Consulta:
¿Parte del trabajo del auditor interno, es la redacción de las políticas internas?
Respuesta:
Los manuales de políticas y procedimientos son una de las mejores herramientas directivas, administrativas y operativas porque le permiten a cualquier organización normalizar y estandarizar todas sus áreas y procesos empresariales. La normalización y la estandarización son la plataforma sobre la que se sustenta el crecimiento económico y el desarrollo de una organización, brindándole confiabilidad a todas las partes interesadas. Sin estas herramientas trabajaríamos en medio del caos.
La función de auditoría interna no debe ser responsable de la redacción de las políticas y procedimientos.
La dirección de la organización y los líderes de las unidades de negocio en las que residan los riesgos son los responsables de implementar las actividades de control. Las actividades de control se refieren específicamente a las políticas y procedimientos que contribuyen a mitigar los riesgos asociados a los objetivos a niveles aceptables.
Nuestra respuesta se basa en el Principio 12 del Marco Integrado de Control Interno Committee of Sponsoring Organizations of the Treadway Commission (COSO).
Principio 12: La organización despliega las actividades de control a través de políticas que establecen las líneas generales del control interno, y de los procedimientos que ponen en práctica dichas políticas.
Políticas y procedimientos
Las políticas reflejan la visión de la dirección sobre lo que debe hacerse para poner en práctica el control. Dicha visión estar documentada por escrito, y plasmada de forma expresa en comunicaciones concretas, o puede ser comunicada de forma implícita a través de las acciones y decisiones de la dirección. Los procedimientos consisten en acciones que implementan una política.
Las políticas y los procedimientos a menudo se comunican oralmente. Las políticas no escritas pueden ser eficaces cuando llevan mucho tiempo implantadas en la organización y son prácticas bien comprendidas por los trabajadores. También es el caso de organizaciones pequeñas en las que un número limitado de niveles directivos está integrado en los canales de comunicación, y en las que existe una estrecha interacción y supervisión del personal.
En cualquier caso, independientemente de si una política se documenta por escrito o no, deberá establecer claramente las responsabilidades derivadas de la misma, que recaerán en último término en la dirección de la organización y en las direcciones de las unidades de negocio en las que residan los riesgos. Los procedimientos deberán expresar con claridad las responsabilidades del personal que realice la actividad de control. De igual manera, las políticas deberán ser puestas en práctica de manera consciente y meditada, y los procedimientos relacionados deberán ser llevados a cabo por personal competente, en el momento oportuno, con diligencia y de forma coherente.
Reevaluación periódica
La dirección deberá reevaluar periódicamente las políticas, los procedimientos y las actividades de control relacionadas, para garantizar que se mantiene su eficacia y relevancia, con independencia de su capacidad de respuesta ante los cambios significativos que se puedan producir en los riesgos o en los objetivos de la organización. Los cambios significativos, en su caso, serán evaluados a través del proceso de evaluación de riesgos. Los cambios que se produzcan en el personal, en los procesos y en las tecnologías podrán reducir la eficacia de las actividades de control, de forma que, en algunos casos, puede que resulten redundantes y, por tanto, innecesarias. Siempre que se produzca uno de estos cambios, la dirección deberá́ reevaluar la relevancia de los controles existentes y actualizarlos cuando sea necesario.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
Excelente artículo. En el mismo se hace referencia a que las políticas y los procedimientos pueden ser de manera oral; pero en estos casos, cómo se pueden auditar, por lo regular cuando en la empresa para la que elaboro, identificamos desviaciones en procesos, por políticas no definidas en forma escrita, entendemos que no podemos referirlo como incumplimiento, justamente por no estar formalmente definidas, como funciona entonces?
ResponderEliminares como dice el comentario anterior.. si no están debidamente formalizadas/documentadas, cómo se auditan?
ResponderEliminarEs correcto y está clara la responsabilidad del auditor interno respecto a redactar las políticas y procedimientos. ¿Pero sería aplicable como un trabajo de consultoría ser el promotor de la formalización de políticas y procedimientos a través de la generación de reuniones, encargado de documentar los acuerdos y enviar el borrador del procedimiento o política? Mientras no figure la firma o ninguna referencia de auditoría interna en el procedimiento ¿estaría bien?
ResponderEliminarExcelente forma de abordar esta carencia, Enrique.
EliminarSe puede realizar talleres de auto-evaluación de riesgo y control o autocontrol. Solamente, los participantes tienen que tener claro que el resultado de los cambios en procedimientos realizados y documentados son responsabilidad exclusiva de los dueños de los procesos.
Saludos,
Efectivamente, ¿Cómo audito algo que no esté escrito?
ResponderEliminarSaludos Nahun desde Ecuador 🇪🇨.
Arturo Rivera Reyes y Rodrigo.
EliminarComo se indica en el artículo en muchas ocasiones en empresas pequeñas no existen políticas escritas, esta situación per se, no limita el desarrollo del trabajo de auditoría, debido a que lo que procedería es realizar un levantamiento de cómo el personal operativo esta realizando sus tareas (a través de realizar un análisis del proceso) y luego compararlo con las mejores prácticas.
Saludos,
Los encargados de área y dueños de cada proceso son quienes deberían desarrollar los manuales de políticas organizacionales y procedimientos. Sin embargo, al generar un relevamiento de datos, lo cual si es rol del auditor interno, se nota por lo general que existen limitaciones en la organización y en sus áreas para avanzar con tal desarrollo (tiempo, capacidades, gestión operativa diaria, falta de interés, etc.). Se opta por tanto por contratar consultorías externas o, lo que es más sencillo, asignar al auditor interno la tarea del desarrollo. Creo relevante que de ser así, el auditor podría limitarse meramente a narrar o asentar por escrito, como resultado de su relevamiento, sobre las políticas vigentes e implementadas en la compañía y en forma posterior, a identificar oportunidades de mejora y proponer cambios.
ResponderEliminarY en caso de que las politicas y procedimientos sean para el área de Auditoría?
ResponderEliminarEn el caso que las políticas y procedimientos sean para el propio departamento de auditoría interna lo lógico es que las mismas sean preparadas por los auditores internos.
EliminarSaludos,
Excelente artículo. Gracias por compartir Nahun
ResponderEliminar