miércoles, 27 de febrero de 2013

Y por último el Gobierno Corporativo

Jesús Aisa Díez

A través de las interesantes opiniones que a lo largo de estos años han ido aparecido en el blog, hemos tenido oportunidad de familiarizarnos y profundizar en múltiples aspectos que afectan al desarrollo de la auditoría interna, posibilitándose así un mejor desempeño por parte de los profesionales que la realizamos, puesto que los temas descritos se basan en las regulaciones y normas que nos afectan, así como en las posibles mejores prácticas a emplear en la ejecución de los Planes de Auditoría.

Sin embargo, posiblemente porque es un tema en el que Auditoría Interna suele pasar de puntillas en casi todas las Organizaciones, no ha sido objeto de un tratamiento habitual uno de los objetivos básicos auditables. Me refiero al Gobierno Corporativo.

Recordemos que hemos tratado de las distintas formas de gestionar los riesgos, los controles, las características personales y profesionales de los auditores, la forma de evaluar la calidad de la función, de la utilidad del empleo de técnicas de auditoría asistidas por ordenador, de los monitoreos continuos, del contenido y formato de los informes de auditoría, etcétera, etcétera; pero poco sobre cómo actuar frente a las debilidades del Gobierno Corporativo, que recordemos, junto con el de riesgo y control, constituyen los tres procesos a los que auditoría interna ha de prestar atención a fin de evaluarlos y contribuir a su posible mejora.

Pero antes de seguir, creo que lo principal es acordemos qué debemos entender por Gobierno Corporativo, o mejor dicho por un buen Gobierno Corporativo.

Una forma clara de definirlo es la que recoge la OCDE, enunciándolo como: Conjunto de relaciones entre la administración de la empresa, su consejo de administración, sus accionistas y otras partes interesadas. Proporcionando también la estructura a través de la que se fijan los objetivos de la compañía y se determinan los medios para alcanzar esos objetivos y supervisar el desempeño. Entre ellas las reglas que regulen las relaciones de poder entre los propietarios, el consejo de administración, la administración y las partes interesadas tales como: los empleados, los proveedores, los clientes y el público en general. Todo ello con el objetivo de:

  • Proteger los derechos de accionistas.
  • Asegurar el tratamiento equitativo para todos los accionistas, incluyendo a los minoritarios y a los extranjeros
  • Todos los accionistas deben tener la oportunidad de obtener una efectiva reparación de los daños por la violación de sus derechos.
  • Reconocer los derechos de terceras partes interesadas y promover una cooperación activa entre ellas y las sociedades en la creación de riqueza, generación de empleos y logro de empresas sustentables.
  • Asegurar que haya una revelación adecuada y a tiempo de todos los asuntos relevantes de la empresa, incluyendo la situación financiera, su desempeño, la tenencia accionaria y su administración.
  • Asegurar la guía estratégica de la compañía, el monitoreo efectivo del equipo de dirección por el consejo de administración y las responsabilidades del Consejo de Administración con sus accionistas.

Tal y como se recoge en el siguiente esquema elaborado hace ya algún tiempo por Deloitte.
El propio Marco para la Práctica profesional de Auditoría Interna, en su Norma 2110 señala que la actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno. En este objetivo entendemos preciso que los responsables de las Unidades de Auditoría deberían apoyarse en los Códigos de Buen Gobierno que les sean de aplicación dentro de sus ámbitos de actuación, evaluando el  grado de aplicación real, en el entorno de sus organizaciones, de las mejores prácticas en ellos recomendadas.

lunes, 25 de febrero de 2013

Auditando Aplicaciones que soportan un Proceso de la Organización

Jorge Salazar Heredia, CISA, CIA

En un artículo anterior (“Aptitudes del auditor interno respecto a las tecnologías de información”) vimos que la auditoría interna basada en riesgos exige la utilización del enfoque basado en procesos de la organización, entendiéndose un proceso como “un conjunto de actividades interrelacionadas, o que interactúan para transformar entradas en salidas”. Un proceso tiene un propósito, un alcance determinado, entradas, salidas, controles y recursos. Recursos de vital importancia para los procesos de la organización son los proporcionados por las tecnologías de información, de manera directa las aplicaciones informáticas que lo soportan.

Por otro lado, los controles de las tecnologías de la información que se aplican en los procesos, pueden ser de dos tipos: controles generales de tecnologías de información y controles de aplicación. En el mismo artículo concluimos que la frontera de los controles de aplicación es la funcionalidad y seguridad intrínseca de la aplicación, y la integridad de los datos contenidos en la base de datos. En base a lo anterior presentamos ahora un esquema de los temas a considerar al realizar una auditoría a una aplicación que soporta un proceso de la organización.

Para empezar, esta revisión debe formar parte de una auditoría que se ejecuta sobre el proceso en cuestión, dentro de cuyo alcance se incluye la aplicación que soporta el proceso. Es recomendable que el auditor a cargo de la revisión sea uno cuya responsabilidad fundamental no es la auditoría de tecnología de la información, primordialmente que conozca el proceso y que tenga destreza en la utilización de técnicas de análisis de datos. De no contar este personal con la experiencia y conocimientos requeridos, la revisión debería realizarse con el apoyo de un auditor de tecnologías de información.

sábado, 23 de febrero de 2013

¿Qué tiempo toma realizar algo imposible?

David Ben-Gurión, Fundador del estado de Israel, en cierta ocasión afirmo:

"Las cosas difíciles las hacemos inmediatamente, las imposible tardamos un poco más."

En palabras de Dan Brown, reconocido escritor estadunidense:
¿Te han gustado las frases? ¡Compártelas con otro auditor interno!

viernes, 22 de febrero de 2013

Oficio Auditor Interno Consejo No. 4 Arriésguese a decir la verdad

Cuando en el trabajo se detecte una situación, que podría ser considerada critica para el negocio asegúrese que el informe de auditoría interna presente los hechos y que los hechos sean verdad. Necesitamos desarrollar auditores internos con el coraje de Mahatma Gandhi quien dijo: “Ayúdame Señor a decir la verdad delante de los fuertes. Y a no decir mentiras para ganarme el aplauso de los débiles”.  La palabra “coraje” es muy interesante. Proviene de la raíz latina, “COR”, que quiere decir corazón, por tanto, ser valiente significa vivir con corazón. El camino del corazón es el camino del coraje. 

Nuestro compromiso con nuestra organización y con la sociedad en  general requiere que nuestros auditores sean:

·         Personas con gran integridad, comprometidos con el desarrollo de una organización perdurable.
·         Auténticos líderes que posean un profundo sentido de propósito y que sean fieles a sus valores principales. 
·         Profesionales con el coraje para ayudar a su empresa a cumplir con los requerimientos y normas éticas, que contribuyan diariamente a   fortalecer las buenas prácticas de negocio.

miércoles, 20 de febrero de 2013

La función auditora básica en la supervisión

Jesús Aisa Díez.

En un arco de medio punto todas las piezas que lo componen son imprescindibles para conseguir la adecuada distribución de las fuerzas que han de soportar, pero de ellas la que cierra el conjunto por su parte superior, la denominada clave, es  básica para conseguir el objetivo perseguido, siendo la última en colocarse y con la que finaliza su construcción.
Algo similar ocurre con el Control Interno y la Auditoría Interna, pues como ya hemos comentado en otras ocasiones: No podrá haber un buen Control Interno si no existe un adecuado Gobierno Corporativo, mientras que éste no será posible si la Organización no cuenta con una Comisión de Auditoría que realice con eficacia su función, para lo cual  precisará de una función de auditoría interna que le apoye activa y fehacientemente en la realización de sus responsabilidades. Entre ellas la Supervisión del modelo de control aplicado,  que resultará clave para valorar y concluir sobre la situación real observada, aportando las recomendaciones de mejora que se entiendan oportunas proponer. Siendo esta actividad verificadora con la que se completa el proceso.

Debido a ello, múltiples son los protocolos que describen la forma de gestionar esta actividad, de los que destacaríamos la Guía para la Supervisión de Sistemas de Control Interno emitido por COSO en el año 2010,  que nos ayuda a desarrollar en forma integra la verificación de todo el sistema empleado, comprobando las distintas fases que en él deben intervenir. Tal y como se recoge en el siguiente gráfico:  
                  
Pero si del total del Sistema de Control Interno, descendemos a los distintos objetivos individuales que lo componen: (i) Fiabilidad de la información, (ii) cumplimiento de leyes y normas y (iii) eficiencia y eficacia de las operaciones, podremos observar que donde los reguladores se han centrado en forma predominante ha sido en la supervisión de la información financiera. Prueba de ello es la Ley Sarbanes-Oxley, cuyo fin es garantizar la fiabilidad de los EEFF de las sociedades cotizadas en la Bolsa de NY, de cuyo contenido destacaríamos, por lo que a la función de auditoría interna se refiere, las Secciones 302 y 404.

Dado que Sarbanes-Oxley solo afecta legalmente a las sociedades que coticen sus acciones en Wall Street, los supervisores de otros países se han visto “obligados” a recoger en sus ordenamientos jurídicos o en sus recomendaciones como mejores prácticas, versiones nacionalizadas de la misma. Un ejemplo de ello es la publicación de la Comisión Nacional del Mercado de Valores española, referente al Control Interno de la Información Financiera en las entidades cotizadas (SCIIF) en las bolsas españolas, encontrándose  entre sus objetivos los siguientes:

a)   Establecer un marco de referencia de principios y buenas prácticas relativas a los Sistemas de Control Interno de la Información Financiera, incluyendo la supervisión de su funcionamiento.

b)   Contribuir a mejorar la transparencia de la información que las entidades cotizadas difundan a los mercados de valores sobre su SCIIF.

Aun siendo varios los aspectos destacables de esta publicación, como anticipo de los mismos, y en lo que a la actividad supervisora se refiere, a continuación reproducimos los 16 aspectos que permitirán a las partes interesadas posicionarse sobre el grado de control existente en la Organización, y que podrían emplearse como  KRI´s al valorar la transparencia y bondad de la información financiera difundida a los mercados:

Respecto del ambiente de control: Se haría necesario conocer:

1.  Qué órganos y/o funciones son los responsables de: (i) la existencia y mantenimiento de un adecuado y efectivo SCIIF; (ii) su implantación; y (iii) su supervisión.

2.    Qué departamentos y/o mecanismos están encargados: (i) del diseño y revisión de la estructura organizativa; (ii) de definir claramente las líneas de responsabilidad y autoridad, con una adecuada distribución de tareas y funciones; y (iii) de que existan procedimientos suficientes para su correcta difusión en la entidad, en especial, en lo relativo al proceso de elaboración de la información financiera.

3. Si existen, especialmente en lo relativo al proceso de elaboración de la información financiera, los siguientes elementos:

o   Código de conducta, órgano de aprobación, grado de difusión e instrucción, principios y valores incluidos (indicando si hay menciones específicas al registro de operaciones y elaboración de información financiera), órgano encargado de analizar incumplimientos y de proponer acciones correctoras y sanciones.

o   Canal de denuncias, que permita la comunicación al comité de auditoría de irregularidades de naturaleza financiera y contable, en adición a eventuales incumplimientos del código de conducta y actividades irregulares en la organización, informando en su caso si éste es de naturaleza confidencial.

o   Programas de formación y actualización periódica para el personal involucrado en la preparación y revisión de la información financiera, así como en la evaluación del SCIIF, que cubran al menos, normas contables, auditoría, control interno y gestión de riesgos.

Respecto de la evaluación de riesgos de la evaluación financiera:

4. Cuáles son las principales características del proceso de identificación de riesgos, incluyendo los de error o fraude, en cuanto a:

  • Si el proceso existe y está documentado.
  • Si el proceso cubre la totalidad de objetivos de la información financiera,
  • (existencia y ocurrencia; integridad; valoración; presentación, desglose y comparabilidad; y derechos y obligaciones), si se actualiza y con qué frecuencia.
  • La existencia de un proceso de identificación del perímetro de consolidación, teniendo en cuenta, entre otros aspectos, la posible existencia de estructuras societarias complejas, entidades instrumentales o de propósito especial.
  • Si el proceso tiene en cuenta los efectos de otras tipologías de riesgos
  • (operativos,tecnológicos,financieros,legales,reputacionales,medioambientales etc.) en la medida que afecten a los estados financieros.
  • Qué órgano de gobierno de la entidad supervisa el proceso.

lunes, 18 de febrero de 2013

Reflexiones sobre auditoría interna basada en riesgos

Juan Villanueva Chang
De acuerdo a recientes encuestas para adoptar el nuevo enfoque de auditoría interna basada en riesgos, está más claro que el auditor debe utilizar preferentemente la identificación y evaluación de riesgos realizada por la administración.

El surgimiento de este cambio metodológico quizá se deba a lo que se señala en el segundo párrafo de la definición de auditoría interna por el IIA: …..“Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”.

De acuerdo a esta definición la gestión de riesgos, control y gobierno son responsabilidad de la organización, auditoría interna evalúa el cumplimiento de los objetivos, políticas y procedimientos de la gestión de riesgos, control y gobierno.

¿Qué se entiende por auditoría interna basada en riesgos?

sábado, 16 de febrero de 2013

¿Qué es el fracaso?

El fracaso no es más que el resultado inevitable de pequeños actos cotidianos de negligencia realizados constantemente hasta que te llevan a un punto sin retorno.
¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

viernes, 15 de febrero de 2013

Oficio Auditor Interno Consejo No. 3: Realice su trabajo con entusiasmo

El entusiasmo es un factor crítico en la realización exitosa de cualquier asignación, es un ingrediente fundamental para llevar a cabo cada tarea. El entusiasmo es el combustible que enciende el motor en nuestro viaje hacia la búsqueda de la excelencia. No dejes apagar el entusiasmo, virtud valiosa como necesaria; trabaja, aspira, tiende siempre hacia la altura.

La palabra entusiasmo proviene etimológicamente del latín enthusiasmus, y este del griego ἐνθουσιασμός, que significa tener un Dios dentro de sí (estar inspirado por Dios). Los antiguos griegos creían que el entusiasmo era un don del cielo, o sea, una suerte recibida que conviene proteger.

Ahora bien, apliquemos este término a nuestro trabajo:

¿Cómo ve usted su trabajo?

¿Qué representa para usted el trabajo?

“El trabajo es amor hecho visible”
Kahlil Gibran

miércoles, 13 de febrero de 2013

Nueva edición del Marco Internacional para la práctica profesional de la Auditoría Interna

Jesús Aisa Díez
Recientemente el IAI España ha editado en español la nueva versión del Marco que sirve de referencia obligada para el ejercicio de la profesión, en la que se modifican algunos aspectos recogidos en la versión anterior, la del año 2011. Debiendo señalar que, en mi opinión, estos no son de mucho calado, pues los cambios introducido son fundamentalmente de redacción de algunas Normas y la inclusión de tres nuevos Consejos, en concreto: el CP 1312-3, el 1313-4 y el 2320-2, referidos los dos primeros a la independencia exigible a todos los miembros de los equipos de evaluación de calidad respecto de las organizaciones evaluadas, bien sean estas empresas privadas o públicas,  con las que no se podrá tener, incluso de forma aparente, ningún conflicto de interés; en tanto que la 2320-2 se centra en la conveniencia de descender en el análisis de los trabajos hasta el conocimiento del origen de las causas que originen los eventos adversos.

Para un conocimiento en detalle de las modificaciones introducidas en dicho Marco sugerimos consultar el enlace: Normas Internacionales de Auditoría Interna 2013 dentro de la página web del IAI España, ya que en él se puede analizar el nuevo Marco con control de cambios, observándose fácilmente las rectificaciones  realizadas.

Reconociendo la oportunidad de estos nuevos Consejos para la Práctica, desde mi perspectiva echo en falta el que no se haya matizado convenientemente todavía la Norma 2020, que recordemos se refiere a la Comunicación y Aprobación de los Planes de Auditoría por parte de la alta dirección y del Consejo, ya que, con su actual redacción, podría dar cabida a actuaciones inapropiadas en la forma que seguidamente exponemos.

martes, 12 de febrero de 2013

Smart Audit: Cómo Hacer Más Eficiente su Departamento de Auditoría

Por quinta ocasión y por segundo año consecutivo hemos sido invitados para participar como expositor en el prestigioso Congreso Latinoamericano de Auditoría Interna y Evaluación de Riesgos (CLAIN), el cual será realizado por la Federación Latinoamericana de Bancos (FELABAN) en la Ciudad de Panamá en mayo de este año. Para mayor inforamción sobre el congreso visite: www.clainpanama2013.com.

Para este magno evento tenemos planificado desarrollar el siguiente tema:
Tenga presente que ser eficientes como profesionales de la auditoría interna y como Departamento no es una elección en el mundo de hoy: es imprescindible para alcanzar el éxito. Sin lugar a dudas que para sobrevivir, prosperar, innovar, sobresalir y liderar en esta nueva realidad nos exigirá aumentar la eficiencia, la efectividad, productividad y calidad de los servicios ofertados a nuestros clientes, debemos de ir más allá. La eficiencia es la habilidad de aplicar todas nuestras energías físicas y mentales para solucionar los problemas que enfrentamos diariamente en la realización del trabajo de auditoría interna.

lunes, 11 de febrero de 2013

32 Criterios Medición Desempeño Función Auditoría Interna

Las siguientes son algunas medidas que usted puede emplear para determinar la calidad y el rendimiento de su Departamento de Auditoría Interna en diversas áreas del trabajo:


Básicas
1.    Número Auditorías Planificadas.
2.    Número Auditorías Completadas.
3.    Utilización Personal: Tiempo Directo e Indirecto.
4.    Auditorías completadas por auditor.
5.    Ciclo Tiempo Informe: Desde conferencia inicio hasta terminación trabajo de campo y tiempo desde terminación trabajo de campo hasta emisión  informe.
6.    Número informes emitidos versus auditorías planificadas.
7.    Encuesta Satisfacción Cliente.
8.    Encuesta Satisfacción Personal.
9.    Número de hallazgos importantes.
10. Porcentaje recomendaciones implementadas
11. Número de hallazgos abiertos con fecha de implementación vencida.
12. Número de opiniones de auditoría insatisfactorias

Servicios Partes Relacionadas
1.    Repuesta requerimientos especiales.
2.    Tiempo respuesta requerimientos gerencia.
3.    Número de Secciones de AEC realizadas.
4.    Cantidad de auditores por 1,000 empleados.
5.    Cantidad de auditores por $1MM de ingresos / $1MM de activos.
6.    Auditorías terminadas versus planificadas.
7.    Monto ahorros como % gasto del departamento.
8.    Número requerimientos gerenciales.
9.    Número comités y equipos de trabajo que auditoría interna es miembro.
10. Cantidad de ahorros detectados y porcentaje de recuperación.

sábado, 9 de febrero de 2013

viernes, 8 de febrero de 2013

Oficio Auditor Interno Consejo No. 2: Perseverancia

Es fantástico ser auditor interno y una de las grandes ventajas que ofrece este oficio es que, por lo general los departamentos de auditoría son estructurados de forma horizontal. ¿Qué quiere decir esto?

Que dependiendo del tamaño del departamento, en el mismo puede haber uno o más gerentes o supervisores; varios seniors de auditoría; y una buena cantidad de encargados. Ahora bien, ¿Quiénes tienen más éxito en este tipo de estructura?

La respuesta es sencilla: La auditoría interna es para profesionales perseverantes y dedicados. Por lo que mi consejo de está semana es: Cultiva la autodisciplina. La primera persona a la que tienes que dirigir eres tú mismo. Haz lo que tengas que hacer en el momento preciso y sin excusas. No importa los talentos o dotes que posea una persona, nunca alcanzará su potencial máximo sin la autodisciplina. Desarrolla una lista de prioridades y cúmplelas, haz un estilo de vida disciplinado. Predique con el ejemplo.

Créame lo he visto muchas de veces, la siguiente afirmación es un axioma:
El ex-presidente norteamericano Calvin Coolidge dijo: “En el mundo, nada ocupará el lugar de la persistencia. No lo ocupará el talento; nada es más común que hombres fracasados con talento. No lo ocupará el genio, el mundo está lleno de negligentes educados. Sin embargo, la persistencia y la determinación son omnipotentes”.

