Jesús Aisa Díez
Por mis años de actividad, y responsabilidades,
en la Unidad Corporativa de una gran multinacional española del sector de las
telecomunicaciones, he tenido la oportunidad de conocer sus fortalezas y, porque no decirlo, también sus oportunidades
de mejora, las cuales fuimos, en la medida de lo posible, implementándolas
según tuvimos oportunidad de ello.
Respecto de las fortalezas, creo que una de
ellas es su estructura funcional, en la que se incluyen tres Unidades
independientes: (i) la Auditoría Interna, (ii) la Inspección y (iii) la Intervención. Con lo que su ámbito de
actuación integral, como más adelante veremos, incide en todas las áreas que
actualmente son identificadas como relevantes, tales como la lucha contra los
fraudes, aunque este sea uno de los capítulos que más le está costando al Institute of Internal Auditors reconocer
como aspecto que no se escapan del alcance de las Auditorías Internas, pues
basta recordar que, aún hoy, en su Norma 1210. A2 señala que: “los auditores
internos deben tener conocimientos suficientes para evaluar el riesgo de fraude
y la forma en que se gestiona por parte de la organización, pero no es de
esperar que tengan conocimientos similares a los de aquellas personas cuya
responsabilidad principal es la detección e investigación del fraude”.(Texto
que entra en contradicción con indicado en la N 1210.A3, referida a los riesgos
y controles claves en tecnología de la información, cuando solo cita que: no
se espera que todos los auditores internos tengan la experiencia de aquel
auditor interno cuya responsabilidad fundamental es la auditoría de tecnología
de la información. Nadie es perfecto, y el IAI tampoco).
En el ámbito de la actividad auditora respecto
al fraude, creo oportuno fijar nuestra atención en algunos aspectos que nos
vienen a demostrar la innegable “responsabilidad” de los equipos de auditoría
interna en la supervisión de este aspecto básico del control interno, como por
ejemplo cuando el propio IAI nos indica,
como objetivos de la función auditora,
la evaluación de la eficacia de los procesos de gestión de riesgos y
controles, relativos a la protección de activos, o lo que es lo mismo su
integridad patrimonial, es decir la lucha contra los fraudes. En este sentido
la actualización reciente de COSO I, incluye: como principio nº 8, el
correspondiente a que: las organizaciones deben considerar la posibilidad de
fraude en su evaluación de riesgos para el logro de sus objetivos.
Pero volvamos a la estructura de la compañía a
la que nos referimos, y aclaremos las funciones a desempeñar por las distintas
unidades que lo componen.
La unidad
de Auditoría Interna asume la actividad habitual de la actividad auditora, por
lo que su misión es la supervisión de los procesos, a fin de poder garantizar
razonablemente: su eficiencia y eficacia, el cumplimiento de las leyes y normas
que sean de aplicación, así como la fiabilidad de la información generada/distribuida.
Mientras que la denominada Inspección, que es lo que últimamente y aplicando un calificativo anglosajón, como prueba de su utilidad, se denomina forensic audit, la cual se ocupa de la investigación de los hechos fraudulentos, tanto en forma preventiva, como de forma correctiva. En forma coloquial podemos decir que las Unidades de Auditoría se ocupan de los “usos”, mientras que las de Inspección se dedican a los “abusos”.Como ejemplo de lo que subyace en lo que acabamos de decir, podemos señalar que Auditoría se dedica a la supervisión, por ejemplo, del proceso de compras en genérico, intentando opinar sobre él para mejorar su eficacia y eficiencia, mientras que la inspección se ocuparía de investigar lo que ha podido ocurrir en un determinado proceso de compras donde se han evidenciado irregularidades, identificando las causas y los responsables de los hechos acontecidos.
Por último nos quedaría la Intervención, la
cual, en términos iberoamericanos, la podríamos identificar con “contraloría”,
ya que es aquella que, por la relevancia de determinados controles, los mismos
son realizados por la propia Unidad de Intervención, tales, como, por ejemplo,
las firmas mancomunadas en la ordenación de pagos, en los que los especialistas
de Auditoría que se encargan de la Intervención, asumen esta segregación de
funciones, no progresando ningún compromiso de pago, lo pida quien lo pida, si
el interventor no da su conformidad a la oportunidad del mismo, tanto en tiempo
como en forma. Entre ellos las nóminas y suplidos de los empleados de la
Organización.
Una característica de este modelo, aparte del de
su probada eficacia, es que las tres áreas están interrelacionadas, puesto que
Auditoría, si observa debilidades de control en algún proceso, se lo
trasladaría a la de Inspección para que indague si, aprovechándose de esa
circunstancia, se hubiesen producido fraudes. En sentido contrario, si
Inspección detectase fallos en algún
proceso que posibilitasen la ocurrencia de fraudes, esta incidencia se pondría
en conocimiento de Auditoría para que analizase las oportunidades de mejora del
citado proceso. Por último el área de intervención, al ser un control operativo
existente en determinados procesos, también será susceptible de ser auditado/
inspeccionado; lo mismo que las áreas de auditoría e inspección son
“intervenidas” en todos los documentos generadores de desembolsos generados por
dichas unidades.
El conjunto de las actividades de estas tres
áreas, todas ellas dirigidas y coordinadas por el Director Ejecutivo de
Auditoría, creo que aporta un plus de eficacia que entiendo conveniente recomendar,
aunque para ello debamos tener especialistas en cada una de ellas, ya que las
técnicas aplicadas no son idénticas, e incluso pueden diferir en algunos aspectos, como sucede, por ejemplo, en la
distribución de los informes de la Auditoría y de la Inspección, ya que los de
esta última, dado su carácter reservado, deben tener una distribución
restringida y selectiva.
Espero que, al menos, con estas líneas haya
podido abrir una vía de debate sobre el tema. Si fuese así me alegraría.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos
de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario