lunes, 20 de mayo de 2013

Planes de Auditoría y los CSA´s

Jesús Aisa Diez
Un aspecto de la actividad de las Unidades de Auditoría Interna en el que creo que existe un consenso generalizado, es el correspondiente a la conveniencia de definir los planes de trabajo a desarrollar en base a los riesgos que en cada momento amenacen a los procesos de las correspondientes Organizaciones, ya que se entiende que es la forma más adecuada para lograr la debida eficacia que nos es exigible; por ello, este proceder se ve recogido como requerimiento de las Normas Internacionales para el Ejercicio Profesional de la actividad en su epígrafe 2010, señalando que: “El Director de Auditoría Interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad….”
 
Varias son las formas que existen para poder identificar los riesgos que pueden afectar a los objetivos empresariales, de las que destacaríamos la correspondiente al empleo de los denominados por su siglas en inglés KRI´s, es decir los indicadores de riesgos clave, que podemos entenderlos, no solo como: valores con correlación estadística con determinados riesgos, que pueden utilizarse como sistema de alertas preventivas o tempranas, sino en su sentido más amplio, como cualquier información que nos permita interpretar o diagnosticar anticipadamente una determinada amenaza, pues lo importante es detectar la presencia de riesgos por sus síntomas más primigenios (es decir cuando aún la fase crítica no se haya manifestado), pues siempre será preferible detectarlos y prevenirlos, en vez de tener que corregir sus efectos.
 
En este contexto, cuando nos refiramos al empleo de KRI´s no deberíamos olvidar considerar  los Control Self Assessment (CSA,s), ya que según el IIA se definen como “ proceso que permite a la Dirección y al personal a participar en la revisión de los controles existentes para comprobar su adecuación y recomendar, acordar e implementar las mejoras a los controles existentes”. Aportando la capacidad de:
 
a) Participar en la evaluación del control interno 
b) Evaluar riesgos
c) Desarrollar preventivamente planes de acción destinados a subsanar debilidades  identificadas
d) Evaluar la probabilidad de alcanzar objetivos determinados.

Aunque los CSA´s no son una herramienta exclusiva de los auditores, su utilización por parte de Auditoría Interna comporta una serie de beneficios que vamos a enumerar, constituyendo una de las técnicas modernas con las que mejorar nuestra eficiencia, por lo que aconsejamos su uso siempre que sea posible, dada su evidente utilidad que, según la opinión del IIA, podemos resumir en los siguientes cuatro puntos:
  • Mejora el rol del Departamento de Auditoría Interna. Con los CSA´s los auditores se convierten en un reconocido socio del negocio, en vez de un adversario. 
  •  Incrementa la autoestima del personal adscrito a Auditoría Interna. El personal de Auditoría se siente más útil e importante para la Organización al propiciar mejoras en los Procesos. 
  • Aumenta las habilidades para localizar las áreas de alto riesgo. Los CSA´s ayudan a localizar los riesgos no bien atendidos en la Organización, lo que posibilita una mejor definición del Plan Auditor
  • Optimiza el uso eficiente de los recursos. Con los resultados de los CSA´s se pueden identificar con un uso muy reducido de recursos las áreas con carencias de control.
Pero, con independencia de lo que el IIA señala, ¿qué son exactamente los CSA?. Una respuesta escueta, pero que consideramos válida, sería la que los define como: Cuestionarios debidamente estructurados dirigidos a los gestores sobre diversas cualidades de los procesos de los que estos sean responsables, o sobre el entorno de control interno de la Organización, que permitan a través de las respuestas facilitadas  sacar conclusiones.
 
Es, por consiguiente, una alternativa a la típica forma de actuar de la auditoría interna ya que, en lugar de realizar pruebas y observaciones directas, el auditor facilita un procedimiento mediante el cual los gerentes y empleados de la entidad  realizan su propio análisis de  los procesos de negocio de los que ellos participen y sean responsables, opinando sobre la situación del grado de control existente en el mismo.
 
Para ello, se precisa diseñar un  cuestionario en el  que se incluyan las preguntas adecuadas, pero tendiendo que sean simples, y que propicien respuestas del tipo SÍ o NO, TENGO-NO TENGO, cuidadosamente redactadas para que no presenten dudas interpretativas a los encuestados, así como estimaciones muy simples sobre riesgos: ALTO-MEDIO-BAJO.
 
Para su cumplimentación es frecuente recabar la opinión de los gestores empleando reuniones tipo “workshop“. Sin embargo, cuando los encuestados sean numerosos o estén dispersos es preferible la encuesta escrita, en vez de estos talleres, como también sucede cuando la cultura de la Organización no garantice debates abiertos y sinceros. Todo ello sin olvidar que para que el proceso tenga verdadera utilidad se hace imprescindible garantizar la bondad de las respuestas, por lo que se deberá solicitar que su envío venga acompañado de una manifestación explicita y suscrita por el responsable de su confección, en la que expongan su compromiso de veracidad en las respuestas facilitadas, pero también de su aceptación y facilitador de la  verificación de  cualquier dato de los facilitados.
 
A título de ejemplo vamos a reproducir parte del CSA empleado para poder conocer el grado de control del Proceso de Compras empleado en una determinas empresa, en el que se incluyen las preguntas que se estiman permitirán, a través de las respuestas recibidas, estimar la forma en que se está gestionado el proceso elegido.

Una vez en poder de Auditoría Interna las respuestas a estos cuestionarios, en los que se incluyen los resultados de las opiniones de los responsables de la gestión de los procesos analizados, procede que se observen si existen áreas y/o procesos que no presentan ninguna alerta sobre el grado de control, así como aquellos otros en los que la situación no sea tan favorable o tranquilizadora, en cuyo caso, y en función de la importancia del proceso, o de los procesos administrados por las áreas con déficits de control, se debería requerir a los propios responsables que aporten las razones que en su opinión justifiquen la situación de carencia previamente reconocida por ellos.
 
De no resultar convincentes los argumentos expuestos se debería analizar la conveniencia de realizar una auditoría convencional que aporte una visión imparcial y objetiva sobre  las causas reales que justifiquen la situación evidenciada, incluyéndolo en el Plan de Auditoría a realizar.
 
Por consiguiente, los CSA´s no son auditorías, sino autoevaluaciones del grado de control existente en un proceso o actividad, aportando información cualitativa sobre el grado de riesgo que existe en el mismo. Lo que nos pondrá sobre la pista de los aspectos de control interno que deban ser supervisados y, en su caso, mejorados.

Artículo Publicado en el Blog: Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/

Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

No hay comentarios:

Publicar un comentario