Auditoría Interna 101

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

Evolucionar Cambiar

Nuestras empresas están atravesando por tiempos difíciles. Muy bien, usted esta aquí para mejorarlos. Muchos creen que la profesión está atravesando por una revolución implacable, en cambio, yo considero que en vez de estar viviendo una revolución, estamos creando una evolución, un cambio, una transformación radical de la cual nacerá algo completamente nuevo.

Stephen R. Covey en su nuevo libro “El 8vo. Hábito” nos enseña:

Que todo el mundo elige uno de los dos caminos en la vida: jóvenes y viejos, ricos y pobres, hombres y mujeres por igual. Uno es el camino amplio y muy transitado hacia la mediocridad, el otro es el camino hacia la grandeza y el sentido. La gama de posibilidades existentes entre estos dos destinos es tan amplia como la diversidad de dones y personalidades de la estirpe humana. Pero el contraste entre los dos destinos es como el que hay entre el día y la noche.

El camino de la mediocridad limita el potencial humano. El camino de la grandeza libera y realiza este potencial. El camino de la mediocridad supone abordar la vida de una manera rápida, por un atajo. El camino de la grandeza es un proceso de crecimiento secuencial de dentro hacia fuera. Quienes viajan por el camino inferior de la mediocridad viven el “programa” cultural del ego, la competición, la escasez, la comparación, la extravagancia y el victimismo. Quienes transitan el camino superior hacia la grandeza, se elevan por encima de las influencias negativas y eligen convertirse en la fuerza creativa de su vida.

Por lo que me gustaría preguntarle: ¿En cuál camino se encuentra usted?

 ¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!

Evalué su capacidad de resolver problemas

Esto lo hacemos analizando de forma crítica y objetiva la efectividad y eficiencia de nuestro trabajo. Realice una revisión del desempeño de su departamento durante el último año, pregúntese:

1. ¿Cuál es el número de hallazgos o recomendaciones importantes de auditoría emitidos?
2. ¿Qué porcentaje de nuestras recomendaciones fueron aceptadas?
3. ¿Qué cantidad de ahorros fueron generados por auditoría?
4. ¿Existe una gran cantidad de hallazgos recurrentes en las auditorías realizadas?
5. ¿Cuántos procesos de negocio mejoraron de forma significativa como resultado de nuestro trabajo?

Adicionalmente, existen otros indicadores que nos ayudan a determinar la calidad y credibilidad de nuestro trabajo:

1. Cantidad de requerimientos de la gerencia.
2. Tiempo promedio de respuesta de los requerimientos de la gerencia.
3. Nivel de quejas sobre el trabajo de auditoría.

  ¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

Contratar y desarrollar Personal

“Las personas no son el activo más importante. Las personas correctas lo son”.      Jim Collins en el libro Good to Great

Los retos claves para la actividad de auditoría interna hoy día respecto a los recursos humanos incluyen:

1. Incrementar entre todos los miembros del departamento conocimientos sobre el negocio (generales y específicos).
2. Mantenernos actualizado sobre los cambios en la industria y el ambiente regulatorio.
3. Anticipar nuevas actividades que podrían requerir expandir nuestras habilidades:

• Análisis de riesgos y gobierno corporativo.
• Evaluaciones de riesgos y controles.
• Recolección y análisis de datos.

Pasos de acción específicos para desarrollar destrezas personal departamento:

1. Considerar conjunto de talentos necesarios dentro de la organización y verificar cómo el personal de auditoría interna se ajusta a la estrategia de recursos humanos de la empresa.
2. Desarrollo de un plan de sucesión a nivel gerencial que identifique los candidatos que tenemos en back-up para posiciones claves.
3. Realizar un inventario de las destrezas del personal del departamento:
4. Identificar fortalezas y debilidades actuales.
5. Determinar el tipo y nivel de conocimientos que debe ser desarrollados dentro de 2 a 4 años.
6. Desarrllar un plan de carrera para cada recurso del departamento.
7. Requerir la obtención de certificaciones profesionales (CIA, CCSA, CRMA, CGAP, CFSA)
8. Implementar un plan de contratación de personal con sólidos conocimientos  de negocio o entrenar al personal para llegar al nivel de conocimiento deseado.
9. Considerar el establecimiento de un programa de rotación dentro de la empresa para capitalizar el talento y la experiencia del personal de las unidades de negocio.
10. Identificar el grupo de destrezas que podría ser no realista el obtenerlas dentro del personal de auditoría, desarrollar un plan de captación de personal de otros departamentos o de otras fuentes fuera de la organización.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

Hombre de Valor

A continuación compartimos una frase de Albert Einstein (físico alemán, ganador del Premio Nobel, considerado uno de los científicos más prominentes del siglo XX): 

“No trates de convertirte en un hombre de éxito, sino en un hombre de valor."

¿Te ha gustado la frase? ¡Compártela con otro auditor interno! 

Coordinando Gestión de Riesgos y Servicios de Aseguramiento

Gestión de Riesgos

La gestión de riesgos es una parte fundamental para la existencia de un gobierno corporativo sólido que trate todas las actividades de la organización. Muchas organizaciones comienzan a adoptar un enfoque holístico y coherente para la gestión de riesgos que, idealmente, debe encontrarse plenamente integrado en la gestión de la organización. Este enfoque se aplica a todos los niveles de la organización: unidades empresariales, unidades funcionales y unidades comerciales. La alta dirección utiliza habitualmente un marco de gestión de riesgos para dirigir las evaluaciones y documentar los resultados obtenidos.

Disponer de un proceso de gestión de riesgos efectivo facilita la identificación de controles clave relacionados con los riesgos inherentes importantes. Gestión de Riesgos Empresariales (ERM, por sus siglas en inglés) es un término de uso común. El

Committee of Sponsoring Organizations (COSO) of the Treadway Commission define

el ERM como: “un proceso efectuado por el Consejo, la alta dirección y restante personal de una entidad, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar acontecimientos potenciales que puedan afectar a la entidad, gestionar sus riesgos dentro de su apetito de riesgo y proporcionar una seguridad razonable sobre el logro de los objetivos de la entidad”. La implantación de controles es un método común que utiliza la dirección para la gestión del riesgo dentro de su apetito de riesgo. Los auditores internos auditan los controles clave y ofrecen aseguramiento en la gestión de riesgos significativos.

Servicios de Aseguramiento

La actividad de auditoría interna debe proporcionar aseguramiento para toda la organización, incluyendo los procesos de gestión de riesgos (tanto en sus diseños como en su efectividad operacional), la gestión de aquellos riesgos clasificados como “clave” (incluyendo la efectividad de los controles y otras respuestas), la verificación de la fiabilidad e idoneidad de la evaluación de riesgos e informes sobre el estado de riesgos y control.

Las Normas definen los Servicios de aseguramiento como: Un examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización. Por ejemplo: trabajos financieros, de desempeño, de cumplimiento, de seguridad de sistemas y de diligencia debida.

Coordinación
El IIA Global acaba de emitir una nueva Guía para la Práctica Profesional: Coordinado la Gestión de Riesgos y los Servicios de Aseguramiento, la cual es una herramienta útil que nos permitirá realizar un enlace efectivo entre ambas actividades, este documento incluye las siguientes informaciones:

1.    La gestión de Riesgos y los servicios de aseguramiento

2.    Marco o enfoque de aseguramiento

3.    Roles respectivos en proceso de gestión de riesgos (auditoría interna, cumplimiento y otros proveedores de aseguramiento)

4.    Rol de Coordinación del DEA

5.    Uso de la gestión de riesgos en la planificación

6.    Preparación mapa de aseguramiento

7.    Retroalimentación de áreas con riesgos significativos en los informes de auditoría

8.    Evaluación de auditoria interna razonabilidad de la gestión de riesgos

9.    Promoción gestión de riesgos por auditoría interna

10. Impacto sobre auditoría interna cuando no existe una función formal de gestión de riesgos

Puedes descargar la Guía completa publicada en marzo del 2012 el sitio web del IIA Global.  
                                             
¿Te ha gustado la noticia de esta nueva publicación? ¡Déjanos saber tu opinión! 

50 Más Innovadoras

La revista Fast Company ha elaborado una lista con las que considera las 50 compañías más innovadoras del mundo. Vale la pena darle un vistazo, debido a que los auditores internos siempre estamos en la búsqueda de vías creativas a través de las cuales nuestras empresas puedan mejorar sus procesos de negocio. Puedes leer el artículo completo AQUI.

¿Te ha gustado la información? ¡Déjanos saber tu opinión a través de un comentario!

Tu eres lo que haces

A continuación presentamos una frase inspiradora para iniciar el fin de semana con buen pie:

“El -TRABAJO- es una transmisión de energía. 
Nos gusta trasmitir nuestra energía 
en algo creativo e inspirador. 
Sueños poderosos inspiran acciones poderosas 
que pueden mejorar nuestro mundo. 
TU ERES LO QUE HACES.”

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

Hoja de ruta para auditar la gestión de riesgos

Por: Juan Alberto Villanueva Chan

Es ineludible que tarde o temprano realizaremos una auditoría a la gestión de riesgos en nuestras organizaciones. En esta nueva tarea, los auditores enfrentamos dos escenarios particulares: las observaciones que encontremos podrían recaer necesariamente en el Comité de Riesgos y; el enfoque de las revisiones serán básicamente de cumplimiento a la normatividad de riesgos en la organización.

Las técnicas para evidenciar el cumplimiento de la normatividad de riesgos recaen en la observación, indagación e inspección. Observamos el desempeño de las sesiones para identificar y evaluar riesgos con los responsables. Por ejemplo, se observa la existencia de reportes de las sesiones de identificación de riesgos y controles y sus correctivos. Se indaga con personas entendidas que nos provea información sobre cómo va el funcionamiento de la gestión de riesgos en sus procesos. Por ejemplo, indaguemos si hubo evaluaciones de riesgos de TI y la antigüedad de sus recomendaciones. Se inspeccionan registros o documentos que validen el cumplimiento de la normatividad y metodologías de la gestión de riesgos.  Por ejemplo, inspeccionamos el historial de las actas de sesiones y propuestas de mitigación de riesgos.

En adición, existen técnicas adicionales que pueden usarse y combinarse. Dichas técnicas son la evaluación de conocimientos, que combinando las técnicas de indagación e inspección, se puede revisar cómo se ha desarrollado los programas de capacitación y sensibilización de riesgos en toda la organización. Mediante estas técnicas el  auditor corrobora el contenido de un informe del área de riesgos con los miembros que participaron en las sesiones de trabajo. El propósito es validar la consistencia de la información en los reportes de riesgos. Comprobar que los aplicativos TI automatizados para la identificación y evaluación de riesgos almacenen la data según lo esperado.

Si bien existen pocas referencias para desarrollar un programa de auditoría a la gestión de riesgos, es posible tomar como guía la secuencia del ISO 31000, es decir primero identificar la existencia de principios, luego que estos principios fluyan por un marco de gestión de riesgos, es decir la instrumentación, para finalmente comprobar que se desarrolla el proceso de gestión de riesgos. Es importante advertir que existe cierta lógica en cumplir ciertos pasos previos para culminar con un plan de mitigación de riesgos según el ISO 31000 – Gestión de Riesgos.

A continuación se describe algunos puntos de atención que se debe tomar en cuenta en un programa de auditoría respetando el marco ISO 31000:

I. Principios:

• ¿Se encuentra incorporada la gestión de riesgos en todos los procesos de la entidad?
• ¿La gestión de riesgos es iterativa, dinámica y sensible al cambio?
• ¿La gestión de riesgos está adaptada al entorno del negocio?
• ¿La gestión de riesgos toma en cuenta factores humanos y culturales?
• ¿La gestión de riesgos facilita la mejora continua de la organización?
• ¿La gestión de riesgos forma parte de la toma de decisiones?

II. Marco:

• ¿Está definida y asignada la política de gestión de riesgos?
• ¿Existen indicadores para medir el funcionamiento de la gestión de riesgos?
• ¿Están alineados los objetivos de gestión de riesgos a los objetivos estratégicos de la organización?
• ¿Se tiene asegurado el cumplimiento regulatorio de gestión de riesgos?
• ¿Se tiene adecuadamente asignada la responsabilidad de la gestión de riesgos en la organización?
• ¿Se asignó recursos para el desarrollo de la gestión de riesgos?
• ¿Se cuenta con un plan de gestión de riesgos para su implementación?
• ¿El informe de riesgos señala la eficacia del marco de gestión de riesgos?

III. Proceso:

• ¿Se evidencia comunicación y consulta interna y externa con los stakeholders?
• ¿Se tiene establecido el contexto de la gestión de riesgos?
• ¿Se definió los factores y criterios de riesgos (naturaleza, causas y consecuencias, probabilidad, nivel de riesgo aceptable, etc)
• ¿Se evidencia el análisis de riesgos mediante consecuencias y probabilidad de impacto?
• ¿Se evidencia la evaluación de riesgos comparando el nivel de riesgo encontrado y la tolerancia al riesgo?
• ¿Se evidencia una selección de opciones de tratamiento al riesgo?
• ¿Se cuenta con planes de implementación de planes de tratamiento al riesgo?
• ¿Se cuenta con actividades de supervisión a todo el proceso de gestión de riesgos?
• ¿Existe un registro de toda la documentación del proceso de gestión de riesgos?

¿Te ha gustado el artículo? ¡Déjanos saber tu opinión a través de un comentario!

La Superintendencia de Banca, Seguros y AFP Peruana (SBS) un ejemplo a seguir

Por Jesús Aisa Díez

No hace mucho en este mismo blog se hacía referencia a una reciente Circular de la SBS del Perú, por la que se regulaba la obligación de someter preceptivamente, a partir del ejercicio 2014, a evaluaciones de calidad, en los términos recogidos por The Institute Internal Auditors, a los departamentos de Auditoría Interna de las entidades supervisadas por ese Organismo. Normativa que debemos considerar muy acertada, puesto que aportará un plus en la eficacia de la función auditora desarrollada en ámbito del sector financiero peruano, y en consecuencia en la salvaguarda de los derechos de los usuarios de esas entidades.

Pero esta decisión, la de exigir que las Unidades de auditoría interna dispongan de un Programa de Aseguramiento y mejora de la Calidad que sea evaluado por un equipo externo e independiente, debidamente capacitado, es lo que podríamos denominar, “la segunda derivada” del criterio de la SBS en lo que se refiere a la función y al apoyo que esa entidad, como órgano supervisor, debe encontrar en los Departamentos de Auditoría Interna, ya que la  citada circular no es más que la consecuencia lógica del desarrollo de la Resolución Nº 11699-2008, por la que se aprueba el Reglamento de Auditoría Interna de estas empresas, ya que, en su opinión:

a)  La labor que desarrolla la auditoría interna de las empresas  supervisadas constituye un mecanismo fundamental de apoyo a la supervisión y control que realiza esta Superintendencia, por lo que resulta necesario actualizar los criterios mínimos requeridos para su ejercicio de acuerdo a los estándares internacionales y mejores prácticas;

b) Una auditoría Interna efectiva y eficiente constituye un elemento vital para la administración prudente en las empresas del sistema financiero, de seguros y administradoras privadas de fondos de pensiones;    

Por lo que en el citado reglamento se regulan todos los aspectos significativos en torno a la función de auditoría interna, tales como: Responsabilidades del Directorio y del Comité de Auditoría, Independencia de la Unidad de Auditoría Interna (en adelante UAI), Funciones de la UAI, Competencia, Infraestructura y otros recursos, etcétera, etcétera, en línea con las mejores prácticas conocidas y las Normas del IIA. Debiendo por nuestra parte hacer referencia, por su trascendencia, a algunos de los aspectos regulados en la citada Resolución:

Artículo 6º. Funciones de Auditoría Interna

• Evaluar continuamente la calidad y adecuación de los sistemas informáticos y los mecanismos establecidos por la empresa para garantizar la seguridad de la información;

•  Evaluar la implementación oportuna y adecuada de las recomendaciones y medidas para superar las observaciones y recomendaciones formuladas por la Superintendencia, los auditores externos, así como las realizadas por la propia UAI

• Verificar el cumplimiento del sistema de prevención del lavado de activos y financiamiento del terrorismo.

• Evaluar el cumplimiento de aquellos aspectos que determine la Superintendencia;  

Artículo 7º. Competencia de la Auditoría Interna

• Toda UAI debe contar con un servicio de auditoría de sistemas de información, que colabore en el logro de sus funciones y objetivos. Este servicio debe contar con personal competente y experiencia específica en auditoría de sistemas, apropiado en competencias a la complejidad y tamaño de las operaciones que realiza la empresa, el que podrá ser también subcontratado.

• Entendiendo por subcontratación significativa aquella que tiene por objeto reemplazar la mayor parte de las funciones que se le asignan a la UAI, de manera no eventual y con la finalidad de acceder a ventajas de índole técnica, de recursos, metodología, entres otras. Este tipo de subcontratación requiere la autorización previa de la Superintendencia,

Artículo 12.Requisitos e impedimentos del auditor interno

• No haber sido sancionado por cualquier organismo público por la comisión de infracciones consideradas como graves o muy graves por la entidad sancionadora;

• No tener vinculación de propiedad o de gestión con la empresa o con las personas jurídicas Integrantes del conglomerado al cual pertenece. Asimismo, no tener relación de parentesco con sus accionistas o socios, directores, gerentes, representantes legales o funcionarios principales, de acuerdo a la normatividad emitida por esta Superintendencia;

Artículo 16º y 18º Información a remitir a la Superintendencia

• El  Plan anual de auditoría interna deberá ser aprobado por el directorio, debiendo remitirse a la Superintendencia una copia del mismo a más tardar el 31  diciembre del año previo.

• Las modificaciones significativas realizadas al Plan deberán ser aprobadas por el Comité de Auditoría e informadas a la Superintendencia.

• La UAI presentará a la  Superintendencia un informe cuatrimestral sobre el avance del Plan, indicando el grado de cumplimiento de los objetivos y actividades realizadas y otros aspectos que se consideren relevantes, entre otros, dentro de los veinte (20) días posteriores al cierre de cada cuatrimestre. El último informe cuatrimestral dará cuenta de las actividades previstas y realizadas en él año.

Obviamente todos estos aspectos deberán ser también contemplados en el momento de evaluar la calidad de las UAI sometidas a las preceptivas QAR, puesto que, considerando el soporte que la actuación de las mismas aportan a la labor supervisora de la Superintendencia, esta deberá ser considerada también uno de los “clientes” o parte interesada que deben ser objeto de entrevistas y encuestas por los evaluadores, al igual que lo son la alta dirección, el Directorio y la dirección operativa, ya que es un beneficiario más del aseguramiento efectuado por la UAI, por lo que también en las evaluaciones continuas de la calidad, las que miden el día a día de la actividad auditora, debería tenerse presente la opinión de la Superintendencia, recomendando por nuestra parte en este sentido el que sea incluida entre los opinantes de la labor realizada a lo largo del ejercicio, en cuyo caso se deberían habilitar los KPI adecuados que permitan concluir sobre su percepción sobre la confianza y la utilidad obtenida de los trabajos reportados.

Por todo ello, la próxima exigencia por parte de la SBS de que sean efectuadas evaluaciones de calidad en las UAI de las empresas afectadas por sus competencias, no se limita sólo a la obligación de realizarlas en base a las Normas aplicables, entre ellas las del IIA, sino también a considerar los aspectos de la regulación que les sea de aplicación en el ámbito de la función auditora, de los que, en una forma breve hemos citado líneas arriba algunos ejemplos; todo ello sin olvidar lo indicado en el capítulo Introducción del Marco para la Práctica Profesional del IIA, cuando señala que: las leyes y costumbres son diferentes en cada país. Estas diferencias pueden afectar a la práctica de la auditoría interna. La implementación del Marco, dependerá del entorno en el que la actividad de la auditoría interna desempeñe sus responsabilidades. En ningún caso, la información contenida en el Marco, debe ser aplicada de forma que entre en conflicto con la legislación vigente.

En conclusión, la reciente Circular de la SBS es una consecuencia lógica de la labor que entiende deben realizar las UAI afectadas, a fin de poder apoyarse en ella para posibilitar al ahorrista y al asegurado una adecuada protección; lo cual no sería posible si no estuviésemos seguro de que la actividad auditora se ha realizado con garantía de calidad y de acuerdo a las Normas, de todo tipo, que le sean de aplicación. Lo cual introduce un grado adicional de rigurosidad a los equipos evaluadores en el ejercicio de su función, dada la mayor responsabilidad que en este contexto asumen, puesto que es el cierre del proceso que garantiza la fiabilidad de la actividad de auditoría interna, de la misma forma que para los auditores externos realiza el PCOB.

¿Te ha gustado el artículo? ¡Déjanos saber tu opinión a través de un comentario!

Audit Channel

El Instituto de Auditores Internos Global creo un nuevo portal de internet www.AuditChannel.tv y www.AuditChannel.tv/mobile (para dispositivos móviles), el cual es una línea de intercambio de videos, desarrollada pensando en las necesidades específicas de los auditores internos y la comunidad empresarial. Con canales de vídeo centrado en áreas tales como: fraude, gobierno corporativo, riesgo, tecnología, operaciones, finanzas, cumplimiento, y más. AuditChannel.tv permite a los profesionales de auditoría interna en todo el mundo buscar fácilmente videos que tratan temas de mayor interés para la profesión. Espero que visiten frecuentemente este sitio web.

A manera de ejemplo, a continuación presentamos un hipervínculo de una entrevista realizada a José Manuel Muries, Presidente del IIA España: http://auditchannel.tv/video/362/IIA-Spain-Chairman-TV-Interview.

¿Hasta dónde puede avanzar auditoría en el ERM?

Por: Juan Alberto Villanueva Chang

Es innegable al inicio el celo por el privilegio de manejar la información de riesgos entre el auditor interno y los que están a cargo de la implementación y desarrollo del ERM.

La información oportuna sobre gestión de riesgos es fundamental para emigrar hacia una auditoría basada en riesgos. El temor a entregar este tipo de información a los auditores, por lo general obedece a la ausencia de una sólida cultura de riesgos, lo que hace que sea bastante tedioso obtener y manejar dicha información.  

A medida que aumenta la madurez del riesgo y la gestión de riesgos se encuentre integrada a los procesos, es probable que mejore la comunicación con auditoría interna.

Fuente: IIA Position Paper: The Role of Internal Auditing in Enterprise – Wide Risk Management - 2009

Si actuamos minuciosamente en los niveles que fijan los documentos del IIA respecto al rol de auditoría en el ERM con salvaguarda; por ejemplo, para facilitar la identificación y evaluación de riesgos, los auditores podrían:

• Poner a disposición de la administración algunas técnicas y herramientas utilizadas por el auditor para identificar los puntos críticos. Entre ellas proporcionar un mapa de debilidades de control histórico por perfil de riesgos en la organización.
• Actuar como facilitadores en la realización de talleres de autoevaluación de riesgos y controles (RCSA).
• Enriquecer el inventario de amenazas de riesgos de la organización.

En cuanto a los entrenamientos a la Gerencia sobre la respuesta al riesgo, es valiosa la asesoría que pueden dar los auditores en el diseño de medidas de control para mitigar riesgos. Por otro lado, para fortalecer la coordinación de actividades del ERM los auditores pueden aprovechar las competencias y conocimiento de la organización; también dictando charlas al personal de la entidad para lograr la sensibilización en la gestión de riesgos y controles, así como roles y responsabilidades en estos temas.

Con relación a la consolidación de reportes sobre riesgos, los auditores pueden contribuir con datos  de las debilidades de control y el cumplimiento de las recomendaciones que obtienen al evaluar la marcha del sistema de control interno, con énfasis en uno de sus principales componente de control como es la evaluación de riesgos.

En el mantenimiento así como defender el establecimiento del ERM, auditoría interna juega un rol preponderante, sobre todo en instituciones pequeñas, donde resulta imposible constituir una unidad encargada de implementar la gestión de riegos. Auditoría interna debe cuidar que su asesoramiento no lo haga responsable de ningún rol en la gestión de riesgos.  

Finalmente, para desarrollar estrategias conjuntas de gestión de riesgos para aprobación de la Junta se puede lograr mediante el intercambio de aspectos relevantes que fluye entre el Comité de Auditoría y el Comité de Riesgos. 

¿Te ha gustado el artículo? ¡Déjanos saber tu opinión a través de un comentario!

Participa en proceso de cambio Normas Auditoría Interna

El IIA Global esta realizando una revisión exhaustiva de las Normas Internacionales para la Práctica Profesional de Auditoría Interna y como resultado de esta tarea ha solicitando la opinión de los profesionales del área respecto a los cambios propuestos. Si deseas contribuir lo puedes hacer a través de este hipervínculo https://www.globaliia.org/standards-guidance/mandatory-guidance/Pages/2012-Standards-Exposure.aspx.

¿Planes de Auditoría anuales o plurianuales?

