Por Jesús Aísa
Díez
Como es bien
conocido, una de las actividades básicas de las Unidades de Auditoría Interna,
es la correspondiente a la supervisión del control interno existente en la
empresa, que permita, entre otros objetivos, una garantía razonable de la
fiabilidad de la información financiera y operativa, por lo que dentro de los
Planes anuales que se someten a aprobación, han de incluirse aquellos trabajos
de evaluación de los sistemas diseñados por las organizaciones con los que
atender los requerimientos regulatorios, así como también la de aquellos otros
procesos relacionados con la gestión empresarial, bien sean estratégicos,
operativos y de apoyo o soporte.
Con respecto
a la supervisión de los procesos de gestión, el alcance de las auditorías suele
focalizarse en la supervisión de los mismos desde una perspectiva de riesgos y
controles, de forma que analizados los procesos aplicados podamos concluir: (i)
si la operativa empleada es la adecuada para conseguir los objetivos deseados,
(ii) si los controles existentes son válidos para mitigar los riesgos
detectados, y (iii) si los controles se aplican de forma eficiente. Recogiendo
las conclusiones alcanzadas en los respectivos informes de los trabajos
realizados, en los que se describen las debilidades observadas, las
recomendaciones estimadas pertinentes para resolverlas, así como los planes de
acción comprometidos por los responsables de los procesos auditados.
En base a
esta forma de actuar podríamos señalar que auditoría, una vez analizado los
procesos, justifica y describe las partes mejorables de los mismos,
referenciando las evidencias que les hayan permitido concluir sobre las
debilidades observadas, de manera que quede de manifiesto el por qué de las recomendaciones
aportadas.
Esta forma
de actuar, dicho en términos legales, y sin pretender con ello recuperar las
viejas prácticas de las auditorías policiacas, que no es mi objetivo ni mi
deseo, podríamos señalar que a los auditores nos corresponde la “carga de
la prueba” de lo que no se hace bien, admitiendo que el resto está bien
gestionado, es decir se aplica la teoría de la “presunción de inocencia”,
entendiendo que todo está bien gestionado, salvo que se demuestre lo contrario,
en base a las evidencias aportadas.
Sin embargo
esta forma de proceder, cuando actuamos en el ámbito de trabajos de evaluación
de los sistemas diseñados con los que atender los requerimientos regulatorios,
no debe ser la misma, ya que, con alguna variante, todos ellos, como por
ejemplo se recoge en el correspondiente al Sistema de Control Interno de la
Información Financiera de la CNMV Española (SCIIF), se debe centran en:
Velar por su
eficacia, obteniendo evidencias suficientes de su correcto diseño y
funcionamiento, lo que exige evaluar el proceso de identificación de los
riesgos que puedan afectar a la imagen fiel de la información financiera,
verificando que existen controles para mitigarlos y comprobar que funcionan
eficazmente.
Como vemos,
aquí ya no hay “presunción de inocencia”, sino todo lo contrario, lo que debe
guíar nuestro trabajo ha de ser la “presunción de incumplimiento”, por lo que
deberemos comprobar dónde la organización actúa de forma correcta. Por ello,
para lograr una supervisión eficaz y eficiente, se deberá cubrir determinados
aspectos. Como por ejemplo los que señala en el propio documento regulatorio de
la CNMV, los correspondientes a:
- Documentación del SCIIF y del proceso de evaluación.
- Evaluación del diseño del SCIIF.
- Evaluación del proceso de identificación de riesgos.
- Identificación de los controles que mitigan los riesgos sobre la información financiera.
- Evaluación del funcionamiento eficaz del SCIIF.
- Nivel de evidencia. Señalando al respecto que: El nivel de evidencia requerido para concluir acerca del adecuado funcionamiento de un control será directamente proporcional a dos factores: (i) el riesgo inherente de los controles del SCIIF; y (ii) el riesgo de error material en la información financiera.
En el mismo
sentido, pero desde la perspectiva del Banco de España, su Comisión Ejecutiva,
con fecha 27 de Junio del 2012, hizo suya la Guidelines of Internal
Governance (GL 44) de la Autoridad Bancaria Europea (EBA), cuyo objetivo es
la implantación por las entidades financieras de las mejores prácticas de
gobierno interno. La cual considera, en su apartado 29.1, que: la función de
auditoría interna evaluará si la calidad del marco de control interno de
una entidad es eficaz y eficiente.
En tanto que
en su apartado 29.4. señala que: la función de auditoría interna verificará,
en particular, la integridad de los procesos que garantizan la fiabilidad de
los métodos y técnicas de la entidad, los supuestos y las fuentes de
información utilizadas en sus modelos internos (p. ej., la modelización de
riesgos y la valoración contable). Deberá evaluar asimismo la calidad y la
utilización de herramientas cualitativas de identificación y evaluación de
riesgos. No obstante, con el fin de reforzar su independencia, la función de
auditoría interna no deberá intervenir directamente en el diseño ni en la
selección de modelos u otras herramientas de gestión de riesgos.
La
estructura de la Guía está compuesta de seis secciones que en conjunto recogen
disposiciones sobre treinta aspectos distintos, que serán los que deberán ser
objeto de evaluación por parte de Auditoría Interna, pero, para ello, se deberá
verificar la existencia de las evidencias que permitan concluir sobre la
situación real observada, la cual podría verse recogida en forma resumida en un
cuadro recopilatorio de los treinta aspectos a evaluar, como el que recoge, por
su extensión, pero también por su indudable interés, no solo para las entidades
financieras afectadas, sino también para el resto de las empresas con
independencia de su actividad, en el anexo que se acompaña (pinchar aquí para descargar anexo) al considerarlo una buena práctica
que debería tenerse en consideración y aplicarse.
Como se
habrá podido observar si se ha analizado el anexo, por las cuestiones que se
recogen en la Guía GL 44, no parece oportuno que nos limitemos a identificar
solo los aspectos mejorables, aunque se aporten las recomendaciones
pertinentes, pues entendemos que en estos casos no sería suficiente, puesto
que, para que el trabajo de Auditoría Interna tenga auténtico valor, deberían
explicitarse las evidencias que han permitido calificar como satisfactorios los
apartados que así lo hayan sido. En caso contrario estaremos sometiendo a las
partes interesadas que reciban nuestro informe a un acto de fe, que estimamos
que no es lo adecuado.
La forma de
actuar que hemos señalado para estos casos relacionados con exigencias
regulatorias, en lo único que afectaría al trabajo de auditoría, es en la
presentación de los resultados de la supervisión realizada, reflejando en los
informes también lo que se haya estimado adecuado, aportando y referenciado las
evidencias correspondientes, lo que facilitará el análisis e interpretación de
los distintos supervisores, tanto internos, entre ellos el Comité de Auditoría,
como externos, los reguladores. Para ello un formato como el que aparece en el
anexo entendemos que podría ser adecuado.
Jesús Aísa
Díez.
Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA.
Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico
de FSH Consulting. Para mayor información visita el Blog de Don Jesús “Auditoría Interna del Siglo XXI”.
¿Te ha gustado la información? ¡Compártela con otro
auditor interno!
No hay comentarios:
Publicar un comentario