lunes, 31 de agosto de 2015

Diversas formas de confeccionar los Planes de Auditoría en base a riesgos

Jesús Aisa Díez
Un aspecto básico para desarrollar una actividad de auditoría interna eficiente, es la seleccionar los entes auditables que se entiendan oportunos incluir en los planes de auditoría, ya que al ser nuestros recursos, como los que las demás  Unidades de la empresa, escasos, debemos hacer una adecuada identificación de los  temas a los que dedicaremos atención en los próximos meses. Motivo por el que las Normas del Instituto de Auditores Internos señalan que la planificación debe estar basada en riesgos, a fin de determinar las prioridades de nuestra actuación.

De acuerdo con lo que he podido conocer en la forma en el que este requerimiento normativo es atendido por las Unidades de Auditoría Interna a las que tenido la oportunidad de acceder, puedo comentar que aplicar esta modalidad de selección de trabajos es la más habitual, y es la que, salvo las excepciones en ámbitos en los que las exigencias de los supervisores son elevadas,  es la que determina el mayor porcentaje de actividades a atender por Plan, destacando sobre las correspondientes a solicitudes del Comité de Auditoría y Gerencias, por tanto, hasta aquí todo perfecto.

No obstante lo anterior, creo que también es posible que nos encontremos con metodologías de aplicación de este principio, que no sean las más adecuadas, ya que de ellas se derivarían resultados que podríamos denominar no óptimos. Veamos algunos ejemplos.

En primer lugar creo que el criterio de, llamémosle “gradualidad”, aplicado por algunas organizaciones holding que se reservan para  la Corporación la decisión última de la aprobación del Plan agregado, según la sistemática en la que en un primer nivel se evalúan los riesgos a nivel local, preparando una propuesta de plan que es posteriormente trasvasado al nivel de zona superior para que en ella se re-evalúen las propuestas de sus Unidades de Auditoría Internas dependientes, volviendose a decidir la composición de los planes según la trascendencia o criticidad que desde ese nivel se estimen de los riesgos nuevamente valorados, para finalmente trasladar el borrador del plan conjunto a la Corporación para que se tomen las decisiones que correspondan a ese nivel y  desde la perspectiva de la cabeza del holding, lo cual puede ser muy válido desde esa perspectiva, pues se van a dedicar los recursos de una manera homogénea en todo el perímetro societario, supervisando entes auditables de entidad homogénea.

Sin embargo, y por la gradualidad que probablemente se dará a la tipificación de los riesgos según su impacto, dado que a nivel local o subsidiaria un riesgo crítico tendrá menos valor que el que se le asignará a nivel zona o a nivel Corporación, ya que lo que a nivel empresa sea trascendente y susceptible de incluir en el Plan de Auditoría, al alejar el punto de decisión de ese entorno, la gravedad de lo observado en ese primer nivel habrá ido disminuyendo sensiblemente, ya que lo que puede ser preocupante a nivel filial, puede no serlo a nivel Corporación, al ser dos dimensiones diferentes.

Por ello, en el modelo de determinación de los Planes de Auditoría a aplicar en entornos tipo holding,  deberemos tener en consideración esta circunstancia, permitiendo que las criticidades establecidas a nivel local se actualicen con los factores de corrección que se estimen adecuadas, al pasar a la evaluación a niveles más elevados de la estructura empresarial, ya que en caso contrario la problemática de las filiales estará devaluada, y solo será auditada cuando la situación también sea percibida como preocupante por la Corporación.

Otro aspecto que también hemos observado es que, en algunas ocasiones, y después de haber valorado adecuadamente la ponderación de los distintos entes auditables analizados, el corte para decidir su inclusión o exclusión del Plan se determina en base a la media de los valores determinados para los diferentes procesos/subprocesos analizados, de forma que los que estén por debajo de la medía no se incluyen en el Plan, mientras que los que hayan superando ese valor, sí se incluyen en el borrador del Plan.

Esta sistemática puede parecer estadísticamente oportuna, pero comporta una debilidad, ya que, cuanto más alta sea el valor de la media, menor será el entorno de control interno de la organización, ya que, en una escala del 0 a 100 puntos, si el promedio del conjunto se deteriora, aumentará el valor de la media, lo que reflejará un deterioro del control interno percibido, como consecuencia de la más elevada estimación de la importancia de los riesgo, pero que irá acompañada de un menor el número de auditorías a realizar. Lo cual no parece lógico, ya que a menos confortabilidad en la situación de los riesgos, mayor actividad de auditoría. La situación inversa también se produciría, a menor valor de la media, es decir, a mejor control interno percibido, mayor sería en número de auditoría a realizar

Por ello, el pasa o no pasa al Plan, no debería fijarse por este criterio pues nos conduce a situaciones no adecuadas.

Como hemos visto por estos dos ejemplos, la metodología que hayamos decidido aplicar para determinar el Plan en base a riesgo, puede condicionar la adecuación de la composición de los Planes, por lo que se hace necesario que el modelo a aplicar esté debidamente contrastado, y exento de repercusiones negativas, que impidieran conseguir la necesaria eficiencia de la actividad auditora, pues si bien esta no solo depende de lo adecuado de la composición del plan,  sí que es condición necesaria para ello.

Con estos comentarios lo que se pretende es que revisemos el modelo que estamos aplicando y verifiquemos que es adecuado y que no contiene debilidades que nos interfieran en el correcto contenido de los planes.

Jesús Aisa Díez. Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting. Para mayor información visita el Blog de Don Jesús “Auditoría Interna del Siglo XXI”.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

1 comentario: