Atendiendo a lo
señalado por la Norma 2010 del Institute
Internal Auditors (IIA), los Directores Ejecutivos de auditoría han de
establecer planes basándose en los riesgos existentes en la organización, de
forma que en ellos se incluyan, entre otros datos: (i) los trabajos que se
considere preciso desarrollar para alcanzar un aseguramiento razonable sobre el
nivel de control interno existente en la empresa, (ii) el detalle de las
actividades de consultoría asumidas durante el periodo considerado y (iii)
cualquier otra actividad a desarrollar en el mismo, como por ejemplo la
relativa al plan de formación. Todo ello con la finalidad de hacer una
presentación a la alta dirección y al Directorio para que lo validen y asuman la
oportunidad de su contenido, así como de la cuantía de los recursos necesarios
para ejecutarlo o, en su defecto, para que sean copartícipes de la responsabilidad
derivada de las limitaciones de cualquier tipo que pudieran existir impidiendo
su implementación en tiempo y forma.
Es por esta razón por
la que los Planes de auditoría deben ser lo suficientemente detallados para que
la alta dirección, el Directorio, o el Comité de Auditoría interviniente, si lo
que pretendemos es que realicen una aprobación responsable de su contenido, han
ser informados del grado de cobertura que se pretende alcanzar con su ejecución,
fundamentalmente en lo que se refiere a la tipología y características de los
riesgos que conviven en los entes auditables incorporados en dicho Plan, tanto en
lo que se refiere a sus aspectos cuantitativos, como cualitativos. O dicho de
otra manera, el Plan debe identificar con claridad el porcentaje de los procesos/riesgos
críticos detectados que se pretenden analizar, así como la que se prevea para los
de nivel alto, la de los moderados y la de los bajos incluidos en él, señalando
también la programación prevista para su ejecución.
En este sentido, y
dado que resulta frecuente que la distribución de los riegos se ajuste a una
estructura parecida a, por ejemplo: que los riesgos críticos puedan afectar a un % determinado
de los entes auditables manejados, los riesgos altos a un % superior de dichos
entes, y los de tipo medio y bajo en otros aún superiores, el Plan de Auditoría,
al tener que diseñarse en base de unos
criterios de eficiencia adecuados, y buscando que el Universo de auditoría
estuviese completamente revisado en el periodo que el Plan abarque, podría
resultar probable que, en un caso como este, se manejaran criterios tales como:
1)
Los entes auditables afectados por riesgos
críticos, revisión anual. 100%
2)
Los entes auditables afectados por riesgos
altos, también revisión anual.100%
3)
Entes auditables con riesgos medios, revisión
bienal (cada dos años).50%
De lo que se derivaría un Plan a tres años (x a
x+2), en el que, para cada ejercicio, se identificasen los trabajos que se
abordarían. Tarea que resulta fácil de describir, aunque no sencilla de
ejecutar y sobre todo encajar con los recursos disponibles.
Pero dado que las
situaciones son cambiantes, las
evaluaciones de los riesgos deben efectuarse con cierta frecuencia actualizando
consecuentemente la estructura del universo de auditoría, de forma que refleje
los cambios en la dirección de la gestión, objetivos, énfasis y enfoques (ver
Consejo para la Practica 2010-1), por lo que la ordenación de los entes
auditables según su criticidad que se empleó para la primera edición del Plan
trienal sometido a aprobación, se habrá desactualizado con enorme rapidez,
debiendo reeditar de nuevo el Plan trienal, ajustándolo a las prioridades que
en cada momento existan. Por ello, si lo que finalmente realicemos en el primer
año probablemente será diferente a lo
que se previó en el momento de diseñar el Plan, es de esperar que los cambios
que haya que introducir en los trabajos previstos en el segundo y el tercer
ejercicio también sean abundantes, restándose así utilidad y confianza a la
información elaborada para los ejercicios x+1 y x+2, dado que difícilmente
podrá mantenerse con el trascurso del tiempo.
De aceptarse esta
valoración, surge la siguiente pregunta, ¿son entonces útiles los Planes
plurianuales?. En mi opinión la respuesta es negativa, pues la reconsideración
permanente de los entornos en los que se desenvuelven las organizaciones,
impiden mantener las prioridades de actuación a largo plazo, resultando más
oportuno trabajar con el corto plazo, es decir con un escenario máximo de 12
meses.
Pero si esta
conclusión fuese compartida, de ella se deriva otra que entendemos más
trascendente, y es la de si el Universo de Auditoría debe auditarse completo en
un determinado periodo, de acuerdo con la interpretación dada a alguno de los
Consejos emitidos por el IIA.
Posicionándonos en
contra también de esta tesis, ya que auditar procesos/riesgos situados en la
parte baja del ranking de la criticidad respecto de la consecución de los
objetivos empresariales, no aportará ningún plus de eficacia o eficiencia a
nuestro trabajo, sino todo lo contrario, pues debemos centrar nuestra actividad
en lo trascendente.
En este mismo sentido
puedo recomendar la lectura del estudio
del 2011 de PWC sobre el estado de la
profesión de auditoría interna denominado. “Luces, cámara, acción…. Guión de auditoría
interna para un entorno en pleno cambio”, en el que se señalan aspectos
tales como que: “Han pasado a la historia
aquellos tiempos en los que la práctica habitual de la profesión era la
evaluación anual de riesgos y el plan de auditoría rotacional a cinco años
vista. Para que la función de auditoría interna pueda aportar un verdadero
valor a la organización, los planes de auditoría actuales, deben ser flexibles,
con capacidad de respuesta y alineados con la estrategia de la compañía” .
Como espero que se
haya podido observar en estos comentarios, la idea que subyace en ellos es que
debemos procurar ser muy eficientes a la hora de programar nuestras
actuaciones, centrándonos en lo importante, en lo que aporte verdadero valor a
la organización, pero minimizando los recursos que demandemos para ejecutar los
Planes de auditoría, centrándonos para ello exclusivamente en los riesgos
relevantes, descartando los trabajos relacionados con riesgos no relevantes o
de impacto reducido.
¿Te ha gustado el artículo?
¡Déjanos saber tu opinión a través de un comentario!
Muy importante...
ResponderEliminar