miércoles, 23 de octubre de 2013

Comentarios sobre la determinación del rating de los informes

Jesús Aisa Díez
Una mejor práctica aplicada por algunas Unidades de Auditoría Interna, es la de incorporar en sus informes un rating o semáforo con el que informar y resumir la gravedad/trascendencia de las conclusiones alcanzadas. Para ello se hace preciso disponer de un sistema de valoración, mediante el otorgamiento de una calificación homogénea,  tanto de la situación global del ente auditado, como específica de cada uno de los riesgos vinculados al mismo.

La valoración final del rating, que suele ser único en cada informe, no es más que la ponderación de los valores otorgados a cada uno de los subfactores que lo componen. 

Recientemente hemos tenido la oportunidad de conocer la metodología aplicada por la Unidad de Auditoría Interna de una gran empresa española, según la cual, la otorgación de los valores de cada subfactor se realiza con una puntuación entera de 0 a 100.

La escala aplicable estaba subdividida en los siguientes niveles:  
Obteniéndose, por ponderación de la valoración individual de cada subfactor, el rating agregado.
Con la finalidad de poder aportar algunas sugerencias a la Unidad de Auditoría que emplea esta metodología, y con el objetivo de que se puedan adoptar las decisiones precisas para que se posibilite a la áreas auditadas una mayor transparencia y detalle de la calificación asignada, así como complementar la visión que se derivará de los indicadores aplicados. Nos permitimos identificar, y proponer, algunas “oportunidades de mejora”. Que a continuación reproducimos:

1º) Que el sistema de puntuaciones aplicado lo considerábamos poco operativo, ya que el dato cuantitativo empleado, en realidad, se deduce de la valoración cualitativa concluida por los auditores sobre la situación del ente auditado, y no al revés, tal como señalaba el procedimiento.
Creímos más adecuado que se valoren los riesgos residuales según las  incidencias detectadas, dándole una calificación cualitativa (buena, mala, regular, ….) de la que se derivaría la cifra que finalmente se ponderase con el peso de cada uno de ellos establecido en la normativa. Agregando finalmente el valor asignado a cada uno de ellos; con lo que habremos estimado la probabilidad de ocurrencia de los riesgos.
(Esta forma de proceder permitirá, en la presentación de los resultados, justificar la puntuación finalmente deducida, partiendo de las valoraciones cualitativas de cada factor, según la situación observada, según la criticidad de las conclusiones/observaciones evidenciadas, según su frecuencia).

2º) Una vez ya evaluada la probabilidad del riesgo, según lo descrito en el punto anterior, consideramos oportuno que también se evalúe su severidad, es decir el impacto que produciría en el ente auditable la materialización de los riesgos, para lo cual estimamos oportuno que se debería considerar la entidad económica de dichos entes. Empleando para ello los indicadores que se entiendan oportunos, como por ejemplo: volumen de negocio, patrimonio, etcétera. Dando lugar a un segundo rating, que se debería añadir al actualmente existente, empleándose niveles, por ejemplo, tales como: 

Impacto financiero: Grave, de X millones de euros a Y millones de euros; Importante de Y millones de euros a Z millones de euros; Significativo, de Z millones a ….; Leve, de M a B miles de euros. 

3º) Por último, y considerando la posible falta de correlación que puede existir entre la importancia de los riesgos (impacto y probabilidad) y la “calidad” de la gestión realizada por los responsables de la actividad, consideramos conveniente que los dos rating anteriores se complementasen con un tercero que evalúe la eficacia de la gestión realizada. Para ello podría ser útil hacer un seguimiento sobre la evolución de determinados indicadores de desempeño que se ajusten a cada proceso auditado.

Este tercer rating creemos que es estrictamente necesario, ya que es el que intenta medir el grado de eficacia de la gestión realizada por los responsables del proceso/ente auditable, puesto que, como podemos observar en un ejemplo sencillo, un aspecto será la situación del enfermo (grave, pronóstico reservado, leve, etc) que es lo que miden los rating 1ª y 2º, y otro aspecto diferente es la calidad del tratamiento aplicado, que es lo que pretende evaluar el tercero de los rating, que consideramos necesario también medir; sobre todo si del rating de nuestros trabajos se pudieran derivar “bonus” o “retribuciones variables por desempeño”.

4º) En cualquier caso, y como medida de prudencia, también entendimos oportuno comentar que, de considerarse aprovechables estas ideas, se debería profundizar en su desarrollo, difundiendo su aplicación entre los ámbitos gerenciales correspondientes, solicitando su opinión sobre la oportunidad de aplicarlas.

En el mismo sentido, y de compartirse lo señalado, antes de aplicarlo, creo que deberíamos explicar su necesidad y metodología, sobre todo porque una cosa es la situación del enfermo, y otra muy distinta la profesionalidad del facultativo.

Artículo Publicado en el Blog: Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/

Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
                                                                                                                                  
¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

No hay comentarios:

Publicar un comentario