Jesús Aisa Díez
Un aspecto básico con el conseguir la deseada
eficiencia de las actividades empresariales, es la coordinación que debe
existir entre ellas, de forma que se complementen y apoyen, aprovechándose
mutuamente del esfuerzo y resultados de sus respectivas actividades, evitando
duplicidades y eliminando “tierras de nadie” que, por una u otra causa, impidan
una adecuada cobertura de los distintos procesos empresariales.
Esta adecuada coordinación entre actividades, se
asemeja con una “carrera de relevos”, en la que cada corredor cumple con su
tramo de la carrera, entregando el “testigo” al siguiente atleta para que
continúe su marcha hacia la meta final. El éxito no solo dependerá de lo
veloces que hayan sido los participantes, sino también de la sincronización que
exista en la entrega de los “testigos”.
Por ello, y como ya hemos tenido oportunidad de
comentar previamente en otros artículos, en la actividad de las Auditorías
Internas es imprescindible, como se recoge en la Norma 2050, Coordinación, que
el responsable de la Unidad comparta
información y coordine actividades con otros proveedores internos y externos de
servicios de aseguramiento y consulta.
Entre los proveedores de aseguramiento
existentes en las Organizaciones, desde mi punto de vista hay uno que entiendo
es fundamental para nuestra función: el responsable de la Gerencia de Riesgos
de la empresa. Pero no solo por lo que su actividad pueda ayudar/orientar al
trabajo de las Unidades de Auditoría Interna, sino también en sentido inverso
desde la perspectiva de lo que las conclusiones de los trabajos de auditoría
les aportará a las Gerencias de Riesgos.
Resulta evidente que la existencia de los mapas
de riesgos levantados por la Gerencia de Riesgos es una información muy útil
para la actividad auditora, puesto que facilitan, en base a la información en
ellos recogidos, la selección de los entes auditables que entendamos oportuno
acometer en un futuro inmediato. Pero también, en sentido contrario, que los
resultados de los trabajos de auditoría interna resultarán básicos para el
Gestor de Riesgos, dado que nuestras conclusiones, debidamente soportadas confirmarán,
o en su caso cuestionarán, las valoraciones que sobre los riesgos auditados
manejase la Organización según el Sistema de Gestión de Riesgos aplicado,
corrigiéndose los errores que se hayan detectado.
Esta interacción: Auditoría Interna versus
Gerencia de Riesgos, la entendemos imprescindible para conseguir una eficiente y simultanea optimización de ambas
actividades, pues no debemos ignorar que son complementarias, como señala el
modelo de las tres líneas de defensa, en el que el Gestor de Riesgos es una
segunda línea, mientras que nosotros, los auditores, estamos ubicados en la
tercera línea.
No obstante esta evidente necesidad de
coordinación y apoyo mutuo, no siempre es reconocida y ejercitada, pues no es
extraño que ambas unidades dentro de las Organizaciones se puedan observar como
rivales de la evaluación de los riesgos. Lo cual es un grave error.
En mi opinión no debiera existir tal rivalidad,
pues ambas actividades tienen un rol diferente, pero complementario dentro del
Sistema de Gestión de Riesgos. El Gestor de riesgos levantando los mapas de
riesgos e interrelacionándolos con los procesos, a fin de determinar los que
pudieran estar más amenazados y resultar susceptibles de afectar a la consecución
de los objetivos empresariales, propiciando así la concreción de los “apetitos
de los diferentes riesgos” por parte de la Gerencia, así como recabar y
gestionar la adopción de las medidas que se consideren pertinentes para
reconducir dichos riesgos a la zona de tolerancia establecida, las cuales
deberán estar recogidas en los planes de acción que deberían solicitar a los
responsables de dichos procesos críticos. Planes de acción que deben ser
compartidos con Auditoría Interna, a fin de que esta pudiese valorar la
suficiencia de los mismos, así como la eficacia/eficiencia de los controles
previstos incorporar en los procesos previamente cuestionados.
Por su parte Auditoría Interna debe compartir
con el Gestor de Riesgos, como parte interesada en el conocimiento de las conclusiones y planes de
acción decididos por el propietario de los procesos auditados, la parte de los
informes que les afecten, a fin de que puedan actualizar convenientemente los
mapas de riesgos de la organización, así como conocer los controles que se
pretendan introducir/mejorar en los procesos críticos auditados.
Para que esta colaboración sea posible,
entendemos que lo primero que debería hacerse es plantear abiertamente esta
colaboración mutua, identificando las actividades a desarrollar por cada una de
ambas Unidades, y describiendo detalladamente el proceso de actuación; el cual
deberíamos someter a la aprobación del Comité de Auditoría para que lo
sancionara, y le diera carácter de oficialidad que el mismo precisa.
En mi opinión, no existen razones para que no
exista entendimiento, pues ambas unidades buscamos lo mismo, la mejora de la
gestión de los riesgos y los controles de la Compañía; somos compañeros de
viaje, no rivales.
Espero que se compartan estas reflexiones, y que
su aplicación práctica permita mejorar el funcionamiento de la Unidad de
Auditoría interna, y la del Sistema de Gestión de Riesgos.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de
Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario