Cómo Cambiar Realidad

A vueltas con la independencia de la función auditora

 Por Jesús Aisa Díez

Es obvio que a la hora de concluir sobre el resultado de las evaluaciones externas de la función auditora, el equipo evaluador debe hacer un ejercicio de objetividad y sentido común en la agregación y ponderación de las calificaciones individualmente asignadas a las 51 Normas que actualmente componen el Marco Internacional para la Práctica Profesional del IIA; aspecto que resulta sencillo de enunciar, pero que en la práctica no lo es tanto, ya que no todas ellas han de ponderar lo mismo en el resultado final, pues no tienen la misma trascendencia e influencia en el valor añadido que su cumplimiento, o  incumplimiento, aportan a la actividad de auditoría.

Aspecto este que, siendo evidente, no está resuelto en las directrices difundidas en los Manuales de Aseguramiento de la Calidad, ya que no incluyen ninguna sugerencia al respecto, trasladando la responsabilidad de la decisión final a los evaluadores, en función de su mejor saber y entender, y por qué no decirlo de su propia experiencia.

Pero las dificultades se amplían si consideremos, además, que la calificación que finalmente se considere adecuada conceder individualmente a cada Norma únicamente abarca tres posibles niveles, que en la terminología original empleada por el propio IIA (does not conform, partially conforms y generally conforms) resulta escasa y poco concreta, pues no resulta fácil decidir dónde debe trazarse la línea separadora entre el parcialmente y el generalmente cumple, puesto que siempre nos encontraremos con una zona compartida entre ambas situaciones que complicará la asignación que entendemos corresponde.

Pero volviendo a la importancia individual de cada una de las normas, o lo que es lo mismo la incidencia o peso que su cumplimiento/incumplimiento individual tendrá en la valoración final de la evaluación, parece lógico pensar que si hiciésemos una separación entre las Normas, en el grupo de las que tienen una gran influencia en el adecuado desarrollo de la actividad auditora entendemos que destacaría la 1100, correspondiente a la independencia y objetividad de la función y de los auditores, puesto que es la condición necesaria, aunque no suficiente, para poder realizar con garantías un adecuado aseguramiento.

Adicionalmente el propio Marco aclara que la independencia dentro de la organización se alcanzará de forma efectiva cuando el Director Ejecutivo de auditoría dependa funcionalmente del Directorio, aportando algunos ejemplos de situaciones que permiten concluir sobre la dependencia funcional (aprobación del Estatuto, aprobación del Plan de Auditoría, recepción de comunicaciones periódicas, que apruebe las decisiones referentes al nombramiento y cese del responsable de auditoría, etc), lo cual parece que deja claro cuál es la situación que debe materializarse, y cuáles son los aspectos que, a falta de otras evidencias de independencia, deberemos verificar como mínimo, pero centrándonos en el espíritu de norma, más que en su letra.

Recientemente en una evaluación de calidad nos hemos encontrado con una empresa en la que, existiendo un Directorio en el que forman parte de él, con voz pero sin voto, su Director Gerente (CEO) y el Secretario, el Director de Auditoría depende jerárquica y administrativamente del Director Gerente y reporta toda su actividad al Secretario del Consejo, alegándonos que así se cumplía con la relación directa del DAI con el Directorio exigida por el IIA, ya que el CEO y el Secretario eran Directorio, por lo que no entendían el NO CUMPLE que habíamos asignado en la calificación asignada al cumplimiento de la Norma 1100.

Resultaba obvio que tanto el CEO como el Secretario sí pertenecen al Directorio, pero  no son el Directorio, y el IIA lo que reclama es que el responsable de auditoría debe disponer de facilidades para interactuar directamente, sin intermediarios o censores, con el órgano de supervisión de la organización, a fin de que éste pueda ejercer su labor adoptando las decisiones que en cada caso corresponda con la finalidad de mejorar el control interno de la empresa, precisando para ello de unas auditorías internas que ejerzan sus funciones sin ningún tipo de interferencias, circunstancia esta que solo será posible alcanzar si su actividad se ve tutelada y protegida por el Directorio.   

El cambio que se les recomendaba espero que lo implementen y que en breve puedan observar los beneficios que les reportará la dependencia funcional del Director de Auditoría respecto del Directorio.

¿Qué esperan nuestros clientes de nosotros?

Esperan que su auditor interno sea: Un entrenador, defensor, gerente de riesgos, experto en controles, especialista en eficiencia y socio de negocio que resuelve problemas. En definitiva esperan que usted sea un medio hacia información diversa, innovadora y relevante que ayude a resolver problemas complejos. Los problemas se convierten en oportunidades cuando las personas correctas trabajan juntas para solucionarlos. Conviértase en un socio que agregue valor a la gerencia a través de:

• Ser un socio de la gerencia que agrega valor.
• Participar proactivamente en los cambios que ocurren dentro de la organización.
• Entender los riesgos gerenciales y su relación con las prioridades corporativas.
• Aprender a desarrollar procesos de auditoría interna que brinden soluciones de negocio a sus clientes.
• Facilitar el proceso de compartir las mejores prácticas en su organización.

En cualquier deporte tú eres tan bueno cómo fue tu último partido. Para los innovadores, tú eres tan bueno cómo será tur próxima gran idea. Cómo auditor interno, tú eres tan bueno cómo los riesgos que has sido capaz de prevenir y ayudar a la organización a evitar, por lo que debemos desarrollar las destrezas y herramientas apropiadas para identificar, analizar y comunicar los riesgos detectados.

10 Reglas para el Trabajo

A pesar de los retos y desafíos que enfrenta nuestra profesión, sin lugar a dudas, el futuro de la auditoría interna será provisorio, existen diez patrones de comportamiento personales que ayudan a incrementar la efectividad y eficiencia del trabajo:

1.    Visión: Capacidad de planificar nuestro futuro.

2.    Confianza: Desarrollar pasión, entusiasmo e iniciativa.

3.    Disciplina: Disposición a trabajar duro.

4.    Actualización: Aprender continuamente.

5.    Adaptabilidad: Flexibilidad para adecuarse a requerimientos de cada proyecto.

6.    Innovación: Aplicar mejores prácticas.

7.    Pro-actividad: Exceder la expectativas de nuestros clientes

8.    Creatividad: Salir de enfoques rutinarios, cotidianos y conocidos

9.    Determinación: Tener persistencia y dedicación en todo lo que hacemos

10. Excelencia: Ver nuestro trabajo como una obra de arte

¿Cómo seleccionar un revisor externo independiente?

La Norma 1312 sobre evaluaciones externas de calidad establece que los departamentos de auditoría interna: Deben realizarse evaluaciones externas  al menos una vez cada cinco años por un revisor o equipo de revisión cualificado e independiente, proveniente de fuera de la organización. El director ejecutivo de auditoría debe tratar con el Consejo:

·         La necesidad de evaluaciones externas más frecuentes, y

·         Las cualificaciones e independencia del revisor o equipo de revisión externo, incluyendo cualquier conflicto de intereses potencial. 

Interpretación: Un revisor o equipo de revisión cualificado consiste en  individuos competentes en la práctica profesional de la auditoría interna y del proceso de evaluación externa. La evaluación de la competencia del revisor o equipo de revisión es un juicio que considera la experiencia profesional en auditoría interna y las credenciales profesionales de los individuos seleccionados para realizar la revisión. La evaluación de las cualificaciones también tiene en cuenta el tamaño y complejidad de las organizaciones con las que los revisores hayan estado asociados en relación con la organización para la cual se está evaluando su actividad de auditoría interna, así como la necesidad de conocimientos técnicos,  sobre un sector económico o área e particular.  

Para hacer una selección apropiada debemoss responder las siguientes interrogantes:

¿Quiénes no deben realizar revisiones de calidad?

Muchas empresas toman como primera opción para realizar sus revisiones de calidad a sus auditores externo o a firmas de consultoría relacionadas con la organización, lo cual podría generar un conflicto de interés, debido a que el Consejo para la Práctica 1312-1: Evaluaciones Externas, expresa claramente que:

Las personas que realizan la evaluación externa se encontrarán libres de obligaciones o intereses respecto de la organización cuya actividad de auditoría interna está siendo sujeta a una evaluación externa, o de su personal. El DEA, en consulta con el consejo de administración, tendrá en cuenta los siguientes aspectos referidos a la independencia cuando seleccione al revisor o equipo de revisión externo cualificado e independiente:

Cualquier conflicto de intereses real o aparente de las firmas que proporcionan:

• La auditoría externa de los estados contables.
• Servicios de consultoría significativos en las áreas de gobierno, gestión de riesgos, información financiera, control interno y otras áreas relacionadas.
• Asistencia a la actividad de auditoría interna. La significatividad y cantidad de trabajo desempeñado por el proveedor de servicios profesionales debe tenerse en cuenta en la deliberación.

¿Qué características debe tener un revisor adecuado?

Solicite un perfil de cada una de las personas que formaran el equipo de revisión y asegúrese que los mismos posean las siguientes características:

Integridad: Requiere que los revisores sean honestos y francos dentro de los límites de la confidencialidad.

Objetividad: Es un estado mental y una cualidad que da valor a los servicios de los revisores.

Competencia: Ser auditor interno profesional certificado, que posea conocimientos actualizados y profundos de las Normas. Exija que todos los miembros del equipo de revisión sean CIA’s.

Experiencia: Cada miembro debe tener al menos tres años de experiencia reciente en el ejercicio de auditoría interna.

Actualización: Todo el equipo debe encontrarse bien familiarizado con las mejores prácticas de la profesión.

Noticia de Interés: Circular Programa Aseguramiento Calidad

Muchos colegas auditores internos de Perú visitan diariamente este Blog, por lo que estoy completamente seguro que esta noticia les será de mucho interés, la Circular No. G. 161-2012 de la Superintendencia de Banca, Seguro y AFP de Perú de fecha 27 de enero del 2012, requiere a las entidades reguladas:

Programa de Aseguramiento y Mejora de la Calidad (PAMC)

Las empresas deberán contar con un programa de aseguramiento y mejora de la calidad de la función de auditoría interna, de acuerdo a las normas 1300, 1311 y 1312. Dicho programa deberá incluir evaluaciones internas y externas.

Evaluaciones Internas

Las empresas deberán realizar un monitoreo permanente, y realizar evaluaciones internas periódicas, cuando menos anualmente, del desempeño de la función de auditoría interna, de acuerdo a las normas 1300 y 1311.

En el caso del servicio de auditoría de sistemas, las evaluaciones internas deberán tomar en cuenta el cumplimiento de las directrices de auditoría emitidas por ISACA.

Evaluaciones Externas

Las evaluaciones externas a las que hace referencia las normas 1300 y 1312, deben ser realizadas al menos una vez cada cinco años.

Las evaluaciones externas serán realizadas por un revisor o equipo de revisión, que acredite contar el conocimiento y experiencia requerida, que no se encuentre relacionado con la empresa mediante vínculos de gestión o propiedad y que no haya realizado actividades de consultoría a la empresa en temas relacionados con la función de auditoría interna durante los dos años anteriores al inicio de la revisión.

Plan de Auditoría

El programa de aseguramiento y mejora de la calidad, tratándose de la evaluación interna, deberá formar parte del Plan Anual de Trabajo de Auditoría Interna.

Disposiciones Importantes

Las evaluaciones internas de la auditoría interna serán requeridas a partir del ejercicio 2013. Tratándose de las evaluaciones externas,  en el caso que las empresas no cuenten con dichas evaluaciones a la fecha de vigencia de la presente circular, la primera evaluación externa deberá ser realizada dentro del año 2014.

En base a está Circular la calidad es obligatoria para los departamentos de auditoría interna de las empresas reguladas por la SBS del Perú, por lo que consideramos que esto representa una oportunidad única de desarrollo para la profesión.

Auditoría Interna y Fraude

En noviembre del 2011, impartimos un entrenamiento en Quito y Guayaquil para el Instituto de Auditores Internos del Ecuador en el cual realizamos un análisis de la Guía para la Práctica IPPF: “Auditoría Interna y Fraude”, el propósito de este estudio es incrementar la conciencia y conocimientos del auditor interno sobre temas relacionados con fraudes y proporcionar pautas sobre como afrontar los riesgos de fraude en el trabajo de auditoría interna.

Este documento contiene en uno de sus Anexos 20 preguntas que los auditores internos pueden realizar regularmente respecto al fraude, a continuación seleccionamos 10:

1.    ¿Tiene su organización una Política de Fraude?

2.    ¿Tiene la organización una línea directa para denuncias de fraude?

3.    ¿El estatuto de auditoría describe los roles y responsabilidades de auditoría interna con respecto al fraude?

4.    ¿Lleva a cabo la gerencia evaluaciones de riesgo de fraude?

5.    ¿Se realizan programas periódicos de concientización y capacitación sobre temas de fraude para todos los empleados?

6.    ¿Hay herramientas automatizadas disponibles para quienes son responsables por prevenir, detectar e investigar el fraude?

7.    ¿Ha incorporado la gerencia controles apropiados para prevenir, detectar e investigar el fraude?

8.    ¿Cuenta la gerencia con las respectivas destrezas requeridas para llevar a cabo una investigación de fraude?

9.    ¿La gerencia y la actividad de auditoría interna evalúan periódicamente la eficacia y eficiencia de los controles anti-fraude?

10. ¿Los papeles de trabajo y documentos soportes de las investigaciones de fraude son debidamente protegidos y retenidos? 

Nota al Margen: Si desean obtener la Guía para la Práctica: Auditoría Interna y Fraude en 

español, solo tienen que contactar al Instituto de Auditores Internos del Ecuador.

Desiderata

Al leer el titulo de este artículo no crea que me he vuelto poeta o que voy a colocar a continuación el famoso poema del escritor norteamericano Max Ehrmann, nada más lejos de la realidad, mi objetivo es presentar una lista de libros, los cuales entiendo  pueden mejorar la calidad de su trabajo. De acuerdo con el Diccionario Panhispánico de Dudas publicado por la Real Academia de la Lengua Española en el 2005, DESIDERATA significa: ‘Conjunto de cosas que se desean’ y, especialmente, ‘lista de libros cuya adquisición se propone en una biblioteca’.

A continuación presentamos el detalle de libros o desiderata:

1. Auditoría Interna: Servicios Aseguramiento y Consultoría

Este libro contiene:

Una cobertura amplia de los procesos de gobierno corporativo, gestión de riesgos y control interno.

Un enfoque de auditoría interna basado en riesgos, y centrado en los procesos y controles.

La integración de TI y los riesgos de fraude, las actividades de control, y la auditoría interna.

La alineación del enfoque del trabajo con el Marco para la Práctica Profesional del IIA.

2. Guía para la Supervisión de Sistemas de Control Interno

El propósito de la guía es apoyar a las organizaciones en la supervisión de la efectividad de sus sistemas de control interno y en tomar las acciones correctivas de forma oportuna cuando sea necesario. Los objetivos de esta Guía de Orientación de COSO son:

Asistir a las organizaciones en la mejora de la efectividad de sus sistemas de control interno.

Ofrecer orientación práctica que ilustre la manera de incorporar la supervisión como parte de los control interno de la organización.

3. Internal Auditing's Role in Risk Management

Este estudio representa el resultado de un análisis proveniente de una encuesta realizada durante dos años, el cual presenta entre otras cosas:

Actividades de gestión de riesgos que los auditores internos están realizando en la actualidad.

Rol del auditor interno en el proceso de gestión de riesgos.

Las destrezas que debe poseer los auditores internos.

Oportunidades para agregar valor para la organización.

4. Gestión Riesgo Organizacional Fraude: Una Guía Práctica

Esta guía recomienda formas a través de las cuales la junta, la alta gerencia y los auditores interno pueden luchar contra el fraude en sus organizaciones. La misma provee especialmente información que sirve como guía profesional a las organizaciones que definen principios y teorías para la gestión de riesgos, y describe como las organizaciones deben establecer su propio sistema para el manejo de riesgos. El libro incluye componentes claves del programa y recursos para una implementación efectiva y eficiente.

5. 10 Key Techniques to Improve Team Productivity

Se necesita realizar esfuerzos diligentes para crear una ambiente de trabajo en el cual el personal alcance su máximo potencial y contribuya al desarrollo de proyectos de auditoría exitosos. Este libro nos enseña como contratar, visualizar, comunicar, manejar, dirigir, delegar, desarrollar, motivar, evaluar y reconocer al equipo de auditores interna que forma parte del Departamento.

¿Sobre quién inciden las evaluaciones de calidad del IIA?

Por Jesús Aisa Díez

En una reciente evaluación de calidad de la Auditoría Interna de una empresa pública española, por parte de su responsable se nos facilitó la documentación requerida para poder efectuar la verificación de los requerimientos formales con los que ejercían su actividad (Estatuto, Código de Ética, Manual de Auditoría, Procedimientos vigentes, Plan de Auditoría, etcétera), todo ello perfectamente reunido en un dossier titulado: Evaluación de calidad del Departamento de Auditoría Interna, lo cual, en forma sintética reflejaba lo que se entendía era el objetivo que había detrás del trabajo que íbamos a desarrollar las personas designadas por el IAI para efectuar dicha evaluación.

Obviamente parte del cometido que desarrollamos lo centramos, necesariamente, a verificar el grado de eficacia y eficiencia de los procesos ejecutados por los Departamentos de Auditoría de las empresas; pero no limitándonos solo eso, pues de ser así estaríamos sobreentendiendo que cualquier debilidad en la operativa seguida en la actividad de auditoría interna sería imputable al Director Ejecutivo de Auditoría (DAE), y a sus colaboradores, lo cual no es acertado, ya que pueden existir debilidades del entorno de control o del gobierno corporativo existente en la organización que, afectando a la utilidad del trabajo de auditoría interna desarrollado, no esté en manos del DAE resolver.

Por ello resulta imprescindible ampliar la supervisión que hay detrás de una Quality Assurence a  la totalidad de la función de auditoría interna contemplada en su conjunto, verificando en este sentido, por ejemplo, si el Gobierno Corporativo aplicado en la empresa evaluada permite que el DAE mantenga el grado de independencia que le es requerido, o si los recursos asignados son los adecuados para incidir en los trabajos  incluidos en el Plan de Auditoría que se derive de una adecuada gestión de riesgos, así como si la relación con la alta dirección y el Directorio responde a lo que las Normas del Marco para la Práctica Profesional del IIA Global señalan, ya que siendo aspectos trascendentes en la operativa real de la función de auditoría interna, o lo que es lo mismo en el valor que esta pueden aportar a las organizaciones, quedan fuera de su capacidad de decisión.

Por ello, cuando se presentan las conclusiones de una evaluación, estos se agrupan en dos grandes grupos: (i) los que afectan a las debilidades que deben ser resueltas por la alta dirección y/o el Directorio y (ii) las que pueden ser superadas dentro del ámbito de decisión del DAE; siendo esta la razón, entre otros motivos, por la que la Norma 1320 señala que el responsable de auditoría interna debe comunicar los resultados del programa de aseguramiento y mejora de la calidad a la alta dirección y al Directorio, de forma que sean estos órganos colegiados los que asuman los planes de remediación que deban asumirse para superar las carencias estructurales o de dependencia observadas, y que se escapan a las posibilidades de actuación del DEA, dejando claro que temas son debidos a ineficiencias imputables a la Unidad de Auditoría Interna y cuáles deben ser considerados para ella imponderables que determinan su operativa, y lo que más grave el valor aportado a la organización.

Es esta clarificación de responsabilidades respecto del posible incumplimiento de las Normas del IIA Global es un aspecto que entendemos fundamental derivado de los Programas de Aseguramiento y Mejora de la Calidad, ya que permitirá al DAE identificarlos  y trasladarlos a las partes interesadas capacitadas de resolverlos, así como de disponer de argumentos objetivos con los que aportar, en su caso, algunas razones que justifiquen determinados procederes.

En resumen, las evaluaciones de calidad deben ser suficientemente amplias para permitir detectar no solo los incumplimientos de las Normas, sino también los motivos por los que estas situaciones se producen, así como los responsables de que eso sea así, ya que no todas ellas son imputables a una mala gestión del departamento de auditoría interna.

Imaginación

Automatización Proceso Auditoría

La evolución de las tecnologías ha traído consigo numerosas aplicaciones que permiten al departamento de auditoría gestionar sus proyectos, implementar papeles electrónicos de trabajo, así como realizar el seguimiento de las incidencias detectadas durante la auditoría.  Mediante el adecuado uso de los diferentes programas que existen en el mercado, podemos aumentar considerablemente el rendimiento de nuestro trabajo, así como garantizar la existencia de un mejor entorno de control interno y manejo de riesgos en nuestras organizaciones.

Las nuevas tecnologías han transformado de radicalmente, la forma en que hemos concebido el trabajo de auditoría interna, debido a que nos permiten emplear una plataforma flexible, integrada y funcional para ejecutar las tareas básicas de cualquier tipo de revisión.

A través de la automatización de los papeles de trabajo los auditores pueden incrementar la eficiencia y productividad, mejorar la calidad del producto del trabajo y agregar valor a la organización, debido a que logran:

1.    Reducir el tiempo invertido en las auditorías. Al automatizar las tareas rutinarias, los auditores internos pueden invertir su tiempo en actividades con valor agregado.

2.    Adaptar el enfoque de trabajo a cualquier estructura, modelo o formato de trabajo (COSO, CoCo, CSA, etc.)

3.    Focalizar adecuadamente el tiempo invertido por los auditores en análisis, interpretación y preparación de recomendaciones.

4.    Estandarizar el proceso de auditoría, debido al uso de formatos, presentaciones y explicaciones de marca comunes.

5.    Flexibiliza el trabajo, debido a que con una misma herramienta se pueden realizar diversos tipos de revisiones, tales como auditorías operativas, de cumplimiento y de sistema de información.

6.    Provee acceso a literatura técnica actualizada.

7.    Incrementa el seguimiento del trabajo realizado por el equipo, debido a que podemos supervisar en línea y en tiempo real el:

Estatus de cada proyecto

Comparar el tiempo actual con el presupuestado

Determinar el tiempo invertido por auditor y por actividad

Añadiendo valor a la identificación y evaluación de riesgos

Por Juan Alberto Villanueva Chang

El rol del auditor interno en la gestión de riesgos se precisa en el documento emitido por el  IIA  “Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management” , publicado el 2009. Este ratifica la vigencia del tema ya divulgado en una publicación conjunta por  la organización COSO, el IIA de EE.UU. y el IAI del Reino Unido e Irlanda en el 2004.

Es sin duda un texto obligado de consulta para avanzar hacia un enfoque de auditoría basada en riesgos, dando por descontado el conocimiento que se debe tener del grado de madurez de la gestión de riesgos en su organización.

Como se resalta en el escrito antes señalado,  el verdadero rol que le compete al auditor interno en la gestión de riesgos es:

• Brindar aseguramiento sobre el proceso de gestión de riesgos y que sean evaluados correctamente
• Evaluar los procesos de gestión de riesgos,  el manejo y los reportes de riesgos claves

El mismo texto añade como roles legítimo para actuar , previa salvaguardas de la dirección, lo siguiente:

• Facilitar la identificación y evaluación de riesgos
• Asesorar a la dirección para dar respuesta a los riesgos
• Coordinar las actividades de gestión de riesgos
• Contribuir a consolidar los reportes sobre riesgos
• Colaborar con el mantenimiento y desarrollo de la gestión de riesgos
• Desarrollar estrategias de gestión de riesgos para aprobación de la Junta

Sin temor a equivocarnos, se experimenta una conducta casi generalizada cuando el auditor, para desarrollar su trabajo, al momento de solicitar información sobre la identificación y evaluación de riesgos  a los responsables (dueño del proceso o unidad de riesgos). Se suele recibir datos imprecisos o carecen de valor para los fines pertinentes.