El papel de auditoría interna como asesor de confianza

Jesús Aisa Díez

Atendiendo a la invitación del Instituto de Auditores Internos de España he asistido al XXIX Foro de Expertos organizado por dicho Instituto, en el que, aparte de la oportunidad de saludar a viejos amigos y colegas de profesión, he tenido la ocasión de escuchar una interesante ponencia relacionada con las implicaciones del nuevo Código de Buen Gobierno emitido por la Comisión Nacional del Mercado de Valores (CNMV) y los auditores internos.  Pero también escuchar las conclusiones de las “mesas de trabajo” respecto del tema: Papel de Auditoría interna como asesor de confianza.

Como denominador común de las distintas conclusiones obtenidas por los  grupos de trabajo participantes, podríamos señalar la correspondiente  a la delgada línea que separa y diferencia las actividades de aseguramiento y las de asesoramiento o consulta, ya que era una de las más reiteradas, basándose estas opiniones en la dificultad que existe para distinguir con claridad una actividad de supervisión de otra de asesoramiento, debido a que ambas pueden coexistir dentro del alcance de todas las actividades auditoras. Aspecto que comparto en gran medida, pero no en lo que se refiere a la forma de diferenciar una actividad de otra. Veamos por qué.

Reconociendo que al desarrollar una actividad de auditoría que podríamos denominar de convencional, es decir las que se ocupan de la faceta de aseguramiento, no solo hemos identificar los incumplimientos normativos que se hayan podido producir, sino también detectar los fallos de control que se hubiesen observado en los procesos auditados, todo ello sin olvidar que dentro de los informes de este tipo de auditorías hemos de incluir las conclusiones evidenciadas, así como también las recomendaciones que se entiendan oportunas para solucionar/mitigar los puntos débiles que se hayan puesto de manifiesto; aspecto este último que también podríamos enmarcar en el ámbito de las asesorías o consultorías.

En este contexto los trabajos de auditoría dentro del ámbito de los aseguramientos, siempre deben contemplar necesariamente la faceta de asesor que se precise para hacer las recomendaciones que se consideren pertinentes para mejorar la eficacia y eficiencia de los procesos evaluados, ya que un trabajo de aseguramiento sin recomendaciones estaría incompleto, tal y como nos señala la Norma 2410, cuando nos indica que: las comunicaciones deben incluir los objetivos …..las conclusiones, las recomendaciones y los planes de acción.

Por el contrario, en la actividad auditora dentro del marco de las consultorías no se incluyen matices de aseguramiento, fundamentalmente porque en los trabajos de asesoría su foco se centra en los aspectos formales del proceso sobre el que se esté opinando, dado que, en muchas ocasiones, estos aún no están siendo operativos, circunstancia que nos permitirá, como se comentó en el debate de las conclusiones, denominar a los asesoramientos como “auditorías preventivas”. Nombre que me parece muy adecuado, pues permite hacer recomendaciones antes de que el proceso esté operando, maximizando la utilidad de nuestra actividad, pues como bien sabemos: Más vale prevenir que curar.

Adicionalmente a lo que acabamos de comentar, en mi opinión también hay otros aspectos que permitirían diferenciar los trabajos de aseguramiento, de los de consultoría, muchos de ellos derivados de la aplicación del Marco Internacional para la Práctica Profesional de Auditoría Interna, como veremos:

Los trabajos de consultoría son siempre solicitados por los gestores, alta dirección o Consejo, los de supervisión no necesariamente, ya que en gran medida se derivan del análisis por Auditoría Interna de los riesgos de la organización. Es decir, las consultorías nunca serían desarrolladas a iniciativa de la Unidad de Auditoría Interna.

En los trabajos de consultoría los solicitantes de los mismos deben fijar los objetivos del trabajo, alcance, responsabilidades respectivas y sus propias expectativas. (Norma 2201 C1); en los de aseguramiento estos aspectos les vienen decididos por la Unidad de Auditoría Interna.

Un trabajo de consultoría finaliza con el envío del informe elaborado con las conclusiones y las recomendaciones, sin ser requerido el plan de acción a asumir por los responsables del proceso analizado, ya que los grados de libertad para atender las recomendaciones es total.

El seguimiento del progreso recogido en la Norma 2500, según la cual el director de auditoría debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados, no es de aplicación generalizada, pues en las consultorías solo es efectivo este requerimiento hasta el grado de acuerdo acordado con el cliente. No siendo negociable con los trabajos de aseguramiento.

Los resultados de las auditorías de aseguramiento se deben comunicar al propietario del proceso auditado, sus jefes jerárquicos y al Comité de Auditoría, los de consultoría, salvo en casos de cuestiones significativas, no contemplan la difusión de los resultados a los jefes jerárquicos del responsable del proceso, ni al Comité de Auditoría.

En los trabajos de consultoría los solicitantes de los mismos deben fijar los objetivos del trabajo, alcance, responsabilidades respectivas y sus propias expectativas. (Norma 2201 C1); en los de aseguramiento estos aspectos les vienen decididos por la Unidad de Auditoría Interna.

Por todo esto que acabamos de comentar, y fundamentalmente por las diferencias de actuación en ambos casos (trabajos de aseguramiento y trabajos de consultoría), entendemos que deberíamos tener claro en que ámbitos vamos a actuar, pero también por dos temas complementarios a lo que acabamos de exponer:

En primer lugar porque el número de consultarías que nos sean solicitadas es uno de los mejores indicadores que podremos manejar para evaluar la percepción de la Organización respecto del valor añadido que aportamos, dada la relación directa existente entre ambos.

Pero también por el posible conflicto de intereses que se puede producir al realizar un trabajo de aseguramiento por alguien que haya intervenido en el proceso auditado, así como por la supervisión de un proceso previamente asesorado.

En resumen, la realización de consultorías es una actividad deseable  ya que evidencian la confianza de las partes interesadas en nuestra labor, pero, dado el diferente tratamiento que debemos dar a estas, comparándolo con el de los trabajos de aseguramiento, debemos tener claro si estamos incidiendo en uno u otro escenario. Y que por lo que hemos comentado, entendemos existen variados aspectos que nos permitirán concluir en el que nos estemos moviendo, actuando en consecuencia.

Jesús Aisa Díez. Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting. Para mayor información visita el Blog de Don Jesús “Auditoría Interna del Siglo XXI”.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!