De
mi época de responsable corporativo de la función de Auditoría Interna en una
multinacional española, recuerdo el debate en el que entró el DAI de una de sus
filiales, ya que en su opinión “solo” deberían ser considerados “auditores
internos” aquellos profesionales que estuviesen adscritos al Departamento de
Auditoría Interna que él dirigía, por lo
que entendía que los compañeros que trabajaban en el Área de Calidad, cuya
misión era la de realizar las verificaciones internas del cumplimiento de los
requerimientos derivados del Sistema de Gestión de Calidad de la empresa, no
debían llamarse auditores, ni sus trabajos auditorías, pues no estaban ubicados
en su Departamento, ni realizaban sus actividades de acuerdo con el Plan aprobado
por el Comité de Auditoría.
Aunque
en la Corporación al tema no le dimos demasiada importancia, dejando que el
conflicto se resolviese en el ámbito de la filial, la postura defendida por el
DAI prosperó y los “auditores de calidad” dejaron de denominarse así y llamarse “supervisores”.
Me
viene a la memoria esta anécdota porque la postura que había detrás de esta
reivindicación del DAI, con el tiempo transcurrido creo que ha venido a darle la
razón, o al menos en haberme ganado para esa “causa”.
Las
razones que pueden esgrimirse para justificar mi cambio de actitud ante este
planteamiento pueden ser varias, pero las fundamentales estarían en la
redacción, pero sobre todo en lo que subyace en el contenido del nuevo Marco
Internacional para la Práctica Profesional de Auditoría Interna, edición 2011;
en concreto el Consejo para la Práctica 2050-3.Veamos por qué.
En
primer lugar recordemos que el propio Marco entiende como Servicios de aseguramiento a: “un examen objetivo de evidencias con el propósito de proporcionar una
evaluación independiente de los
procesos de gestión de riesgos, control y gobierno de una organización”. Para
posteriormente enunciar quienes pueden realizarlos, citando, entre otros, a
aquellos que son parte de la dirección (aseguramiento de la dirección), en los
que recae la responsabilidad de realizar autoevaluaciones
de control. Por ejemplo: Cargos
directivos y empleados (dado que la dirección ofrece aseguramiento en primera
línea de defensa sobre los riesgos de los que es responsable), pero también a los
Gestores de Riesgos.
Observemos
que en el párrafo anterior he destacado tres aspectos: objetivo, independiente y autoevaluaciones
de control. Los dos primeros
adjetivos reflejarían las condiciones necesarias, que no suficientes, que han
de concurrir en los servicios de aseguramiento para que estos sean verdaderamente
útiles, en tanto que el tercero describe la finalidad de los mismos. Hasta aquí
todo en línea con los que defiende COSO I respecto de los roles a desempeñar
por los distintos integrantes de las organizaciones en el desarrollo del
proceso de control interno, en el que la supervisión/monitorización no es una
actividad exclusiva de las auditorías, pues también debe ser realizada por las
Unidades operacionales incluidas en la denominada primera línea de defensa, o
por las efectuadas por la segunda línea de defensa en lo que se refiere a las
funciones especializadas de control.
Mi
“problema” empieza cuando este Consejo para la Práctica, en su apartado 2, se
señala literalmente que: “La decisión de
confiar en el trabajo de otros proveedores de servicios de aseguramiento puede
deberse a varias razones, entre otras, para abarcar las áreas que no son
competencia de la actividad de auditoría interna, o para obtener la
transferencia de conocimientos de otros proveedores de aseguramiento, o para
ampliar eficientemente la cobertura de riesgo más allá del plan de auditoría
interna”( el subrayado es nuestro).
Primera
cuestión, ¿existen áreas que no sean competencia de auditoría interna?.
Sinceramente, y hasta dónde yo creo conocer este oficio, la respuesta es negativa, ya que en las empresas no existen áreas
que estén al margen de la actividad de auditoría interna, lo que sí puede haber,
y las hay, son actividades que no se correspondan con su función. Que son dos
aspectos muy diferentes.
De
las otras dos razones que justifican la existencia de otros proveedores de
servicios de aseguramiento, la que se corresponde con la transferencia de
conocimientos, la compartimos plenamente, pero la que se justifica para
conseguir eficientemente una mayor cobertura que la que se derivase del plan de
auditoría, tenemos algunas dudas en tanto que lo expresado no quiera señalar
que esta alternativa se corresponde con las actividades de supervisión y
control lideradas por los gestores como partícipes en las dos primeras líneas
de defensa antes comentadas, y que son las que determinan las previstas en el
Plan de Auditoría, puesto que, de no ser así, lo que parece es que se estaría
corrigiendo el Plan de Auditoría al estar mal diseñado y no cubriendo
determinadas zonas críticas de la Organización. Por ello nos inclinamos por
redactándola de la siguiente manera: ampliar
eficientemente la cobertura de riesgo asumida por los gestores y unidades
operacionales, sobre la que definir el Plan de Auditoría.
Pero
sigamos abundando en lo recogido por este Consejo respecto de los posibles
tipos de proveedores externos de
servicios de aseguramiento con que podemos encontrarnos; citando en primer
lugar a los auditores externos, lo cual resulta lógico puesto que estos inciden
en aspectos que se complementan con los atendidos por los auditores internos,
aunque con distinta materialidad, por lo que ambos han de coordinarse adecuadamente.
Posteriormente se citan a: los socios de empresas
de negocios conjuntos, análisis de expertos o una empresa de auditoría
independiente, como también entidades dedicadas a la elaboración de informes en
virtud de las Normas Internacionales sobre Compromiso de Aseguramiento 3402:
Informes de Aseguramiento sobre los Controles en una Organización de Servicio.
