Cosas que debemos hacer

Un buen consejo de Eleanor Roosevelt - Defensora de los derechos sociales, diplomática y escritora estadounidense, esposa del presidente de Estados Unidos Franklin D. Roosevelt.

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

La opinión graduada (Segunda Parte)

Por José Luis Herreros Barbadillo, CIA, CRMA

4. Complejidad para aplicar las escalas

Los equipos de fútbol de primera división se clasifican, de forma simple, en:

Equipos que jugarán competiciones europeas.

Equipos de la zona media de la tabla.

Equipos que descenderán de categoría.

Esta clasificación se realiza en función de los partidos ganados, perdidos o empatados. Si se utilizaran más criterios (penalización de presupuestos elevados, fomento de la deportividad,...) la clasificación “combinada” sería más difícil de aplicar y el resultado podría cambiar.

Esta dificultad la encontramos a la hora de emitir el juicio auditor: por lo general, hay que valorar múltiples factores.

Imaginemos una política de calificación basada en:

la evaluación de los procedimientos existentes (lo que hay que hacer).

el análisis del control interno (cómo se hace).

la eficiencia del uso de los recursos disponibles (¿se hace económicamente?).

las incidencias detectadas (qué ha fallado).

El rango de posibles calificaciones a otorgar podría ser “Sobresaliente”, “Notable”, “Aprobado”, “Insuficiente” o “Muy deficiente”.

La opinión graduada (Primera Parte)

Por José Luis Herreros Barbadillo, CIA, CRMA

1. El informe de auditoría

El trabajo de auditoría es como un iceberg: sólo es visible una pequeña parte del total.

En nuestro caso la parte perceptible es el informe. En él se expone el diagnóstico de una situación y se formulan recomendaciones o en requerimientos, dependiendo del menor o mayor nivel de exigencia, que se materializarán en planes de acción.

El trabajo del auditor es juzgado por la calidad de su informe y por el valor que aporta a sus destinatarios o usuarios (departamentos o procesos auditados, alta dirección, órganos de gobierno, legisladores, supervisores,...), quienes se formulan la siguiente pregunta: ¿cómo está esto?

El auditor aportará valor en la medida en que ofrezca respuesta a dicha pregunta.

La extensión y profundidad de la respuesta ofrecida dependerá del tipo de usuario. La actividad profesional diaria se caracterizada por el exceso y complejidad de la información disponible y por la escasez de tiempo para gestionarla. No podemos abrumar al destinatario al más alto nivel con detalles irrelevantes. De nada sirve que hayamos redactado un informe de cientos de páginas si no proporciona una respuesta muy concreta a la fatídica pregunta.

Un método para ofrecer mucha información con pocas palabras es la utilización de escalas, clasificaciones o ratings.

¿Cómo está esto? Mal - Regular - Bien

2. Calificaciones

Calificar es apreciar o determinar las calidades o circunstancias de alguien o de algo y expresar o declarar este juicio1.

La auditoría también consiste en expresar un juicio u opinión (sobre unos estados financieros, un proceso, una actividad, un departamento, un control interno,...). Por tanto, la calificación es inherente a la actividad de auditoría interna.

La calificación implica otros dos conceptos importantes: la clasificación y la comparación.

Al calificar hechos similares (o uno mismo en diferentes periodos de tiempo) podemos clasificarlos, es decir, ordenarlos y agruparlos en bloques homogéneos y compararlos, estableciendo que algunos de ellos son peores, iguales o mejores que el resto.

A las personas nos gusta calificar, clasificar y comparar cualquier aspecto de nuestra vida diaria, utilizando para ello innumerables escalas o ratings. Por ejemplo:

 

Dar un paso más

El librito de instrucciones para la vida, del autor H. Jackson Brown, dice que la perseverancia tiene dos reglas: “Regla N° 1: Da un paso más. Regla N° 2: Cuando no puedas dar un paso más, vuelve a la Regla N° 1”. Para lograr el éxito, tendrás que hacer más, más de lo que querrías hacer, más que tus competidores, más de lo que te crees capaz. Debemos dar un paso más allá:

Haga más que pertenecer: Participe.

Haga más que preocuparse: Ayude.

Haga más que creer: Ponga en práctica.

Haga más que perdonar: Olvide.

Haga más que soñar: Esfuérzate.

Haga más que dar: Sirva.

