Ingrese o regístrese acá para seguir este blog.
Por: Jesús Aisa Díez
Es evidente que conseguir una adecuada aportación de valor por parte de las auditorías internas precisa que la planificación de su actividad sea apropiada; motivo por el que El Marco Internacional para la Práctica profesional de la Auditoría Interna recoge, en su Norma 2010, que los Directores de las Unidades de Auditoría Interna deben establecer su plan de trabajo basado en riesgos, a fin de determinar las prioridades de la actividad a desarrollar; aclarando que dichos planes han de ser consistentes con las metas de la Organización.
Requerimiento que es ampliado en los Consejos para la Práctica CP 2010-1 y el CP 2010-2, los cuales describen pormenorizadamente cómo debemos actuar para enlazar el Plan de Auditoría con los riesgos y demás exposiciones que puedan afectar a las Organizaciones.
Partiendo de esta exigencia normativa, quizás resultara apropiado que precisemos que debemos entender por Plan. En mi opinión una forma acertada de describirlo es aquella que los define como: Documento que contempla en forma ordenada y coherente las metas y objetivos que se quieren lograr, con indicación de los instrumentos, mecanismos y acciones que se utilizarán para llegar a los fines deseados.
De acuerdo con ello, los Planes de Auditoría no solo deben reseñar los entes auditables que serán objeto de análisis a lo largo del periodo considerado, sino que han de incluir adicionalmente toda la información complementaria con la que los responsables de su aprobación (la alta dirección y el Directorio) puedan entender adecuadamente: (i) qué es exactamente lo que el Director de Auditoría Interna les propone acometer, (ii) el alcance de los distintos trabajos seleccionados, (iii) los factores que motivan su inclusión en el Plan, es decir los porqué de la conveniencia de incidir sobre ellos, aclarando si son consecuencia del resultado de la gestión de riesgos empresariales, de solicitudes expresas de las partes interesadas o cualesquiera otra razón.
Identificado el qué pretendemos hacer, así como el porqué, nos quedaría todavía por informar del con quién. Es decir, los recursos que vamos a necesitar para acometer dicho Plan de trabajo, a fin de que sean habilitados, si así se considerase adecuado, por los responsables de aprobar dicho Plan.
Admitida la oportunidad de actuar según lo indicado, hay un aspecto que no podemos ignorar, y es que los recursos disponibles son limitados, por lo que será probable que en determinadas condiciones no se puedan atender plenamente las peticiones de medios efectuada, o lo que es lo mismo de aceptación íntegra del Plan de trabajo propuesto, viéndose entonces el Director de Auditoría en la necesidad de recortar sus pretensiones de trabajo, ajustando estas a las posibilidades reales de actuación. En este supuesto el Director de Auditoría Interna debería reconocer explícitamente la incidencia que pudiera derivarse de esta limitación de recursos, a fin de que quienes cuestionaron su aprobación compartan, en su caso, la responsabilidad que les pudiera corresponder si la decisión resultase finalmente desacertada.
Otra buena práctica que entendemos recomendable sugerir para el diseño y presentación del Plan auditor, es el de estructurarlo de forma que puedan observarse fácilmente los aspectos más significativos atendidos por el mismo. Es decir:
En primer lugar, y dado que será una de las partes con mayor calado informativo que debiéramos tener en consideración, proponemos que las acciones a realizar se agrupen según los objetivos a cubrir. Tales como:
– Actividad auditora prevista;
– Colaboraciones o consultorías a atender;
– Trabajos especiales a atender a requerimiento de los reguladores ;
– Seguimiento de recomendaciones a efectuar;
– Plan de Formación a desarrollar;
– Labores administrativas, asistencia a Comités, …
– Programa de aseguramiento y mejora de la calidad de la función estimado;
– Rotación prevista de auditores en áreas operativas;
– Etcétera.
Cada uno de estos sub-apartados debería estar desglosado en las distintas acciones específicas incorporadas en cada uno de ellos, recogiendo el detalle de los respectivos entes auditables, así como su alcance y recursos estimados para su ejecución. (Obviamente el detalle de estos datos deben ubicarse en un anexo del propio Plan, de forma que estén en disposición de los responsables de su aprobación, pero sin que su enumeración pormenorizada pueda dificultar una lectura ágil del cuerpo principal del borrador del Plan sometido a probación).
En segundo lugar entendemos que deberían aparecer destacados en el mencionado cuerpo principal del borrador del Plan, los recursos totales necesarios versus los disponibles; así como el porcentaje de entes auditables que se pretenden atender con las auditorías previstas según el ranking de la importancia de los riesgos existentes en cada uno de ellos. (Por ejemplo: 100% de los entes con posibilidad de riesgos extremos, 80% con riesgos altos, 30% con riesgos moderados, 5% con riesgos bajos,…), pero también el porcentaje de requerimientos recibidos de los Supervisores/Reguladores dispuestos a atender, y el número de las demandas de apoyo de las gerencias que hayan sido consideradas, señalando en estos dos últimos casos las razones que pudieran existir para no atender su totalidad.
Otro aspecto que debiera señalarse es el correspondiente a la coordinación con los otros proveedores de aseguramiento efectuada, identificando aquellos trabajos excluidos del Plan debido a que serán aprovechados los realizados por dichos proveedores, evidenciando así el esfuerzo de maximización de la eficiencia global.
También consideramos como una buena práctica el de enumerar los beneficios de todo tipo que se esperen como consecuencia de la actividad planificada. Tal cómo: Obtención del certificado de calidad al que se piense someter a la actividad, obtención de certificaciones profesionales para un número de auditores, grado de incremento de la mecanización de la actividad, ahorros de costes como consecuencia del empleo de auditorías a distancia, descuentos por volumen o penalizaciones aplicables por los resultados esperados de la verificación del proceso de compras a realizar, mejora de precios estimados derivados de la revisión del proceso de adjudicaciones, minoración estimada de los fraudes, incrementos de los ingresos por revisión del proceso de facturación, etcétera, etcétera. Es decir, y hasta donde seamos capaces de identificar, aquellos beneficios derivados de la actividad auditora, lo que nos permitirá incidir en la idea de que el control no es un coste para las organizaciones, ya que se suele autofinanciar.
Es indudable que el nivel de desglose que proponemos, “complicará” la elaboración del Plan de Auditoría, pero estamos convencidos que este inconveniente se verá recompensado por las ventajas, de todo tipo, que podremos obtener al informar adecuadamente, entre ellas el posible reconocimiento del esfuerzo de transparencia efectuado, con el que posibilitar una toma de decisiones debidamente documentada.
Del Autor: Jesús Aisa Díez, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. En el Instituto de Auditores Internos de España colaborador en las evaluaciones de calidad, y articulista y Director de la Revista institucional, ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Colaborador de www.auditool.org
