Por Jesús Aisa Díez
En mi condición de Director de
Proyectos de Aseguramiento de Calidad de Auditoría Interna del Instituto de
Auditoría Interna de España, he tenido oportunidad de conocer los contenidos de los informes finales preparados
por las distintas Unidades de Auditoría Interna evaluadas, siendo frecuente que
éste sea uno de los aspectos que aparecen en las recomendaciones de mejora que
se aportan al acabar el proceso de valoración, dado que, no en todos los casos,
su estructura y contenido se ajusta a los requerimientos normativos del Marco
Internacional para la Práctica
Profesional de nuestra profesión. Y ello debido a varias circunstancias,
como más adelante podremos comentar.
Pero antes de ello situémonos en
el contexto. Desde mi punto de vista, y estoy convencido que lo compartirán la
inmensa mayoría de los lectores de estas líneas: Un trabajo de auditoría no
está totalmente acabado hasta que no se hayan implementado todos los planes de
acción con los que corregir las debilidades observadas.
Asimismo podemos comentar que
si no existiese una supervisión posterior sobre el grado de cumplimiento de los
compromisos contraídos por las áreas gestoras de los procesos previamente
auditados, las recomendaciones pasarían a disfrutar del sueño de los justos, y los informes se quedarían, muy
frecuentemente, depositados en un archivo, pero sin que sus conclusiones/recomendaciones
fuesen atendidas.
Debido a ello, la Norma 2500.A1
señala que: El director de auditoría debe
establecer un proceso de seguimiento para vigilar y asegurar que las acciones
de la dirección hayan sido implantadas eficazmente o que la dirección haya
aceptado el riesgo de no tomar medidas, en cuyo caso, y si la situación no
se resolviese, el director de auditoría debe
informar al Directorio para su resolución (N.2600).
Pero para que esto pueda ser
aplicado, se hace necesario que las acciones asumidas por los gestores, con los
que atender las recomendaciones aportadas por los auditores, estén debidamente
formuladas y asumidas por los responsables de su implementación, identificando
no solo el procedimiento a emplear, sino también las áreas responsables de
acometerlas y las fechas previstas de disponibilidad, es decir, expuestas en
conjunto en lo que denominamos “Planes de acción”.
Debido a ello, la N.2410, la
que se refiere a los Criterios para la comunicación, señala que: las comunicaciones (los informes) deben incluir los objetivos y alcance del
trabajo, así como las conclusiones correspondientes, las recomendaciones y los planes de acción.
Aspectos estos que, no en todos
los casos que he tenido oportunidad de conocer, se estarían cumpliendo,
fundamentalmente en lo que respecta a los Planes
de acción, los cuales pueden no incluirse en los informes finales aportados
a las partes interesadas, limitando su contenido a: objetivo y alcance del
trabajo, equipo interviniente, fechas de realización, difusión de los
resultados, conclusiones, observaciones-si las hubiese- y recomendaciones.
Habilitándose un periodo de carencia para que las áreas
responsables de atender las acciones de mejora definan y concreten los Planes
de acción necesarios para solventar las debilidades identificadas, el cual sería
posteriormente trasladados a Auditoría interna y al resto de los destinatarios
del informe final.
En defensa de este proceder se
suele argumentar que, dado que el desempeño de la función auditora, suele
medirse, entre otros atributos, por el tiempo en gestionar los informes,
computado este sobre la fecha de distribución del informe final, incluir en él
el Plan de acción supone añadir, como media, 10 ó 15 días más sobre el momento
en el que la Unidad auditora acabó su trabajo.
No dejando de ser cierto lo que
acabamos de reseñar, no debería hacernos olvidar que si aceptamos este
planteamiento, el plan de acción sería algo que se escapa a la responsabilidad
de los auditores, pudiendo, por tanto, inhibirse de su cumplimentación,
demorándose sine die su confección, y
lo que entendemos también importante, desligar temporalmente las
conclusiones/recomendaciones recogidas en el informe distribuido previamente,
del resultado final del mismo vía: acciones a acometer, fechas y responsables;
lo cual añadirá un inconveniente para la adecuada interpretación de las partes
interesadas receptoras de los informes, obligándoles a tener que volver a
leerse el informe recepcionado con anterioridad, conjuntamente con las acciones
ahora comprometidas a fin de analizar su coherencia y oportunidad.
En este sentido la N.2420,
relativa a la Calidad de la comunicación, señala que: la comunicaciones deben ser precisas, objetivas, claras, concisas,
constructivas, completas y oportunas.
Adicionalmente, y para ir
acabando, la ISO 19011-2011, relativa a las Directivas para la auditoría de los
sistemas de gestión, cuya lectura recomiendo, señala en su apartado 6.5.1,
correspondiente a la Preparación del informe de auditoría, que: El informe de
auditoría debería aportar un registro completo, preciso, conciso y claro de la
auditoría, debiendo incluir o hacer referencia a determinados aspectos, entre
ellos, los planes de acción acordados.
En resumen, los planes de
acción son determinantes para el éxito de la función auditora, ya que son los
que determinan los compromisos de los gestores con los que superar las
debilidades observadas, permitiendo posteriormente su supervisión y evaluación del
grado real de atención, por lo que debe ser un aspecto prioritario a incluir en
el Programa de auditoría.
Como mejor práctica sugerimos,
a fin de poderlo trasladar a las partes interesadas, fundamentalmente la alta
dirección y el Directorio, el que en el Programa de auditoría se prevea un
plazo prudencial para que los gestores en su momento lo concreten, superado el
cual, y con objeto de no perjudicar al desempeño de auditoría interna, de no
haberse recibido, sí se podría distribuir el informe sin el requerido Plan de
acción, pero reflejando en el informe que esta situación es debida al
incumplimiento de los responsables de definirlo, a fin de que, por quien
corresponda, adopten las medidas pertinentes.
¿Te
ha gustado la reflexión? ¡Compártela con otro auditor interno!
Este comentario ha sido eliminado por el autor.
ResponderEliminar