Haga más que existir: Viva.

Haga más que tocar: Sienta.

Haga más que mirar: Observe.

Haga más que leer: Asimile.

Haga más que oír: Escuche.

Haga más que escuchar: Entienda.

Haga más que pensar: Reflexione.

Haga más que hablar: Actué.

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Apetito y Tolerancia Riesgo

El apetito de Riesgo y la Tolerancia al Riesgo son dos términos ampliamente usados, pero pueden ser fácilmente mal entendidos. Es por esta razón que a continuación compartimos algunos comentarios respecto a estos elementos que debemos tener en cuenta los auditores internos al evaluar la efectividad de un sistema de gestión de riesgos:

Apetito de Riesgo es una ponderación de alto nivel de cuánto riesgo la administración y la Junta están dispuestos a aceptar en el logro de sus metas. Características principales:

·         La Gerencia y la Junta deben formular el apetito al riesgo a nivel de entidad

·         Las compañías pueden expresar su apetito al riesgo como el equilibrio aceptable del crecimiento, los riesgos y el retorno, o como una medida de valor agregado a los accionista ajustada al riesgo.

·         El apetito se puede definir mediante el uso de un mapa de riesgos.

·         Entidades, tales como organizaciones sin fines de lucro, expresan su apetito al riesgo como el nivel de riesgo que ellos aceptarían al proporcionar valor a sus partes relacionadas.

Develando Mitos y Realidades Sobre la Auditoría Continua

Robert Mainardi en su libro Continuous Auditing: Harnessing the Power of Continuous Auditing (Auditoría Continua: Aprovechando el Poder de la Auditoría Continúa) nos enseña que existen malos entendidos sobre el uso de la auditoría continua los cuales deben ser aclarados:

Mito: La auditoría continua debe ser automatizada.

Realidad: La auditoría continua puede ser tanto manual como automatizada.

Mito: La auditoría continua requiere que los auditores internos estén demasiado tiempo en las unidades de negocio y esto causa muchas interrupciones a los clientes.

Realidad: La auditoría continua, cuando es implementada correctamente causa menos interrupciones a los clientes que las auditorías regulares.

Mito: La auditoría continua consume mucho tiempo y es difícil de implementar.

Realidad: La auditoría continua no es difícil de implementar si los objetivos de cómo la metodología será usada son claros y se comunican correctamente al equipo de auditoría.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

Cosas que debes cuidar

Cuida tus pensamientos
porque se volverán palabras.

Cuida tus palabras
porque se transformarán en actos.

Cuida tus actos
porque se harán costumbre.

Cuida tus costumbres
porque forjarán tu carácter.

Cuida tu carácter
porque formará tu destino.

y tu destino, será tu vida.

Fuente: Mahatma Gandhi

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Plan Anual de Auditoría Basada en Riesgos: Guía práctica para su implementación

Juan Villanueva Chang

Elaborar un plan anual de auditoría es un reto importante para los profesionales en auditoría así como para fortalecer las relaciones con los stakeholders. Tradicionalmente esta labor consistía en identificar unidades organizacionales con mayor impacto según el valor o volumen de transacciones en los estados financieros o de acuerdo a apreciaciones de  los auditores. Hoy en día, diseñar un plan anual de auditoría se debe centralizar en aquellas áreas de negocios o procesos significativos respecto al tipo de riesgo que enfrenta la empresa.

La experiencia nos señala que existen otros elementos a tener cuenta son:

• La capacidad operativa y competencias del equipo de auditores para el tema seleccionado para auditar.
• Complejidad de la materia a auditar y oportunidad en la obtención de la información (Acceso a aplicativos TI).
• Precisión respecto al énfasis que tendrá la revisión respecto a los objetivos de control interno (Operaciones, fiabilidad de reportes y cumplimiento).
• En algunos casos se recoge sugerencias de los clientes.
• Cantidad de unidades o procesos que conforman el universo de la materia auditable de la organización.

Pistas de Auditoría de Bases de Datos

Jorge Salazar Heredia, CISA, CIA

Las Pistas de Auditoría o “Audit Trail” son un conjunto de transacciones que reflejan los cambios hechos a una base de datos. A partir del análisis de esta información se puede llegar a determinar la forma en la que los datos o elementos obtuvieron su valor actual. Son un componente fundamental para la implementación del “accountability” o rendición de cuentas.

En una base de datos de una aplicación estándar de una organización, se pueden generar pistas de auditoría para:

• Conexiones a la base de datos.
• Modificaciones al modelo de datos.
• Modificaciones a los datos.

Las pistas de auditoría, al contrario de lo que se podría suponer por su nombre, no son de utilidad únicamente para el auditor. El uso más provechoso es para proactivamente monitorear la seguridad de la base de datos. Esto puede ser realizado por el administrador de la base de datos o por usuarios finales de las aplicaciones, dependiendo de la forma en la que éstas sean presentadas y la facilidad para su uso y consulta.  

En una base de datos es posible definir distintos tipos de pistas de auditoría, cada una de ellas con diferente costo de almacenamiento, costo de implementación, facilidad de uso, etc. La definición del tipo de pistas de auditoría a utilizar depende de la organización, la criticidad de los datos y los estándares de seguridad establecidos. Los tipos de pistas de auditoría que encontramos en una base de datos son los siguientes:

a.    Logs de base de datos: generalmente provistas con opciones que se configuran directamente en la base de datos (dependiendo del motor) e incluyen acciones como auditoría de sentencias, auditoría de privilegios y auditoría de objetos de la base de datos. La información generada se guarda en archivos propios de la base de datos. Es una opción costosa en recursos de almacenamiento y para revisar la información generada usualmente se requieren recursos adicionales tales como una herramienta para identificar y monitorear los eventos verdaderamente críticos.  

El Arma Más Poderosa

A continuación compartimos una frase de Ferdinand Foch, Comandante en jefe de la Armada Aliada en la I Guerra Mundial, la cual nos demuestra que el ser humano tiene la capacidad de lograr cualquier cosa que se proponga:  

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Revisión de Recomendaciones

Por José Luis Herreros Barbadillo, CIA, CRMA
 
Las Normas Internacionales para la Práctica Profesional de la Auditoría Interna establecen:

2500.A1 – El director de auditoría interna debe establecer un proceso de seguimiento para vigilar y asegurar que las acciones de la dirección hayan sido implantadas eficazmente o que la alta dirección haya aceptado el riesgo de no tomar medidas.

Para ello, una vez transcurrido un tiempo razonable, desde la emisión de un informe de auditoría, normalmente entre 8 y 15 meses, se debe revisar el grado de cumplimiento de las recomendaciones propuestas.

Es conveniente que esta revisión se realice por el mismo equipo de auditores que realizó la auditoría inicial.

Del resultado de la revisión se puede redactar un informe en el que se relacionen cada una de las recomendaciones efectuadas y, a continuación, el resultado de las comprobaciones sobre su cumplimiento.

Para que resulte más intuitiva, cada explicación puede ir precedida de un semáforo, que indicará el grado de cumplimiento de la recomendación:

Alto

Medio

Bajo

Diferencia Entre Auditoría Continua y Monitoreo Continuo

La diferencia principal fundamental radica en quien es el dueño y el objetivo del proceso.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

¿Cuál es tu destino?

El destino (también llamado fátum, hado o sino) es para muchas personas un poder sobrenatural inevitable e ineludible que, según creen, guía la vida humana y la de cualquier ser a un fin no escogido. Sin embargo yo creo todo lo contrario y como buen auditor pienso que para tener control de nuestro destino tenemos que dar un paso al frente y salir a lograr nuestras metas.

El destino no es una cuestión de casualidad. Es una cuestión de elección. No es algo a lo que esperar, sino algo para ser alcanzado. Por lo que debe de trazarse objetivos claramente definidos, recuerde que los objetivos no son un destino, son una dirección. No son órdenes,   son compromisos.

No determinan el futuro; son medios para movilizar los recursos y la energía, capaces de crear el futuro. Las personas que consiguen grandes resultados, raramente se sientan a esperar que las cosas sucedan. Salen ahí afuera y hacen que las cosas sucedan.

Para finalizar compartimos una frase de Carlos Ruiz Zafón (Escritor español y autor de "La sombra del viento", uno de los best sellers más destacados de la literatura reciente):

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

Inspiración

Pablo Ruiz Picasso (1881-1973) fue un pintor y escultor español, creador, junto con Georges Braque y Juan Gris, del movimiento cubista. Es considerado uno de los mayores artistas del siglo XX. Picasso tenía una idea magnifica sobre la inspiración:

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!