lunes, 31 de diciembre de 2012

Año 2013

El buen amigo y compañero de trabajo Eladio Uribe, me envió un mensaje magnifico sobre el año 2013, el cual me gustaría compartir con ustedes:

El 2013 no puede ser un año más,
tiene que ser un año para más...
para trascender más allá de los límites,
para romper barreras,
para borrar lo innecesario y reaprender
para implantar nuevas marcas de amor y felicidad
para aumentar el número de verdaderos amigos
para vencer los miedos y construir puentes
para cambiar la esperanza por logros
para convertir sueños
para que cada uno sea en sí mismo soluciones y no tropiezos
para más y mejores resultados
para más tiempo en familia
para sonreír
para hacer más equipo, para ser
para vivir...
Para renacer

Que el 2013 sea para ti, más que memorias,
los más dulces, florecidos, espectaculares y exitosos
doce meses de tu vida...

Eladio Uribe (Conferencista y articulista en temas de Gestión Humana, calidad de vida, comunidad, cultura y otros, ha recorrido toda Latinoamérica en la promoción de los principios y el liderazgo de la Gestión Humana, siendo uno de los principales lideres de esa disciplina en nuestra región).

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!


sábado, 29 de diciembre de 2012

viernes, 28 de diciembre de 2012

Cambiemos el espejo retrovisor por el prismático

Por Jesús Aisa Díez

En mi opinión, y espero que no sea una excepción, sino que coincida con el sentir de la mayoría de los profesionales que nos dedicamos a la función de Auditoría Interna, estamos atravesando un momento dulce, pues el trabajo desempeñado es reconocido como generador de valor en las Organizaciones donde nos desenvolvemos; habiendo así superado situaciones pasadas en las que, como consecuencia de las decisiones de los reguladores que demandaban su existencia en determinados ámbitos empresariales, había que constituir Auditorías al ser algo preceptivo, pero sin que las partes interesadas estuviesen muy seguras ni de su utilidad, ni de la función a desempeñar, motivo por el que algunas Unidades de  Auditoría Interna (UAI) iniciaron su andadura como algo testimonial con el que cubrir los requerimientos exigibles.

Esta situación ha ido evolucionando, y ahora las UAI generalmente son consideradas como un aspecto imprescindible del control interno, ya que éste no podrá existir si las empresas no disponen de un adecuado gobierno corporativo, el cual no podría alcanzarse de no contar con un Comité de Auditoría eficaz, y éste a su vez sería impensable de operar sin tener, como brazo ejecutor de sus estrategias, a una función de auditoría interna eficaz y eficiente.  Para ello, según la opinión de algunos especialistas, las Auditorías Internas deben centrarse en las cuestiones y riesgos críticos, alineando sus propuestas de valor a las expectativas de las partes interesadas, lo cual requiere en cualquier caso: (i) pensar y actuar de manera estratégica, (ii) entender el negocio, (iii) ofrecer asesoramiento y recomendaciones sobre mejores prácticas, (iv) simplificar la comunicación haciéndola más directa y reducida y (v) ser capaces de anticipar los riesgos con los que convivirá la empresa.

Reconociendo la validez y la importancia de cada uno de estos 5 apartados, el último de ellos es en el que se concentran y materializan básicamente los anteriores, ya que es el que posibilitará el que puedan adoptarse las medidas precisas con las que conseguir los objetivos organizacionales  establecidos.

miércoles, 26 de diciembre de 2012

Norma ISO 22301:2012 Continuidad del Negocio

Éste estándar proporciona una base para entender, desarrollar e implementar la continuidad del negocio dentro de su organización, un sistema efectivo de gestión de la continuidad del negocio da confianza a los inversores, debido a que identifica los procesos esenciales que soportan a los productos o servicios que se desean proteger de escenarios de amenazas producto del análisis de riesgos.

La nueva normativa publicada en mayo de este año, exige a las empresas la siguiente documentación obligatoria:

1.    Lista de requisitos legales, normativos y de otra índole
2.    Alcance del Sistema de Gestión de la Continuidad del Negocio (SGCN)
3.    Política de la Continuidad del negocio
4.    Objetivos de la continuidad del negocio
5.    Evidencia de competencias del personal
6.    Registros de comunicación con las partes interesadas
7.    Análisis del impacto en el negocio
8.    Evaluación de riesgos, incluido un perfil de riesgo
9.    Estructura de respuesta a incidentes
10. Planes de continuidad del negocio
11. Procedimientos de recuperación
12. Resultados de acciones preventivas
13. Resultados de supervisión y medición
14. Resultados de la auditoría interna
15. Resultados de la revisión por parte de la dirección
16. Resultados de acciones correctivas

Si en tu organización existe un Plan de Continuidad de Negocio, seria interesante que compares los lineamientos, procesos, terminologías y sistema de implementación con esta nueva publicación de la Organización Internacional para la Normalización (ISO, por sus siglas en inglés).

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

sábado, 22 de diciembre de 2012

El apetito al riesgo, un aspecto fundamental en la gestión empresarial

Por Jesús Aisa Díez

Los auditores estamos familiarizados con la elaboración de nuestros planes de auditoría en base a los riesgos que existan en la Organización, para ello, como ya hemos tenido oportunidad de observar en otros comentarios previos en este mismo blog, lo más adecuado es que levantemos el mapa de riesgos residuales de la Compañía, también llamados mapas de calor, a fin de  observar cuales son los que, en base a sus dos atributos: impacto y probabilidad, se situarían en zonas alejadas de la tolerancia al riesgo que la Organización haya asumido para ellos como compatible con sus objetivos. Es decir, levantado nuestro propio mapa de riesgos, lo primero que debemos identificar son los riesgos que se alejen del entorno del riesgo que la Organización haya admitido como coherentes con sus objetivos, efectuando la supervisión de los procesos en los que estos se ubiquen, a fin de determinar, a través del análisis de la eficiencia de los controles existentes, las recomendaciones que se entiendan oportunas para reconducir dichos riesgos dentro de la zona de tolerancia.

Por ello, lo importante no es la zona en la que los riesgos residuales se sitúen en el mapa, sino su posición relativa con respecto al apetito al riesgo que la Compañía haya determinado razonablemente compatible con los resultados que espera/desea alcanzar.

Dicho de otra manera, supongamos que un mapa de riesgos convencional de dos dimensiones (impacto y probabilidad), los riesgos que aparezcan en el cuadrante superior derecho, es decir los que reflejen una mayor severidad y también probabilidad de ocurrencia, no necesariamente deben ser objeto de atención en el Plan de Auditoría, pues esta posición  “solo” será inquietante si fuese contraria a la estrategia de la Compañía, o lo que es lo mismo, cuando dichos riesgos estuviesen fuera del entorno de la tolerancia al riesgo establecida.

viernes, 21 de diciembre de 2012

Todos podemos ser auditados

Por José Luis Herreros Barbadillo, CIA, CRMA

A continuación se muestra un brochure real, difundido entre los empleados de cajas de ahorros españolas, que orienta a los trabajadores sobre cómo actuar ante la "amenaza" de la auditoría interna.

Su título refleja el miedo que todavía infunde la auditoría interna en algunos ámbitos: 
"Todos podemos ser auditados"
¿Has encontrado interesante la información?
¡Compártela con otro auditor interno!

miércoles, 19 de diciembre de 2012

La evaluación del “Riesgo de Auditoría”, un objetivo estratégico de las organizaciones

Por Jesús Aisa Díez

Es comúnmente aceptado que las entidades empresariales existen para generar valor a sus grupos de interés, objetivo que sólo será alcanzable si se administran adecuadamente las incertidumbres que las rodean, o lo que es lo mismo gestionando convenientemente aquellas oportunidades y amenazas que en cada momento les pudieran afectar.

Para conseguirlo disponemos en la actualidad de diversos protocolos, de ellos, quizá, el denominado Enterprise Risk Management, o COSO II, sea el más utilizado, habiéndonos permitido conocer que: la gestión de los  riesgos corporativos es un proceso efectuado por el consejo de administración de la entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.

Adicionalmente, como es bien conocido, este proceso está integrado por 8 componentes: ambiente de control, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta al riesgo, actividades de control, información/comunicación y supervisión;  todos ellos de similar importancia, si bien el correspondiente a la supervisión es, desde la perspectiva de los comentarios que queremos compartir, en el que subyace una mayor trascendencia, ya que es el que permitirá evaluar si el proceso integral de administración de los riesgos se lleva a cabo de forma eficiente, aportando, en su caso, una seguridad razonable sobre el adecuado desarrollo del proceso de gestión de riesgos  o,  en su defecto, la información necesaria para adoptar las modificaciones oportunas que sean necesarias.

La  mayor complejidad de los negocios, y las circunstancias en la que estos actualmente se desenvuelven, fundamentalmente en épocas de crisis como la que estamos padeciendo, han requerido que las estructuras de las organizaciones sean cada vez más fuertes en sus aspectos de control interno y de gestión de riesgos, incidiendo y potenciando la necesaria supervisión; en este contexto un modelo considerado a nivel global como una mejor práctica es el denominado de las «Tres Líneas de Defensa»,  que en forma resumida reflejamos en el siguiente cuadro. En el que:

Como primera línea de defensa se situaría  la gerencia operacional de la organización, la cual tendrá la responsabilidad directa de implementar y supervisar los procesos sobre los que descansan todas actividades desarrolladas en sus diferentes facetas, entre la que debe considerarse la de rendir cuentas respecto a la evaluación, control y mitigación los riesgos.

En la segunda línea de defensa se ubicaría la función de gestión de riesgos de la empresa, la cual debe facilitar y monitorear la implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operacional y ayudar a los propietarios de los riesgos en la adecuada presentación de información relacionada con los mismos hacia toda la organización. Verificando la eficacia obtenida.

lunes, 17 de diciembre de 2012

Ejemplo de un Plan Anual de Auditoría Basada en Riesgos

Por Juan Villanueva Chang

Con la finalidad de atender algunas inquietudes respecto al artículo publicado el 14.11.2012 (Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación), a continuación se explica un caso hipotético en una entidad de servicios.

Previa a la explicación del ejemplo, resulta indispensable coincidir con algunos parámetros:

·         La práctica habitual para los auditores de utilizar fórmulas para determinar la prioridad de las auditorías no es nuevo, se remonta a la década de los 70.
·         Existe la necesidad de confeccionar una metodología estable en el tiempo para determinar la prioridad de las auditorías, debido a limitaciones de su capacidad operativa y tiempo estimado para la realización de las revisiones. La metodología no es necesaria si en realidad es posible auditar en un año todo el universo auditable de una entidad.
·         El proceso de planificación anual siempre ha exigido la construcción de métricas que nos ayuden a realizar una selección adecuada. Esto obliga a revisar al menos una vez al año el universo auditable de la organización.
·         La ventaja de utilizar una metodología de este tipo ayuda al auditor a tener una guía neutral que resulta de la marcha de ciertos elementos del universo auditable, en vez de una simple selección arbitraria.     

Ejemplo: Casa de Cambio  ABC S.A.

a)           Métricas del universo auditable:

La unidad de auditoría interna lo conforman dos personas (3 600 h/H) y el tiempo promedio para  realizar cada auditoría es de 1 200 h/H. Estas limitaciones permitirían a la unidad de auditoría realizar 3 auditorías al año.

viernes, 14 de diciembre de 2012

Plan Estratégico - Hacer Cosas

Todo proyecto tiene ese punto crítico en el que deberíamos dejar de planificar y poner manos a la obra realizando una acción concreta. Son innumerables los auditores internos, que tratan de tener un plan perfecto antes de dar el primer paso; o que se pasan la vida esperando por el momento perfecto, y jamás emprenden la acción que les llevaría a alcanzar la meta deseada.

El momento perfecto es “Ahora Mismo”.
 
A continuación comparto una frase de Herb Kelleher (fundador de Southwest Airlines, una de las compañías más admiradas del mundo), la cual es breve, precisa, lúcida y efectiva:
 
¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

miércoles, 12 de diciembre de 2012

El Líder-Coach y la Comunicación en los Equipos de Auditoría

Carlos Reyes Balza, CIA, CRMA

Hace aproximadamente una semana recibí una consulta de parte de uno de los líderes de equipo (supervisores) de trabajo de la unidad de auditoría interna de la organización para la cual presto mis servicios. Esta vez la consulta estaba vinculada a la necesidad de mejorar la comunicación dentro del equipo de trabajo, a fin de promover discusiones basadas en evaluaciones de riesgo para fomentar un mayor nivel de análisis y profundidad técnica con respecto a los hallazgos de auditoría, que permitan además obtener reflexiones acerca de cómo mejorar la experiencia de los auditores, de modo que se puedan alcanzar resultados que realmente agreguen valor tanto para la unidad de auditoría interna, como para los clientes a quienes prestamos nuestros servicios de aseguramiento y consultoría.

Ante esta consulta, propuse por un lado un mayor involucramiento de los líderes de equipo en la ejecución del trabajo, y por el otro, la formulación de preguntas que permitan incorporar la evaluación de los riesgos como aspecto clave en las discusiones y enfoques para ejecutar auditorías.

Involucramiento que genera valor

El mayor involucramiento de los líderes está vinculado con el desarrollo de competencias supervisoras que van mucho más allá de simplemente girar instrucciones y hacer seguimiento de los compromisos establecidos conforme a un cronograma de auditoría. En la actualidad, ser competente como supervisor está más relacionado con la capacidad del líder de saber acompañar y facilitar al supervisado en el reconocimiento de oportunidades de aprendizaje y capacitación, el desarrollo de ideas que fomenten el desarrollo de sus competencias técnicas y personales, y la generación de propuestas que le permitan tomar decisiones para accionar en pro de su mejoramiento continuo.

lunes, 10 de diciembre de 2012

¿Mapas de riesgos multidimensionales?

Por Jesús Aisa Díez

Recientemente he tenido la oportunidad de asistir a la 17ª Jornadas de Auditoría Interna promovidas por el Instituto de Auditores Internos de España, celebradas los pasados días 21 y 22 de Noviembre en Madrid, en las que tuve ocasión de escuchar diversas ponencias relacionadas con el ejercicio de nuestra profesión, todas ellas muy interesantes y con enfoques fundamentalmente orientados a la mejora de la eficiencia de la actividad. De ellas, quizás la que más me impactó fue la desarrollada por  PWC, titulada “COSO 3. Principales novedades en el Marco de Control Interno actualizado”. A través de la cual se expusieron los cambios que se pretenden introducir en este protocolo, cuya nueva edición se espera aparezca en el primer trimestre del próximo año. Los cuales se identificaron con:

1º) Establecer los objetivos del negocio como condición previa a fijación de los objetivos de Control Interno.

2º) Ampliación del objetivo de reporting, que ya no se limitará exclusivamente a los financieros.

3º) El nuevo Marco actualizado introducirá 17 principios a los que se asocian determinados puntos de enfoque, con los que se producirán cambios en sus 5 componentes, a saber: (i) ambiente de control, (ii) evaluación de riesgos, (iii) actividades de control, (iv) información y comunicaciones y (v) monitorización, que se mantienen cuantitativamente como en la primera versión, aunque anecdóticamente modificándose el cubo que representa el modelo COSO I, ya que el ambiente de control se encuentra ahora situado en el nivel más alto del paralelepípedo que lo representa.

Por todo ello lo primero que se puede observar, desde mi perspectiva, es que hay una evidente retroalimentación de ERM, también llamado COSO II, hacia el conocido como COSO I. Lo cual no es de extrañar, ya que esto estaba en el propio ADN de ambos protocolos, dado que ERM se entendía que no anulaba al COSO I, sino que lo ampliaba y perfeccionaba.

Por todo ello, si ahora procede modificar COSO I, denominándolo por los ponentes de PWC que nos lo describieron, como COSO 3, sería de esperar que los cambios que en él se produzcan den pié a una nueva versión del ERM, ¿Podríamos llamarla COSO IV?.

miércoles, 5 de diciembre de 2012

Cobertura Trabajo Auditoría Interna 2013

De acuerdo al Informe “El Pulso de la Profesión” publicado por el IIA Global en noviembre del 2012, 545 Directores de Auditoría Interna encuestados informaron que la cobertura del trabajo de sus departamentos se incrementará en el año 2013, en las siguientes áreas:
¿Te ha gustado la información? ¡Compártela con otro auditor interno!

lunes, 3 de diciembre de 2012

Calidad Comunicación

De acuerdo con el Consejo para la Práctica 2420-1, las comunicaciones del Departamento de Auditoría Interna deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas. ¿Esto qué significa?

·         Precisas están libres de errores y distorsiones y son fieles a los hechos que describen. Objetivas son justas, imparciales y sin desvíos y son el resultado de una evaluación justa y equilibrada de todos los hechos y circunstancias relevantes.
·         Claras son fácilmente comprensibles y lógicas, evitando el lenguaje técnico innecesario y proporcionando toda la información significativa y relevante.
·         Concisas van a los hechos y evitan elaboraciones innecesarias, detalles superfluos, redundancia y uso excesivo de palabras.
·         Constructivas son útiles para el cliente del trabajo y la organización, y conducen a mejoras que son necesarias.
·         Completas no les falta nada que sea esencial para los receptores principales e incluyen toda la información y observaciones significativas y relevantes para apoyar a las recomendaciones y conclusiones.
·         Oportunas son realizadas en el tiempo debido y son pertinentes, dependiendo de la significatividad del tema, permitiendo a la dirección tomar la acción correctiva apropiada.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

viernes, 30 de noviembre de 2012

Cosas que debemos hacer


Un buen consejo de Eleanor Roosevelt - Defensora de los derechos sociales, diplomática y escritora estadounidense, esposa del presidente de Estados Unidos Franklin D. Roosevelt.

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

miércoles, 28 de noviembre de 2012

La opinión graduada (Segunda Parte)

Por José Luis Herreros Barbadillo, CIA, CRMA

4. Complejidad para aplicar las escalas

Los equipos de fútbol de primera división se clasifican, de forma simple, en:

Equipos que jugarán competiciones europeas.
Equipos de la zona media de la tabla.
Equipos que descenderán de categoría.

Esta clasificación se realiza en función de los partidos ganados, perdidos o empatados. Si se utilizaran más criterios (penalización de presupuestos elevados, fomento de la deportividad,...) la clasificación “combinada” sería más difícil de aplicar y el resultado podría cambiar.

Esta dificultad la encontramos a la hora de emitir el juicio auditor: por lo general, hay que valorar múltiples factores.

Imaginemos una política de calificación basada en:

la evaluación de los procedimientos existentes (lo que hay que hacer).
el análisis del control interno (cómo se hace).
la eficiencia del uso de los recursos disponibles (¿se hace económicamente?).
las incidencias detectadas (qué ha fallado).

El rango de posibles calificaciones a otorgar podría ser “Sobresaliente”, “Notable”, “Aprobado”, “Insuficiente” o “Muy deficiente”.

lunes, 26 de noviembre de 2012

La opinión graduada (Primera Parte)

Por José Luis Herreros Barbadillo, CIA, CRMA

1. El informe de auditoría

El trabajo de auditoría es como un iceberg: sólo es visible una pequeña parte del total.

En nuestro caso la parte perceptible es el informe. En él se expone el diagnóstico de una situación y se formulan recomendaciones o en requerimientos, dependiendo del menor o mayor nivel de exigencia, que se materializarán en planes de acción.

El trabajo del auditor es juzgado por la calidad de su informe y por el valor que aporta a sus destinatarios o usuarios (departamentos o procesos auditados, alta dirección, órganos de gobierno, legisladores, supervisores,...), quienes se formulan la siguiente pregunta: ¿cómo está esto?

El auditor aportará valor en la medida en que ofrezca respuesta a dicha pregunta.
La extensión y profundidad de la respuesta ofrecida dependerá del tipo de usuario. La actividad profesional diaria se caracterizada por el exceso y complejidad de la información disponible y por la escasez de tiempo para gestionarla. No podemos abrumar al destinatario al más alto nivel con detalles irrelevantes. De nada sirve que hayamos redactado un informe de cientos de páginas si no proporciona una respuesta muy concreta a la fatídica pregunta.

Un método para ofrecer mucha información con pocas palabras es la utilización de escalas, clasificaciones o ratings.

¿Cómo está esto? Mal - Regular - Bien

2. Calificaciones

Calificar es apreciar o determinar las calidades o circunstancias de alguien o de algo y expresar o declarar este juicio1.

La auditoría también consiste en expresar un juicio u opinión (sobre unos estados financieros, un proceso, una actividad, un departamento, un control interno,...). Por tanto, la calificación es inherente a la actividad de auditoría interna.
La calificación implica otros dos conceptos importantes: la clasificación y la comparación.

Al calificar hechos similares (o uno mismo en diferentes periodos de tiempo) podemos clasificarlos, es decir, ordenarlos y agruparlos en bloques homogéneos y compararlos, estableciendo que algunos de ellos son peores, iguales o mejores que el resto.

A las personas nos gusta calificar, clasificar y comparar cualquier aspecto de nuestra vida diaria, utilizando para ello innumerables escalas o ratings. Por ejemplo:

 

viernes, 23 de noviembre de 2012

Dar un paso más

El librito de instrucciones para la vida, del autor H. Jackson Brown, dice que la perseverancia tiene dos reglas: “Regla N° 1: Da un paso más. Regla N° 2: Cuando no puedas dar un paso más, vuelve a la Regla N° 1”. Para lograr el éxito, tendrás que hacer más, más de lo que querrías hacer, más que tus competidores, más de lo que te crees capaz. Debemos dar un paso más allá:

Haga más que pertenecer: Participe.
Haga más que preocuparse: Ayude.
Haga más que creer: Ponga en práctica.
Haga más que perdonar: Olvide.
Haga más que soñar: Esfuérzate.
Haga más que dar: Sirva.
Haga más que existir: Viva.
Haga más que tocar: Sienta.
Haga más que mirar: Observe.
Haga más que leer: Asimile.
Haga más que oír: Escuche.
Haga más que escuchar: Entienda.
Haga más que pensar: Reflexione.
Haga más que hablar: Actué.

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

miércoles, 21 de noviembre de 2012

Apetito y Tolerancia Riesgo

El apetito de Riesgo y la Tolerancia al Riesgo son dos términos ampliamente usados, pero pueden ser fácilmente mal entendidos. Es por esta razón que a continuación compartimos algunos comentarios respecto a estos elementos que debemos tener en cuenta los auditores internos al evaluar la efectividad de un sistema de gestión de riesgos:

Apetito de Riesgo es una ponderación de alto nivel de cuánto riesgo la administración y la Junta están dispuestos a aceptar en el logro de sus metas. Características principales:

·         La Gerencia y la Junta deben formular el apetito al riesgo a nivel de entidad
·         Las compañías pueden expresar su apetito al riesgo como el equilibrio aceptable del crecimiento, los riesgos y el retorno, o como una medida de valor agregado a los accionista ajustada al riesgo.
·         El apetito se puede definir mediante el uso de un mapa de riesgos.
·         Entidades, tales como organizaciones sin fines de lucro, expresan su apetito al riesgo como el nivel de riesgo que ellos aceptarían al proporcionar valor a sus partes relacionadas.