Jesús Aisa Diez
Por lo señalado por el Marco Internacional para
la Práctica Profesional de la Auditoría Interna, conocemos, a través de lo
recogido en su Consejo para la Práctica 2010-1, que se denomina Universo de Auditoría
a la lista de todas las posibles auditorías que pudieran realizarse, y que
éstas son consecuencia de diversos inputs, como por ejemplo: La información
obtenida por parte de la alta dirección y del Consejo de Administración
(Directorio), el plan estratégico de la
organización y los resultados del proceso de gestión de riesgos, entre otros.
Es sobre el Universo de Auditoría sobre
el que el equipo de auditores debe trabajar a fin de seleccionar aquellas
auditorías que se consideren necesario realizar, a fin de aportar las garantías
razonables sobre el control interno realmente existente en la Organización,
incorporándolas en el Plan de Auditoría a desarrollar.
Tanto los componentes del Universo de
Auditoría, como del Plan de Auditoría, son lo que denominamos “entes
auditables”, los cuales no responden necesariamente a una estructura prefijada,
puesto que su alcance puede ser un determinado área de la organización, un
proceso, un riesgo o una actividad. Lo que hace falta es que la supervisión a
efectuar nos permita concluir con veracidad sobre la eficacia del grado de
control existente en el ente elegido para ser auditado.
Resulta habitual que en la definición del Universo
de Auditoría se parta de la identificación de los riesgos a los que la organización puede
estar sometida, para después decidir la forma de verificar o supervisar por
Auditoría Interna su adecuada gestión. Dinámica de actuación que nos conduce a
una primera conclusión: los Universos de Auditoría no son estables,
puesto que son cambiantes en la misma medida que lo son los riesgos que
amenazan a los objetivos empresariales.
En este contexto, los Directores de Auditoría
cuando definen su universo de trabajo,
no deben olvidar los denominados “riesgos emergentes”, que podríamos definirlos
como aquellas amenazas que tienen una naturaleza propia y van más allá de la
capacidad de control de la empresa y que, por mucho que su probabilidad
pareciera baja en otros tiempos, su impacto es ahora tan importante, con
potencial de destrucción o de generación de oportunidades, que obliga a
tenerlos en consideración. Nos estamos refiriendo, por ejemplo al: cambio
climático, inseguridad alimentaria, volatilidad en el suministro energético,
cambios tecnológicos o crisis financiera mundial, resultando preciso
controlarlos a través de indicadores cualitativos y cuantitativos que nos
permitan detectar cambios en el entorno.
Pero estos “cisnes negros”, como también se les
denomina, no son tan extraños y conviven con nuestras organizaciones, pues nos
estamos refiriendo en concreto también a amenazas tales como: la seguridad, el
cambio climático, la sanidad o los riesgos laborales.
En el primer caso, la seguridad, todos hemos
sido testigos de cómo en los aeropuertos se han cambiado las medidas de
control, habiéndose conseguido reducir los atentados hasta porcentajes muy
satisfactorios.
En cuanto al cambio climático, no podríamos
decir lo mismo, puesto que las emisiones de gases de efecto invernadero no se
están reduciéndose al ritmo deseado, ni tan siquiera al programado.
En la parte de la sanidad y prevención de
riesgos laborales, tan relacionados entre sí, hay que reconocer que aunque se
está trabajando para solucionar las deficiencias en algunos aspectos como por
ejemplo la prevención y control de la legionella o la entrega de
fármacos y servicios sanitarios, aún existen graves carencias.
En resumen de estos riesgos, el de seguridad
parece controlado, los de sanidad y de prevención de riesgos laborales, aunque
en algunos casos se escapa de nuestra capacidad de decisión, en otros aún nos
queda trabajo por realizar; pero que podemos decir respecto del cambio
climático, ¿hacemos todo lo que está en nuestras manos?, ¿incluimos en nuestro
Plan auditorías ambientales?, ¿disponemos de protocolos en los que se describa
cómo abordar la supervisión de los procesos operativos agresivos con el
entorno?, ¿estamos preparados ante los inminentes impactos derivados de este
cambio global?, ¿tenemos al menos identificados estos procesos?, ¿existen
proveedores de aseguramiento del riesgo ambiental?, ¿mantenemos con ellos la
debida coordinación?, ¿el Comité de Auditoría es receptor de los informes
ambientales?, etcétera.
De haber respondido mayoritariamente con un NO a
estas preguntas, considero que nuestro Plan de Auditoría adolecería de una
carencia importante, que creo debería corregirse tan pronto nos fuese posibles.
La sostenibilidad de nuestra empresa dependerá de ello y las generaciones futuras
nos lo agradecerán.
Por si alguno de los que lean estas reflexiones,
se animasen a incluir en sus próximos Planes de Auditoría Interna algún ente
auditable relacionado con el medioambiente, sugiero que se tome como base la
ISO 14.001, que puede resultar muy útil. Y si quieren ir un paso más, y conocer
el impacto real que este problema, así cómo poder minimizarlo, recomiendo que
si se deciden a calcular la huella de carbono generada por sus
organizaciones, se basen para ello en
las Normas GHG Protocol, PAS 2050 y, en un futuro, mediante la ISO que se está
preparando específicamente para ello.
El no incluir el riesgo ambiental en nuestros
mapas de riesgos, o no considerarlo en el momento de definir nuestro Universo
de Auditoría, así como posteriormente en el Plan de trabajo, entiendo que no es
la situación óptima, ya que todos los procesos empresariales, de una u otra
manera, tienen impacto en el entorno. Verifiquemos en qué grado.
Saludos.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos
de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha gustado el consejo?
¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario