miércoles, 6 de noviembre de 2013

Referencia a un Modelo de Auditoría Óptimo

Jesús Aisa Díez 
Por mis años de actividad, y responsabilidades, en la Unidad Corporativa de una gran multinacional española del sector de las telecomunicaciones, he tenido la oportunidad de conocer sus fortalezas y,  porque no decirlo, también sus oportunidades de mejora, las cuales fuimos, en la medida de lo posible, implementándolas según tuvimos oportunidad de ello.

Respecto de las fortalezas, creo que una de ellas es su estructura funcional, en la que se incluyen tres Unidades independientes: (i) la Auditoría Interna, (ii) la Inspección y (iii) la  Intervención. Con lo que su ámbito de actuación integral, como más adelante veremos, incide en todas las áreas que actualmente son identificadas como relevantes, tales como la lucha contra los fraudes, aunque este sea uno de los capítulos que más le está costando al  Institute of Internal Auditors reconocer como aspecto que no se escapan del alcance de las Auditorías Internas, pues basta recordar que, aún hoy, en su Norma 1210. A2 señala que: “los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude”.(Texto que entra en contradicción con indicado en la N 1210.A3, referida a los riesgos y controles claves en tecnología de la información, cuando solo cita que: no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información. Nadie es perfecto, y el IAI tampoco).

En el ámbito de la actividad auditora respecto al fraude, creo oportuno fijar nuestra atención en algunos aspectos que nos vienen a demostrar la innegable “responsabilidad” de los equipos de auditoría interna en la supervisión de este aspecto básico del control interno, como por ejemplo cuando el propio IAI  nos indica, como objetivos de la función auditora,  la evaluación de la eficacia de los procesos de gestión de riesgos y controles, relativos a la protección de activos, o lo que es lo mismo su integridad patrimonial, es decir la lucha contra los fraudes. En este sentido la actualización reciente de COSO I, incluye: como principio nº 8, el correspondiente a que: las organizaciones deben considerar la posibilidad de fraude en su evaluación de riesgos para el logro de sus objetivos.   

Pero volvamos a la estructura de la compañía a la que nos referimos, y aclaremos las funciones a desempeñar por las distintas unidades que lo componen.

 La unidad de Auditoría Interna asume la actividad habitual de la actividad auditora, por lo que su misión es la supervisión de los procesos, a fin de poder garantizar razonablemente: su eficiencia y eficacia, el cumplimiento de las leyes y normas que sean de aplicación, así como la fiabilidad de la información generada/distribuida.

Mientras que la denominada Inspección, que es lo que últimamente y aplicando un calificativo anglosajón, como prueba de su utilidad, se denomina forensic audit, la cual se ocupa de la investigación de los hechos fraudulentos, tanto en forma preventiva, como de forma correctiva. En forma coloquial podemos decir que las Unidades de Auditoría se ocupan de los “usos”, mientras que las de Inspección se dedican a los “abusos”.Como ejemplo de lo que subyace en lo que acabamos de decir, podemos señalar que Auditoría se dedica a la supervisión, por ejemplo, del proceso de compras en genérico, intentando opinar sobre él para mejorar su eficacia y eficiencia, mientras que la inspección se ocuparía de investigar lo que ha podido ocurrir en un determinado proceso de compras donde se han evidenciado irregularidades, identificando las causas y los responsables de los hechos acontecidos.

Por último nos quedaría la Intervención, la cual, en términos iberoamericanos, la podríamos identificar con “contraloría”, ya que es aquella que, por la relevancia de determinados controles, los mismos son realizados por la propia Unidad de Intervención, tales, como, por ejemplo, las firmas mancomunadas en la ordenación de pagos, en los que los especialistas de Auditoría que se encargan de la Intervención, asumen esta segregación de funciones, no progresando ningún compromiso de pago, lo pida quien lo pida, si el interventor no da su conformidad a la oportunidad del mismo, tanto en tiempo como en forma. Entre ellos las nóminas y suplidos de los empleados de la Organización.

Una característica de este modelo, aparte del de su probada eficacia, es que las tres áreas están interrelacionadas, puesto que Auditoría, si observa debilidades de control en algún proceso, se lo trasladaría a la de Inspección para que indague si, aprovechándose de esa circunstancia, se hubiesen producido fraudes. En sentido contrario, si Inspección detectase  fallos en algún proceso que posibilitasen la ocurrencia de fraudes, esta incidencia se pondría en conocimiento de Auditoría para que analizase las oportunidades de mejora del citado proceso. Por último el área de intervención, al ser un control operativo existente en determinados procesos, también será susceptible de ser auditado/ inspeccionado; lo mismo que las áreas de auditoría e inspección son “intervenidas” en todos los documentos generadores de desembolsos generados por dichas unidades.

El conjunto de las actividades de estas tres áreas, todas ellas dirigidas y coordinadas por el Director Ejecutivo de Auditoría, creo que aporta un plus de eficacia que entiendo conveniente recomendar, aunque para ello debamos tener especialistas en cada una de ellas, ya que las técnicas aplicadas no son idénticas, e incluso pueden diferir en algunos  aspectos, como sucede, por ejemplo, en la distribución de los informes de la Auditoría y de la Inspección, ya que los de esta última, dado su carácter reservado, deben tener una distribución restringida y selectiva. 

Espero que, al menos, con estas líneas haya podido abrir una vía de debate sobre el tema. Si fuese así me alegraría.

Artículo Publicado en el Blog: Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/

Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
                                                                                                                                  
¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

No hay comentarios:

Publicar un comentario