude; esquemas de alerta temprana de irregularidades; sistemas de administración de
denuncias, etcétera.
Detectiva: Enfoque reactivo orientado a identificar la existencia de fraudes mediante la investigación de
los mismos llegando a establecer su cuantía; efectos directos e indirectos; posible tipificación; presuntos
autores, cómplices y encubridores, método empleado, controles no eficaces, etcétera.
Para ir acabando, y entendiendo que se comparte la idea de que la lucha contra el fraude es un objetivo
empresarial muy importante, en el que las Unidades de Auditoría Interna tienen un rol muy significativo que
realizar, puesto que, aunque Es un riesgo que resulta inevitable, solo tiene como espacio y límite el
ingenio humano, lo cual requiere que los auditores y los responsables de control estén
siempre actualizados de los métodos que se emplean para detectarlo y prevenirlo. Solo se volverá
manejable si se logran entender los elementos que lo generan.
Artículo Publicado en el Blog: Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director
Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
Auditoría Interna Para No Auditores - Evaluación Riesgos Nivel Proceso
¿Cómo realizo una evaluación de riesgos para identificar las áreas de alto riesgos del proceso bajo
revisión?
El punto inicial de la evaluación de riesgos a nivel de proceso es identificar los riesgos que pueden afectar
la habilidad de alcanzar los objetivos. Para nuestro ejemplo este paso estará alineado con el componente
del cubo COSO ERM de Identificación de Eventos y puede ser realizado a través de formular la siguiente
pregunta:
¿Qué puede ocurrir que nos impida alcanzar el logro de cada uno de los objetivos a nivel de
proceso?
El enfoque para responder a esta interrogante generalmente incluye los siguientes pasos:
1. Selección de un objetivos a nivel de proceso (este ejercicio se hace mejor seleccionando un objetivo a la
vez).
2. Identificación de barreras (evento, escenarios, asuntos o circunstancias) que puede causar que el objetivo
fracase. Ejemplos:
a. Eventos externos para los cuales la compañía no estaba preparada o no reaccionó rápida o
apropiadamente.
b. Procedimientos o metas inapropiadamente diseñadas o pobremente documentadas.
c. Fallas en procedimientos o tareas.
d. Falta de personal correcto, con destreza adecuada y asignados de forma correcta.
e. Actividades inadecuadas de supervisión y monitoreo.
f. Comunicación inefectiva entre las áreas interrelacionadas.
g. Empleado que de forma intencional violan políticas o actúan de forma no ética.
h. Sistemas diseñados inadecuadamente.
i. Información para la toma de decisiones inexacta, incompleta e inoportuna.
j. Falta o inadecuadas medidas de desempeño.
3. Combinar barreras similares dentro de grupos que puedan reflejar un riesgo.
4. Definir cada grupo o detallar barreras o riesgos individuales.
5. Enlace lo riesgos con los objetivos asegurarse que el impacto del mismo con las metas de la organización.
6. Valide los riesgos identificados con la gerencia a nivel de proceso, para asegurar que:
a. La definición hace sentido.
b. Todos los riesgos que podrían combinarse se lograron unir.
c. La lista está completa.
Consejo final no realice la evaluación solo el sexto paso es fundamental, comparta la información
resultante con el personal clave del área bajo revisión. Un aspecto importante es que después de que
auditoría interna completa el ejercicio de identificación de los riesgos debe integrar a la gerencia del área
en el proceso. Su opinión respecto a los riesgos críticos, esto lo podemos hacer a través de: Una sesión
formal de discusión de grupo o brainstorn; segundo un cuestionario a personal clave del proceso puede
ayudar a la identificación eventos, escenarios, asuntos o circunstancia que podrían originar que un objetivo
falle; y tercero presentar una lista o detalle para compartirla con la gerencia en busca de acuerdo.
5 Pasos para diseñar informes de auditoría interna de alto impacto
Podría de decirse que el informe de auditoría es el aspecto más importante de todo el proceso del trabajo.
Usted pudo haber seleccionada el área correcta, evaluar los resultados de forma efectiva, analizar los
controles a profundidad y registrar los resultados elegantemente en unos papeles de trabajo
magistralmente referenciados; pero si el informe no refleja esta excelencia, usted no obtendrá el éxito
deseado. El informe de auditoría interna es quizás el único producto tangible que gerencia puede ver del
trabajo de su departamento.
Tenemos la imperiosa necesidad de desarrollar un informe que tenga un impacto significativo en el lector
en los primeros treinta segundos o antes, que el usuario tenga el mismo en sus manos o lo lea a través de
la pantalla del computador.
Si deseas mejorar de forma significativa la calidad de tus informes aplica los siguientes consejos:
1. Sea Breve
La Brevedad es probablemente el factor principal o clave que caracteriza a un informe excelente. La
brevedad no es solo acerca de la cantidad de páginas que incluya el informe, sino también el presentar
solamente los aspectos que sean cruciales para el usuario usando la menor cantidad de palabras posible.
Sus clientes esperan recibir un documento depurado que presente únicamente temas cruciales para su
trabajo y que le permitan lograr sus objetivos de negocio de forma efectiva. Evite los reportes largos,
debería promulgarse una nueva legislación, la cual tipifique como delito penal el desarrollo de informes de
auditoría interna voluminosos.
“La perfección no se alcanza cuando no hay nada más que añadir, sino cuando no hay nada más
que quitar”. Antoine de Saint-Exupéry
2. Coloque primero el Mensaje Principal
Los lectores prefieren que el mensaje principal sea colocado primero y luego leer los comentarios, detalles
y explicaciones que apoyan el mensaje principal. Los estudios sobre lectura compresiva apoyan el
principio básico de colocar el mensaje principal primero. Estos estudios demuestran que los usuarios
absorben más información y recuerdan mejor los detalles cuando el mensaje clave lidera la escritura. Este
enfoque del mensaje principal primero es poderos y permite un entendimiento claro, no solo del mensaje
clave si no también de la información de apoyo y los detalles. La estructura del informe debe desarrollarse
intencional y abiertamente para empujar el mensaje principal hacia el frente.
3. Divida el Informe en Secciones
Muchos de los usuarios no leen el informe completo. Saltan y vuelan secciones del informe, buscando la
información que ellos necesitan. Los usuarios de alto nivel leen la opinión (o conclusión) y se detienen ahí.
Dependiendo de la severidad de los temas, los gerentes responsables del área bajo examen revisan la
opinión, los mensajes en la observación y las recomendaciones pero podrían no leer las observaciones
completamente ni los anexos. Los dueños de los procesos leen el informe completo, pero podrían enfocar
principalmente su atención en las recomendaciones.
Los lectores son selectivos, por lo que no debemos ver los informes como un texto continuo, sino
cómo una serie de capas o secciones. Cada sección permite al lector profundizar dentro de más
detalles y explicaciones dependiendo de sus necesidades. Un mensaje de alto nivel debe encabezar cada
sección. Luego continúan los comentarios de apoyo, sumarios y detalles.
4. Presente una conclusión clara
Esto es esencial. Usted necesita asegurarse de que el lector comprende claramente lo que usted piensa
sobre la efectividad y eficiencia del área bajo revisión. El desarrollar un enunciado de opinión preciso y
conciso es la mejor forma de lograr esta meta.
Las conclusiones pueden referirse a todo el ámbito del trabajo o sólo a aspectos determinados. Pueden
abarcar aspectos tales como la determinación de si los objetivos y metas de programas y operaciones
están en consonancia con los de la organización, si estos últimos se están cumpliendo y si la actividad
revisada funciona como se pretende. Una opinión puede incluir una evaluación general de controles o
puede estar limitada a determinados controles o aspectos evaluados durante el trabajo de auditoría
interna.
5. De un seguimiento efectivo a las acciones correctivas
"El juego no se acaba hasta que se termina."
Yogi Berra - Jugador y entrenador de béisbol de las Grandes Ligas
Un proyecto de auditoria interna no finaliza hasta que las recomendaciones son implementadas. La
actividad de auditoría interna puede hacer un seguimiento eficaz a través de recibir y evaluar:
Las respuestas de la dirección y el plan de acción propuesto a las observaciones y recomendaciones del
trabajo durante la realización del mismo o dentro de un período razonable después de comunicar los
resultados del trabajo. Las respuestas son más útiles si incluyen la información suficiente que permita al
DEA evaluar la adecuación y oportunidad de las acciones propuestas.
Actualizaciones periódicas de parte de la dirección con el fin de evaluar sus esfuerzos para corregir las
observaciones e implementar las recomendaciones.
Información de otras unidades de la organización que tengan asignada responsabilidad en el seguimiento
o las acciones correctivas.
La información presentada en los cincos pasos o consejos incluidos en este artículo fueron tomada del
material técnico de nuestro Curso Taller: Diseño Efectivo de Informes de Auditoría Interna.
Ejemplo de un Plan Anual de Auditoría Basada en Riesgos Por Juan Villanueva Chang
Con la finalidad de atender algunas inquietudes respecto al artículo publicado el 14.11.2012(Plan Anual
de Auditoría Basada en Riesgos: Guía práctica para su implementación),a continuación se explica un
caso hipotético en una entidad de servicios.
Previa a la explicación del ejemplo, resulta indispensable coincidir con algunos parámetros:
La práctica habitual para los auditores de utilizar fórmulas para determinar la prioridad de las auditorías no
es nuevo, se remonta a la década de los 70.
Existe la necesidad de confeccionar una metodología estable en el tiempo para determinar la prioridad de
las auditorías, debido a limitaciones de su capacidad operativa y tiempo estimado para la realización de las
revisiones. La metodología no es necesaria si en realidad es posible auditar en un año todo el universo
auditable de una entidad.
El proceso de planificación anual siempre ha exigido la construcción de métricas que nos ayuden a
realizar una selección adecuada. Esto obliga a revisar al menos una vez al año el universo auditable de la
organización.
La ventaja de utilizar una metodología de este tipo ayuda al auditor a tener una guía neutral que resulta de
la marcha de ciertos elementos del universo auditable, en vez de una simple selección arbitraria.
Ejemplo: Casa de Cambio ABC S.A.
a) Métricas del universo auditable:
La unidad de auditoría interna lo conforman dos personas (3 600 h/H) y el tiempo promedio para realizar
cada auditoría es de 1 200 h/H. Estas limitaciones permitirían a la unidad de auditoría realizar 3 auditorías
al año.
El universo auditable lo conforman 10 procesos operativos y de apoyo de la cadena de valor, así como 2
actividades auditables vinculadas a algunas políticas y regulaciones integrales. En caso no se haya
identificado la cadena de valor, se puede emplear las unidades organizacionales.
Universo auditable Impacto Antigüedad
última
auditoría
Percepción
de riesgos Debilidades
de control
Transferencias de fondos vía electrónica B 15 meses Media 12
Cheques personalizados (giros) B 12 meses Media 6
Efectivo (Algunas Divisas) C 21 meses Alta 7
Metales amonedados A 6 meses Baja 4
Contabilidad y finanzas A 10 meses Alta 2
Recursos humanos A 8 meses Media 3
Servicios generales A 6 meses Baja 7
Seguridad física C 6 meses Alta 8
Plan de recuperación y continuidad operativa B 12 meses Media 6
Seguridad e higiene de salud en el trabajo B 3 meses Baja 3
b) Fórmula para prioridad de auditorías:
PA= T (20%) + A (20%) + [PR (30%) + DC (30%)]
PA= Determinación de prioridad de auditoría
T= Tamaño (Nivel de impacto involucrado. Puede ser el nivel de impacto tomado del proceso de
evaluación de riesgos, mapas de riesgos o de saldos contable, flujos de recursos involucrados en su
operatividad, entre otros)
A = La antigüedad de la última auditoría
PR = Es el nivel de percepción que tiene la unidad de riesgos sobre cada unidad auditables. Cualquier
escala de resultados que proporcione la unidad de riesgos o los dueños de los procesos, para fines de
esta fórmula, se puede traducir en una simple calificación de alta, media y baja.
DC = Cantidad histórica de las debilidades de control identificadas en las auditorías pasadas.
c) Construcción de escalas para la medición de la fórmula:
IMPACTO Puntaje de Fórmula
A= Bajo 0 - 10 mil dólares 5
B= Medio 21 - 50 mil dólares 15
C= Alto 51 - Más de 51 mil dólares 20
ANTIGÜEDAD AUDITORIA Puntaje de fórmula
5= Más de 24 meses o nunca 20
4= Entre 19 y 24 meses 15
3= Entre 13 y 18 meses 10
2= Entre 7 y 12 meses 5
1= Entre 0 y 6 meses 0
PERCEPCION DE G. RIESGOS
Puntaje de
fórmula
Alto A 30
Medio B 15
Bajo C 5
DEBILIDADES DE CONTROL
Puntaje de
fórmula
5= Alto Más de 21 30
4= Superior 16 a 20 22.5
3= Medio 11 a 15 15
2= Mínimo 5 a 10 7.5
1= Ninguno 0 a 4 0
d) Ranking de aplicación de la fórmula al universo auditable:
Universo auditable T A PR DC Total
Transferencias de fondos vía electrónica 15 10 15 12 52
Cheques personalizados (giros) 15 5 15 6 41
Efectivo (Algunas Divisas) 20 20 30 7 77
Metales amonedados 5 0 5 4 14
Contabilidad y finanzas 5 5 30 2 42
Recursos humanos 5 5 15 3 28
Servicios generales 5 0 5 7 17
Seguridad física 20 0 30 8 58
Plan de recuperación y continuidad
operativa 15 5 15 6 41
Seguridad e higiene de salud en el trabajo 15 0 5 3 23
El resultado de la fórmula de prioridad de auditorías, en función de las limitaciones de la capacidad
operativa de que sólo se pueden efectuar 3 auditorías al año, seleccionan para el plan anual a las
siguientes auditorías del universo auditable:
Efectivo (Algunas Divisas)
Seguridad física
Transferencia de fondos vía electrónica
Como se explicó en el texto inicial, obviamente que al resultado de este ranking se puede alterar e incluir
otras prioridades al resultado del análisis histórico de las métricas antes señaladas, como por ejemplo si
hubiera denuncias sustentadas o pedidos especiales de nuestros clientes de la alta dirección, entre otros.
Es importante señalar que esta fórmula se puede mejorar con la construcción e inclusión de otras
variables, tales como costos, tiempos de demora efectiva, etc. Igualmente, queda a criterio de cada unidad
de auditoría proponer un peso distinto a cada factor incluido en la fórmula, sobre todo a la percepción del
riesgo cuando se ha logrado un buen nivel de madurez de la gestión de riesgos.
Finalmente, para fortalecer la base teórica del tema, a continuación se sugiere algunas referencias:
· Andrew Chambers (1992), “Effective internal audits”, England
· Peter Jones (1999), “Statistical Sampling and Risk Analysis in Auditing”, England
· Phil Griffiths (2005), “Risk - based auditing”, England
· K.H. Spenser Pickett (2006), “Audit Planning: A risk – based approach”
· David Griffiths,(2006), “Risk based internal auditing – Three views on implementation”
Auditoría de las 3 E’s
Esta expresión trata de una auditoría realizada para evaluar aspectos de desempeño en: Eficacia,
Eficiencia y Economía de un programa o proceso. Entre las diversas terminologías que se refieren para
hacer referencia a las auditorías desempeño se incluyen: auditoría de administración; auditoría valor a
cambio de dinero; auditoría integral; auditoría de amplio alcance; auditoría operativa; auditoría de
economía y eficiencia; y auditoría de programas.
Este tipo de auditoría se fundamenta en la determinación de:
1. Eficacia: es hacer las cosas bien, con los mejores métodos posibles para lograr el objetivo.
2. Eficiencia: es la relación entre los recursos utilizados en un proyecto y los logros conseguidos en el
mismo. Se entiende que la eficiencia se da cuando se utilizan menos recursos para lograr un mismo
objetivo
Nota al margen: A veces se suele confundir la eficiencia con eficacia, y se les da el mismo significado; y
la realidad es que existe una gran diferencia entre ser eficiente y ser eficaz. Ejemplo: se es eficaz si nos
hemos propuesto construir un edificio en un mes y lo logramos. Fuimos eficaces, alcanzamos la meta.
Pero se puede dar el caso que se alcanzó la meta de construir el edificio en un mes tal como se había
previsto (fuimos eficaces), pero para poder construir el mismo, se utilizaron más recursos de lo normal (no
fuimos eficientes). Moraleja del ejemplo: Podemos ser eficientes sin ser eficaces y podemos ser
eficaces sin ser eficientes. Lo ideal sería ser eficaces y a la vez ser eficientes.
3. Economía: representa el adquirir los insumos y recursos adecuados, en la cantidad precisa, en el
momento oportuno y al mejor costo.
10 Pasos claves en el desarrollo del trabajo
Este tipo de proyecto pueden considerar si la entidad:
1. Cumplió con las mejores prácticas para la adquisición de bienes y servicios.
2. Adquirió el tipo, la calidad y cantidad apropiada de recursos a un costo razonable.
3. Protegió y manejo correctamente sus recursos.
4. Evitó duplicidad de esfuerzo por parte de los empleados.
5. No desarrollo tareas, trabajos o funciones sin valor agregado.
6. Evitó la inactividad y contratación de personal en exceso.
7. Implementó procedimientos operativos eficaces.
8. Utilizó la cantidad optima de recursos (personal, equipos e instalaciones) en la producción o entrega de la
cantidad y calidad adecuada de bienes o servicios de una manera oportuna.
9. Cumplió con los requerimientos y leyes que pudieran afectar significativamente la adquisición, protección y
el uso de los recursos de la entidad.
10. Implementó un sistema de control interno adecuado para la medición, presentación de informes y
supervisión de la economía y eficiencia del programa o proceso.
20 Esquemas Comunes de Fraude
Manipulación intencional de los estados financieros
1. Ingresos reportados inapropiadamente
a. Ingresos ficticios
b. Reconocimiento prematuro de ingresos
c. Reconocimiento de ingresos y gastos contractuales
2. Gastos reportados inapropiadamente
a. Período de reconocimiento de gastos
3. Montos inapropiados reflejados en los balances, incluyendo reservas
a. Evaluación de activos incorrecta
i. Inventarios
ii. Cuentas por cobrar
iii. Fusiones y Adquisiciones
iv. Capitalización de partidas intangibles
b. Clasificación errónea de activos
c. Método de depreciación inapropiado
d. Ocultación de pasivos y gastos
i. Omisión
ii. Devoluciones de ventas, asignaciones y garantías
iii. Capitalización de gastos
iv. Obligaciones tributarias
4. Revelaciones inapropiadas mejoradas y/o enmascaradas
a. Omisión pasivos
b. Eventos subsecuentes
c. Transacciones con partes relacionadas
d. Cambios contables
e. Fraudes gerenciales descubiertos
f. Transacciones retroactivas
5. Ocultamiento de malversación de activos
6. Ocultamiento de recibos y gastos no autorizados
7. Ocultamiento de adquisición, disposición y uso no autorizados de activos.
Malversación o apropiación indebida
Activos Tangibles:
8. Robo de efectivo
a. Manipulación registros de ventas
b. Descremado
c. Procedimientos de recaudación
d. Ventas subestimadas
e. Robo de cheques recibidos
f. Trasladar o jinetear cuentas
g. Registros falsos
h. Inflar inventarios
i. Robo de efectivo en caja
j. Trasladar o jinetear efectivo
k. Depósitos en tránsito.
9. Desembolsos fraudulentos
a. Rembolsos falsos
b. Anulaciones falsas
c. Manipulación de cheques
d. Manipulación facturas
e. Compras personales con fondos de la compañía
f. Devolución de mercancía recibida a cambio de efectivo
10. Fraude rol de pagos
a. Empleados fantasmas
b. Horas y sueldos falsificados
c. Comisiones por ventas erróneas
11. Rembolso gastos
a. Gastos tergiversados
b. Gastos sobrevaluados
c. Gastos ficticios
d. Rembolsos duplicados
12. Transferencias bancarias
a. Clave sistema comprometida
b. Autorización falsificada
c. Cuenta de transferencia no autorizada
13. Fraudes cheques y tarjetas de crédito
a. Cheques falsificados
b. Robo de cheques
c. Tarjetas de crédito no autorizadas o perdidas
d. Tarjetas de crédito falsificadas
14. Fraude Seguros
a. Cheques de liquidación
b. Primas
c. Beneficiario ficticio
d. Reclamación ficticia
e. Daños inflados
f. Declaración falsa
15. Inventarios
a. Mala utilización inventario
b. Robo de inventario
c. Falsificación en compra y recepción
d. Embarques falsos
e. Ocultamiento de merma en inventario
Corrupción
16. Sobornos y gratificaciones
a. Compañías
b. Personas privadas
c. Funcionarios públicos
17. Desfalco/Malversación
a. Registros contables falsos
b. Retiros no autorizados
c. Desembolsos no autorizados
d. Pago de gastos personales con fondos de la empresa
e. Pagos de efectivo no registrados
f. Robo de propiedad física e intelectual
18. Recibo de sobornos, comisiones clandestinas y gratificaciones
a. Manipulación de ofertas
b. Comisiones clandestinas
c. Desviar negocios a proveedores
d. Sobre-facturación
19. Pagos ilegales
a. Regalos
b. Viajes
c. Entretenimiento
d. Préstamos
e. Pagos de gastos personales
f. Transferencias por valores que no son justos o razonables
g. Tratamiento favorable
20. Conflicto de intereses
a. Compras
b. Ventas
c. Desvío de negocios
d. Asignación de recursos
e. Revelación financiera de interés con proveedores
Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación Juan Villanueva Chang
Elaborar un plan anual de auditoría es un reto importante para los profesionales en auditoría así como para fortalecer las relaciones con los stakeholders. Tradicionalmente esta labor consistía en identificar unidades organizacionales con mayor impacto según el valor o volumen de transacciones en los estados financieros o de acuerdo a apreciaciones de los auditores. Hoy en día, diseñar un plan anual de auditoría se debe centralizar en aquellas áreas de negocios o procesos significativos respecto al tipo de riesgo que enfrenta la empresa.
La experiencia nos señala que existen otros elementos a tener cuenta son:
La capacidad operativa y competencias del equipo de auditores para el tema seleccionado para auditar.
Complejidad de la materia a auditar y oportunidad en la obtención de la información (Acceso a aplicativos TI).
Precisión respecto al énfasis que tendrá la revisión respecto a los objetivos de control interno (Operaciones, fiabilidad de reportes y cumplimiento).
En algunos casos se recoge sugerencias de los clientes.
Cantidad de unidades o procesos que conforman el universo de la materia auditable de la organización.
Todos estos matices obligan a ser creativos para la formulación de un plan anual de auditoría basada en riesgos. La realidad es que el área de auditoría dispone de recursos limitados y por consiguiente es imposible auditar todo el universo auditable en un año. Otro aspecto a tener en cuenta es el grado de conocimiento del auditor sobre la marcha de la gestión de riesgos. Tener conocimiento y acceso oportuno a la documentación de la gestión de riesgos se convierte en un tema vital para el desarrollo de este enfoque.
Las mejores prácticas del Marco Internacional para la Práctica Profesional de la Auditoría Interna dan énfasis a la necesidad de elaborar un plan anual de auditoría basada en riesgos. Se fundamenta en la Norma IIA sobre Desempeño 2010 – Planificación, el Consejo para la Práctica IIA 2010-1 y el IIA 2010-2.
El universo auditable suele estar conformado por procesos, programas, proyectos o áreas consideradas estratégicas en la organización. Al mismo tiempo, se debe tomar en cuenta la vinculación de la materia auditable con las actividades estratégicas vigentes de la entidad.
Una forma de priorización el universo auditable para realizar auditorías es utilizando una metodología que ayude a tomar en cuentas aspectos del tamaño, tiempo (antigüedad de la última auditoría) y apreciaciones sobre el nivel de riesgo involucrado. Obviamente que la cantidad de auditorías a realizar están limitadas por la capacidad operativa de auditores y el tiempo estimado de cada una de ellas para su realización.
El ciclo de esta metodología podría incluir: La definición y actualización de la materia auditable o universo de auditoría. Conocer los objetivos y meta estratégicas vigentes y su vinculación con la materia auditable. Identificar las métricas de tiempo y tamaño o valor involucrado en la materia auditable. Crear métricas de efectividad respecto al tiempo en cuanto a la estimación y realización de auditorías anteriores. Generar métricas sobre la percepción de los riesgos y debilidades de control, para finalmente conocer el nivel de confianza del control interno como resultado del comportamiento histórico de las debilidades de control acumuladas.
Con la finalidad de establecer un criterio uniforme para expresarlo como puntaje de una fórmula que otorgue la prioridad para realizar una auditoría, se seleccionan algunos de los indicadores que a continuación se detallan:
Métricas de gestión de Tiempo y Tamaño:
1) Tiempo: Fecha de última auditoría
Registro de fecha de última auditoría realizada con enfoque moderno de auditoría basada en riesgos.
2) Nivel de impacto
Se obtiene de registros de saldos contables o flujos de recursos comprometidos en cada proceso.
3) Número de transacciones
Es la cantidad de asientos o registros contables de cada proceso auditable. Por lo general es mayor apoyo en auditorías financieras que los otros objetivos de control interno.
Métricas de gestión de Efectividad:
1) Duración real desarrollo de auditoría:
Es el tiempo real en H/H del desarrollo que demandó una auditoría.
2) Costo auditoría:
Es el valor involucrado en la realización de una auditoría, necesaria para determinar el presupuesto de las auditorías a realizar.
Métricas de Riesgos:
1) Percepción de riesgos de la Gerencia de Riesgos:
Cuando se carece de información por debilidad de la madurez de la gestión de riesgos en toda la cadena de valor, se puede recurrir a la calificación elaborada por el área de Gestión de Riesgos, recogiendo su apreciación subjetiva sobre el nivel de riesgos que tendría los procesos o unidades auditables.
2) Debilidades de Control:
Es la cantidad de debilidades de control como resultado de las auditorías.
De acuerdo a sus registros históricos, habría que elaborar una escala de medición para poder aplicar una fórmula y priorizar las auditorías. Esta fórmula podría tener un peso de 40% para los factores de Tamaño y Tiempo (Antigüedad última auditoría), y del 60% las apreciaciones sobre el nivel de riesgos. La fórmula se puede expresar de la siguiente manera:
PA = T (20%) + A (20%) + [PR (30%) + DC (30%)]
PA= Determinación de prioridad de auditoría.
T = Tamaño (Nivel de impacto involucrado).
A = Antigüedad de última auditoría. Se asigna máximo puntaje también para aquellos procesos en los que aún no se ha desarrollado una auditoría en forma específica con nuevo enfoque de auditoría.
La apreciación sobre el nivel de riesgos se hace tomando en cuenta los siguientes criterios:
PR= Nivel de percepción del estado de los riesgos por el área de Riesgos. Esta opinión recoge su percepción sobre probabilidad e impacto.
DC= Debilidades de control al término de las auditorías. Esta data de debilidades de control puede servir para elaborar el perfil histórico de confianza del control interno. Se asigna máxima puntuación si aún no se realizó auditoría con nuevo enfoque.
El resultado final arrojará cifras en torno al 100%. Es decir mientras más cercano resulte la cuantificación de la fórmula al 100%, nos indica que es apremiante su inclusión en el plan anual de auditoría.
Finalmente, en forma adicional al resultado de la fórmula de priorización de auditorías, al momento de seleccionar las auditorías es posible tomar en consideración otros criterios tales como: Perfil histórico de confianza del control interno, precisar si obedecen a denuncias sustentadas, áreas no examinadas y criterio propio del auditor.
Diferencia Entre Auditoría Continua y Monitoreo Continuo La diferencia principal fundamental radica en quien es el dueño y el objetivo del proceso.
¿Monitorear? En octubre del año pasado al final de mi conferencia en el XIV CLAI realizado en Lima, Perú, un colega
auditor interno se me acerco. Inicialmente, pensé que esta persona hablaría de lo motivadora e innovadora
que fue mi presentación, pero nada más lejos de la realidad. El buen amigo, solo quería entregarme un
artículo llamado: Verbos Disfuncionales ¿Monitorear?, escrito por el prominente lingüista peruano Noé
Lara, el cual establecía entre otras cosas lo siguiente:
Destacados profesionales utilizan la palabra "monitorear" para significar seguir o controlar
procesos, en general. Este vocablo tan usado por los funcionarios y ejecutivos que ejercen
supervisión desconcierta a quienes conocen y saben manejar el lenguaje, en unos en cuanto a su
legitimación y en otros en lo que atañe a su semántica. Los sustantivos designan entidades y
buena parte de ellos generan verbos. Así vemos que el que imparte conocimientos en las escuelas
lo conocemos por la palabra profesor. En esto no hay discusión. Empero, si alguien emitiera "en
este último trimestre vamos a "profesorear" la labor de los docentes "; y lo hace con el criterio que
se toma con respecto a monitor ("monitorear"), creerá que hace lo correcto. Es más, Incluso
pensará que las palabras terminadas en "or" llevarán similar manera de formación de verbos. Esta
actitud de desvirtuar el lenguaje no sólo ocurre en nuestro medio. Por ejemplo, en España, se
emplea "monitorizar"; en Honduras, monitoreo-monitorear; en México, monitorear y monitoreo, y
en América del Sur, monitorear.
La causa de este pandemonio verbal está en no conservar la fidelidad lingüística de nuestro idioma
y fácilmente nos lleva –y siempre se hace– a coger términos que responden a situaciones distintas
a nuestro propio universo lingüístico. Es así como de la palabra monitor, aparato con pantalla de
control, que procede del inglés, se ha creado los "verbos" monitorizar y monitorear. Como este
aparato sirve para controlar, se piensa, ingenuamente, en alguien que monitorea. Tremendo error.
A estas alturas, estoy seguro que muchos de ustedes se podrán imaginar que empleé erróneamente el
término MONITOREAR, en innumerables ocasiones durante toda mi presentación, cuando me refería a
acciones tales como: Supervisar, vigilar, dar seguimiento, etc. Por lo que de ahora en adelante, cuando
hable o escriba respecto al último componente del Marco de Control Interno COSO es preferible
seleccionar la voz Supervisión en vez del anglicismo MONITOREO.
¿Y dónde estaban los auditores internos?
Es la pregunta más frecuente de la alta dirección al momento de la organización experimentar un fallo significativo en el sistema de control interno, cuando ocurre un fraude o una desviación material. La actividad de auditoría interna no es inmune a los riesgos, por lo que se hace necesario tomar los pasos apropiados para evaluar nuestros propios riesgos. Sin embargo, le causara asombro comprobar que existen una gran cantidad de auditores que desconocen este requerimiento. El riesgo de auditoría tiene tres categorías: Fallos de Auditoría, falso aseguramiento y riesgo de reputación. Fallos de Auditoría: Debemos implementar las siguientes prácticas para mitigar este tipo de riesgo:
1. Implementar un programa de Aseguramiento de Calidad. 2. Revisar periódicamente del plan anual. 3. Realizar un proceso de planificación efectivo. 4. Diseñar las auditorías de forma efectiva. 5. Fortalecer la revisión gerencial. 6. Distribuir adecuadamente los recursos.
Falso Aseguramiento: Es el nivel de confianza o aseguramiento basado en percepciones o asunciones en vez de en los hechos. En muchos casos, el mero hecho de que la actividad de auditoría interna está envuelta en un asunto puede crear un nivel falso de aseguramiento.
Por ejemplo a la actividad de auditoría interna se le solicita ayudar en la implementación de un nuevo sistema computarizado. La unidad de negocio usa el recurso asignado para ayudar en el desarrollo de pruebas del nuevo sistema. Luego de la implementación, un error en el diseño del sistema ocasiona una reestructuración de los estados financieros. Cuando se pregunta: ¿Qué paso? La unidad de negocio responde diciendo que la actividad de auditoría interna estuvo envuelta en el proceso y no descubrió el problema. En este caso, la participación de auditoría interna creo un falso nivel de aseguramiento, el cual no era consistente con el verdadero rol de auditoría interna en el proceso. La comunicación frecuente y clara es la estrategia clave para manejar el riesgo de falso aseguramiento.
Riesgo de Reputación: La confianza en la calidad del trabajo es el principal y más preciado activo de cualquier Departamento de Auditoría Interna. La credibilidad es muy difícil de construir y muy fácil de perder. Una reputación creíble de la actividad de auditoría interna es esencial para su efectividad. Es importante que consideremos que tipo de riesgo puede impactar seriamente nuestra credibilidad y desarrollar estrategias de mitigación dirigidas a esos riesgos. Algunas prácticas incluyen:
Implementa un programa fuerte de aseguramiento y mejora de todo el proceso de la actividad de auditoría interna, incluyendo recursos humanos y contratación de personal. Periódicamente realizar una evaluación de riesgo de la actividad de auditoría para identificar riesgos potenciales que puedan afectar la “marca”. Asegurase que auditoría interna cumple las políticas y procedimientos de la empresa.
Definición Control Interno
Ayude a cambiar la imagen negativa que tienen los empleados de su empresa sobre el control interno.
Cuando le pregunten ¿Qué es el Control?, recuerde que es: Todo aquello que apoya a las personas
en sus esfuerzos para alcanzar los objetivos de la organización: Habilidades, procesos,
información, sistemas, políticas, trabajo en equipo, liderazgo, recursos, estructura, comunicación y
procedimientos.
En muchas ocasiones es importante tratar de comunicar la esencia de las definiciones de control interno,
en vez de concentrarnos puramente en los aspectos técnicos del término y entre las definiciones más
conocidas de control interno se encuentra la siguiente: Es cualquier medida que tome la dirección, el
consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y
metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para
proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.
Tendencias Auditoría Interna 2012 Un auditor interno que no sienta que la tierra se mueve bajo sus pies, está viviendo en el pasado y no está
preparado para el futuro, fuerzas misteriosas, poderosas y fuera de lo común, está transformando nuestra
profesión. A continuación presentamos las principales tendencias que marcaran el paso en la actividad de
auditoría interna durante los próximos doce meses:
1. Administración de riesgos: Continuara siendo el epicentro del trabajo del Departamento de Auditoría
Interna, a través del empleo intensivo de técnicas de Administración de riesgos (Matrices de Impacto y
Probabilidad, Análisis de Escenarios, Causa y Efecto, etc.)
2. Nuevo COSO: El Committee of Sponsoring Organizations of the Treadway Commission (COSO) emitirá un
Marco actualizado para el próximo año, el cual mejorara sustancialmente el modelo desarrollado en 1991.
El Marco Integrado de Control Interno COSO es el enfoque más usado a nivel mundial para ayudar a las
empresas en la implementación de un sistema de control interno efectivo.
3. Tecnología: Realización de auditorías continuas en tiempo real; uso te herramientas computarizadas para
evaluación del universo total auditado, en vez del empleo del muestreo.
4. Certificación CRMA: se prevé un incremento significativo de auditores que busquen obtener esta nueva
Certificación creada por el IIA Global en octubre del 2011 – Certification in Risk Management Assurance™
(CRMA™).
5. La Red: Empleo del internet para compartir conocimiento, ir más allá de los medios tradicionales, tales
como: Twitter, Blogs o YouTube. Uso intensivo de: AuditTv, Grupos de Discusión, Videoconferencia,
Webinar, etc.)
No hay comentarios:
Agregar Valor Durante mi participación en conferencias, foros y cumbres de auditoría interna a todo lo largo de Latinoamérica, siempre escucho una y otra vez a los participantes en estos eventos emplear la expresión agregar valor, pero saber usted:
¿Qué Significa Agregar Valor? Definición de Añadir / Agregar Valor: El valor se genera mediante la mejora de oportunidades para alcanzar los objetivos de la organización, la identificación de las mejoras operativas, y/o la reducción de la exposición al riesgo, tanto con servicios de aseguramiento como de consultoría. Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna.
Aunque contamos con una definición formal de lo que representa el agregar valor, sin lugar a dudas, existe una nebulosa cuando se trata de aplicar esta definición en el trabajo diario, es por esa razón que determinamos cinco factores que ayudan a añadir valor al trabajo: Conocimientos profundos de su organización
Conoce tus clientes
Coraje para innovar en formas los clientes y partes relacionadas no esperan
Adopción de un enfoque de auditoría centrado en riesgo.
Incrementar el uso tecnología información para realización trabajo.
Aseguramiento y Mejora Calidad Auditoría Interna Hace unos días, el colega Cosme Juan Carlos Belmonte me informo que el Departamento de Auditoría
Interna del Banco La Nación de Argentina había recibido la Certificación de Calidad por parte del Instituto
de Auditores Internos de España.
Tenga presente que las Normas para la Práctica Profesional de Auditoría Interna exigen que los
Departamentos de Auditoría Interna sean evaluados por revisor o equipo de revisión calificado e
independiente, proveniente de fuera de la organización, por lo menos una vez cada cinco años.
Las evaluaciones externas cubren el espectro completo del trabajo de auditoría y consultoría llevado a
cabo por la actividad de Auditoría Interna, el alcance del trabajo puede incluir la comparación con mejores
prácticas, verificación del cumplimiento con los estándares, desarrollo con una opinión y presentación de
oportunidades de mejora; con la finalidad de ayudar al Departamento a ser más eficiente y eficaz.
Felicitaciones al equipo auditoría interna del Banco La Nación. ¡Enhorabuena!
Ahora bien, es importante preguntarse: ¿Si su Departamento ha sido sometido a una revisión externa
de calidad durante los últimos cinco años?
Si su respuesta es NO, entonces podría estar violando lo establecido en el Marco Internacional para la
Práctica Profesional de la Auditoría Interna. Por lo que, la próxima vez que prepare una conclusión, le
sugerimos que revise la Norma 1321 – Utilización de “Cumple con las Normas Internacionales para la
Práctica Profesional de la Auditoría Interna”, la cual establece, lo siguiente: El Director de Auditoría Interna
puede manifestar que la actividad de auditoría cumple con las Normas Internacionales sólo si los
resultados del programa de aseguramiento y mejorar de la calidad apoyan esa declaración.
¿Cómo Mides la Efectividad y Eficiencia? El Departamento de Auditoría Interna juega un rol crítico en las organizaciones, cuando ha sido efectivamente implementado, operado y manejado, se convierte en un elemento fundamental para ayudar a la organización a lograr sus objetivos. Para mantener e incrementar la credibilidad de la función de auditoría interna; su efectividad y eficiencia debe ser supervisada y medida
En diciembre del 2010 el IIA Global desarrollo una Guía Práctica llamada: Measuring Audit Effectiveness and Efficiency. Este documento presenta ejemplos claros y precisos, tanto cualitativos como cuantitativos para dar seguimiento a la calidad del trabajo realizado, entre los que se incluyen:
Logro de objetivos y metas claves.
Evaluación del progreso contra el plan de la actividad de auditoría.
Mejoramiento de la productividad del personal.
Incremento de la eficiencia del proceso de auditoría.
Aumento del número de planes de acción o recomendaciones para mejoras de procesos.
Desarrollo adecuado de la planificación y supervisión.
fectividad para satisfacer las necesidades de las partes interesadas.
Características Auditores Internos A continuación presentamos el contenido de un Slide de nuestra conferencia "El Lado Humano de la
Auditoría Interna" realizada en la Cumbre de Auditoría Interna y Contabilidad desarrollada por VHG en
Orlando, Fl. en agosto del 2011, en el que se muestra algunas de las características que debe tener un
auditor interno de alto desempeño.
No hay comentarios:
Norma ISO 22301:2012 Continuidad del Negocio
Éste estándar proporciona una base para entender, desarrollar e implementar la continuidad del negocio
dentro de su organización, un sistema efectivo de gestión de la continuidad del negocio da confianza a los
inversores, debido a que identifica los procesos esenciales que soportan a los productos o servicios que se
desean proteger de escenarios de amenazas producto del análisis de riesgos.
La nueva normativa publicada en mayo de este año, exige a las empresas la siguiente documentación
obligatoria:
1. Lista de requisitos legales, normativos y de otra índole
2. Alcance del Sistema de Gestión de la Continuidad del Negocio (SGCN)
3. Política de la Continuidad del negocio
4. Objetivos de la continuidad del negocio
5. Evidencia de competencias del personal
6. Registros de comunicación con las partes interesadas
7. Análisis del impacto en el negocio
8. Evaluación de riesgos, incluido un perfil de riesgo
9. Estructura de respuesta a incidentes
10. Planes de continuidad del negocio
11. Procedimientos de recuperación
12. Resultados de acciones preventivas
13. Resultados de supervisión y medición
14. Resultados de la auditoría interna
15. Resultados de la revisión por parte de la dirección
16. Resultados de acciones correctivas
Si en tu organización existe un Plan de Continuidad de Negocio, seria interesante que compares los
lineamientos, procesos, terminologías y sistema de implementación con esta nueva publicación de la
Organización Internacional para la Normalización (ISO, por sus siglas en inglés).
El apetito al riesgo, un aspecto fundamental en la gestión empresarial Por Jesús Aisa Díez
Los auditores estamos familiarizados con la elaboración de nuestros planes de auditoría en base a los
riesgos que existan en la Organización, para ello, como ya hemos tenido oportunidad de observar en otros
comentarios previos en este mismo blog, lo más adecuado es que levantemos el mapa de riesgos
residuales de la Compañía, también llamados mapas de calor, a fin de observar cuales son los que, en
base a sus dos atributos: impacto y probabilidad, se situarían en zonas alejadas de la tolerancia al riesgo
que la Organización haya asumido para ellos como compatible con sus objetivos. Es decir, levantado
nuestro propio mapa de riesgos, lo primero que debemos identificar son los riesgos que se alejen del
entorno del riesgo que la Organización haya admitido como coherentes con sus objetivos, efectuando la
supervisión de los procesos en los que estos se ubiquen, a fin de determinar, a través del análisis de la
eficiencia de los controles existentes, las recomendaciones que se entiendan oportunas para reconducir
dichos riesgos dentro de la zona de tolerancia.
Por ello, lo importante no es la zona en la que los riesgos residuales se sitúen en el mapa, sino su posición
relativa con respecto al apetito al riesgo que la Compañía haya determinado razonablemente compatible
con los resultados que espera/desea alcanzar.
Dicho de otra manera, supongamos que un mapa de riesgos convencional de dos dimensiones (impacto y
probabilidad), los riesgos que aparezcan en el cuadrante superior derecho, es decir los que reflejen una
mayor severidad y también probabilidad de ocurrencia, no necesariamente deben ser objeto de atención
en el Plan de Auditoría, pues esta posición “solo” será inquietante si fuese contraria a la estrategia de la
Compañía, o lo que es lo mismo, cuando dichos riesgos estuviesen fuera del entorno de la tolerancia al
riesgo establecida.
Por ello, las Organizaciones no solo deben fijar las metas que se pretenden alcanzar, sino integrar el
concepto del apetito al riesgo en su planificación estratégica y en el día a día de la toma de decisiones, ya
que, cuando se establece la propensión del riesgo, se está proporcionando un límite alrededor de la
cantidad de riesgo que la organización está dispuesta a aceptar, condicionando así su estrategia y
objetivos. Una organización con un agresivo apetito por el riesgo podrá establecer metas más ambiciosas,
mientras que una organización que sea adversa al riesgo, con un apetito por el riesgo bajo, debería
establecer metas conservadoras. De manera similar, cuando un Directorio establece una estrategia, debe
determinar si la misma se alinea con el apetito al riesgo de la organización.
En este contexto se hace necesario que el apetito al riesgo que se considere conveniente admitir, teniendo
en consideración el estilo de dirección que impere en la Organización, debe ser comunicado y compartido
con las partes interesadas, a fin de que sirva de guía en el establecimiento de las metas y la toma de
decisiones de modo que mejoremos la probabilidad de alcanzar los objetivos y mantener sus operaciones.
Esta directa relación entre el apetito al riesgo que se estime conveniente aceptar y los objetivos
empresariales que se marquen, viene recogida en el Marco para la Práctica Profesional de Auditoría
Interna, en su Norma 2600, la cual señala que: Cuando el director de Auditoría Interna considere que la
alta dirección ha aceptado un nivel de riesgo residual que pueda ser inaceptable para la organización,
debe tratar este asunto con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el
director de auditoría interna debe informar esta situación al Consejo para su resolución.
Por consiguiente, a Auditoría Interna es a quién también le corresponde la supervisión de la coherencia
entre los objetivos/metas y el apetito al riesgo que se entienda alineado con el estilo de dirección de la
Organización; pero este monitoreo no solo es aplicable en situaciones de riesgos excedidos, sino también
cuando los niveles de riesgo sean tan conservadores que impidan el logro de los resultados si estos son
ambiciosos, pues no debemos olvidar que sólo si existe claridad en el apetito por el riesgo que se debe
asumir, se podrán equilibrar los riesgos y las oportunidades.
Hasta aquí mis reflexiones personales sobre el asunto, pero si alguien se muestra interesado por el tema,
recomendarles la lectura de un relativamente reciente artículo difundido por COSO sobre este tema,
denominado: ERM-Understanding and Communicating Risk Appetite, que considero muy conveniente
conocer.
Por José Luis Herreros Barbadillo, CIA, CRMA
A continuación se muestra un brochure real, difundido entre los empleados de cajas de ahorros españolas, que orienta a los trabajadores sobre cómo actuar ante la "amenaza" de la auditoría interna.
Su título refleja el miedo que todavía infunde la auditoría interna en algunos ámbitos: "Todos podemos ser auditados"
La evaluación del “Riesgo de Auditoría”, un objetivo estratégico de las organizaciones Por Jesús Aisa Díez
Es comúnmente aceptado que las entidades empresariales existen para generar valor a sus grupos de
interés, objetivo que sólo será alcanzable si se administran adecuadamente las incertidumbres que las
rodean, o lo que es lo mismo gestionando convenientemente aquellas oportunidades y amenazas que en
cada momento les pudieran afectar.
Para conseguirlo disponemos en la actualidad de diversos protocolos, de ellos, quizá, el
denominado Enterprise Risk Management, o COSO II, sea el más utilizado, habiéndonos permitido
conocer que: la gestión de los riesgos corporativos es un proceso efectuado por el consejo de
administración de la entidad, su dirección y restante personal, aplicable a la definición de estrategias en
toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de
los objetivos.
Adicionalmente, como es bien conocido, este proceso está integrado por 8 componentes:ambiente de
control, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta al riesgo,
actividades de control, información/comunicación y supervisión; todos ellos de similar importancia, si bien
el correspondiente a la supervisión es, desde la perspectiva de los comentarios que queremos compartir,
en el que subyace una mayor trascendencia, ya que es el que permitirá evaluar si el proceso integral de
administración de los riesgos se lleva a cabo de forma eficiente, aportando, en su caso, una seguridad
razonable sobre el adecuado desarrollo del proceso de gestión de riesgos o, en su defecto, la información
necesaria para adoptar las modificaciones oportunas que sean necesarias.
La mayor complejidad de los negocios, y las circunstancias en la que estos actualmente se desenvuelven,
fundamentalmente en épocas de crisis como la que estamos padeciendo, han requerido que las
estructuras de las organizaciones sean cada vez más fuertes en sus aspectos de control interno y de
gestión de riesgos, incidiendo y potenciando la necesaria supervisión; en este contexto un modelo
considerado a nivel global como una mejor práctica es el denominado de las «Tres Líneas de
Defensa», que en forma resumida reflejamos en el siguiente cuadro. En el que:
Como primera línea de defensa se situaría la gerencia operacional de la organización, la cual tendrá la
responsabilidad directa de implementar y supervisar los procesos sobre los que descansan todas
actividades desarrolladas en sus diferentes facetas, entre la que debe considerarse la de rendir cuentas
respecto a la evaluación, control y mitigación los riesgos.
En la segunda línea de defensa se ubicaría la función de gestión de riesgos de la empresa, la cual debe
facilitar y monitorear la implementación de prácticas efectivas de gestión de riesgos por parte de la
gerencia operacional y ayudar a los propietarios de los riesgos en la adecuada presentación de
información relacionada con los mismos hacia toda la organización. Verificando la eficacia obtenida.
Y por último, como tercera línea de defensa estaría auditoría interna, la cual proporcionará aseguramiento
al Consejo de Administración y a la alta dirección de la organización sobre el grado de efectividad global
alcanzado en el proceso de evaluación y gestión de sus riesgos, resultado de la manera en que la primera
y segunda líneas de defensa realmente actúan. Esta tarea de aseguramiento debe cubrir todos los
elementos del marco de trabajo de la gestión de riesgos de la institución, por ejemplo: desde la
identificación de riesgos, evaluación de riesgos y la respuesta a la comunicación de información
relacionada con el riesgo.
Como puede apreciarse en esta secuencia de actuaciones, es en la tercera línea de defensa en la que se
ubica la supervisión de la totalidad del proceso de gestión de riesgos empresariales empleado, recayendo
en ella la responsabilidad final de la evaluación la eficacia integral del modelo, en base a la cual los
órganos de decisión de las compañías consolidarán sus actuales diseños y desarrollos, o determinarán
los cambios que sean pertinentes con la que alcanzar la eficacia que les debe ser requerida. Pero para
que esto resulte válido, se hace imprescindible que la actividad de auditoría interna se realice en forma
adecuada, aportando un enfoque objetivo y sistemático en la evaluación y mejora del proceso de gestión
de riesgos que les ocupe.
Debiendo tener presente la elevada responsabilidad que la función auditora está asumiendo, ya que de
sus hallazgos y evidencias se derivarán decisiones gerenciales importantes, que serán adecuadas cuando
el informe de auditoría también lo sea, o en caso contrario inoportunas.
Por todo ello debemos considerar que entre los riesgos operativos con los que han de convivir las
organizaciones se encuentra el que denominaremos “Riesgo de Auditoría”, que podríamos definirlo como
la eventualidad de que en sus informes existan errores que incidan sobre la bondad del aseguramiento de
los procesos efectuados. Su probabilidad de ocurrencia se mediría por la frecuencia en que esta
circunstancia sucediese, en tanto que su impacto dependerá de la materialidad de los errores.
Dado por tanto que el Riesgo de Auditoría existe y es real, es un riesgo inherente más que las
organizaciones deben gestionar; para ello lo primero que sugerimos que habría que efectuar es
la identificación de los factores de riesgo que lo propician, para posteriormente identificar los controles
existentes con los que gestionarlos, de forma que, como con cualquier otro tipo de riesgo, poder evaluar el
nivel residual existente y compararlo con el “apetito al riesgo” que se haya considerado adecuado aceptar.
Respecto de los factores que pueden generar el Riesgo de Auditoría en nuestra opinión estos son
múltiples, tanto de tipo estructural como coyunturales, tales como: Actitud y aptitud de los equipos de
auditoría, dimensión de las Unidades, dependencia funcional y jerárquica del DAI (Director de Auditoría
Interna), modelo de determinación de la planificación anual empleado, coordinación con los otros
proveedores de aseguramiento, herramientas de gestión utilizadas, etcétera.
En este sentido el Instituto de Auditores Internos (IAI), en su Marco Internacional para la práctica
Profesional de Auditoría Interna, incide en la necesidad, a través de la Norma 1300, de que los DAI deben
desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos
de la actividad auditora; entre los que se encuentran necesariamente los factores de riesgo previamente
enunciados.
Es por consiguiente la citada Norma 1.300 del IAI, atendiendo a la metodología que el propio COSO II nos
recomienda para gestionar los riesgos empresariales, una directriz a seguir con la que identificar, evaluar
y controlar los factores que pueden incidir en el Riesgo de Auditoría. Empleando, como seguidamente
veremos, un doble esquema: Evaluaciones Internas y Evaluaciones externas independientes.
Las evaluaciones internas son aquellas que se realizan por la propia Unidad de Auditoría Interna (UAI) en
base a un seguimiento continuo del desempeño de la actividad auditora, así como también mediante
revisiones periódicas con las que comprobar el grado de cumplimiento de las Normas del IAI que regulan
la actividad.
En cuanto a las evaluaciones externas, estas deben ser efectuadas por revisores cualificados e
independientes al menos una vez cada 5 años, centrándose en varios aspectos:
a) En primer lugar verificando la existencia de procedimientos que regulen y definan las funciones y
dependencias orgánicas de las unidades de auditoría, tales como: Estatuto, Código de Ética, Manual de
Auditoría, Planificación anual en base a riesgos, Planificación y Programación individual de los trabajos,
Supervisión del Progreso. Comprobando su efectiva aplicación y adecuación a lo regulado al respecto por
las Normas de IAI, así como su preceptiva aprobación y difusión en la organización, con las que verificar
su independencia de criterio y eficiente empleo de los recursos disponibles.
b) Adicionalmente supervisando la gestión documental aplicada en el desarrollo de la actividad, valorando la
calidad de los informes distribuidos, así como su adecuada difusión y custodia, sin olvidar la revisión y
opinión sobre las tecnologías empleadas.
c) Por último se indaga sobre la percepción de las partes interesadas de la organización en lo referente al
valor agregado por la actividad auditora, practicidad y pertinencia de las actuaciones de la UAI; como
también en la opinión de los componentes del equipo auditor respecto a su autoridad, capacidad de opinar
en la concreción del Plan de Auditoría, Plan de formación, rotación con otras áreas, etcétera.
Es decir, se valoran todos aquellos elementos que permiten concluir sobre la eficacia y eficiencia de la
labor auditora en un escenario de mejora continua, en base a opiniones subjetivas (encuestas y
entrevistas a los clientes internos representativos, responsables jerárquico y funcional del DAI, personal
adscrito a la Unidad y Auditores externos), así como opiniones subjetivas a través de: revisión de papeles
de trabajo, desempeño acreditado de la Unidad, ámbito de actuación según programa de trabajos reales,
capacitación de los recursos de la Unidad, planificación y realización de las auditorías.
Para finalmente poder concluir sobre el resultado observado, emitiendo un informe en el que se incluyen
las conclusiones de la revisión efectuada, destacándose los puntos fuertes que se hayan podido
evidenciar, así como los aspectos de mejora que, en opinión del equipo evaluador, fuesen oportunos
recomendar.
Aunque la evaluación externa de calidad no debe considerarse una auditoría en sentido estricto, no
obstante con el informe se sigue un procedimiento similar a si así lo fuese, pues las conclusiones, antes de
dar por finalizado el trabajo de campo, se justifican ante el DAI, debatiéndose, en su caso, los contenidos y
alcances de las mismas, para finalmente incorporarlas en un borrador de informe en el que se incluyen las
recomendaciones pertinentes con las que atender las exigencias de las Normas, o con las que aplicar las
mejores prácticas conocidas; así como la calificación obtenida de acuerdo a los tres niveles establecidos
por el IAI. En concreto:
Cumple Generalmente: Cuando en opinión del equipo evaluador se cumplen todos los aspectos
materiales de la Normas o Código de Ética, sin que ello excluya la existencia de oportunidades de mejora.
Cumple Parcialmente: Cuando se estén haciendo esfuerzos para cumplir con las Normas o Código de
Ética, pero no se ha logrado alcanzar alguno de los objetivos esenciales, existiendo oportunidades de
mejora significativas.
No Cumple: Si Auditoría Interna aún no conoce o aplica muchos de los objetivos de las Normas y no se
están haciendo esfuerzos para conseguirlo o no se ha logrado alcanzarlos. Situación que representa
importantes oportunidades de mejora.
Solo cuando el resultado de la evaluación sea Cumple Generalmente, de acuerdo con lo recogido en la
Norma 2430, los equipos de auditoría podrán informar que sus “trabajos son realizados de conformidad
con las Normas Internacionales para el Ejercicio profesional de la Auditoría Interna”, para lo cual el IAI
emitirá un certificado en el que conste que se ha completado satisfactoriamente el proceso de
Aseguramiento de Calidad.
Circunstancia y manifestación que, según el esquema de la gestión del Riesgo de Auditoría que hemos
estado compartiendo a lo largo de estas líneas, debe interpretarse en el sentido de que la UAI evaluada ha
alcanzado un Riesgo de Auditoría residual que se sitúa en el entorno de la tolerancia al riesgo que el IAI
ha establecido como situación satisfactoria y compatible con la consecución de los objetivos que la
empresa se haya marcado. Desde esta óptica determinados reguladores bancarios están ya exigiendo a
las instituciones financieras por ellos supervisados, que se sometan a las evaluaciones de calidad
establecidas por el IAI como garantía de que su “Riesgo de Auditoría” se sitúa en una tolerancia al riesgo
aceptable.
Por todo ello, desde el Instituto de Auditores Internos de España invitamos a las UAI que aún no se hayan
sometido a verificación de la calidad que periódicamente requiere el Marco profesional que les es de
aplicación, a que consideren la oportunidad de realizarlo, en la seguridad de que el esfuerzo asumido
aportará un plus de garantía sobre el valor añadido a sus organizaciones. En cuyo caso el equipo de
profesionales que en nombre del IAI desarrollan estas evaluaciones se pone a su disposición, tanto para la
realización del diagnóstico definitivo, como para el de un diagnóstico previo, que sin ningún condicionante
o compromiso posterior, permita conocer la posición de su status actual con respecto al apetito al riesgo
recomendable.
Ejemplo de un Plan Anual de Auditoría Basada en Riesgos Por Juan Villanueva Chang
Con la finalidad de atender algunas inquietudes respecto al artículo publicado el 14.11.2012(Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación),a continuación se explica un caso hipotético en una entidad de servicios.
Previa a la explicación del ejemplo, resulta indispensable coincidir con algunos parámetros:
La práctica habitual para los auditores de utilizar fórmulas para determinar la prioridad de las auditorías no es nuevo, se remonta a la década de los 70.
Existe la necesidad de confeccionar una metodología estable en el tiempo para determinar la prioridad de las auditorías, debido a limitaciones de su capacidad operativa y tiempo estimado para la realización de las revisiones. La metodología no es necesaria si en realidad es posible auditar en un año todo el universo auditable de una entidad.
El proceso de planificación anual siempre ha exigido la construcción de métricas que nos ayuden a realizar una selección adecuada. Esto obliga a revisar al menos una vez al año el universo auditable de la organización.
La ventaja de utilizar una metodología de este tipo ayuda al auditor a tener una guía neutral que resulta de la marcha de ciertos elementos del universo auditable, en vez de una simple selección arbitraria.
Ejemplo: Casa de Cambio ABC S.A.
a) Métricas del universo auditable:
La unidad de auditoría interna lo conforman dos personas (3 600 h/H) y el tiempo promedio para realizar cada auditoría es de 1 200 h/H. Estas limitaciones permitirían a la unidad de auditoría realizar 3 auditorías al año.
El universo auditable lo conforman 10 procesos operativos y de apoyo de la cadena de valor, así como 2 actividades auditables vinculadas a algunas políticas y regulaciones integrales. En caso no se haya identificado la cadena de valor, se puede emplear las unidades organizacionales.
Universo auditable Impacto Antigüedad última
auditoría
Percepción de riesgos
Debilidades de control
Transferencias de fondos vía electrónica B 15 meses Media 12
Cheques personalizados (giros) B 12 meses Media 6
Efectivo (Algunas Divisas) C 21 meses Alta 7
Metales amonedados A 6 meses Baja 4
Contabilidad y finanzas A 10 meses Alta 2
Recursos humanos A 8 meses Media 3
Servicios generales A 6 meses Baja 7 Seguridad física C 6 meses Alta 8
Plan de recuperación y continuidad operativa B 12 meses Media 6
Seguridad e higiene de salud en el trabajo B 3 meses Baja 3
b) Fórmula para prioridad de auditorías:
PA= T (20%) + A (20%) + [PR (30%) + DC (30%)] PA= Determinación de prioridad de auditoría
T= Tamaño (Nivel de impacto involucrado. Puede ser el nivel de impacto tomado del proceso de evaluación de riesgos, mapas de riesgos o de saldos contable, flujos de recursos involucrados en su operatividad, entre otros) A = La antigüedad de la última auditoría
PR = Es el nivel de percepción que tiene la unidad de riesgos sobre cada unidad auditables. Cualquier escala de resultados que proporcione la unidad de riesgos o los dueños de los procesos, para fines de esta fórmula, se puede traducir en una simple calificación de alta, media y baja. DC = Cantidad histórica de las debilidades de control identificadas en las auditorías pasadas.
c) Construcción de escalas para la medición de la fórmula:
IMPACTO Puntaje de Fórmula
A= Bajo 0 - 10 mil dólares 5
B= Medio 21 - 50 mil dólares 15
C= Alto 51 - Más de 51 mil dólares 20
ANTIGÜEDAD AUDITORIA Puntaje de fórmula
5= Más de 24 meses o nunca 20
4= Entre 19 y 24 meses 15
3= Entre 13 y 18 meses 10
2= Entre 7 y 12 meses 5
1= Entre 0 y 6 meses 0
PERCEPCION DE G. RIESGOS
Puntaje de
fórmula
Alto A 30
Medio B 15
Bajo C 5
DEBILIDADES DE CONTROL
Puntaje de
fórmula
5= Alto Más de 21 30
4= Superior 16 a 20 22.5
3= Medio 11 a 15 15
2= Mínimo 5 a 10 7.5
1= Ninguno 0 a 4 0
d) Ranking de aplicación de la fórmula al universo auditable: Universo auditable T A PR DC Total
Transferencias de fondos vía electrónica 15 10 15 12 52 Cheques personalizados (giros) 15 5 15 6 41
Efectivo (Algunas Divisas) 20 20 30 7 77
Metales amonedados 5 0 5 4 14
Contabilidad y finanzas 5 5 30 2 42
Recursos humanos 5 5 15 3 28
Servicios generales 5 0 5 7 17
Seguridad física 20 0 30 8 58
Plan de recuperación y continuidad operativa
15 5 15 6 41
Seguridad e higiene de salud en el trabajo 15 0 5 3 23
El resultado de la fórmula de prioridad de auditorías, en función de las limitaciones de la capacidad operativa de que sólo se pueden efectuar 3 auditorías al año, seleccionan para el plan anual a las siguientes auditorías del universo auditable:
Efectivo (Algunas Divisas)
Seguridad física
Transferencia de fondos vía electrónica
Como se explicó en el texto inicial, obviamente que al resultado de este ranking se puede alterar e incluir otras prioridades al resultado del análisis histórico de las métricas antes señaladas, como por ejemplo si hubiera denuncias sustentadas o pedidos especiales de nuestros clientes de la alta dirección, entre otros.
Es importante señalar que esta fórmula se puede mejorar con la construcción e inclusión de otras variables, tales como costos, tiempos de demora efectiva, etc. Igualmente, queda a criterio de cada unidad de auditoría proponer un peso distinto a cada factor incluido en la fórmula, sobre todo a la percepción del riesgo cuando se ha logrado un buen nivel de madurez de la gestión de riesgos.
Finalmente, para fortalecer la base teórica del tema, a continuación se sugiere algunas referencias:
· Andrew Chambers (1992), “Effective internal audits”, England
· Peter Jones (1999), “Statistical Sampling and Risk Analysis in Auditing”, England
· Phil Griffiths (2005), “Risk - based auditing”, England
· K.H. Spenser Pickett (2006), “Audit Planning: A risk – based approach”
· David Griffiths,(2006), “Risk based internal auditing – Three views on implementation”
¿Hemos perdido el monopolio de hacer auditorías internas? A continuación presentamos una reflexión interesantísima realizada por Don Jesús Aisa Díez sobre la denominación y manejo que debería dársele al trabajo de auditoría interna realizado por proveedores externos.
De mi época de responsable corporativo de la función de Auditoría Interna en una multinacional española, recuerdo el debate en el que entró el DAI de una de sus filiales, ya que en su opinión “solo” deberían ser considerados “auditores internos” aquellos profesionales que estuviesen adscritos al Departamento de Auditoría Interna que él dirigía, por lo que entendía que los compañeros que trabajaban en el Área de Calidad, cuya misión era la de realizar las verificaciones internas del cumplimiento de los requerimientos derivados del Sistema de Gestión de Calidad de la empresa, no debían llamarse auditores, ni sus trabajos auditorías, pues no estaban ubicados en su Departamento, ni realizaban sus actividades de acuerdo con el Plan aprobado por el Comité de Auditoría.
Aunque en la Corporación al tema no le dimos demasiada importancia, dejando que el conflicto se resolviese en el ámbito de la filial, la postura defendida por el DAI prosperó y los “auditores de calidad” dejaron de denominarse así y llamarse “supervisores”.
Me viene a la memoria esta anécdota porque la postura que había detrás de esta reivindicación del DAI, con el tiempo transcurrido creo que ha venido a darle la razón, o al menos en haberme ganado para esa “causa”.
Las razones que pueden esgrimirse para justificar mi cambio de actitud ante este planteamiento pueden ser varias, pero las fundamentales estarían en la redacción, pero sobre todo en lo que subyace en el contenido del nuevo Marco Internacional para la Práctica Profesional de Auditoría Interna, edición 2011; en concreto el Consejo para la Práctica 2050-3.Veamos por qué.
En primer lugar recordemos que el propio Marco entiende como Servicios de aseguramientoa: “un examen objetivo de evidencias con el propósito de proporcionar una evaluaciónindependiente de los procesos de gestión de riesgos, control y gobierno de una organización”. Para posteriormente enunciar quienes pueden realizarlos, citando, entre otros, a aquellos que son parte de la dirección (aseguramiento de la dirección), en los que recae la responsabilidad de realizar autoevaluaciones de control. Por ejemplo: Cargos directivos y empleados (dado que la dirección ofrece aseguramiento en primera línea de defensa sobre los riesgos de los que es responsable), pero también a los Gestores de Riesgos.
Observemos que en el párrafo anterior he destacado tres aspectos: objetivo, independiente y autoevaluaciones de control. Los dos primeros adjetivos reflejarían las condiciones necesarias, que no suficientes, que han de concurrir en los servicios de aseguramiento para que estos sean verdaderamente útiles, en tanto que el tercero describe la finalidad de los mismos. Hasta aquí todo en línea con los que defiende COSO I respecto de los roles a desempeñar por los distintos integrantes de las organizaciones en el desarrollo del proceso de control interno, en el que la supervisión/monitorización no es una actividad exclusiva de las auditorías, pues también debe ser realizada por las Unidades operacionales incluidas en la denominada primera línea de defensa, o por las efectuadas por la segunda línea de defensa en lo que se refiere a las funciones especializadas de control.
Mi “problema” empieza cuando este Consejo para la Práctica, en su apartado 2, se señala literalmente que: “La decisión de confiar en el trabajo de otros proveedores de servicios de aseguramiento puede deberse a varias razones, entre otras, para abarcar las áreas que no son competencia de la actividad de auditoría interna, o para obtener la transferencia de conocimientos de otros proveedores de aseguramiento, o para ampliar eficientemente la cobertura de riesgo más allá del plan de auditoría interna”( el subrayado es nuestro).
Primera cuestión, ¿existen áreas que no sean competencia de auditoría interna?. Sinceramente, y hasta dónde yo creo conocer este oficio, la respuesta es negativa, ya que en las empresas no existen áreas que estén al margen de la actividad de auditoría interna, lo que sí puede haber, y las hay, son actividades que no se correspondan con su función. Que son dos aspectos muy diferentes.
De las otras dos razones que justifican la existencia de otros proveedores de servicios de aseguramiento, la que se corresponde con la transferencia de conocimientos, la compartimos plenamente, pero la que se justifica para conseguir eficientemente una mayor cobertura que la que se derivase del plan de auditoría, tenemos algunas dudas en tanto que lo expresado no quiera señalar que esta alternativa se corresponde con las actividades de supervisión y control lideradas por los gestores como partícipes en las dos primeras líneas de defensa antes comentadas, y que son las que determinan las previstas en el Plan de Auditoría, puesto que, de no ser así, lo que parece es que se estaría corrigiendo el Plan de Auditoría al estar mal diseñado y no cubriendo determinadas zonas críticas de la Organización. Por ello nos inclinamos por redactándola de la siguiente manera: ampliar eficientemente la cobertura de riesgo asumida por los gestores y unidades operacionales, sobre la que definir el Plan de Auditoría.
Pero sigamos abundando en lo recogido por este Consejo respecto de los posibles tipos de proveedores externos de servicios de aseguramiento con que podemos encontrarnos; citando en primer lugar a los auditores externos, lo cual resulta lógico puesto que estos inciden en aspectos que se complementan con los atendidos por los auditores internos, aunque con distinta materialidad, por lo que ambos han de coordinarse adecuadamente. Posteriormente se citan a: los socios de empresas de negocios conjuntos, análisis de expertos o una empresa de auditoría independiente, como también entidades dedicadas a la elaboración de informes en virtud de las Normas Internacionales sobre Compromiso de Aseguramiento 3402: Informes de Aseguramiento sobre los Controles en una Organización de Servicio.
Llegados a este punto, parece oportuno que recordemos lo que el propio Marco, ver CP 2050-2, comenta sobre los tres tipos de proveedores de aseguramiento posibles, según sean las partes interesadas a las que sirven:
a) Los que informan a la alta dirección y/o son parte de la dirección (aseguramiento de la dirección), en los que se incluyen quienes realizan autoevaluaciones de control, auditores de calidad, auditores medioambientales y otro personal de aseguramiento designado por la dirección.
b) Los que informan al Consejo, incluyendo auditoría interna.
c) Los que informan a las personas interesadas externas (aseguramiento de auditoría externa), papel tradicionalmente realizado por el auditor independiente/ síndico.
Para agregar a continuación que existen diversos proveedores de servicios de aseguramiento para una organización:
Cargos directivos y empleados (la dirección ofrece aseguramiento en primera línea de defensa sobre los riesgos de los que es responsable)
Alta dirección
Auditores externos e internos
Cumplimiento
Aseguramiento de la calidad
Gestión de riesgos
Auditores medioambientales
Auditores de seguridad e higiene en el lugar de trabajo
Auditores del desempeño del gobierno
Equipos de análisis de informes financieros
Subcomités del Consejo (por ejemplo, de auditoría, actuarial, de crédito o de gobierno)
Proveedores externos de servicios de aseguramiento, incluyendo estudios, análisis especializados, (seguridad e higiene), etc.
De donde parece deducirse que: la supervisión del cumplimiento, la de los aspectos medioambientales, la seguridad e higiene en el lugar del trabajo, el desempeño del gobierno
corporativo, etc., son las posibles áreas que no son competencia exclusiva de la auditoría interna, por lo que deben ser atendidas por sus especialistas, motivo por el que, en el momento de elaborar el Plan de Auditoría Interna, debe confeccionarse previamente el Mapa de Aseguramiento con el que asegurar que existe un proceso integral de riesgos y aseguramiento carente de posibles lagunas y sin duplicidad de esfuerzos.
Surgiendo aquí una cuestión no resuelta en el Marco, ¿se deben incluir estas distintas actuaciones efectuadas por los diferentes proveedores de aseguramiento en el Plan de Auditoría?. En principio parece ser que la respuesta sería un no, pues son realizadas por ajenos a Auditoría Interna, muchas de ellas bajo la perspectiva de los responsables de los procesos, y en base a sus presupuestos y criterios.
Pero si hemos acertado en la respuesta, lo que no llegamos a entender entonces es que, por el contrario: El auditor interno debe incorporar los resultados del proveedor de servicios de aseguramiento a los informes de aseguramiento finales que debe remitir al Consejo u otras partes interesadas. Los problemas significativos surgidos del trabajo del otro proveedor de servicios de aseguramiento se incluirán, detallada o resumidamente, en los informes de auditoría interna. El auditor interno debe incluir referencias a otros proveedores de servicios de aseguramiento, en casos en los que los informes se basen en esta información.(CP-2050-3, punto 11)
Ante esta situación tenemos una nueva duda, ¿en todos los casos debemos informar?, es decir incluso cuando sean supervisiones o monitorizaciones en el entorno de las actuaciones de las responsabilidades de los gestores de los procesos, ¿o solo cuando son trabajos de “auditoría” no desarrollados por Auditoría Interna?. Suponemos que solo será en el segundo caso, puesto que si son todas, qué sucede con las supervisiones realizadas con los medios propios del área gestora, también debemos informarlas. No parece lógico.
Pero hay además un último punto que también quisiéramos comentar, y es que Auditoría Interna debe “auditar” los procesos seguidos por los otros proveedores de aseguramiento con el que disponer de una seguridad razonable de que el trabajo está bien realizado y las conclusiones oportunas y poder así aplicar un criterio holístico al esfuerzo realizado. Totalmente de acuerdo.
Ante esta situación, y al igual que ocurre con las auditorías de sistemas de información desarrolladas en modalidad de sourcing o co-sourcing, que son asumidas sin problemas por el DAI como un trabajo a todos los efectos a realizar bajo su responsabilidad, entendemos que las supervisiones correspondientes a denominada tercera línea de defensa, las que opinan sobre la efectividad y evaluación de la gestión de los riesgos incluidas en las dos líneas de defensa previas, cualquiera que sea su naturaleza, sí deberían estar incluidas en el borrador del Plan de Auditoría Interna a proponer al Comité de Auditoría, responsabilizándose el DAI de su alcance, planificación, programación ejecución e información a las partes interesadas, con independencia de quién las realice. Para ello entendemos que se hace preciso que el empleo del término “auditoría” quede reservado en exclusividad a las supervisiones asumidas por la Auditoría Interna y la Externa, denominando “aseguramiento” a los trabajos de los otros proveedores realizados en entornos de las dos primeras líneas de defensa, ganando así en claridad de contenidos y de responsabilidades.
Si se comparten estas reflexiones, corresponderá a los DAI´s que así lo entiendan, la labor de mentalización en sus respectivas organizaciones, pero el esfuerzo creo sinceramente que merece la pena, fundamentalmente porque aporta un plus de claridad en la labor efectuada por los distintos intervinientes en el proceso de control interno.
11 Peores Prácticas Auditoría Interna Por Dante Navarro García, CIA, CCSA, CFSA, CRMA, MBA, CPC
Presidente del Instituto de Auditores Internos del Perú
1. Vernos como parte aislada e independiente de la organización. Somos parte de un todo.
2. Ver al auditado como una presa o víctima y no como un cliente interno. 3. Aplicar un mismo método, enfoque y estilo gerencial para todos los casos. 4. Escribir demasiado y dedicar un porcentaje importante de nuestro tiempo en la redacción de los
informes de auditoría. 5. No capacitarse. 6. Enfoque Silo vs. Enfoque proceso. 7. Enfoque en «los árboles y no en el bosque». 8. Recomendaciones muy teóricas o genéricas. 9. Plantear las oportunidades de mejora sin un orden de criticidad o relevancia. 10. No discutir ni validar las oportunidades de mejora con su cliente antes de plantearlas
formalmente. 11. Emitir informes sin la revisión previa por parte del “auditado”. Soltar “bombas” sin previo aviso
La simplicidad del ISO 31000 respecto al COSO ERM Por Juan Alberto Villanueva Chang
La organización COSO, en una publicación elaborada por la Universidad Estatal de Carolina del Norte de
los EE.UU., en el verano del 2010[1], recogió la opinión sobre las prácticas del COSO ERM, percepciones
sobre las fortalezas y debilidades así como su utilidad. En resumen los resultados mostraron lo siguiente:
El estado del COSO ERM en las organizaciones parece estar relativamente inmaduro. En pocas entidades se ha logrado una óptima implementación.
Cerca del 60% considera que los riesgos todavía son tratados de forma informal y se hace mediante silos individuales o diversas categorias dentro de la empresa.
Aproximandamente un tercio admite no estar satisfecho de la naturaleza y tipo de reporte de indicadores de riesgos comunicados a los Directores Ejecutivos.
Una buena parte de los encuestados están familiarizados con COSO ERM, mientras que pocos conocen el ISO 31000, y el Estándar Australiano. Es importante resaltar que para cerca del 40% es dificil reconocer si emplean o apoyan en algún marco de referencia.
Existen algunas criticas que el COSO ERM contiene una orientación demasiado vaga.
La rápida aceptación del ISO 31000, elaborado el 2009, ha motivado que sea recocida y aceptada en su
integridad como versión actualizada de los siguientes marcos de gestión de riesgos:
Asociación de Estándares de Canadá adoptó en 2010 el CAN/CSA - ISO 31000 en vez del CAN/CSA Q850 - (1997) Risk Management.
Estándar Australiano Neo Zelándes: acogió el nuevo ISO y publicó el AS/NZS 31000-2009 Risk Management (originado en el AS/NZS 2004, documento reconocido y aceptado en el contexto mundial, además documento de consulta en la elaboración del COSO ERM)
Como se puede apreciar, es unánime reconocer la acogida por su simplicidad del ISO 3100, situación que
hubiera sido fructífero considerar a los miembros que participaron en la elaboración del ISO 31000 como
colaboradores del equipo de profesionales que actualmente viene efectuado la actualización del Control
Interno – Marco Integrado 1992 en la organización COSO.
En torno a la auditoría de la gestión de riesgos Por Juan Alberto Villanueva Chang
Al observar hace algunos años como se adopta la gestión de riesgos en una organización, comparto lo
señalado en algunas encuestas que señalan que no existe un modelo único de gestión de riesgos para
una entidad. Cada cual define su propia gestión de riesgos luego de algunos intentos y de lograr el grado
de madurez de su cultura organizacional.
Quienes hemos experimentado la progresiva implementación de la gestión de riesgos, indudablemente
entendemos que existe una correlación directa respecto a su adopción: tamaño vs la especialización de
sus actividades. Por consiguiente, ésta evoluciona con el ciclo del negocio.
Una cultura de gestión de riesgos (según el ISO 31000) requiere de la existencia de la siguiente
plataforma:
Estrategia respecto al riesgo: Su incorporación en la gestión estratégica y definir el apetito al riesgo
Ambiente organizacional: Sensibilización permanente y medidas de control de desempeño
Infraestructura de riesgos: Políticas, organización, sistemas
Proceso de riesgos: Cumplir el establecimiento del contexto, identificación, evaluación, análisis, mitigación del riesgo, control y monitoreo
A propósito del ISO 31000, es un documento práctico que ayuda a las organizaciones a desarrollar su
propio enfoque de gestión de riesgos. No es un estándar para optar una certificación, son sugerencias
para compararse con las mejores prácticas.
La gestión de riesgos se refiere a la arquitectura:
Principios para la gestión de riesgos
Estructura de soporte o marco de gestión de riesgos
Proceso de gestión de riesgos
El manejo de riesgos trata de la aplicación de aquella arquitectura a una entidad en particular.
Para auditar la gestión de riesgos se debe comprobar que exista documentación que permita conocer que
la gestión de riesgos se conduce apropiadamente, proveer evidencia que se identifica y analizan los
riesgos y que se divulgue abiertamente la base de incidentes para conocimiento de toda la organización.
Se debe conocer quienes son los responsables y los niveles de aprobación para la implementación de la
gestión de riesgos, así como recibir facilidades para el permanente monitoreo y revisión. Verificar en
detalle de las frecuentes revisiones de la gestión de riesgos como un todo, su monitoreo y adopción de
medidas correctivas.
Entre los principales documentos a revisar se tiene: Política de gestión de riesgos, registros de amenazas
y evaluación de riesgos, programa de tratamiento de los riesgos y plan de acción para mitigar riesgos,
entre otros.
Un programa de riesgos debe permitir conocer ¿Quién tiene la responsabilidad de la implementación del
plan? ¿Qué recursos se van a emplear? ¿Qué presupuesto se asignó? ¿Cuál es el cronograma de
implementación? ¿Cuáles son los detalles del mecanismo y frecuencia de la revisión del cumplimiento del
plan de tratamiento de los riesgos?
Usualmente, los factores que dificultan o demoran la implementación de la gestión de riesgos se deben a:
Enfoque de gestión de riesgos diseñado en forma deficiente
Dificultad para lograr la sensibilización de la cultura de riesgos en todos los niveles
Recursos humanos y técnicos deficientes para implementar la gestión de riesgos
Incapacidad de mantener y sostener impulso del proyecto de gestión de riesgos
Dificultad para entender que la gestión de riesgos es integral y su supervisión resulta ineficaz
Finalmente, el auditor no debe perder de vista que la gestión de riesgos debe ser parte de la toma de
decisiones de todos los procesos de la organización, limitado por los resultados de su análisis de impacto
y probabilidad de ocurrencia, así como del nivel de tolerancia.
15 Mejores Prácticas Auditoría Interna Por Dante Navarro García, CIA, CCSA, CFSA, CRMA, MBA, CPC
Presidente del Instituto de Auditores Internos del Perú
Mejores Prácticas Generales:
1. Ampliar el alcance de la definición de “riesgo” para desarrollar un plan de auditoria que mejore significativamente el desempeño de los procesos de negocio:
a. Plan de Auditoria basado en Riesgos
b. Riesgo es responsabilidad de la Gerencia
c. A.I. debe asegurarse que el sistema de gestión de riesgos funcione
2. Asegurarse que los auditores internos tengan una experiencia de formación multidisciplinaria: a. Contadores Públicos
b. Administradores de Empresas
c. Economistas
d. Ingenieros
e. Abogados
f. Otros profesionales según la industria o el negocio
3. Hacer una reingeniería a la función de Auditoría Interna para una mejora continua en sus procesos
a. Estatutos
b. Manual de Auditoria Interna
c. Manual de Funciones
d. Descripción de Puesto
e. Plan anual (cada dos o tres años) f. Programa de Auditoria Interna
4. Utilizar la tecnología de información en todos los aspectos del proceso de auditoría a fin de incrementar la efectividad y eficacia
a. Excel b. Sistemas o software especializados (Papeles de Trabajo Electrónicos) c. ACL
d. IDEA
Mejores Prácticas Específicas
5. Conocer a profundidad su organización, el perfil de sus directivos y su cultura. 6. Haga un buen análisis del riesgo general de su organización. 7. Hacer buen diagnóstico del sistema de control interno
8. Estudie a sus clientes primero y luego aplique la estrategia y estilo Gerencial que corresponda. 9. Hay que subirse al balcón. Ver el bosque y no sólo los árboles. 10. Atrévase! Escriba menos. Utilice más presentaciones. Los informes pesan, las buenas ideas
valen oro!
11. Si tiene que cumplir con emitir informes largos, presente los temas relevantes en un resumen ejecutivo.
12. Audite de forma integral los procesos y luego realice las pruebas de detalle. Ejemplo: Ciclo de ingresos o el ciclo de pagos.
13. Póngale foco a todo aquello que está relacionado con la identificación/minimización de riesgos, oportunidades para incrementar ingresos, reducir costos o incrementar eficiencias.
14. Manténgase cerca de sus clientes y de la Gerencia General. Sepa que está pasando en la organización en todo momento.
15. ¡Dejar siempre algo para mejorar el área o proceso auditado! ¡Si no lo hace no habrá generado valor!
22 Métodos de Evaluación Riesgos Todos los auditores interno que conozco siempre están interesados en ampliar sus destrezas y aprender sobre nuevas herramientas para el análisis efectivo de los riesgos que pueden afectar el negocio, por lo que a continuación presentamos algunos de los métodos incluidos en la Norma ISO 31010 sobre Técnicas de Evaluación de Riesgos:
1. Análisis Preliminar de Peligros
2. Técnica Delphi 3. Técnica Estructurada “What –If” 4. Evaluación Fiabilidad Humana
5. Causa y Origen
6. Análisis de Escenarios
7. Impacto Negocio
8. Árbol de Defectos
9. Árbol de Acontecimientos
10. Causa y Efecto (Ishikawa) 11. Modos Fracasos y Análisis Efectos (FMEA) 12. Fiabilidad Centro Mantenimiento (RCM) 13. Análisis Sneak
14. Peligros y Estudio Operatividad (HAZOP) 15. Riesgos y Puntos Críticos de Control (HCCAP) 16. Análisis LOPA
17. Análisis Bow Tie
18. Análisis Markov
19. Simulación Montecarlo
20. Estadístico Bayesiano
21. Costo/Beneficio
22. Curva FN
Desarrolle al Máximo su Potencial En un libro de dos especialistas en Ecología Emocional, Jaume Soler y Mercé Conangla, presenta un conocimiento y una reflexión muy provechosos. En Japón, hay gran preferencia por un pez muy especial llamado koi o Carpa Japonesa.
¿Por qué es distinto el koi?
Porque si se le mantiene en una pequeña pecera, sólo crece unos cinco centímetros de largo. Si se le sumerge en un estanque pequeño, crecerá hasta quince y veinticinco centímetros. Si se le coloca en un estanque de tamaño grande, su crecimiento puede llegar hasta cuarenta y cinco centímetros. Más si vive en un gran lago donde puede desarrollarse al máximo, el koi puede alcanzar hasta noventa centímetros. En conclusión, el tamaño del koi está directamente relacionado con el tamaño del recipiente donde él viva. Cada ser humano necesita de un espacio para crecer y, como plantean Soler y Conangla, nuestro entorno determina nuestro desarrollo. Por lo que debemos ser como el koi y buscar espacios donde podamos crecer al máximo.
Me gustaría preguntarle lo siguiente:
1. ¿Se encuentra usted en un ambiente que le permita desarrollarse personal y profesionalmente?
2. ¿Está explotando al máximo sus destrezas y habilidades?
3. ¿Está usted invirtiendo su tiempo en cosas que realmente tienen impacto significativo en su crecimiento y desarrollo?
4. ¿En cuáles áreas de la profesión piensa incrementar sus conocimientos durante los próximos 12 meses (tecnología, muestreo estadístico, gestión de riesgos, etc.)?
5. ¿Qué debo hacer para salir de mi zona de confort (inscribirme en un MBA, tomar el examen CIA, etc.? 3 comentarios:
Siete Pecados Capitales Redacción Informes Auditoría Interna Uso excesivo de jerga técnica: Uso de lenguaje sofisticado, entendible sólo por expertos y conocedores del área bajo examen o personal con conocimientos profundos de metodologías y enfoques financieros; por lo que los usuarios del informe necesitan auxiliarse de un diccionario contable, para comprender el mensaje que se desea transmitir.
No identificar la raíz del problema: Es siempre importante entender las causas o impulsores fundamentales de un hallazgo. Esto ayuda a asegurarnos que las acciones tomadas están dirigidas a corregir el problema real o aprovechar la oportunidad, además de prevenir o reducir la posibilidad de ocurrencia del incidente.
No presentar el sentido de urgencia de la situación: El reporte no incluye una calificación del grado de importancia del hallazgo presentado. Por ejemplo emplear una clasificación basada en riesgo: Muy alto, Alto, Medio y Bajo.
Fallar en proponer una solución práctica: Realizar una recomendación general que no presente las diversas opciones disponibles para solucionar de forma efectiva el problema o no tener presente las limitaciones económicas y recomendar cambios que podría ser inaplicables.
Falta de participación de la gerencia: Presentar el punto de vista unilateral de auditor. No incluir los comentarios del personal del área bajo revisión es una de las observaciones más comunes en los procesos de revisión de calidad por parte de un evaluador externo.
No involucrar al dueño de la implementación: Cada hallazgo debe poseer un responsable de su implementación, el cual en muchos casos podría ser diferente al dueño del proceso, por ejemplo un departamento de soporte, como cómputos. El dueño de la implementación generalmente es una persona con conocimientos y habilidades para desarrollar las acciones necesarias para corregir la situación.
No llegar a un acuerdo sobre la fecha de implementación: Los hallazgos reportables deben ser resueltos en un periodo de tiempo en el cual los riesgos puedan ser llevados a un nivel aceptable sin afectar la organización. Las fechas deben ser acordadas con los dueños del proceso para garantiza la implementación oportuna.
Nuevo Año - Nuevo Marco El Committee of Sponsoring Organizations of the Treadway Commission (COSO) presento recientemente un borrador del nuevo Marco Integrado de Control Interno COSO, los impulsores que originaron la actualización de modelo están relacionados, fundamentalmente, con el ambiente cambiante en los negocios, entre los que se encuentran:
Expectativas de los entes relacionados con el gobierno corporativo. Globalización del mercado y operaciones.
Cambios en los modelos de negocio. Demandas y complejidad de leyes, regulaciones y normas. Expectativas de competencias y cumplimiento. Uso y confianza en la tecnología desarrollada. Expectativas para prevenir y detectar fraudes.
Que no Cambia
1. Definición de control interno. 2. Cinco Componentes del control interno. 3. Criterios fundamentales usados para la evaluación efectividad sistema de control interno. 4. Uso del juicio en la evaluación de la efectividad del control interno.
Que Cambia
1. Codificación de principios con aplicación universal usados para el desarrollo y evaluación de la efectividad de los sistemas de control interno.
2. Expansión de los objetivos de informes financieros para dirigirlos a usuarios tanto internos como externos; e incluyendo objetivos financieros y no financieros.
3. Incremento en el enfoque en las operaciones, cumplimiento e informes no financieros.
Beneficios de la actualización
Mejora el gobierno corporativo. Expande su cobertura más allá de la información financiera. Aumenta la calidad de la evaluación de riesgo. Fortalece los esfuerzos antifraude. Adapta los controles a las necesidades cambiantes del negocio. Mayor adaptabilidad a varios tipos de modelos de negocio.
El nuevo Marco Integral de Control Interno COSO trae Agilidad, Confianza y Claridad.
A vueltas con la independencia de la función auditora Por Jesús Aisa Díez
Es obvio que a la hora de concluir sobre el resultado de las evaluaciones externas de la función auditora, el equipo evaluador debe hacer un ejercicio de objetividad y sentido común en la agregación y ponderación de las calificaciones individualmente asignadas a las 51 Normas que actualmente componen el Marco Internacional para la Práctica Profesional delIIA; aspecto que resulta sencillo de enunciar, pero que en la práctica no lo es tanto, ya que no todas ellas han de
ponderar lo mismo en el resultado final, pues no tienen la misma trascendencia e influencia en el valor añadido que su cumplimiento, o incumplimiento, aportan a la actividad de auditoría.
