sábado, 3 de marzo de 2012

¿Planes de Auditoría anuales o plurianuales?

Por Jesús Aisa Díez

Atendiendo a lo señalado por la Norma 2010 del Institute Internal Auditors (IIA), los Directores Ejecutivos de auditoría han de establecer planes basándose en los riesgos existentes en la organización, de forma que en ellos se incluyan, entre otros datos: (i) los trabajos que se considere preciso desarrollar para alcanzar un aseguramiento razonable sobre el nivel de control interno existente en la empresa, (ii) el detalle de las actividades de consultoría asumidas durante el periodo considerado y (iii) cualquier otra actividad a desarrollar en el mismo, como por ejemplo la relativa al plan de formación. Todo ello con la finalidad de hacer una presentación a la alta dirección y al Directorio para que lo validen y asuman la oportunidad de su contenido, así como de la cuantía de los recursos necesarios para ejecutarlo o, en su defecto, para que sean copartícipes de la responsabilidad derivada de las limitaciones de cualquier tipo que pudieran existir impidiendo su implementación en tiempo y forma.

Es por esta razón por la que los Planes de auditoría deben ser lo suficientemente detallados para que la alta dirección, el Directorio, o el Comité de Auditoría interviniente, si lo que pretendemos es que realicen una aprobación responsable de su contenido, han ser informados del grado de cobertura que se pretende alcanzar con su ejecución, fundamentalmente en lo que se refiere a la tipología y características de los riesgos que conviven en los entes auditables incorporados en dicho Plan, tanto en lo que se refiere a sus aspectos cuantitativos, como cualitativos. O dicho de otra manera, el Plan debe identificar con claridad el porcentaje de los procesos/riesgos críticos detectados que se pretenden analizar, así como la que se prevea para los de nivel alto, la de los moderados y la de los bajos incluidos en él, señalando también la programación prevista para su ejecución.

En este sentido, y dado que resulta frecuente que la distribución de los riegos se ajuste a una estructura parecida a, por ejemplo: que los riesgos críticos puedan afectar a  un   % determinado de los entes auditables manejados, los riesgos altos a un % superior de dichos entes, y los de tipo medio y bajo en otros aún superiores, el Plan de Auditoría, al tener que  diseñarse en base de unos criterios de eficiencia adecuados, y buscando que el Universo de auditoría estuviese completamente revisado en el periodo que el Plan abarque, podría resultar probable que, en un caso como este, se manejaran criterios tales como:

1)    Los entes auditables afectados por riesgos críticos, revisión anual. 100%

2)    Los entes auditables afectados por riesgos altos, también revisión anual.100%

3)    Entes auditables con riesgos medios, revisión bienal (cada dos años).50%

4)    Entes auditables con riesgos bajos, revisión trienal (cada tres años).33%


De  lo que se derivaría un Plan a tres años (x a x+2), en el que, para cada ejercicio, se identificasen los trabajos que se abordarían. Tarea que resulta fácil de describir, aunque no sencilla de ejecutar y sobre todo encajar con los recursos disponibles.

Pero dado que las situaciones son cambiantes,  las evaluaciones de los riesgos deben efectuarse con cierta frecuencia actualizando consecuentemente la estructura del universo de auditoría, de forma que refleje los cambios en la dirección de la gestión, objetivos, énfasis y enfoques (ver Consejo para la Practica 2010-1), por lo que la ordenación de los entes auditables según su criticidad que se empleó para la primera edición del Plan trienal sometido a aprobación, se habrá desactualizado con enorme rapidez, debiendo reeditar de nuevo el Plan trienal, ajustándolo a las prioridades que en cada momento existan. Por ello, si lo que finalmente realicemos en el primer año  probablemente será diferente a lo que se previó en el momento de diseñar el Plan, es de esperar que los cambios que haya que introducir en los trabajos previstos en el segundo y el tercer ejercicio también sean abundantes, restándose así utilidad y confianza a la información elaborada para los ejercicios x+1 y x+2, dado que difícilmente podrá mantenerse con el trascurso del tiempo.

De aceptarse esta valoración, surge la siguiente pregunta, ¿son entonces útiles los Planes plurianuales?. En mi opinión la respuesta es negativa, pues la reconsideración permanente de los entornos en los que se desenvuelven las organizaciones, impiden mantener las prioridades de actuación a largo plazo, resultando más oportuno trabajar con el corto plazo, es decir con un escenario máximo de 12 meses.

Pero si esta conclusión fuese compartida, de ella se deriva otra que entendemos más trascendente, y es la de si el Universo de Auditoría debe auditarse completo en un determinado periodo, de acuerdo con la interpretación dada a alguno de los Consejos emitidos por el IIA.

Posicionándonos en contra también de esta tesis, ya que auditar procesos/riesgos situados en la parte baja del ranking de la criticidad respecto de la consecución de los objetivos empresariales, no aportará ningún plus de eficacia o eficiencia a nuestro trabajo, sino todo lo contrario, pues debemos centrar nuestra actividad en lo trascendente.

En este mismo sentido puedo recomendar la lectura del  estudio del 2011 de PWC sobre  el estado de la profesión de auditoría interna denominado. “Luces, cámara, acción…. Guión de auditoría interna para un entorno en pleno cambio”, en el que se señalan aspectos tales como que: “Han pasado a la historia aquellos tiempos en los que la práctica habitual de la profesión era la evaluación anual de riesgos y el plan de auditoría rotacional a cinco años vista. Para que la función de auditoría interna pueda aportar un verdadero valor a la organización, los planes de auditoría actuales, deben ser flexibles, con capacidad de respuesta y alineados con la estrategia de la compañía .

Como espero que se haya podido observar en estos comentarios, la idea que subyace en ellos es que debemos procurar ser muy eficientes a la hora de programar nuestras actuaciones, centrándonos en lo importante, en lo que aporte verdadero valor a la organización, pero minimizando los recursos que demandemos para ejecutar los Planes de auditoría, centrándonos para ello exclusivamente en los riesgos relevantes, descartando los trabajos relacionados con riesgos no relevantes o de impacto reducido. 


¿Te ha gustado el artículo? ¡Déjanos saber tu opinión a través de un comentario!

No hay comentarios:

Publicar un comentario