Ingrese o regístrese acá para seguir este blog.
Por: Jesùs Aisa Dìez – Madrid, España
Es comúnmente aceptado que las entidades empresariales existen para generar valor a sus grupos de interés. Este objetivo sólo será alcanzable si se administran adecuadamente las incertidumbres que las rodean, o lo que es lo mismo si se gestionan convenientemente aquellas oportunidades y amenazas que en cada momento les pudieran afectar.
Para conseguirlo disponemos de diversos protocolos, de ellos, quizá, el más utilizado sea el denominado Enterprise Risk Management, o COSO II (The Committee of Sponsoring Organizations of the Treadway Commission), que establece que: la gestión de los riesgos corporativos es un proceso efectuado por el consejo de administración de la entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.. Este proceso está integrado por 8 componentes : ambiente de control, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta al riesgo, actividades de control, información/comunicación y supervisión; todos ellos de igual importancia, si bien el correspondiente a la supervisión es, desde nuestra perspectiva, en el que subyace una mayor trascendencia, ya que es el que permitirá evaluar si el proceso integral de administración de los riesgos se lleva a cabo de forma eficiente. En caso afirmativo aportará, una seguridad razonable sobre el adecuado desarrollo del proceso de gestión de riesgos o, en su defecto, permitirá obtener la información necesaria para adoptar las modificaciones que sean necesarias.
Modelo de las Tres Líneas de Defensa
La mayor complejidad de los negocios, y las circunstancias en la que estos actualmente se desenvuelven, sobre todo en épocas de crisis como la actual, han requerido que las estructuras de las organizaciones sean cada vez más fuertes en sus aspectos de control interno y de gestión de riesgos, incidiendo y potenciando la necesaria supervisión;. En este contexto, un modelo considerado globalmente como una mejor práctica es el denominado de las «Tres Líneas de Defensa», que en forma resumida reflejamos en el siguiente cuadro.
Como primera línea de defensa se situaría la dirección operativa de la organización. Ésta tendrá la responsabilidad directa de desarrollar y supervisar los procesos sobre los que descansan todas las actividades de la empresa. Entre ellas, rendir cuentas respecto a la evaluación, el control y la mitigación de los riesgos.
En la segunda línea de defensa se ubicarían otras funciones tales como el cumplimiento normativo, el control financiero o la gestión de riesgos. La segunda línea de defensa debe facilitar y coordinar la implantación de prácticas efectivas de gestión de riesgos por parte de las direcciones operativas y ayudar a los propietarios de los riesgos en la adecuada presentación de esta información hacia toda la organización. Verificando la eficacia obtenida.
Por último, como tercera línea de defensa estaría la dirección de auditoría interna, que proporcionará aseguramiento al Consejo de Administración y a la alta dirección de la organización sobre el grado de efectividad global alcanzado en el proceso de evaluación y gestión de sus riesgos (resultado de la manera en que la primera y segunda líneas de defensa realmente actúan). Esta tarea de aseguramiento debe cubrir todos los elementos del marco de trabajo de la gestión de riesgos de la institución: desde la identificación de riesgos, la evaluación de riesgos o la respuesta a la comunicación de información relacionada con el riesgo.
Es en la tercera línea de defensa donde se ubica la supervisión de la totalidad del proceso de gestión de riesgos empresariales. En ella recae la responsabilidad final de la evaluación de la eficacia integral del modelo, en base a la cual los órganos de decisión de las compañías consolidarán sus actuales diseños y desarrollos, o determinarán los cambios que sean pertinentes con los que alcanzar la eficacia que les es requerida. Pero para que esto resulte válido, se hace imprescindible que la actividad de auditoría interna se realice de forma adecuada, mediante un enfoque objetivo y sistemático en la evaluación y mejora del proceso de gestión de riesgos. La función de Auditoría Interna está asumiendo una responsabilidad muy importante, puesto que de sus conclusiones y hallazgos se derivan decisiones gerenciales fundamentales para la correcta marcha del negocio.
Gestión del riesgo de Auditoría Interna y Evaluación de Calidad
Por todo ello debemos considerar que entre los riesgos operativos con los que han de convivir las organizaciones se encuentra el que denominaremos “Riesgo de Auditoría Interna ”, que podríamos definir como la eventualidad de que en sus informes existan errores que incidan sobre la bondad del aseguramiento de los procesos efectuados. Su probabilidad de ocurrencia se mediría por la frecuencia en que esta circunstancia sucediese, en tanto que su impacto dependerá de la materialidad de los errores.
Dado por tanto que el Riesgo de Auditoría Interna existe y es real, es un riesgo inherente más que las organizaciones deben gestionar; para ello lo primero que sugerimos es la identificación de los factores de riesgo que lo propician, para posteriormente identificar los controles existentes con los que gestionarlos, de forma que, como con cualquier otro tipo de riesgo, poder evaluar el nivel residual existente y compararlo con el “apetito al riesgo” que se haya considerado adecuado aceptar.
Respecto de los factores que pueden generar el Riesgo de Auditoría Interna, en nuestra opinión son múltiples, tanto de tipo estructural como coyunturales, tales como: actitud y aptitud de los auditores internos, dimensión de las Direcciones de Auditoría Interna, dependencia funcional y jerárquica del Director de Auditoría Interna, modelo de determinación de la planificación anual empleado, coordinación con los otros proveedores de aseguramiento, herramientas de gestión utilizadas, etc.
En este sentido el Instituto Global de Auditores Internos (IAI), en su Marco Internacional para la práctica Profesional de Auditoría Interna,-que recoge las normas internacionales aceptadas por 180.000 profesionales en todo el mundo y por los principales organismos, OCDE, Basilea, Banco Mundial, etc.- incide en la necesidad, de que los DAI deben desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad auditora; entre los que se encuentran necesariamente los factores de riesgo previamente enunciados. Todo recogido en la Norma 1300
Por consiguiente, si atendemos a la metodología que el propio COSO II nos recomienda para gestionar los riesgos empresariales, la citada Norma 1.300 del IAI es una directriz adecuada con la que identificar, evaluar y controlar los factores que pueden incidir en el Riesgo de Auditoría Interna. Empleando, como seguidamente veremos, un doble esquema: Evaluaciones Internas y Evaluaciones externas independientes.
Las evaluaciones internas son aquellas que se llevan a cabo por la propia Dirección de Auditoría Interna en base a un seguimiento continuo del desempeño de su actividad a través de indicadores de gestión, así como también mediante revisiones periódicas con las que comprobar el grado de cumplimiento de las Normas Internacionales para el ejercicio profesional de la auditoría interna emitidas por el IAI.
En cuanto a las evaluaciones externas, estas deben ser efectuadas por revisores cualificados e independientes al menos una vez cada 5 años, se centran en varios aspectos:
a) En primer lugar verifican la existencia de procedimientos que regulen y definan las funciones y dependencias orgánicas de las direcciones de Auditoría Interna, tales como: Estatuto, Código de Ética, Manual de Auditoría Interna, Planificación anual en base a riesgos, Planificación y Programación individual de los trabajos, Supervisión del Progreso. Comprueban su efectiva aplicación y adecuación a lo regulado al respecto por las Normas del IAI, así como su preceptiva aprobación y difusión en la organización, con las que verificar su independencia de criterio y eficiente empleo de los recursos disponibles.
b) Adicionalmente supervisan la gestión documental aplicada en el desarrollo de la actividad, valoran la calidad de los informes distribuidos, así como su adecuada difusión y custodia, sin olvidar la revisión y opinión sobre las tecnologías empleadas.
c) Por último se indaga sobre la percepción de las partes interesadas de la organización tanto en lo referente al valor agregado por la actividad auditora, practicidad y pertinencia de las actuaciones de la UAI como en la opinión de los componentes del equipo auditor respecto a su autoridad, capacidad de opinar en la concreción del Plan de Auditoría, Plan de formación, rotación con otras áreas, etc..
Es decir, se valoran todos aquellos elementos que permiten concluir sobre la eficacia y eficiencia de la dirección de Auditoría Interna, en un escenario de mejora continua, en base a opiniones de los distintos stakeholders (encuestas y entrevistas a clientes internos representativos, responsables jerárquico y funcional del Director de Auditoría Interna, personal adscrito a la Unidad y Auditores externos), así como informaciones obtenidas a través de: revisión de papeles de trabajo, desempeño acreditado de la dirección de Auditoría Interna, ámbito de actuación según programa de trabajos reales, formación de los auditores internos, planificación y realización de las auditorías. Para, finalmente , poder concluir sobre el resultado observado, mediante un informe en el que se incluyen las conclusiones de la revisión efectuada. El informe deberá incluir los puntos fuertes que se hayan podido evidenciar, así como los aspectos de mejora que, en opinión del equipo evaluador, fuesen oportunos recomendar.
Aunque la evaluación externa de calidad no debe considerarse una auditoría en sentido estricto, no obstante con el informe se sigue un procedimiento similar a si lo fuese, pues las conclusiones, antes de dar por finalizado el trabajo de campo, se justifican ante el Director de Auditoría Interna, procediéndose a debatir, en su caso, los contenidos y alcances, para finalmente incorporarlas en un borrador de informe en el que se incluyen las recomendaciones con las que atender las exigencias de las Normas, o con las que aplicar las mejores prácticas conocidas; así como la calificación obtenida de acuerdo a los tres niveles establecidos por el IAI. En concreto:
Cumple Generalmente: Cuando en opinión del equipo evaluador se cumplen todos los aspectos materiales de la Normas o Código de Ética, sin que ello excluya la existencia de oportunidades de mejora.
Cumple Parcialmente: Cuando se estén haciendo esfuerzos para cumplir con las Normas o Código de Ética, pero no se ha logrado alcanzar alguno de los objetivos esenciales y existen oportunidades de mejora significativas.
No Cumple: Si Auditoría Interna aún no conoce o aplica muchos de los objetivos de las Normas y no se están haciendo esfuerzos para conseguirlo o no se ha logrado alcanzarlos. Situación que representa importantes oportunidades de mejora.
Solo cuando el resultado de la evaluación sea Cumple Generalmente, de acuerdo con lo recogido en la Norma 2430, los equipos de auditoría interna podrán informar que sus “trabajos son realizados de conformidad con las Normas Internacionales para el Ejercicio profesional de la Auditoría Interna”, para lo cual el IAI emitirá un certificado en el que conste que se ha completado satisfactoriamente el proceso de Aseguramiento de Calidad.
Circunstancia y manifestación que, según el esquema de la gestión del Riesgo de Auditoría Interna que hemos estado compartiendo a lo largo de estas líneas, debe interpretarse en el sentido de que la UAI evaluada ha alcanzado un Riesgo de Auditoría Interna residual que se sitúa en el entorno de la tolerancia al riesgo que el IAI ha establecido como situación satisfactoria y compatible con la consecución de los objetivos que la empresa se haya marcado. Desde esta óptica, determinados reguladores bancarios están ya exigiendo a las instituciones financieras por ellos supervisados, que se sometan a las evaluaciones de calidad establecidas por el IAI como garantía de que su “Riesgo de Auditoría Interna ” se sitúa en una tolerancia al riesgo aceptable.
Importante: En el mes de septiembre estaré en Colombia dictando el seminario, “La administración de Riesgos. Herramienta de Gestión Empresarial y de la Auditoría Interna”. Los interesados pueden consultar el evento ingresando desde el siguiente link: http://bit.ly/1daMZdv
Del Autor: Jesús Aisa, Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid. Ex-Subdirector General Corporativo de Auditoría Interna del Grupo Telefónica SA. Asesor en control interno, tutor de cursos on-line y articulista frecuente en la revista de la Institución en la Asociación Hispanoamericana de Centros de Investigación y Empresas de Telecomunicaciones (AHCIET).Técnico evaluador de la calidad de auditorías internas. Conferencista en eventos internacionales, tanto en España, como Iberoamérica. Colaborador www.auditool.org