Por Jesús Aisa Díez

Atendiendo a lo señalado por la Norma 2010 del Institute Internal Auditors (IIA), los Directores Ejecutivos de auditoría han de establecer planes basándose en los riesgos existentes en la organización, de forma que en ellos se incluyan, entre otros datos: (i) los trabajos que se considere preciso desarrollar para alcanzar un aseguramiento razonable sobre el nivel de control interno existente en la empresa, (ii) el detalle de las actividades de consultoría asumidas durante el periodo considerado y (iii) cualquier otra actividad a desarrollar en el mismo, como por ejemplo la relativa al plan de formación. Todo ello con la finalidad de hacer una presentación a la alta dirección y al Directorio para que lo validen y asuman la oportunidad de su contenido, así como de la cuantía de los recursos necesarios para ejecutarlo o, en su defecto, para que sean copartícipes de la responsabilidad derivada de las limitaciones de cualquier tipo que pudieran existir impidiendo su implementación en tiempo y forma.

Es por esta razón por la que los Planes de auditoría deben ser lo suficientemente detallados para que la alta dirección, el Directorio, o el Comité de Auditoría interviniente, si lo que pretendemos es que realicen una aprobación responsable de su contenido, han ser informados del grado de cobertura que se pretende alcanzar con su ejecución, fundamentalmente en lo que se refiere a la tipología y características de los riesgos que conviven en los entes auditables incorporados en dicho Plan, tanto en lo que se refiere a sus aspectos cuantitativos, como cualitativos. O dicho de otra manera, el Plan debe identificar con claridad el porcentaje de los procesos/riesgos críticos detectados que se pretenden analizar, así como la que se prevea para los de nivel alto, la de los moderados y la de los bajos incluidos en él, señalando también la programación prevista para su ejecución.

En este sentido, y dado que resulta frecuente que la distribución de los riegos se ajuste a una estructura parecida a, por ejemplo: que los riesgos críticos puedan afectar a  un   % determinado de los entes auditables manejados, los riesgos altos a un % superior de dichos entes, y los de tipo medio y bajo en otros aún superiores, el Plan de Auditoría, al tener que  diseñarse en base de unos criterios de eficiencia adecuados, y buscando que el Universo de auditoría estuviese completamente revisado en el periodo que el Plan abarque, podría resultar probable que, en un caso como este, se manejaran criterios tales como:

1)    Los entes auditables afectados por riesgos críticos, revisión anual. 100%

2)    Los entes auditables afectados por riesgos altos, también revisión anual.100%

3)    Entes auditables con riesgos medios, revisión bienal (cada dos años).50%

4)    Entes auditables con riesgos bajos, revisión trienal (cada tres años).33%

Próxima Conferencia

En esta presentación compartiremos consejos útiles, mejores prácticas e ideas creativas que nos permitirán elevar la calidad del trabajo realizado por su Departamento de Auditoría Interna a través de tomar en consideración tres puntos esenciales para el éxito de nuestra función:

1.    Desafíos: Conoceremos los retos, barreras y obstáculos que nos impiden desarrollar nuestra tarea efectiva y eficientemente.

2.    Dogmas: Presentaremos las creencias, principios incuestionables que en muchas ocasiones nos impiden o limitan el crecimiento.

3.    Deber: Daremos respuesta a una interrogante vital: ¿Cuál es debe ser nuestra misión o nuestra responsabilidad principal?

Durante esta sección tenemos el objetivo fundamental de desarrollar ideas, conceptos y vivencias que permitirán mejorar la efectividad del departamento de auditoría a través de:

1.    Delinear los problemas, puntos ciegos y paradigmas que enfrenta la profesión (Desafíos y Dogmas).

2.    Describir las soluciones prácticas para enfrentar estas situaciones.

3.    Demostrar formulas y metodologías de alto impacto para agregar valor a la organización.

Esta conferencia será realizada en:

VIII Seminario Regional de Auditoría Interna FLAI – IAIRD, Hard Rock Hotel, Bávaro, Higuey, República Dominicana el 28 abril 2012.

XVI Congreso Latinoamericano de Auditoría Interna y Evaluación de Riesgos – CLAIN 2012 - FELABAN, Hotel Inter-Continental, Buenos Aires, Argentina el 31 mayo 2012.