Llegados
a este punto, parece oportuno que recordemos lo que el propio Marco, ver CP
2050-2, comenta sobre los tres tipos de proveedores de aseguramiento posibles,
según sean las partes interesadas a las que sirven:
a)
Los que informan a la alta dirección y/o son parte de la dirección
(aseguramiento de la dirección), en los que se incluyen quienes realizan
autoevaluaciones de control, auditores de calidad, auditores medioambientales y
otro personal de aseguramiento designado por la dirección.
b)
Los que informan al Consejo, incluyendo auditoría interna.
c)
Los que informan a las personas interesadas externas (aseguramiento de
auditoría externa), papel tradicionalmente realizado por el auditor independiente/
síndico.
Para agregar a continuación que existen
diversos proveedores de servicios de aseguramiento para una organización:
·
Cargos directivos y
empleados (la dirección ofrece aseguramiento en primera línea de defensa sobre los riesgos de los que
es responsable)
·
Alta dirección
·
Auditores externos
e internos
·
Cumplimiento
·
Aseguramiento de la
calidad
·
Gestión de riesgos
·
Auditores
medioambientales
·
Auditores de
seguridad e higiene en el lugar de trabajo
·
Auditores del
desempeño del gobierno
·
Equipos de análisis
de informes financieros
·
Subcomités del
Consejo (por ejemplo, de auditoría, actuarial, de crédito o de gobierno)
·
Proveedores
externos de servicios de aseguramiento, incluyendo estudios, análisis especializados,
(seguridad e higiene), etc.
De donde parece deducirse que: la
supervisión del cumplimiento, la de los aspectos medioambientales, la seguridad
e higiene en el lugar del trabajo, el desempeño del gobierno corporativo, etc.,
son las posibles áreas que no son competencia exclusiva de la auditoría
interna, por lo que deben ser atendidas por sus especialistas, motivo por el
que, en el momento de elaborar el Plan de Auditoría Interna, debe
confeccionarse previamente el Mapa de Aseguramiento con el que asegurar que
existe un proceso integral de riesgos y aseguramiento carente de posibles
lagunas y sin duplicidad de esfuerzos.
Surgiendo aquí una cuestión no
resuelta en el Marco, ¿se deben incluir estas distintas actuaciones efectuadas
por los diferentes proveedores de aseguramiento en el Plan de Auditoría?. En
principio parece ser que la respuesta sería un no, pues son realizadas por
ajenos a Auditoría Interna, muchas de ellas bajo la perspectiva de los
responsables de los procesos, y en base a sus presupuestos y criterios.
Pero si hemos acertado en la
respuesta, lo que no llegamos a entender entonces es que, por el contrario: El auditor interno debe incorporar los
resultados del proveedor de servicios de aseguramiento a los informes de
aseguramiento finales que debe remitir al Consejo u otras partes interesadas.
Los problemas significativos surgidos del trabajo del otro proveedor de
servicios de aseguramiento se incluirán, detallada o resumidamente, en los
informes de auditoría interna. El auditor interno debe incluir referencias a
otros proveedores de servicios de aseguramiento, en casos en los que los
informes se basen en esta información.(CP-2050-3, punto 11)
Ante esta situación tenemos una nueva
duda, ¿en todos los casos debemos informar?, es decir incluso cuando sean
supervisiones o monitorizaciones en el entorno de las actuaciones de las
responsabilidades de los gestores de los procesos, ¿o solo cuando son trabajos
de “auditoría” no desarrollados por Auditoría Interna?. Suponemos que solo será
en el segundo caso, puesto que si son todas, qué sucede con las supervisiones
realizadas con los medios propios del área gestora, también debemos
informarlas. No parece lógico.
Pero hay además un último punto que
también quisiéramos comentar, y es que Auditoría Interna debe “auditar” los
procesos seguidos por los otros proveedores de aseguramiento con el que
disponer de una seguridad razonable de que el trabajo está bien realizado y las
conclusiones oportunas y poder así aplicar un criterio holístico al esfuerzo
realizado. Totalmente de acuerdo.
Ante esta situación, y al igual que
ocurre con las auditorías de sistemas de información desarrolladas en modalidad
de sourcing o co-sourcing, que son asumidas sin problemas por el DAI como un
trabajo a todos los efectos a realizar bajo su responsabilidad, entendemos que
las supervisiones correspondientes a denominada tercera línea de defensa, las
que opinan sobre la efectividad y evaluación de la gestión de los riesgos
incluidas en las dos líneas de defensa previas, cualquiera que sea su
naturaleza, sí deberían estar incluidas en el borrador del Plan de Auditoría
Interna a proponer al Comité de Auditoría, responsabilizándose el DAI de su
alcance, planificación, programación ejecución e información a las partes
interesadas, con independencia de quién las realice. Para ello entendemos que
se hace preciso que el empleo del término “auditoría” quede reservado en
exclusividad a las supervisiones asumidas por la Auditoría Interna y la
Externa, denominando “aseguramiento” a los trabajos de los otros proveedores
realizados en entornos de las dos primeras líneas de defensa, ganando así en
claridad de contenidos y de responsabilidades.
Si se comparten estas reflexiones,
corresponderá a los DAI´s que así lo entiendan, la labor de mentalización en
sus respectivas organizaciones, pero el esfuerzo creo sinceramente que merece
la pena, fundamentalmente porque aporta un plus de claridad en la labor
efectuada por los distintos intervinientes en el proceso de control interno.
No hay comentarios:
Publicar un comentario