Jesús Aisa Díez
Una mejor práctica aplicada por algunas Unidades
de Auditoría Interna, es la de incorporar en sus informes un rating o semáforo
con el que informar y resumir la gravedad/trascendencia de las conclusiones
alcanzadas. Para ello se hace preciso disponer de un sistema de valoración,
mediante el otorgamiento de una calificación homogénea, tanto de la situación global del ente
auditado, como específica de cada uno de los riesgos vinculados al mismo.
La valoración final del rating, que suele ser
único en cada informe, no es más que la ponderación de los valores otorgados a
cada uno de los subfactores que lo componen.
Recientemente hemos tenido la oportunidad de
conocer la metodología aplicada por la Unidad de Auditoría Interna de una gran
empresa española, según la cual, la otorgación de los valores de cada subfactor
se realiza con una puntuación entera de 0 a 100.
La escala aplicable estaba subdividida en los
siguientes niveles:
Obteniéndose,
por ponderación de la valoración individual de cada subfactor, el rating
agregado.
Con la finalidad de poder aportar algunas
sugerencias a la Unidad de Auditoría que emplea esta metodología, y con el
objetivo de que se puedan adoptar las decisiones precisas para que se
posibilite a la áreas auditadas una mayor transparencia y detalle de la
calificación asignada, así como complementar la visión que se derivará de los
indicadores aplicados. Nos permitimos identificar, y proponer, algunas
“oportunidades de mejora”. Que a continuación reproducimos:
1º)
Que el sistema de puntuaciones aplicado lo considerábamos poco operativo, ya
que el dato cuantitativo empleado, en realidad, se deduce de la valoración
cualitativa concluida por los auditores sobre la situación del ente auditado, y
no al revés, tal como señalaba el procedimiento.
Creímos más adecuado que se valoren los riesgos
residuales según las incidencias
detectadas, dándole una calificación cualitativa (buena, mala, regular,
….) de la que se derivaría la cifra que finalmente se ponderase con el peso de
cada uno de ellos establecido en la normativa. Agregando finalmente el valor
asignado a cada uno de ellos; con lo que habremos estimado la probabilidad de
ocurrencia de los riesgos.
(Esta forma de proceder permitirá, en la
presentación de los resultados, justificar la puntuación finalmente deducida,
partiendo de las valoraciones cualitativas de cada factor, según la situación observada,
según la criticidad de las conclusiones/observaciones evidenciadas, según su
frecuencia).
2º) Una vez ya evaluada la probabilidad del
riesgo, según lo descrito en el punto anterior, consideramos oportuno que
también se evalúe su severidad, es decir el impacto que produciría en el ente
auditable la materialización de los riesgos, para lo cual estimamos oportuno
que se debería considerar la entidad económica de dichos entes. Empleando para
ello los indicadores que se entiendan oportunos, como por ejemplo: volumen de
negocio, patrimonio, etcétera. Dando lugar a un segundo rating, que se
debería añadir al actualmente existente, empleándose niveles, por ejemplo,
tales como:
Impacto financiero: Grave, de X millones
de euros a Y millones de euros; Importante de Y millones de euros a Z
millones de euros; Significativo, de Z millones a ….; Leve, de M a B
miles de euros.
3º) Por último, y considerando la posible falta
de correlación que puede existir entre la importancia de los riesgos (impacto y
probabilidad) y la “calidad” de la gestión realizada por los responsables de la
actividad, consideramos conveniente que los dos rating anteriores se
complementasen con un tercero que evalúe la eficacia de la gestión realizada.
Para ello podría ser útil hacer un seguimiento sobre la evolución de
determinados indicadores de desempeño que se ajusten a cada proceso auditado.
Este tercer rating creemos que es estrictamente
necesario, ya que es el que intenta medir el grado de eficacia de la gestión
realizada por los responsables del proceso/ente auditable, puesto que, como
podemos observar en un ejemplo sencillo, un aspecto será la situación del
enfermo (grave, pronóstico reservado, leve, etc) que es lo que miden los
rating 1ª y 2º, y otro aspecto diferente es la calidad del tratamiento
aplicado, que es lo que pretende evaluar el tercero de los rating, que
consideramos necesario también medir; sobre todo si del rating de nuestros
trabajos se pudieran derivar “bonus” o “retribuciones variables por
desempeño”.
4º) En cualquier caso, y como medida de
prudencia, también entendimos oportuno comentar que, de considerarse
aprovechables estas ideas, se debería profundizar en su desarrollo, difundiendo
su aplicación entre los ámbitos gerenciales correspondientes, solicitando su
opinión sobre la oportunidad de aplicarlas.
En el mismo sentido, y de compartirse lo
señalado, antes de aplicarlo, creo que deberíamos explicar su necesidad y
metodología, sobre todo porque una cosa es la situación del enfermo, y otra muy
distinta la profesionalidad del facultativo.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos
de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario