miércoles, 25 de enero de 2012

¿Hemos perdido el monopolio de hacer auditorías internas?

A continuación presentamos una reflexión interesantísima realizada por Don Jesús Aisa Díez sobre la denominación y manejo que debería dársele al trabajo de auditoría interna realizado por proveedores externos.

De mi época de responsable corporativo de la función de Auditoría Interna en una multinacional española, recuerdo el debate en el que entró el DAI de una de sus filiales, ya que en su opinión “solo” deberían ser considerados “auditores internos” aquellos profesionales que estuviesen adscritos al Departamento de Auditoría Interna que él dirigía,  por lo que entendía que los compañeros que trabajaban en el Área de Calidad, cuya misión era la de realizar las verificaciones internas del cumplimiento de los requerimientos derivados del Sistema de Gestión de Calidad de la empresa, no debían llamarse auditores, ni sus trabajos auditorías, pues no estaban ubicados en su Departamento, ni realizaban sus actividades de acuerdo con el Plan aprobado por el Comité de Auditoría.

Aunque en la Corporación al tema no le dimos demasiada importancia, dejando que el conflicto se resolviese en el ámbito de la filial, la postura defendida por el DAI prosperó y los “auditores de calidad” dejaron de  denominarse así y llamarse “supervisores”.

Me viene a la memoria esta anécdota porque la postura que había detrás de esta reivindicación del DAI, con el tiempo transcurrido creo que ha venido a darle la razón, o al menos en haberme ganado para esa “causa”.

Las razones que pueden esgrimirse para justificar mi cambio de actitud ante este planteamiento pueden ser varias, pero las fundamentales estarían en la redacción, pero sobre todo en lo que subyace en el contenido del nuevo Marco Internacional para la Práctica Profesional de Auditoría Interna, edición 2011; en concreto el Consejo para la Práctica 2050-3.Veamos por qué.

En primer lugar recordemos que el propio Marco entiende como Servicios de aseguramiento a: “un examen objetivo de evidencias con el propósito de proporcionar una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización”. Para posteriormente enunciar quienes pueden realizarlos, citando, entre otros, a aquellos que son parte de la dirección (aseguramiento de la dirección), en los que recae la responsabilidad de realizar autoevaluaciones de control. Por ejemplo: Cargos directivos y empleados (dado que la dirección ofrece aseguramiento en primera línea de defensa sobre los riesgos de los que es responsable), pero también a los Gestores de Riesgos.

Observemos que en el párrafo anterior he destacado tres aspectos: objetivo, independiente y autoevaluaciones de control. Los dos primeros adjetivos reflejarían las condiciones necesarias, que no suficientes, que han de concurrir en los servicios de aseguramiento para que estos sean verdaderamente útiles, en tanto que el tercero describe la finalidad de los mismos. Hasta aquí todo en línea con los que defiende COSO I respecto de los roles a desempeñar por los distintos integrantes de las organizaciones en el desarrollo del proceso de control interno, en el que la supervisión/monitorización no es una actividad exclusiva de las auditorías, pues también debe ser realizada por las Unidades operacionales incluidas en la denominada primera línea de defensa, o por las efectuadas por la segunda línea de defensa en lo que se refiere a las funciones especializadas de control.

Mi “problema” empieza cuando este Consejo para la Práctica, en su apartado 2, se señala literalmente que: “La decisión de confiar en el trabajo de otros proveedores de servicios de aseguramiento puede deberse a varias razones, entre otras, para abarcar las áreas que no son competencia de la actividad de auditoría interna, o para obtener la transferencia de conocimientos de otros proveedores de aseguramiento, o para ampliar eficientemente la cobertura de riesgo más allá del plan de auditoría interna”( el subrayado es nuestro).

Primera cuestión, ¿existen áreas que no sean competencia de auditoría interna?. Sinceramente, y hasta dónde yo creo conocer este oficio, la respuesta es  negativa, ya que en las empresas no existen áreas que estén al margen de la actividad de auditoría interna, lo que sí puede haber, y las hay, son actividades que no se correspondan con su función. Que son dos aspectos muy diferentes.

De las otras dos razones que justifican la existencia de otros proveedores de servicios de aseguramiento, la que se corresponde con la transferencia de conocimientos, la compartimos plenamente, pero la que se justifica para conseguir eficientemente una mayor cobertura que la que se derivase del plan de auditoría, tenemos algunas dudas en tanto que lo expresado no quiera señalar que esta alternativa se corresponde con las actividades de supervisión y control lideradas por los gestores como partícipes en las dos primeras líneas de defensa antes comentadas, y que son las que determinan las previstas en el Plan de Auditoría, puesto que, de no ser así, lo que parece es que se estaría corrigiendo el Plan de Auditoría al estar mal diseñado y no cubriendo determinadas zonas críticas de la Organización. Por ello nos inclinamos por redactándola de la siguiente manera: ampliar eficientemente la cobertura de riesgo asumida por los gestores y unidades operacionales, sobre la que definir el Plan de Auditoría.

Pero sigamos abundando en lo recogido por este Consejo respecto de los posibles tipos de  proveedores externos de servicios de aseguramiento con que podemos encontrarnos; citando en primer lugar a los auditores externos, lo cual resulta lógico puesto que estos inciden en aspectos que se complementan con los atendidos por los auditores internos, aunque con distinta materialidad, por lo que ambos han de coordinarse adecuadamente. Posteriormente se citan a: los socios de empresas de negocios conjuntos, análisis de expertos o una empresa de auditoría independiente, como también entidades dedicadas a la elaboración de informes en virtud de las Normas Internacionales sobre Compromiso de Aseguramiento 3402: Informes de Aseguramiento sobre los Controles en una Organización de Servicio.

Llegados a este punto, parece oportuno que recordemos lo que el propio Marco, ver CP 2050-2, comenta sobre los tres tipos de proveedores de aseguramiento posibles, según sean las partes interesadas a las que sirven:

a) Los que informan a la alta dirección y/o son parte de la dirección (aseguramiento de la dirección), en los que se incluyen quienes realizan autoevaluaciones de control, auditores de calidad, auditores medioambientales y otro personal de aseguramiento designado por la dirección.

b) Los que informan al Consejo, incluyendo auditoría interna.

c) Los que informan a las personas interesadas externas (aseguramiento de auditoría externa), papel tradicionalmente realizado por el auditor independiente/ síndico.

Para agregar a continuación que existen diversos proveedores de servicios de aseguramiento para una organización:

·         Cargos directivos y empleados (la dirección ofrece aseguramiento en primera  línea de defensa sobre los riesgos de los que es responsable)
·         Alta dirección
·         Auditores externos e internos
·         Cumplimiento
·         Aseguramiento de la calidad
·         Gestión de riesgos
·         Auditores medioambientales
·         Auditores de seguridad e higiene en el lugar de trabajo
·         Auditores del desempeño del gobierno
·         Equipos de análisis de informes financieros
·         Subcomités del Consejo (por ejemplo, de auditoría, actuarial, de crédito o de gobierno)
·         Proveedores externos de servicios de aseguramiento, incluyendo estudios, análisis especializados, (seguridad e higiene), etc.

De donde parece deducirse que: la supervisión del cumplimiento, la de los aspectos medioambientales, la seguridad e higiene en el lugar del trabajo, el desempeño del gobierno corporativo, etc., son las posibles áreas que no son competencia exclusiva de la auditoría interna, por lo que deben ser atendidas por sus especialistas, motivo por el que, en el momento de elaborar el Plan de Auditoría Interna, debe confeccionarse previamente el Mapa de Aseguramiento con el que asegurar que existe un proceso integral de riesgos y aseguramiento carente de posibles lagunas y sin duplicidad de esfuerzos.

Surgiendo aquí una cuestión no resuelta en el Marco, ¿se deben incluir estas distintas actuaciones efectuadas por los diferentes proveedores de aseguramiento en el Plan de Auditoría?. En principio parece ser que la respuesta sería un no, pues son realizadas por ajenos a Auditoría Interna, muchas de ellas bajo la perspectiva de los responsables de los procesos, y en base a sus presupuestos y criterios.

Pero si hemos acertado en la respuesta, lo que no llegamos a entender entonces es que, por el contrario: El auditor interno debe incorporar los resultados del proveedor de servicios de aseguramiento a los informes de aseguramiento finales que debe remitir al Consejo u otras partes interesadas. Los problemas significativos surgidos del trabajo del otro proveedor de servicios de aseguramiento se incluirán, detallada o resumidamente, en los informes de auditoría interna. El auditor interno debe incluir referencias a otros proveedores de servicios de aseguramiento, en casos en los que los informes se basen en esta información.(CP-2050-3, punto 11)

Ante esta situación tenemos una nueva duda, ¿en todos los casos debemos informar?, es decir incluso cuando sean supervisiones o monitorizaciones en el entorno de las actuaciones de las responsabilidades de los gestores de los procesos, ¿o solo cuando son trabajos de “auditoría” no desarrollados por Auditoría Interna?. Suponemos que solo será en el segundo caso, puesto que si son todas, qué sucede con las supervisiones realizadas con los medios propios del área gestora, también debemos informarlas. No parece lógico.

Pero hay además un último punto que también quisiéramos comentar, y es que Auditoría Interna debe “auditar” los procesos seguidos por los otros proveedores de aseguramiento con el que disponer de una seguridad razonable de que el trabajo está bien realizado y las conclusiones oportunas y poder así aplicar un criterio holístico al esfuerzo realizado. Totalmente de acuerdo.

Ante esta situación, y al igual que ocurre con las auditorías de sistemas de información desarrolladas en modalidad de sourcing o co-sourcing, que son asumidas sin problemas por el DAI como un trabajo a todos los efectos a realizar bajo su responsabilidad, entendemos que las supervisiones correspondientes a denominada tercera línea de defensa, las que opinan sobre la efectividad y evaluación de la gestión de los riesgos incluidas en las dos líneas de defensa previas, cualquiera que sea su naturaleza, sí deberían estar incluidas en el borrador del Plan de Auditoría Interna a proponer al Comité de Auditoría, responsabilizándose el DAI de su alcance, planificación, programación ejecución e información a las partes interesadas, con independencia de quién las realice. Para ello entendemos que se hace preciso que el empleo del término “auditoría” quede reservado en exclusividad a las supervisiones asumidas por la Auditoría Interna y la Externa, denominando “aseguramiento” a los trabajos de los otros proveedores realizados en entornos de las dos primeras líneas de defensa, ganando así en claridad de contenidos y de responsabilidades.

Si se comparten estas reflexiones, corresponderá a los DAI´s que así lo entiendan, la labor de mentalización en sus respectivas organizaciones, pero el esfuerzo creo sinceramente que merece la pena, fundamentalmente porque aporta un plus de claridad en la labor efectuada por los distintos intervinientes en el proceso de control interno.

No hay comentarios:

Publicar un comentario