Por: Jesús Aisa Díez 

 

Con bastante frecuencia en la prensa especializada aparecen artículos de opinión en los que se recomiendan cambios en la forma de proceder de las Unidades de Auditoría Interna (UAI), a fin de que estas sean capaces de adaptarse a los nuevos tiempos: aportando el máximo valor a las organizaciones en las que desarrollan su actividad, y atender las expectativas de todas las partes interesadas. Para ello se citan los elementos que resultarían imprescindibles para conseguir estos objetivos, como por ejemplo:

 

– Pensar y actuar de manera estratégica.

– Aportar mayor profundidad en los análisis.

– Mejor entendimiento  del negocio.

– Incidir en la faceta consultora, ofreciendo asesoramiento y mejores prácticas.

– Generar confianza  mediante un diálogo continuo con los stakehorders

      – Ser capaces de ver “la foto completa”.

 

 

Desde mi perspectiva las recomendaciones y conclusiones anteriores son plenamente válidas, pero quizás, en momentos de crisis económica como los que estamos atravesando en Europa, el pensar en incrementar la capacidad de gestión, ampliando el alcance de los Planes de Auditoría, del que se derivaría normalmente una mayor dimensión de la Unidad, resultaría poco realista, pues la experiencia nos demuestra que si algo se está produciendo en las Organizaciones de este ámbito geográfico es una disminución de la plantillas intervinientes en todos los procesos, en el de auditoría también.

 

No obstante lo anterior, y manteniendo las recomendaciones que se citaban líneas arriba, creo que las UAI podrían trabajar de forma más eficiente si actuasen siguiendo las directrices del Marco Internacional para la Práctica Profesional de la Auditoría Interna, sin que ello repercuta, necesariamente, en un incremento de plantilla.

 

En primer lugar, y como elemento en el que se deben incorporar los objetivos estratégicos de la Compañía, estaría el Plan de Auditoría, el cual, según recogen las Normas 2010, debe basarse en una evaluación documentada de riesgos, teniendo además en consideración las expectativas de la alta dirección, el Directorio y las otras partes interesadas. La presencia del Director de Auditoría Interna en los órganos de decisión de la Compañía, con voz pero sin voto, tales como Comité de Dirección y  Comité de Riesgos, resultará significativa para conocer la estrategia existente y la marcha real del negocio.

 

Adicionalmente el Plan de Auditoría no debe considerarse como algo estático, sino plenamente dinámico, debiendo actualizarse periódicamente, al menos una vez cada cuatrimestre, introduciendo en él los cambios que la situación real de la entidad aconseje. En este proceso de actualización dinámica del Plan, el empleo de indicadores de riesgos  (KRI por sus siglas en inglés) resultará básico y muy beneficioso.

 

Pero también que, al definir el Plan de Auditoría, debe tenerse muy en cuenta el trabajo a realizar por los otros proveedores internos y externos de servicios de aseguramiento y consulta, evitando, en su caso, la duplicidad de esfuerzos, en la forma descrita por la Norma 2050.

 

En segundo lugar entendemos que otra manera de eficienciar nuestra actividad es la de auditar en base a riesgos, evaluando si el nivel de los residuales en los procesos supervisados están situados en el entorno de la tolerancia al riesgo establecida por la Compañía, opinando sobre la suficiencia y eficacia de los controles existentes en los procesos auditados. Incorporando en los informes de auditoría no solo las conclusiones alcanzadas, sino adicionalmente las recomendaciones pertinentes, así como los planes de acción asumidos por los propietarios de los procesos para implementarlas, ya que sin éstos el proceso auditor quedaría incompleto.

 

También deberíamos considerar como alternativa para mejorar la eficiencia de nuestra actividad la posibilidad de implementar modelos de auditorías continuas y/o a distancia, que con el empleo de los ya citados KRI´s nos permitan la detección de alertas tempranas que provoquen nuestra actuación.

 

En tercer lugar recordar que, como bien dice el Consejo para la Práctica 2200-2, los sistemas de control incluyen tanto controles manuales como automáticos, teniendo necesidad de evaluar ambos tipos de controles para determinar si los controles son gestionados con efectividad, así como si los procesos automatizados están bien diseñados para asegurar la bondad de la información aportada (Norma 1210.A3)

 

Respecto de la mejora del conocimiento del negocio por parte de los auditores, una recomendación muy útil que suele hacerse cuando se realizan Evaluaciones de Calidad, es la de que los nuevos recursos que se incorporen a la UAI, antes de hacerlo de manera definitiva en Auditoría, puedan ubicarse provisionalmente en las áreas del negocio más significativas, adquiriendo así un conocimiento específico y adelantado de dichas áreas

 

Por último, y en cuanto a la demandada generación de confianza  mediante un diálogo continuo con los stakehorders, esta requerida presencia en los Órganos de decisión de la empresa, ya citada, entendemos que también incide en esta posibilidad, puesto que no debemos estar en ellos solo para escuchar, sino también para intervenir cuando se requiera nuestra opinión, pero sin traspasar la línea roja de las decisiones gerenciales que no nos competan.

 

En este aspecto de generar confianza también las Normas del Institute of International Auditors aportan una buena alternativa, como es la necesidad de que el Director de Auditoría debe desarrollar y mantener un programa de aseguramiento y mejora de la calidad de la Unidad, en el que se deben incluir, según la Norma 1311, las preceptivas evaluaciones internas, en las que se incluya un seguimiento continuo del desempeño de la actividad de auditoría, en base, entre otros aspectos, a la opinión obtenida de los auditados, la cual debe ser puntualmente requerida al finalizar cada trabajo de auditoría, así como también de forma agregada mediante encuestas anónimas solicitadas anualmente. Opiniones en las que debe permitirse que los encuestados opinen sobre los aspectos de mejora que entiendan puedan aplicarse a la actividad desarrollada por la UAI.

 

Somos de la opinión que, de aplicarse estas prácticas, que entendemos viables sin demasiados cambios cuantitativos de recursos, pues éstos son más bien cualitativos y de relación y comportamiento, nos habremos acercado al objetivo perseguido, que no es otro que atender a las expectativas de nuestros “clientes” y generar más valor a la organización, mejorando su control interno.

 

Espero que si se comparte la conveniencia de aplicar estas recomendaciones, su empleo permita evidenciar su oportunidad.

 

 

Jesús Aisa Díez:

 

Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del Instituto de Auditores Internos de España (IAI). Director Técnico de FSH Consulting. Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica.

 

Blog de Don Jesús Aisa Díez: http://auditoriainternasiglo21.blogspot.com.es/