Aspecto este que, siendo evidente, no está resuelto en las directrices difundidas en los Manuales de Aseguramiento de la Calidad, ya que no incluyen ninguna sugerencia al respecto, trasladando la responsabilidad de la decisión final a los evaluadores, en función de su mejor saber y entender, y por qué no decirlo de su propia experiencia.
Pero las dificultades se amplían si consideremos, además, que la calificación que finalmente se considere adecuada conceder individualmente a cada Norma únicamente abarca tres posibles niveles, que en la terminología original empleada por el propio IIA (does not conform, partially conforms y generally conforms) resulta escasa y poco concreta, pues no resulta fácil decidir dónde debe trazarse la línea separadora entre el parcialmente y el generalmente cumple, puesto que siempre nos encontraremos con una zona compartida entre ambas situaciones que complicará la asignación que entendemos corresponde.
Pero volviendo a la importancia individual de cada una de las normas, o lo que es lo mismo la incidencia o peso que su cumplimiento/incumplimiento individual tendrá en la valoración final de la evaluación, parece lógico pensar que si hiciésemos una separación entre las Normas, en el grupo de las que tienen una gran influencia en el adecuado desarrollo de la actividad auditora entendemos que destacaría la 1100, correspondiente a la independencia y objetividad de la función y de los auditores, puesto que es la condición necesaria, aunque no suficiente, para poder realizar con garantías un adecuado aseguramiento.
Adicionalmente el propio Marco aclara que la independencia dentro de la organización se alcanzará de forma efectiva cuando el Director Ejecutivo de auditoría dependa funcionalmente del Directorio, aportando algunos ejemplos de situaciones que permiten concluir sobre la dependencia funcional (aprobación del Estatuto, aprobación del Plan de Auditoría, recepción de comunicaciones periódicas, que apruebe las decisiones referentes al nombramiento y cese del responsable de auditoría, etc), lo cual parece que deja claro cuál es la situación que debe materializarse, y cuáles son los aspectos que, a falta de otras evidencias de independencia, deberemos verificar como mínimo, pero centrándonos en el espíritu de norma, más que en su letra.
Recientemente en una evaluación de calidad nos hemos encontrado con una empresa en la que, existiendo un Directorio en el que forman parte de él, con voz pero sin voto, su Director Gerente (CEO) y el Secretario, el Director de Auditoría depende jerárquica y administrativamente del Director Gerente y reporta toda su actividad al Secretario del Consejo, alegándonos que así se cumplía con la relación directa del DAI con el Directorio exigida por el IIA, ya que el CEO y el Secretario eran Directorio, por lo que no entendían el NO CUMPLE que habíamos asignado en la calificación asignada al cumplimiento de la Norma 1100.
Resultaba obvio que tanto el CEO como el Secretario sí pertenecen al Directorio, pero no son el Directorio, y el IIA lo que reclama es que el responsable de auditoría debe disponer de facilidades para interactuar directamente, sin intermediarios o censores, con el órgano de supervisión de la organización, a fin de que éste pueda ejercer su labor adoptando las decisiones que en cada caso corresponda con la finalidad de mejorar el control interno de la empresa, precisando para ello de unas auditorías internas que ejerzan sus funciones sin ningún tipo de interferencias, circunstancia esta que solo será posible alcanzar si su actividad se ve tutelada y protegida por el Directorio.
El cambio que se les recomendaba espero que lo implementen y que en breve puedan observar los beneficios que les reportará la dependencia funcional del Director de Auditoría respecto del Directorio.
¿Qué esperan nuestros clientes de nosotros?
Esperan que su auditor interno sea: Un entrenador, defensor, gerente de riesgos, experto en controles,
especialista en eficiencia y socio de negocio que resuelve problemas. En definitiva esperan que usted sea
un medio hacia información diversa, innovadora y relevante que ayude a resolver problemas complejos.
Los problemas se convierten en oportunidades cuando las personas correctas trabajan juntas para
solucionarlos. Conviértase en un socio que agregue valor a la gerencia a través de:
Ser un socio de la gerencia que agrega valor.
Participar proactivamente en los cambios que ocurren dentro de la organización.
Entender los riesgos gerenciales y su relación con las prioridades corporativas.
Aprender a desarrollar procesos de auditoría interna que brinden soluciones de negocio a sus clientes.
Facilitar el proceso de compartir las mejores prácticas en su organización.
En cualquier deporte tú eres tan bueno cómo fue tu último partido. Para los innovadores, tú eres tan bueno
cómo será tur próxima gran idea. Cómo auditor interno, tú eres tan bueno cómo los riesgos que has sido
capaz de prevenir y ayudar a la organización a evitar, por lo que debemos desarrollar las destrezas y
herramientas apropiadas para identificar, analizar y comunicar los riesgos detectados.
10 Reglas para el Trabajo A pesar de los retos y desafíos que enfrenta nuestra profesión, sin lugar a dudas, el futuro de la auditoría interna será provisorio, existen diez patrones de comportamiento personales que ayudan a incrementar la efectividad y eficiencia del trabajo:
1. Visión: Capacidad de planificar nuestro futuro. 2. Confianza: Desarrollar pasión, entusiasmo e iniciativa. 3. Disciplina: Disposición a trabajar duro. 4. Actualización: Aprender continuamente. 5. Adaptabilidad: Flexibilidad para adecuarse a requerimientos de cada proyecto. 6. Innovación: Aplicar mejores prácticas. 7. Pro-actividad: Exceder la expectativas de nuestros clientes
8. Creatividad: Salir de enfoques rutinarios, cotidianos y conocidos
9. Determinación: Tener persistencia y dedicación en todo lo que hacemos
10. Excelencia: Ver nuestro trabajo como una obra de arte
¿Cómo seleccionar un revisor externo independiente? La Norma 1312 sobre evaluaciones externas de calidad establece que los departamentos de auditoría
interna: Deben realizarse evaluaciones externas al menos una vez cada cinco años por un revisor o
equipo de revisión cualificado e independiente, proveniente de fuera de la organización. El director
ejecutivo de auditoría debe tratar con el Consejo:
La necesidad de evaluaciones externas más frecuentes, y
Las cualificaciones e independencia del revisor o equipo de revisión externo, incluyendo cualquier conflicto
de intereses potencial.
Interpretación: Un revisor o equipo de revisión cualificado consiste en individuos competentes en la
práctica profesional de la auditoría interna y del proceso de evaluación externa. La evaluación de la
competencia del revisor o equipo de revisión es un juicio que considera la experiencia profesional en
auditoría interna y las credenciales profesionales de los individuos seleccionados para realizar la revisión.
La evaluación de las cualificaciones también tiene en cuenta el tamaño y complejidad de las
organizaciones con las que los revisores hayan estado asociados en relación con la organización para la
cual se está evaluando su actividad de auditoría interna, así como la necesidad de conocimientos
técnicos, sobre un sector económico o área e particular.
Para hacer una selección apropiada debemoss responder las siguientes interrogantes:
¿Quiénes no deben realizar revisiones de calidad?
Muchas empresas toman como primera opción para realizar sus revisiones de calidad a sus auditores
externo o a firmas de consultoría relacionadas con la organización, lo cual podría generar un conflicto de
interés, debido a que el Consejo para la Práctica 1312-1: Evaluaciones Externas, expresa claramente que:
Las personas que realizan la evaluación externa se encontrarán libres de obligaciones o intereses
respecto de la organización cuya actividad de auditoría interna está siendo sujeta a una evaluación
externa, o de su personal. El DEA, en consulta con el consejo de administración, tendrá en cuenta los
siguientes aspectos referidos a la independencia cuando seleccione al revisor o equipo de revisión externo
cualificado e independiente:
Cualquier conflicto de intereses real o aparente de las firmas que proporcionan:
La auditoría externa de los estados contables.
Servicios de consultoría significativos en las áreas de gobierno, gestión de riesgos, información financiera, control interno y otras áreas relacionadas.
Asistencia a la actividad de auditoría interna. La significatividad y cantidad de trabajo desempeñado por el proveedor de servicios profesionales debe tenerse en cuenta en la deliberación.
¿Qué características debe tener un revisor adecuado?
Solicite un perfil de cada una de las personas que formaran el equipo de revisión y asegúrese que los
mismos posean las siguientes características:
Integridad: Requiere que los revisores sean honestos y francos dentro de los límites de la
confidencialidad.
Objetividad: Es un estado mental y una cualidad que da valor a los servicios de los revisores.
Competencia: Ser auditor interno profesional certificado, que posea conocimientos actualizados y
profundos de las Normas. Exija que todos los miembros del equipo de revisión sean CIA’s.
Experiencia: Cada miembro debe tener al menos tres años de experiencia reciente en el ejercicio de
auditoría interna.
Actualización: Todo el equipo debe encontrarse bien familiarizado con las mejores prácticas de la
profesión.
Noticia de Interés: Circular Programa Aseguramiento Calidad Muchos colegas auditores internos de Perú visitan diariamente este Blog, por lo que estoy completamente seguro que esta noticia les será de mucho interés, la Circular No. G. 161-2012 de
la Superintendencia de Banca, Seguro y AFP de Perú de fecha 27 de enero del 2012, requiere a las entidades reguladas:
Programa de Aseguramiento y Mejora de la Calidad (PAMC)
Las empresas deberán contar con un programa de aseguramiento y mejora de la calidad de la función de auditoría interna, de acuerdo a las normas 1300, 1311 y 1312. Dicho programa deberá incluir evaluaciones internas y externas.
Evaluaciones Internas
Las empresas deberán realizar un monitoreo permanente, y realizar evaluaciones internas periódicas, cuando menos anualmente, del desempeño de la función de auditoría interna, de acuerdo a las normas 1300 y 1311.
En el caso del servicio de auditoría de sistemas, las evaluaciones internas deberán tomar en cuenta el cumplimiento de las directrices de auditoría emitidas por ISACA.
Evaluaciones Externas
Las evaluaciones externas a las que hace referencia las normas 1300 y 1312, deben ser realizadas al menos una vez cada cinco años.
Las evaluaciones externas serán realizadas por un revisor o equipo de revisión, que acredite contar el conocimiento y experiencia requerida, que no se encuentre relacionado con la empresa mediante vínculos de gestión o propiedad y que no haya realizado actividades de consultoría a la empresa en temas relacionados con la función de auditoría interna durante los dos años anteriores al inicio de la revisión.
Plan de Auditoría
El programa de aseguramiento y mejora de la calidad, tratándose de la evaluación interna, deberá formar parte del Plan Anual de Trabajo de Auditoría Interna.
Disposiciones Importantes
Las evaluaciones internas de la auditoría interna serán requeridas a partir del ejercicio 2013. Tratándose de las evaluaciones externas, en el caso que las empresas no cuenten con dichas evaluaciones a la fecha de vigencia de la presente circular, la primera evaluación externa deberá ser realizada dentro del año 2014.
En base a está Circular la calidad es obligatoria para los departamentos de auditoría interna de las empresas reguladas por la SBS del Perú, por lo que consideramos que esto representa una oportunidad única de desarrollo para la profesión.
Auditoría Interna y Fraude En noviembre del 2011, impartimos un entrenamiento en Quito y Guayaquil para el Instituto de Auditores Internos del Ecuador en el cual realizamos un análisis de la Guía para la Práctica IPPF: “Auditoría Interna y Fraude”, el propósito de este estudio es incrementar la conciencia y conocimientos del auditor interno sobre temas relacionados con fraudes y proporcionar pautas sobre como afrontar los riesgos de fraude en el trabajo de auditoría interna.
Este documento contiene en uno de sus Anexos 20 preguntas que los auditores internos pueden realizar regularmente respecto al fraude, a continuación seleccionamos 10:
1. ¿Tiene su organización una Política de Fraude?
2. ¿Tiene la organización una línea directa para denuncias de fraude?
3. ¿El estatuto de auditoría describe los roles y responsabilidades de auditoría interna con respecto al fraude?
4. ¿Lleva a cabo la gerencia evaluaciones de riesgo de fraude?
5. ¿Se realizan programas periódicos de concientización y capacitación sobre temas de fraude para todos los empleados?
6. ¿Hay herramientas automatizadas disponibles para quienes son responsables por prevenir, detectar e investigar el fraude?
7. ¿Ha incorporado la gerencia controles apropiados para prevenir, detectar e investigar el fraude?
8. ¿Cuenta la gerencia con las respectivas destrezas requeridas para llevar a cabo una investigación de fraude?
9. ¿La gerencia y la actividad de auditoría interna evalúan periódicamente la eficacia y eficiencia de los controles anti-fraude?
10. ¿Los papeles de trabajo y documentos soportes de las investigaciones de fraude son debidamente protegidos y retenidos?
Nota al Margen: Si desean obtener la Guía para la Práctica: Auditoría Interna y Fraude en español, solo tienen que contactar al Instituto de Auditores Internos del Ecuador.