¿Te ha gustado el consejo? ¡Compártelo con otro auditor interno!

miércoles, 6 de febrero de 2013

¿Qué fue primero el huevo o la gallina?

Jesús Aisa Díez.

Permítanme enunciar esta metáfora, y en base a ella abrir un pequeño debate sobre la secuencia de las hojas de ruta a considerar para la implementación de los Sistemas de Gestión de Riesgos, que espero pueda ser de utilidad para aquellas organizaciones que estén iniciando la puesta en marcha de este tipo de proyectos, con los que conseguir: (i) la identificación de los eventos potenciales que pudieran afectar a los objetivos de la organización y (ii) administrar los riesgos dentro de su apetito, al objeto de proveer una seguridad razonable respecto del logro de las metas establecidas por la institución".

Es muy probable que, siguiendo la secuencia que se recoge en el denominado familiarmente COSO II, que es uno de los protocolos mayoritariamente tomado como referencia para implementar este tipo de procesos, los pasos a realizar se enumeren según la cronología de las actividades del propio Marco. Es decir:

1º) Identificación de los objetivos empresariales.
2º) Determinación de los eventos con incidencia en dichos objetivos.
3º) Evaluación de riesgos.
4º) Confección del mapa de riesgos.
5º) Concreción de los apetitos al riesgo coherentes con los objetivos.
6ª) Decidir las respuestas a los riesgos fuera de la zona de tolerancia.
7º) Implementación de las medidas de control.
8º) Supervisión de los resultados.

De donde podríamos concluir que en la implantación de un Sistema de Gestión de Riesgos Empresariales (ERM por sus siglas en inglés), primero determinaremos los riesgos inherentes relevantes con incidencia en los objetivos empresariales y, una vez conocidos estos, pasaríamos a valorar el nivel de los riesgos residuales existentes en los procesos donde estos se manifiesten. Es decir, conocidos los riesgos, pasamos a interrelacionarlos con los procesos. Tal y como se refleja en forma gráfica en el siguiente esquema:

lunes, 4 de febrero de 2013

Algo más sobre los KRI´s

Jesús Aisa Díez

Mi colaboración con este blog  se inició este año con unos comentarios titulados “Los KRI y  las auditorías continuas”, que por la reacción de sus lectores, parece que fue en términos generales bien recibido; y aunque no es frecuente que se incluyan comentarios, para este artículo se llegó a solicitar que se diese más información sobre KRI. Gustosamente por mi parte atendiendo esa solicitud.

Antes de entrar en materia, creo conveniente incidir en un aspecto básico sobre el empleo de los indicadores de riesgo, ya que no son una herramienta exclusiva de Auditoría, sino que, como bien señala The Institute Internal Auditors al referirse al monitoreo continuo (que sí es la finalidad básica de los KRI), se define como: El proceso realizado por los responsables de la gestión para asegurar que las políticas y los procesos operativos resulten eficaces, así como para evaluar la adecuación y la eficacia de los controles. Debiendo ser realizado por los responsables de la gestión financiera u operativa, mientras que a la Auditoría le correspondería evaluar la adecuación de éstas actividades de gestión.

Adicionalmente el propio IIA entiende, como diríamos por estas latitudes, que lo “que no se nos va en lágrimas se nos puede ir en suspiros“, ya que si Auditoría interna pretende que el control interno tenga una seguridad razonable para alcanzar los objetivos definidos por COSO, la supervisión que no realicen los gestores, monitoreando la eficacia de los controles,  debería ser complementada por la función auditora, de forma que si el gestor hace una buena labor de verificación, ésta no debe ser replicada por los auditores; mientras que, en sentido inverso, ante una mala o deficiente supervisión de los gestores, la misma deberá ser completada por Auditoría en forma suficiente hasta obtener la seguridad razonable sobre la situación real existente.  

La siguiente figura, reproducida del documento del IIA Global Technology Auditing Guide 3, viene a visualizar lo anterior, ya que las líneas transversales paralelas a la base del triángulo verde siempre tendrán, medidas sobre el paralelepípedo, la misma longitud, pero el segmento que esté en el triángulo azul, el que corresponde al monitoreo de los gestores, determinará la dimensión complementaria del área auditora (triangulo verde).