martes, 30 de junio de 2015

Correos peligrosos

Un informe puso de manifiesto, una vez más, que las personas continúan
siendo el eslabón más débil dentro de la seguridad informática.
Intel Security, la ex McAfee, preparó una prueba: reunió 10 correos electrónicos y solicitó a los encuestados que identificaran cuáles eran legítimos y cuáles habían sido intentos de phishing, es decir, enviados por piratas haciéndose pasar por alguien más con el objetivo de robar información.

De los aproximadamente 19.000 encuestados de 144 países, solo el 3% fue capaz de identificar correctamente cada ejemplo. El 80% identificó incorrectamente por lo menos uno de los correos electrónicos de phishing, que es todo lo que se necesita para ser víctima de un ataque.

Los ciberdelincuentes usan correos electrónicos de phishing para lograr que los usuarios hagan click en links a sitios web que fueron creados con el propósito de robar información. “Engañan a los usuarios para que escriban sus nombres, direcciones, ID de usuario, contraseñas o información de tarjetas de crédito en sitios de internet que parecen pertenecer a empresas reales”, explicó Intel Security.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

lunes, 29 de junio de 2015

Cómo Auditar el Gobierno Corporativo

Por Jesús Aisa Díez 

De acuerdo con la definición de la actividad de Auditoría Interna recogida en el “libro de cabecera” de los auditores internos, es decir El Marco Internacional para la Práctica Profesional de Auditoría Interna (MIPPAI), nuestra actividad debe estar enfocada a evaluar y mejorar los procesos de gestión de riesgos, controles y gobierno.

Actuación tridimensional que no siempre se observa en la composición de los Planes Anuales de actuación, ya que no es muy habitual el que se incida en el proceso de gobierno corporativo, y ello, según mi opinión, por varias razones, de las que destacaría las que entiendo son las más significativas.

La primera de ellas la situaría en la reserva, dudas o temores que pudiésemos tener para supervisar los temas vinculados con el ámbito de actuación de los Consejos de Administración, al malentender que estos se sitúan al margen de nuestra capacidad de supervisión. En este sentido recuerdo la anécdota que nos sucedió hace años al realizar la evaluación de calidad de la Unidad de Auditoría Interna de una gran organización empresarial española, cuando el DAI (Director Auditoría Interna)  nos comentó que su Presidente le había solicitado que sus actuaciones también fuesen entes auditables; ante cuya situación el Director de Auditoría nos comentó que en el futuro sería recordado como “El breve”, ya que dudaba de su continuidad al entrar en estos terrenos tan comprometidos. 

Aparte de la acertada solicitud del Presidente, creemos que la conclusión del DAI reflejaba su recelo a entrar en esos entornos de actuación, pero también que dejaba entrever que si lo hacía iba a encontrar temas muy significativos que podrían herir determinadas sensibilidades, por lo que entendía conveniente mirar para otro lado.

La segunda razón que entendemos existe para obviar estos temas dentro de los Planes de Auditoría la situaríamos en el desconocimiento de lo que debemos supervisar, es decir el alcance de nuestras supervisiones. Aquí también puedo compartir la pregunta que me hizo el DAI de otra multinacional española cuando le sugeríamos que, de acuerdo con lo establecido por el MIPPAI, en el alcance de la función auditora se diera entrada al proceso de gobierno corporativo, a lo que me pregunto: ¿Pero exactamente a qué tipo de actuaciones te estás refiriendo?.

Bien, aquí ya no había recelos en actuar en el sentido que recogen las Normas, sino que lo que se reflejaba en la pregunta era el desconocimiento de lo que tenían que realizar para actuar según establecían las mismas.

Siendo este el objetivo a cubrir por estos comentarios, señalando que, en primer lugar, deberían ser objeto de supervisión las normas de obligado cumplimiento incorporadas en las distintas legislaciones aplicables que les afecten, como sucede en el caso español con la Ley de Sociedades de Capital aprobada en diciembre pasado, como también por lo recogido en el texto actualizado del Código de Buen Gobierno de la Sociedades Cotizadas españolas, emitido por la Comisión Nacional del Mercado de Valores en febrero pasado, que si bien no tiene carácter imperativo, sus indicaciones son: recomendaciones que deben ser atendidas o explicada su no atención, y que, al considerar que son unas buenas prácticas, podría ser empleadas en cualesquiera otros ambientes, permitiendo identificar diversos aspectos a auditar relacionados con el gobierno corporativo.

domingo, 28 de junio de 2015

sábado, 27 de junio de 2015

jueves, 25 de junio de 2015

lunes, 22 de junio de 2015

Diferencia entre apetito de riesgo y tolerancia al riesgo

El día de hoy, trataremos un tema recurrente del cual hemos hablado en el Blog en varios artículos, esto es la diferencia entre el apetito de riesgo y la tolerancia al riesgo, debido a que esta es una pregunta recurrente cada vez que tengo que desarrollar un entrenamiento o capacitación.

El apetito de riesgo y la tolerancia al riesgo son dos términos ampliamente usados, pero pueden ser fácilmente mal entendidos. Es por esta razón que a continuación compartimos algunos comentarios respecto a estos elementos que debemos tener en cuenta los auditores internos:

El apetito es el nivel de riesgo que la empresa quiere aceptar y su tolerancia es la desviación respecto a este nivel. La capacidad es el máximo de riesgo que una organización puede soportar en la persecución de sus objetivos.
Información tomada de la Guía de Buenas Prácticas de Gestión de Riesgos: Definición e Implementación de Apetito de Riesgos publicada por La Fábrica de Pensamiento del Instituto de Auditores Internos de España.

Para un entendimiento correcto de ambos términos, es importante puntualizar que el:

Apetito de Riesgo es una ponderación de alto nivel de cuánto riesgo la administración y la Junta están dispuestos a aceptar en el logro de sus metas. Características principales:

1.    La gerencia y la Junta deben formular el apetito al riesgo a nivel de entidad
2.    Las compañías pueden expresar su apetito al riesgo como el equilibrio aceptable del crecimiento, los riesgos y el retorno, o como una medida de valor agregado para los accionistas ajustada al riesgo.
3.    El apetito se puede definir mediante el uso de un mapa de riesgos.
4.    Entidades, tales como organizaciones sin fines de lucro, expresan su apetito al riesgo como el nivel de riesgo que ellos aceptarían al proporcionar valor a sus partes relacionadas.

domingo, 21 de junio de 2015

viernes, 19 de junio de 2015

El papel de auditoría interna como asesor de confianza

Jesús Aisa Díez
Atendiendo a la invitación del Instituto de Auditores Internos de España he asistido al XXIX Foro de Expertos organizado por dicho Instituto, en el que, aparte de la oportunidad de saludar a viejos amigos y colegas de profesión, he tenido la ocasión de escuchar una interesante ponencia relacionada con las implicaciones del nuevo Código de Buen Gobierno emitido por la Comisión Nacional del Mercado de Valoreshttp://cdncache-a.akamaihd.net/items/it/img/arrow-10x10.png (CNMV) y los auditores internos.  Pero también escuchar las conclusiones de las “mesas de trabajo” respecto del tema: Papel de Auditoría interna como asesor de confianza.

Como denominador común de las distintas conclusiones obtenidas por los  grupos de trabajo participantes, podríamos señalar la correspondiente  a la delgada línea que separa y diferencia las actividades de aseguramiento y las de asesoramiento o consulta, ya que era una de las más reiteradas, basándose estas opiniones en la dificultad que existe para distinguir con claridad una actividad de supervisión de otra de asesoramiento, debido a que ambas pueden coexistir dentro del alcance de todas las actividades auditoras. Aspecto que comparto en gran medida, pero no en lo que se refiere a la forma de diferenciar una actividad de otra. Veamos por qué.

Reconociendo que al desarrollar una actividad de auditoría que podríamos denominar de convencional, es decir las que se ocupan de la faceta de aseguramiento, no solo hemos identificar los incumplimientos normativos que se hayan podido producir, sino también detectar los fallos de control que se hubiesen observado en los procesos auditados, todo ello sin olvidar que dentro de los informes de este tipo de auditorías hemos de incluir las conclusiones evidenciadas, así como también las recomendaciones que se entiendan oportunas para solucionar/mitigar los puntos débiles que se hayan puesto de manifiesto; aspecto este último que también podríamos enmarcar en el ámbito de las asesorías o consultorías.

En este contexto los trabajos de auditoría dentro del ámbito de los aseguramientos, siempre deben contemplar necesariamente la faceta de asesor que se precise para hacer las recomendaciones que se consideren pertinentes para mejorar la eficacia y eficiencia de los procesos evaluados, ya que un trabajo de aseguramiento sin recomendaciones estaría incompleto, tal y como nos señala la Norma 2410, cuando nos indica que: las comunicaciones deben incluir los objetivos …..las conclusiones, las recomendaciones y los planes de acción.

jueves, 18 de junio de 2015

lunes, 15 de junio de 2015

14 Formas para convertirnos en auditores internos más efectivos

La palabra eficiencia proviene del latín efficientia que en español quiere decir: acción, fuerza, producción. Se define como la capacidad de disponer de alguien o de algo para conseguir un efecto determinado.  Podemos definir la eficiencia como la relación entre los recursos utilizados en un proyecto y los logros conseguidos con el mismo. Se entiende que la eficiencia se da, cuando se utilizan menos recursos para lograr un mismo objetivo. En otras palabras la eficiencia hace referencia en la mejor utilización de los recursos.

Resumiendo la eficiencia significa hacer más con menos.

La profesión de auditoría interna está re-enfocando y expandiendo sus horizontes, no solamente somos juzgados por los productos y servicios que ofertamos a nuestros clientes, sino que también se nos exige credibilidad en la calidad del trabajo que realizamos, debemos considerar qué tan bien podemos realizar nuestra función.

Si eres uno más, muy pronto te convertiras en uno menos.

Recuerde que los auditores que revisan los procesos de negocio tienen que ayudar a los dueños de esos procesos a mejorar los ciclos de tiempo, la productividad, calidad, rotación del personal, satisfacción al cliente y los resultados financieros.  El agregar valor contribuye a que los auditores se conviertan en catalizadores del cambio para procesos de negocio inefectivos  e ineficientes.

Ante esta situación es vital que nos preguntemos:

¿Cuáles son las estrategias más efectivas?;
¿Cómo puedo hacer más con menos?
¿Cuáles son las mejores prácticas?;
¿Qué debo cambiar?; 
¿Cómo puedo alcanzar el éxito?;

Y la pregunta más importante es:

¿Cómo nos convertirnos en auditores más efectivos?

domingo, 14 de junio de 2015

sábado, 13 de junio de 2015

viernes, 12 de junio de 2015

Conferencia Magistral: Creando una función de auditoría interna que exceda las expectativas

Estoy emocionado por retornar a Managua el mes próximo para desarrollar una Conferencia Magistral durante la celebración del X Encuentro de Auditores Internos de Nicaragua 2015:

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

jueves, 11 de junio de 2015

miércoles, 10 de junio de 2015

10 Consejos claves exámenes certificaciones IIA

Lo que nadie te había dicho antes para aprobar exitosamente un examen de certificación CIA, CCSA, CFSA, CRMA, CGAP o QIAL del IIA:

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

martes, 9 de junio de 2015

Otro ciberataque

¿Qué es un ciberataque?

Los ciberataques son actos en los cuales se cometen agravios, daños o perjuicios en contra de las personas o grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio de computadoras y a través de la Internet. No necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.

Un ciberataque puede estar dirigido a los equipos y sistemas de computación que se encuentran operando en la red a nivel mundial, o puede ser orientado hacia la información y los datos que son almacenados en bases de datos. Al dirigirse a los equipos y sistemas, pueden buscar la anulación del servicio que éstos prestan, en forma temporal o permanente, introduciendo algún tipo de elementos extraños en dichos sistemas que dificulten su operación normal. Los ataques contra los datos, por su parte, pueden ir desde el robo de los mismos con propósitos militares o comerciales.

lunes, 8 de junio de 2015

¿Qué huella debemos calcular?

 Jesús Aisa Sánchez-Horneros

Como ya hemos comentado en anteriores ocasiones, desde hace algún tiempo las empresas están notando que algunas de sus partes interesadas (Administraciones locales, ONGs ambientalistas, Clientes, etc)  les están instando a que comuniquen cuál es el impacto de su actividad sobre el medio ambiente. 

En muchas ocasiones, estas partes interesadas, piden que estos impactos sean comunicados mediantes las denominadas huellas. Como es el caso de la huella ecológica, la huella hídrica, la huella de carbono de producto o de organización, la huella ambiental, la huella social…

Pero no es de extrañar que con toda esta batería de huellas que las organizaciones pueden calcular hoy en día, a los responsables de sostenibilidad y Responsabilidad Corporativa les surjan dudas sobre cuál es la mejor huella a calcular y comunicar.

Pues bien, ciertamente la respuesta no es sencilla. Aunque lo primero que deberían preguntarse es si de verdad es necesario comunicar todas estas huellas, ya que, más allá de una operación de marketing empresarial (que en algunos casos podríamos denominar greenwashing), la comunicación de estas huellas a potenciales clientes o al público en general, no llevan asociados muchos más beneficios.

Me explico. Muchas organizaciones se están decidiendo a comunicar determinados tipos de huellas, simplemente por el hecho de que se ha convertido en una tendencia más o menos habitual. Pero dudo mucho que, a menos de que se sea un especialista en temas de sostenibilidad o que se posea un alto conocimiento de estos temas, la gran mayoría de la población conozca la diferencia existente entre una huella de carbono de alcance 3 y una de alcance 2, o una huella hídrica verde, azul, gris o completa. E incluso, dudo que la mayoría de la población sepa la diferencia entre una huella ecológica, una huella de carbono o un etiquetado energético.

domingo, 7 de junio de 2015

Lo que no se puede comprar

                  ¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

sábado, 6 de junio de 2015

viernes, 5 de junio de 2015

Escéptico Discreto

El Escéptico Discreto: No es una contradicción. Hay un protocolo del escepticismo, y cada miembro de la junta directiva debe saber cómo manejar el escepticismo respetuosamente, escuchar a la gerencia con cuidado, y no tener miedo a “confiar pero verificar”. A continuación presentamos los resultados de la encuesta rápida realizada sobre este tema en la revista del IIA Global Tone at the Top de Marzo / Abril 2015:

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

jueves, 4 de junio de 2015

miércoles, 3 de junio de 2015

9 Características que debe poseer un revisor externo de calidad

Los Departamentos de Auditoría Interna deben realizar evaluaciones externas de calidad al menos una vez cada cinco años por un revisor o equipo de revisión cualificado e independiente, proveniente de fuera de la organización. Un aspecto crítico de este proceso es la selección por parte del Director de Auditoría Interna del equipo de revisión que realizará la evaluación externa, por lo que entiendo que la siguiente infografía será de utilidad para muchos colegas:

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

martes, 2 de junio de 2015

lunes, 1 de junio de 2015

Comienza cada auditoría con un riesgo en mente


El riesgo es un blanco en movimiento.  

Los auditores internos debemos evaluar las exposiciones a los riesgos relacionados con el gobierno de la organización, las operaciones y los sistemas de información en relación a:

·         La consecución de los objetivos estratégicos de la organización.
·         La fiabilidad y la integridad de la información financiera y operativa.
·         La eficacia y la eficiencia de las operaciones y programas.
·         La custodia de activos.
·         El cumplimiento con leyes, regulaciones, políticas, procedimientos y contratos.

Nuestra responsabilidad es desarrollar un plan de auditoría basado en riesgo a través de la identificación de los riesgos críticos, tomando en consideración los objetivos estratégicos. Para permitir que Auditoría Interna se centre en los riesgos críticos de la organización, la estrategia de ésta debería ser un elemento fundamental en el desarrollo de un plan de auditoría basado en riesgos. Esto permitirá que Auditoría Interna se encuentre alineada con las prioridades estratégicas de la organización y contribuirá a que sus recursos sean asignados a las áreas de mayor importancia.

Cuando se desarrolla el plan de auditoría, Auditoría Interna debe aprovechar el trabajo de la Dirección y de otras funciones de aseguramiento para ayudar a identificar los riesgos que suponen las amenazas y oportunidades más significativas para el logro de los objetivos estratégicos de la organización. Las amenazas y oportunidades estratégicas impulsarán la creación y priorización, por parte de la Dirección, de las iniciativas estratégicas de la organización a corto y largo plazo o de las inversiones más importantes de la organización para ofrecer valor a sus grupos de interés.

El director de auditoría interna debe asumir la responsabilidad de identificar y comprender los riesgos críticos que afectan las áreas claves del negocio. Ir más allá de la determinación del impacto y la probabilidad de ocurrencia de un riesgo; use técnicas, tales como: Evaluación Bow-Tie; análisis de función y tendencias, curvas FN o concepto ALARP y métodos estadísticos.