Por Jesús Aisa Díez
Es comúnmente aceptado que las entidades
empresariales existen para generar valor a sus grupos de interés, objetivo que
sólo será alcanzable si se administran adecuadamente las incertidumbres que las
rodean, o lo que es lo mismo gestionando convenientemente aquellas
oportunidades y amenazas que en cada momento les pudieran afectar.
Para conseguirlo disponemos en la actualidad de
diversos protocolos, de ellos, quizá, el denominado Enterprise Risk Management, o COSO II, sea el más utilizado,
habiéndonos permitido conocer que: la
gestión de los riesgos corporativos es
un proceso efectuado por el consejo de administración de la entidad, su dirección
y restante personal, aplicable a la definición de estrategias en toda la
empresa y diseñado para identificar eventos potenciales que puedan afectar a la
organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar
una seguridad razonable sobre el logro de los objetivos.
Adicionalmente, como es bien conocido, este proceso
está integrado por 8 componentes: ambiente
de control, establecimiento de objetivos, identificación de eventos, evaluación
de riesgos, respuesta al riesgo, actividades de control, información/comunicación
y supervisión; todos ellos de similar importancia, si bien el
correspondiente a la supervisión es, desde la perspectiva de los comentarios
que queremos compartir, en el que subyace una mayor trascendencia, ya que es el
que permitirá evaluar si el proceso integral de administración de los riesgos
se lleva a cabo de forma eficiente, aportando, en su caso, una seguridad
razonable sobre el adecuado desarrollo del proceso de gestión de riesgos o, en
su defecto, la información necesaria para adoptar las modificaciones oportunas
que sean necesarias.
La mayor complejidad
de los negocios, y las circunstancias en la que estos actualmente se
desenvuelven, fundamentalmente en épocas de crisis como la que estamos
padeciendo, han requerido que las estructuras de las organizaciones sean cada
vez más fuertes en sus aspectos de control interno y de gestión de riesgos,
incidiendo y potenciando la necesaria supervisión; en este contexto un modelo
considerado a nivel global como una mejor práctica es el denominado de las «Tres Líneas de Defensa», que en forma resumida reflejamos en el
siguiente cuadro. En el que:
Como primera línea de defensa se situaría la gerencia operacional de la organización, la
cual tendrá la responsabilidad directa de implementar y supervisar los procesos
sobre los que descansan todas actividades desarrolladas en sus diferentes
facetas, entre la que debe considerarse la de rendir cuentas respecto a la
evaluación, control y mitigación los riesgos.
En la segunda línea de defensa se ubicaría la
función de gestión de riesgos de la empresa, la cual debe facilitar y monitorear
la implementación de prácticas efectivas de gestión de riesgos por parte de la
gerencia operacional y ayudar a los propietarios de los riesgos en la adecuada
presentación de información relacionada con los mismos hacia toda la
organización. Verificando la eficacia obtenida.
Y por último, como tercera línea de defensa estaría auditoría
interna, la cual proporcionará aseguramiento
al Consejo de Administración y a la alta dirección de la organización sobre el
grado de efectividad global alcanzado en
el proceso de evaluación y gestión de sus riesgos, resultado de la manera en
que la primera y segunda líneas de defensa realmente actúan. Esta tarea de
aseguramiento debe cubrir todos los
elementos del marco de trabajo de la gestión de riesgos de la institución, por
ejemplo: desde la identificación de riesgos, evaluación de riesgos y la
respuesta a la comunicación de información relacionada con el riesgo.
Como puede apreciarse en esta secuencia de
actuaciones, es en la tercera línea de defensa en la que se ubica la supervisión
de la totalidad del proceso de gestión de riesgos empresariales empleado, recayendo en ella la responsabilidad final de
la evaluación la eficacia integral del modelo, en base a la cual los órganos de
decisión de las compañías consolidarán sus actuales diseños y desarrollos, o determinarán los cambios que sean pertinentes
con la que alcanzar la eficacia que les debe ser requerida. Pero para que esto
resulte válido, se hace imprescindible que la actividad de auditoría interna se
realice en forma adecuada, aportando un enfoque objetivo y sistemático en la
evaluación y mejora del proceso de gestión de riesgos que les ocupe.
Debiendo tener presente la elevada responsabilidad que
la función auditora está asumiendo, ya que de sus hallazgos y evidencias se
derivarán decisiones gerenciales importantes, que serán adecuadas cuando el informe de
auditoría también lo sea, o en caso contrario inoportunas.
Por todo ello debemos considerar que entre los riesgos
operativos con los que han de convivir las organizaciones se encuentra el que denominaremos
“Riesgo
de Auditoría”, que podríamos
definirlo como la eventualidad de
que en sus informes existan errores que
incidan sobre la bondad del aseguramiento de los procesos efectuados. Su probabilidad de ocurrencia se mediría por
la frecuencia en que esta circunstancia sucediese, en tanto que su impacto
dependerá de la materialidad de los errores.
Dado por tanto que el Riesgo de Auditoría existe y es real, es un riesgo inherente más
que las organizaciones deben gestionar; para ello lo primero que sugerimos que
habría que efectuar es la identificación
de los factores de riesgo que lo propician, para posteriormente identificar los
controles existentes con los que gestionarlos, de forma que, como con cualquier otro tipo de
riesgo, poder evaluar el nivel residual existente y compararlo con el “apetito
al riesgo” que se haya considerado adecuado aceptar.
Respecto de los factores que pueden generar el Riesgo de Auditoría en nuestra opinión estos
son múltiples, tanto de tipo estructural como coyunturales, tales como: Actitud
y aptitud de los equipos de auditoría, dimensión de las Unidades, dependencia
funcional y jerárquica del DAI (Director de Auditoría Interna), modelo de
determinación de la planificación anual empleado, coordinación con los otros
proveedores de aseguramiento, herramientas de gestión utilizadas, etcétera.
En este sentido el Instituto de Auditores Internos
(IAI), en su Marco Internacional para la práctica Profesional de Auditoría Interna,
incide en la necesidad, a través de la Norma 1300, de que los DAI deben
desarrollar y mantener un programa de aseguramiento y mejora de la calidad que
cubra todos los aspectos de la actividad auditora; entre los que se
encuentran necesariamente los factores de riesgo previamente enunciados.
Es por consiguiente la citada Norma 1.300 del IAI,
atendiendo a la metodología que el propio COSO II nos recomienda para gestionar los riesgos empresariales, una directriz
a seguir con la que identificar, evaluar y controlar los factores que pueden incidir
en el Riesgo de Auditoría. Empleando, como seguidamente veremos, un doble esquema:
Evaluaciones Internas y Evaluaciones externas independientes.
Las evaluaciones internas son aquellas que se realizan por la propia
Unidad de Auditoría Interna (UAI) en base a un seguimiento continuo del
desempeño de la actividad auditora, así como también mediante revisiones
periódicas con las que comprobar el
grado de cumplimiento de las Normas del IAI que regulan la actividad.
En cuanto a las evaluaciones externas, estas deben
ser efectuadas por revisores cualificados e independientes al menos una vez
cada 5 años, centrándose en varios aspectos:
a) En primer lugar verificando la existencia de
procedimientos que regulen y definan las funciones y dependencias orgánicas de
las unidades de auditoría, tales como:
Estatuto, Código de Ética, Manual de Auditoría, Planificación anual en base a
riesgos, Planificación y Programación individual de los trabajos, Supervisión
del Progreso. Comprobando su efectiva aplicación y adecuación a lo regulado al
respecto por las Normas de IAI, así como su preceptiva aprobación y difusión en
la organización, con las que verificar su independencia de criterio y eficiente
empleo de los recursos disponibles.
b) Adicionalmente supervisando la gestión documental
aplicada en el desarrollo de la actividad, valorando la calidad de los informes
distribuidos, así como su adecuada difusión y custodia, sin olvidar la revisión
y opinión sobre las tecnologías empleadas.
c) Por último se indaga sobre la percepción de las
partes interesadas de la organización en lo referente al valor agregado por la
actividad auditora, practicidad y pertinencia de las actuaciones de la UAI;
como también en la opinión de los componentes del equipo auditor respecto a su
autoridad, capacidad de opinar en la concreción del Plan de Auditoría, Plan de
formación, rotación con otras áreas, etcétera.
Es decir, se
valoran todos aquellos elementos que permiten concluir sobre la eficacia y
eficiencia de la labor auditora en un
escenario de mejora continua, en base a opiniones subjetivas (encuestas y
entrevistas a los clientes internos representativos, responsables jerárquico y
funcional del DAI, personal adscrito a la Unidad y Auditores externos), así como opiniones subjetivas a través de: revisión de papeles de
trabajo, desempeño acreditado de la Unidad, ámbito de actuación según programa
de trabajos reales, capacitación de los recursos de la Unidad, planificación y
realización de las auditorías.
Para finalmente poder concluir sobre el resultado
observado, emitiendo un informe en el que se incluyen las conclusiones de la
revisión efectuada, destacándose los puntos fuertes que se hayan podido
evidenciar, así como los aspectos de mejora que, en opinión del equipo
evaluador, fuesen oportunos recomendar.
Aunque la evaluación externa de calidad no debe
considerarse una auditoría en sentido estricto, no obstante con el informe se
sigue un procedimiento similar a si así lo fuese, pues las conclusiones, antes
de dar por finalizado el trabajo de campo, se justifican ante el DAI,
debatiéndose, en su caso, los contenidos y alcances de las mismas, para
finalmente incorporarlas en un borrador de informe en el que se incluyen las
recomendaciones pertinentes con las que atender las exigencias de las Normas, o
con las que aplicar las mejores prácticas conocidas; así como la calificación obtenida
de acuerdo a los tres niveles establecidos por el IAI. En concreto:
Cumple Generalmente: Cuando en opinión del equipo evaluador se cumplen
todos los aspectos materiales de la Normas o Código de Ética, sin que ello
excluya la existencia de oportunidades de mejora.
Cumple Parcialmente: Cuando se estén haciendo esfuerzos para cumplir
con las Normas o Código de Ética, pero no se ha logrado alcanzar alguno de los
objetivos esenciales, existiendo oportunidades de mejora significativas.
No Cumple: Si Auditoría Interna aún no conoce o aplica muchos
de los objetivos de las Normas y no se están haciendo esfuerzos para
conseguirlo o no se ha logrado alcanzarlos. Situación que representa
importantes oportunidades de mejora.
Solo cuando el resultado de la evaluación sea Cumple Generalmente, de acuerdo con lo recogido en la Norma 2430, los equipos de auditoría podrán informar que sus “trabajos son realizados de conformidad con las Normas Internacionales para el Ejercicio profesional de la Auditoría Interna”, para lo cual el IAI emitirá un certificado en el que conste que se ha completado satisfactoriamente el proceso de Aseguramiento de Calidad.
Circunstancia y manifestación que, según el esquema de la gestión del Riesgo de
Auditoría que hemos estado compartiendo a lo largo de estas líneas, debe
interpretarse en el sentido de que la UAI evaluada ha alcanzado un Riesgo de Auditoría residual que se
sitúa en el entorno de la tolerancia al riesgo que el IAI ha establecido como
situación satisfactoria y compatible con la consecución de los objetivos que la
empresa se haya marcado. Desde esta óptica determinados reguladores bancarios
están ya exigiendo a las instituciones financieras por ellos supervisados, que
se sometan a las evaluaciones de calidad establecidas por el IAI como garantía
de que su “Riesgo de Auditoría” se sitúa en una
tolerancia al riesgo aceptable.
Por todo ello, desde el Instituto de Auditores
Internos de España invitamos a las UAI que aún no se hayan sometido a
verificación de la calidad que periódicamente requiere el Marco profesional que les es de
aplicación, a que consideren la
oportunidad de realizarlo, en la seguridad de que el esfuerzo asumido aportará
un plus de garantía sobre el valor añadido a sus organizaciones. En cuyo caso
el equipo de profesionales que en nombre del IAI desarrollan estas evaluaciones
se pone a su disposición, tanto para la realización del diagnóstico definitivo,
como para el de un diagnóstico previo, que sin ningún condicionante o
compromiso posterior, permita conocer la
posición de su status actual con respecto al apetito al riesgo recomendable.
¿Te ha gustado el
post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario