lunes, 31 de agosto de 2015

Diversas formas de confeccionar los Planes de Auditoría en base a riesgos

Jesús Aisa Díez
Un aspecto básico para desarrollar una actividad de auditoría interna eficiente, es la seleccionar los entes auditables que se entiendan oportunos incluir en los planes de auditoría, ya que al ser nuestros recursos, como los que las demás  Unidades de la empresa, escasos, debemos hacer una adecuada identificación de los  temas a los que dedicaremos atención en los próximos meses. Motivo por el que las Normas del Instituto de Auditores Internos señalan que la planificación debe estar basada en riesgos, a fin de determinar las prioridades de nuestra actuación.

De acuerdo con lo que he podido conocer en la forma en el que este requerimiento normativo es atendido por las Unidades de Auditoría Interna a las que tenido la oportunidad de acceder, puedo comentar que aplicar esta modalidad de selección de trabajos es la más habitual, y es la que, salvo las excepciones en ámbitos en los que las exigencias de los supervisores son elevadas,  es la que determina el mayor porcentaje de actividades a atender por Plan, destacando sobre las correspondientes a solicitudes del Comité de Auditoría y Gerencias, por tanto, hasta aquí todo perfecto.

No obstante lo anterior, creo que también es posible que nos encontremos con metodologías de aplicación de este principio, que no sean las más adecuadas, ya que de ellas se derivarían resultados que podríamos denominar no óptimos. Veamos algunos ejemplos.

En primer lugar creo que el criterio de, llamémosle “gradualidad”, aplicado por algunas organizaciones holding que se reservan para  la Corporación la decisión última de la aprobación del Plan agregado, según la sistemática en la que en un primer nivel se evalúan los riesgos a nivel local, preparando una propuesta de plan que es posteriormente trasvasado al nivel de zona superior para que en ella se re-evalúen las propuestas de sus Unidades de Auditoría Internas dependientes, volviendose a decidir la composición de los planes según la trascendencia o criticidad que desde ese nivel se estimen de los riesgos nuevamente valorados, para finalmente trasladar el borrador del plan conjunto a la Corporación para que se tomen las decisiones que correspondan a ese nivel y  desde la perspectiva de la cabeza del holding, lo cual puede ser muy válido desde esa perspectiva, pues se van a dedicar los recursos de una manera homogénea en todo el perímetro societario, supervisando entes auditables de entidad homogénea.

Sin embargo, y por la gradualidad que probablemente se dará a la tipificación de los riesgos según su impacto, dado que a nivel local o subsidiaria un riesgo crítico tendrá menos valor que el que se le asignará a nivel zona o a nivel Corporación, ya que lo que a nivel empresa sea trascendente y susceptible de incluir en el Plan de Auditoría, al alejar el punto de decisión de ese entorno, la gravedad de lo observado en ese primer nivel habrá ido disminuyendo sensiblemente, ya que lo que puede ser preocupante a nivel filial, puede no serlo a nivel Corporación, al ser dos dimensiones diferentes.

miércoles, 26 de agosto de 2015

La importancia del análisis de origen o causa – raíz (Segunda Parte)

Juan Villanueva Chang

Ejemplos de Metodologías
Análisis de los Cinco Por Qués:

Ejemplo: Debilidad de control: “Carencia de un plan integral de capacitación”

1.    Falta de motivación para capacitarse ¿Por qué?
2.    Ausencia de plan integral de capacitación ¿Por qué?
3.    Falta de iniciativa de staff ¿Por qué?
4.    Inadecuada línea de carrera ¿Por qué?
5.    La empresa no cuanta con competidores en el mercado ¿Por qué?

El equipo de auditores determinó por consenso que del razonamiento de los cinco por qué lo fundamental para fortalecer el control interno era la carencia del plan integral de capacitación que incluya una política clara y obligatoria de capacitarse anualmente 

Análisis Modo de Fallo de Efectos y Análisis de Efectos:

Ejemplo: Debilidad de control: “Deficiencias en la atención de urgencias por falta de recurso humano”

El equipo de auditores, luego de aplicar el análisis AMFE señaló la priorización de riesgos de la siguiente matriz en 72. 

Servicio
Modo de Fallo
Efecto
Causas
Método de detección
G
A
D
G.A.D
Acciones recomendadas
Atenciones en Tópico
Demora en atención
Demora en salud
Un solo médico
Reiteradas quejas
6
4
3
72
Ampliar plazas
Sala de tópico cerrada
Retraso en curación
Falta de control de llaves
Quejas de pacientes
4
2
8
64
Coordinar con seguridad
Falta de medicinas
Curación insuficiente
Desabastecimiento de stock
Registros de inventarios
4
5
3
60
Mantenimiento preventivo

lunes, 24 de agosto de 2015

La importancia del análisis de origen o causa – raíz (Primera Parte)

Juan Villanueva Chang
Los auditores deberíamos justificar que somos eficientes en la identificación de las verdaderas causas de podrían desencadenar en un evento o incidente. Algunas veces por la urgencia de emitir opiniones señalamos determinadas causas sin haber utilizado el abanico de técnicas que debe sustentar un verdadero análisis de origen o causa raíz. Esto usualmente lo experimentamos cuando luego de un tiempo determinado detectamos  causas de una debilidad de control que se  repite en escenarios antes analizados.

Sobre el uso adecuado de este tipo de análisis, el Consejo para Práctica 2320-2 del Marco Internacional para la Práctica Profesional de Auditoría Interna  - IIA – señala que:

      “El análisis del origen (análisis de causa – raíz) se define como la identificación de las causas que han dado lugar a un evento, en vez de proceder únicamente a la identificación o comunicación del problema mismo.

      Un evento se define como la dificultad, error, caso de incumplimiento o una oportunidad perdida.

      Cuando los auditores recomiendan que la entidad auditada solucione la cuestión – y no la causa subyacente que causó la misma – están omitiendo elementos que podrían mejorar la efectividad y eficiencia a largo plazo de los procesos. El análisis identifica las causas subyacentes de los eventos.

      El análisis del origen puede ser considerado en cualquier tipo de situaciones: eventos de riesgo sorpresa, fallo en los procesos, daño o pérdida de activos, interrupción en los trabajos, incidentes de seguridad, degradación de la calidad o insatisfacción del cliente”.

“La causa - raíz es un factor que provocó una no conformidad y debe ser eliminado de forma permanente a través de la mejora de procesos. El análisis causa -  raíz es un término colectivo que describe una amplia gama de enfoques, herramientas y técnicas utilizadas para descubrir las causas de los problemas”.

Es un proceso para entender lo que sucedió y resolver el problema a través de mirar hacia atrás y encontrar la razón por qué sucedió. Es mirar bien qué sucedió para rectificar el problema y que no vuelva a ocurrir, o reducir la probabilidad que vuelva a suceder. Otros la conocen como una herramienta para identificar causas de falla para evitar consecuencias.

domingo, 23 de agosto de 2015

miércoles, 19 de agosto de 2015

Cómo gestionar una fuga de información

Durante esta semana pude leer una interesantísima Guía sobre Gestión de Fuga de Información desarrollada por el Instituto Nacional de Ciberseguridad de España, la cual contiene información esencial sobre el tema, por lo cual me gustaría compartir con los lectores del Blog, algunas de las informaciones incluidas en la misma.

La protección de la información se articula en torno a la protección de tres principios básicos: confidencialidad, integridad y disponibilidad.

·         La confidencialidad implica que la información es accesible únicamente por el personal autorizado.

·         La integridad de la información hace referencia a que la información sea correcta y esté libre de modificaciones y errores. La información ha podido ser alterada intencionadamente o ser incorrecta y nosotros podemos basar nuestras decisiones sobre ella.

·         La disponibilidad de la información hace referencia a que la información esté accesible, a las personas o sistemas autorizados, cuando sea necesario.

Llamamos fuga de información a la pérdida de la confidencialidad, de forma que información privilegiada sea accedida por personal no autorizado.

El impacto y las consecuencias posteriores a un incidente de fuga de información, son muy negativos. Por un lado, la filtración de información puede dañar la imagen pública de la empresa y por tanto impactar negativamente en el negocio, generando desconfianza e inseguridad en clientes. Asimismo, la publicación de información puede generar consecuencias a terceros: grupos externos de usuarios y otras organizaciones cuyos datos se hayan hecho públicos.

Además, existe un conjunto de normativas y leyes que ponen especial énfasis en el uso y tratamiento de datos de carácter personal. Dentro del tratamiento de datos de carácter personal se han de considerar las fugas de información, ya que en muchas ocasiones, estos incidentes terminan con la difusión o publicación de datos de carácter personal. Dichas normativas prevén sanciones de tipo económico para este tipo de delitos.

El origen de las amenazas que provocan la fuga de información puede ser tanto externo como interno.

Por origen interno se entienden las fugas de información ocasionadas por empleados propios de la empresa, ya sea de forma inadvertida (por desconocimiento o por error) o a propósito.

En el segundo caso los motivos «intencionados» que pueden estar detrás de este tipo de incidentes son muy variados y podrían ser: por estar descontento con la empresa, la venganza, la venta de secretos industriales o información privilegiada para la obtención de beneficio económico, el daño a la imagen de la empresa o la creación de una nueva con parte de los activos de información.

lunes, 17 de agosto de 2015

¿Cómo se desarrolla un proyecto de auditoría interna?

La mayoría de los departamentos de auditoría interna realizan trabajos de aseguramiento y consultoría. Debido a que cada asignación tiene aspectos exclusivos, debe haber flexibilidad en la manera de administrar los trabajos de auditoría. Sin embargo, también es necesario que haya algún tipo de norma, además de procesos y procedimientos coherentes, para asegurar que se cumplan los objetivos del proyecto. También, debe existir una metodología coherente para asegurar la eficacia y minimizar la posibilidad de que se incluyan pasos que no agregan valor al proceso de auditoría.

Hay varios puntos a tener en cuenta al momento de definir los componentes de un trabajo de auditoría, por lo que a continuación presentamos un mapa de ruta para desarrollar un proyecto de auditoría interna:

Pasos para el desarrollo de un trabajo de auditoría interna

Planificación

·         Notificación de trabajos o solicitudes de servicios de auditoría;
·         Memorandum planificación;
·         Documentación análisis de riesgos e impacto de los controles existentes;
·         Documentación del alcance y los objetivos de la auditoría;
·         Revisión biblioteca de programas de auditoría (proceso para el desarrollo de un nuevo programa de auditoría);
·         Primera reunión con los clientes.

Trabajo de campo

·         Formatos y plantillas de papeles de trabajo;
·         Normas de documentación;
·         Tipos de pruebas a realizar (es decir, recorridos, revisiones de alcance limitado o pruebas sustantivas);
·         Revisión de papeles de trabajo y aprobaciones.
·         Reuniones de cierre con los clientes;

miércoles, 12 de agosto de 2015

Actualización Marco Internacional para la Práctica Profesional Auditoría Interna (IPPF)

Es oficial los Estándares para la Práctica Profesional de la Auditoría Interna (IPPF) emitidos por el IIA Global han sido modificados. A continuación presentamos un resumen de los cambios:

Nueva Estructura de las Normas

Guías Mandatorias

Misión de la auditoría interna
Principios fundamentales para la auditoría Interna
Definición de auditoría interna
Código de ética
Normas internacionales para la práctica profesional de auditoría interna

Guías Recomendadas

Guías de implementación
Guías sumplementarias

En mi opinión además de la nueva estructura, las modificaciones más importantes son la introducción de una Declaración de Misión y 12 Principios Fundamentales:

La Misión de auditoría interna es: “Mejorar y proteger el valor de la organización proporcionando a las partes interesadas aseguramiento, consejo y visión; objetivos confiables y basados en riesgos.”

Los Principios fundamentales para la práctica profesional de auditoría interna son:

1.    Demuestra integridad indiscutible.
2.    Muestra objetividad en la mentalidad y el enfoque.
3.    Demuestra compromiso con las competencias.
4.    Está posicionada de forma adecuada dentro de la organización con suficiente autoridad en la misma.
5.    Se alinea estratégicamente con las metas y objetivos de la empresa.
6.    Tiene los recursos adecuados para abordar los riesgos importantes de forma efectiva.
7.    Demuestra calidad y mejora continua.
8.    Logra eficiencia y efectividad en sus trabajos.
9.    Se comunica de forma efectiva.
10. Brinda aseguramiento confiable a aquellos a cargo del gobierno.
11. Proporciona entendimiento, es proactiva y está orientada al futuro.
12. Promueve el cambio positivo.