lunes, 29 de abril de 2013

Sistema Tres Líneas de Defensa en Gestión de Riesgos y Control

A continuación presentamos un resumen de la Declaración de Posición del IIA sobre el Sistema de Tres Líneas de Defensa, la cual fue tomada de una traducción libre realizada por el buen amigo Juan Alberto Villanueva.

En las empresas del siglo XXI, no es raro encontrar diversos equipos de auditores internos, especialistas en gestión de riesgos, funcionarios de  cumplimiento, especialistas en control interno, inspectores de calidad, investigadores de fraude, y otros profesionales de riesgo y control que trabajan en conjunto para ayudar a las organizaciones a gestionar el riesgo.



Cada una de estas especialidades tiene una única perspectiva y habilidades específicas que pueden ser muy valiosa para las organizaciones a las que prestan servicios, pero ya que los derechos relacionados con la gestión y control de riesgos están cada vez más divididos en múltiples departamentos y divisiones, estos deben ser coordinados cuidadosamente para asegurar que los procesos de riesgo y control deben funcionar según lo previsto.

No es suficiente que diversas funciones del riesgo y control existan, el reto es asignar roles específicos y coordinar con eficacia y eficiencia entre estos grupos de manera que no haya "lagunas" en controles innecesarios ni duplicación de funciones. Se debe definir responsabilidades claras de modo que cada grupo de profesionales de riesgo y controle entienda los límites de sus responsabilidades y cómo encajan en la posición global de riesgos en la organización y la estructura de control.





viernes, 26 de abril de 2013

Composición Plan Anual 2013 - Departamentos Auditoría Interna a nivel mundial

Te has preguntado alguna vez: 

¿Cuáles áreas los auditores internos están seleccionando para realizar su trabajo en la actualidad?

¿Qué procesos de negocio son críticos?

¿Dónde debo realizar mayor esfuerzo de auditoría?

El Instituto de Auditores Internos Global emitió en esta semana el Informe: El Pulso de la Profesión Reporte Mundial – 2013: Tiempo para Aprovechar las Oportunidades. Este estudio revela que 1,700 auditores internos encuestados de 111 paises, informaron que las áreas incluidas en el Plan Anual del año 2013, fueron las siguientes:

Descripción
Porcentaje
Operacional
28%
Financiera
21%
Cumplimiento / Regulatorio
14%
Tecnología Información
9%
Efectividad Gestión de Riesgos
7%
Fraude
5%
Estrategia Negocio
5%
Gobierno Corporativo
4%
Reducción de Costos
4%
Manejo Crisis
1%
Otros
2%

Si desean descargar el documento completo solo tienen que visitar el sitio web del IIA Global: https://global.theiia.org/Pages/globaliiaHome.aspx .

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

miércoles, 24 de abril de 2013

Mapa de riesgos y otras herramientas prácticas

Juan Villanueva Chang

El mapa de riesgos es una herramienta que tiene por objeto mostrar gráficamente el diagnóstico del proceso de evaluación de riesgos en una fecha dada. Se determina mediante la interacción de la probabilidad o frecuencia por el impacto de los tipos de riesgos en los diferentes procesos, actividades o funciones de un negocio. En simultáneo, contribuye a realizar una revisión o diagnóstico del control interno que existe para mitigar los riesgos.

En realidad ayuda mediante sucesivas diagramaciones a conocer las diversas instancias  por las que pasa una evaluación de riesgos hasta definir el tratamiento de los riesgos.

·         Inicialmente proporciona el resultado de la evaluación de riesgos por los responsables de la gestión de riesgos.
·         Contribuye a decidir los desplazamientos del resultados inicial para lograr un nuevo nivel una vez propuesto el tratamiento de los riesgos, este último respetando el límite de exposición al apetito al riesgo.
·         Refleja el mapa de riesgos definitivo en la que se definió qué nivel del riesgo se desea aceptar, luego de decidir por asumir, prevenir, proteger o transferir parte del riesgo.
En auditoría el mapa de riesgos es quizá el más utilizado, pero es necesario recordar que existen otras herramientas a ser consultadas que proporcionan importante información para la realización de un efectivo trabajo de auditoría basada en riesgos.

lunes, 22 de abril de 2013

La rotación de los auditores, ¿una decisión conveniente?

Jesús Aisa Díez
En el suplemento de economía del periódico de mayor difusión español, El País, aparecía el pasado domingo 14 de abril un artículo muy interesante en el que se ponía en cuestión el trabajo de las auditorías externas, ya que según su autor dudaba que en un ambiente de crisis tan fuerte como el actual,  los informes de auditoría reflejaran cada vez menos salvedades. La respuesta  se la aportaba un antiguo alto cargo del sector, el cual entendía que la razón se encontraba: “en el miedo a perder el cliente, así de sencillo”.

Como se puede intuir el artículo toca, aunque sea algo de pasada, un aspecto muy controvertido sobre el que aún no existe una opinión unánime, cuál es el límite temporal que debe existir en las relaciones de las firmas de auditoría y las sociedades auditadas, que aprovechamos para señalar que en España no existe, pues solo se exige como obligatoria la rotación del auditor de cuentas firmante del informe de auditoría una vez transcurridos siete años desde el inicio de la actividad, debiendo transcurrir un nuevo plazo de dos años para que dicha persona pueda volver a auditar a la entidad correspondiente. Incluso, cuando las auditorías de cuentas no fueran obligatorias, no serán de aplicación las limitaciones citadas anteriormente.

Esta rotación de las entidades auditoras tiene defensores y detractores; a favor estarían aquellos que entienden que esta medida refuerza la independencia del auditor y, por tanto, incrementaría la calidad de la auditoría; en contra, quienes opinan que la rotación destruye el conocimiento específico del auditor sobre la empresa supervisada disminuyendo la calidad del servicio prestado.

La postura de la Unión Europea es clara y viene recogida en su Libro Verde, con el título “Política de auditoría: lecciones de la crisis”, incidiendo en la conveniencia de la rotación obligatoria, ya que: “las situaciones en las que una empresa lleva décadas nombrando a la misma sociedad de auditoría parecen incompatibles con las normas que sería deseables en materia de independencia. Por mucho que los principales socios auditores roten con regularidad, conforme establece actualmente la Directiva, todavía persiste la amenaza de familiaridad.

En este contexto habría que plantearse la rotación obligatoria de las sociedades de auditoría y no de los socios auditores.”

miércoles, 17 de abril de 2013

Chequeo sobre la calidad de las Unidades de Auditoría Interna

Jesús Aisa Díez
La recomendación por parte del Institute of Internal Auditors (IIA) respecto a que las Unidades de Auditoría Interna desarrollen un Programa de aseguramiento y mejora de la calidad no es reciente, pues la Norma 1.300, que es la que incide en este aspecto, podemos considerarla un patrón de actuación ya clásico, al estar incluido en el Marco internacional para la práctica profesional de Auditoría Interna desde hace ya bastantes años. 

Como sabemos en la citada Norma se incluyen dos tipos diferentes de actuaciones: (i) las evaluaciones internas a realizar por el personal de la propia organización y (ii) las evaluaciones externas al menos cada 5 años efectuadas por personal cualificado e independiente a la empresa. Siendo a estas últimas a las que queremos dedicarles estos comentarios.

Si nos atenemos a la información relativa a esta actividad evaluadora realizada por el Instituto de Auditoría Interna de España (IAI), podríamos concluir, sin ser excesivamente críticos, que esta Norma no está muy extendida dentro de los hábitos y procedimientos a utilizar por las Unidades de Auditoría Interna (UAI), ya que son todavía muchas las que en estos momentos no han evaluado externamente su actividad, e incluso que no disponen de un Programa de aseguramiento en el que se describa la forma en la que se valora la calidad de los servicios prestados por el Departamentos de Auditoría Interna a las Organizaciones.

Las razones que justifican esta situación pueden ser múltiples, tales como: desconocimiento de la conveniencia de efectuar evaluaciones de calidad, confusión respecto del alcance de las evaluaciones requeridas por la ISO 9.001, temor a no cumplir con los requerimientos exigibles por el IIA para emitir una opinión favorable, limitaciones presupuestarias que desaconsejen involucrarse en un proyecto de evaluación externa, desconfianza sobre el valor añadido que pueda derivarse de estas evaluaciones, etcétera, etcétera.

lunes, 15 de abril de 2013

Documento de consulta para una metodología de Auditoría Interna Basada en Riesgos

Juan Villanueva Chang
En el “Marco Internacional para la Práctica Profesional de la Auditoría Interna” del IIA, se señala a los “Documentos de Posicionamiento” como textos de consulta muy recomendados.

Los Documentos de Posicionamiento contribuyen con amplio alcance a las partes interesadas y los auditores a entender temas sobre gobierno, riesgos y control, incluso delimitar funciones de auditoría interna.

Los actuales documentos de posicionamiento divulgados en la web del IIA son:

  • El papel de la auditoría interna en relación con la gestión integral de riesgos corporativos (Enero, 2009).
  • Alternativas de obtención de recursos para la función de auditoría interna (Enero 2009)
  • Las tres líneas de defensa de una efectiva gestión de riesgos y control (Enero 2013)

sábado, 13 de abril de 2013

Vivir Plenamente

Eduard Punset Casals (jurista, escritor, economista y divulgador científico español que fue a su vez político en la transición democrática de España) nos muestra una formula infalible para tener éxito:
¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

viernes, 12 de abril de 2013

"42" El Número que Cambio Completamente el Juego de Béisbol

Hoy se estrena a nivel mundial la película “42”, la cual es la biografía del heroico afroamericano Jackie Robinson, quien fue el primer jugador en romper la barrera del color en las Grandes Ligas. A continuación, presentamos dos frases de Jackie que muestran realidades obvias, evidentes e incuestionables sobre la vida:

"La vida no es importante a menos que influyas en la vida de otros".

"En la vida no puedes ser un espectador. Si vas a pasar tu vida en las graderías mirando qué pasa, creo que la estás malgastando".

¿Te ha gustado los consejos? ¡Compártelos con otro auditor interno!

miércoles, 10 de abril de 2013

Los planes de auditoría interna en base a los mapas de aseguramiento

Jesús Aisa Diez
Las Unidades de Auditoría Interna, quizás con mayor intensidad que otros departamentos  en las Organizaciones, en momentos de crisis económica como los que se están padeciendo actualmente en el entorno del euro,  se ven afectadas por limitaciones presupuestarias para desarrollar su actividad. Simultáneamente estas restricciones de recursos suelen  convivir con unos deterioros de los ambientes de control internos empresariales y la aparición de nuevas amenazas, fundamentalmente las derivadas de los fraudes.

Para intentar hacer compatibles estas dos situaciones las Unidades de Auditoría Interna están obligadas, no solo a hacer más con menos recursos, sino también a ser mucho más eficientes en el desarrollo de la función, por lo que debemos ser muy selectivos, tanto en el momento de identificar los entes auditables a incluir en el Plan Anual de Auditoría, como en el  establecimiento  del alcance de la supervisión de cada uno de dichos entes.

En lo que se refiere al primero de estos requisitos, la adecuada composición y jerarquización del borrador del Plan Anual de Auditoría, podremos conseguirla a través de la identificación de los procesos con mayor incidencia en la consecución de los objetivos empresariales y su interrelación con los riesgos residuales que los afecten, lo que nos permitirá anticipar aquellos entes susceptibles de ser revisados a lo largo del próximo ejercicio, de acuerdo con el contenido de los mapas de riegos previamente elaborados.

lunes, 8 de abril de 2013

Medición de controles para mitigar riesgos

Juan Villanueva Chang

Cuando aplicamos una auditoría basada en riesgos, al definir los  componentes de las pruebas de los controles (que suelen comprender una combinación de la observación, indagación y examen de documentos), cabe recordar que en realidad requerimos validar la efectividad y funcionamiento de los controles, los que deben navegar y moverse en la franja delimitada entre el riesgo inherente y riesgo residual, limitado este último por el apetito al riesgo.
Para una efectiva medición es importante conocer el nivel de impacto de riesgos, la misma que resulta de la metodología utilizada por la administración para evaluar la  gestión de riesgos. La valorización del riesgo inherente y residual suele efectuarse mediante apreciaciones subjetivas tomando como base la experiencia del personal, sus conocimientos, referencias o benchmark y finalmente plasmarlo según su intuición sobre el impacto y probabilidad que tendrían los riesgos identificados.

El riesgo inherente o primario es aquél que está expuesto ante la ausencia de los controles que la dirección ha establecido para modificar su probabilidad o impacto. El riesgo residual es aquél que permanece después que la dirección desarrolle y ponga en ejecución los controles como respuesta a los riesgos. Es el riesgo no cubierto o no gestionado que queda una vez que se han implantado de manera eficaz las acciones planificadas o controles definidos por la dirección para mitigar el riesgo inherente.

Los controles suelen estar definidos en políticas y procedimientos que se establece en límites, autorizaciones y otros protocolos, con la finalidad de revisar su desarrollo y medir el rendimiento. Además, pueden reducir la probabilidad de ocurrencia de un posible evento, su impacto o ambos conceptos a la vez.

sábado, 6 de abril de 2013

Ser auténtico

Ser coherente es la fórmula más aplastante para ser auténtico y, en consecuencia, para el éxito. Aunque suponga tener que ir a contra corriente, porque cuesta, claro que cuesta. La semana pasada leí una frase genial: “Es curioso morir por causas naturales, cuando la mayoría vive artificialmente, aceptando una vida que no es suya y disimulando lo que son”. Por lo que tenga presente que:

¿Te ha gustado el consejo? ¡Compártelo con otro auditor interno!

viernes, 5 de abril de 2013

Oficio Auditor Interno - Consejo No. 9: ¿Qué haces cuando nadie te ve?

Laura Ward, Director de Auditoría Interna en Vantage West Credit Unit, comparte cuatro atributos personales, que ella busca al momento contratar nuevos recursos para su equipo de auditores internos. Ella busca seres humanos que:

Crean en si mismos;
Sean humildes;
Tengan espíritu de servicio; y
Busquen la excelencia

La reflexión de Laura es fantástica, la misma me obligó a repensar; que para tener un  departamento de auditoría interna exitoso es necesario reclutar auditores comprometidos, la clave para obtener resultados fuera de lo normal, es que no basta solo con tener un nivel académico adecuado, más importante aún es el contratar a seres humanos excepcionales.  

En la era del talento, tenemos que aprender a valorar la formación técnica, pero también a priorizar aspectos relacionados con la inteligencia emocional y personalidad. Sin lugar a dudas, necesitamos algo más, por lo que es un requerimiento básico, el tener auditores internos comprometidos, que busquen la excelencia y el mejoramiento continuo de su trabajo cuando nadie los está supervisando.

miércoles, 3 de abril de 2013

El whistleblowing y la actividad profesional de Auditoría Interna

Jesús Aisa Diez
En términos generales en las empresas los sistemas de denuncia interna  whistleblowing consisten en la creación de vías que permitan a sus empleados informar  de los incumplimientos observados, tanto de las normas internas, como de las normativas que rigen su actividad. 

No es una práctica todavía muy extendida en España, pero cada vez más empresas la están poniendo en marcha, especialmente las sociedades cotizadas en las bolsas españolas, ya que así lo establece el Código Unificado de Buen Gobierno Corporativo, en su recomendación nº 50, relativa a las responsabilidades de los Comités de Auditoría, en lo que se refiere al establecimiento y supervisión de un mecanismo que permita a los empleados comunicar, de forma confidencial, y si se considerase apropiado anónima, las irregularidades de potencial trascendencia, especialmente financieras y contables, que adviertan en el seno de la empresa. En resumen,  habilitar canales de denuncia en forma similar a la recogida con carácter imperativo por la Ley Sarbanes-Oxley Act, respecto de las empresas cotizadas en Wall Street. 

Independientemente de lo anterior, o mejor dicho en sintonía con ello, el Marco Internacional para la Práctica profesional de Auditoría Interna, se refiere a este concepto anglosajón en su Norma 2440. A2, Difusión de resultados, al desarrollar su contenido en el Consejo para la Práctica 2440-2, indicando que:“en algunas situaciones, un auditor interno puede enfrentarse al dilema de considerar si comunica o no la información a personas fuera de la cadena de mando habitual o incluso fuera de la organización. Esta comunicación es comúnmente denominada whistleblowing”; aclarando que será interno cuando solo se efectúe en el ámbito de la organización, en tanto que externo cuando se efectúe a alguna agencia gubernamental o autoridad de fuera de la organización.

En el mismo consejo para la práctica, en su apartado 9, se señala que el auditor interno siempre deberá obtener información legal si no está seguro de los requisitos legales o las consecuencias de dedicarse al  whistleblowing interno o externo.

Al respecto entiendo que si analizamos en detalle lo que se nos recomienda, pueden surgir varias dudas, algunas de ellas posiblemente por haberse internacionalizado casuísticas específicas de algunas jurisdicciones USA, las que obligan a los empleados públicos a informar externamente determinados hechos ilegales o morales. Situación que, al contemplarse en otros entornos, pueden crear confusión. Me explico:

Llama mi atención que el Consejo se refiera al dilema que pueda presentarse a un auditor interno a título individual, admitiendo entonces la posibilidad de que este pueda abrir canales de comunicación no previstos.

martes, 2 de abril de 2013

Persuasión: el nuevo concepto del Liderazgo

Jesús Arenas Herrera
El maestro Peter Drucker dice que el Gerente (nosotros queremos llamarle Líder) es “el elemento dinámico y vivificante de todo negocio. Sin su guía `los recursos de la producción´ siguen siendo recursos y no se convierten nunca en producción.”

Preguntémonos a este respecto cómo es que un Gerente logra convertir recursos en producción, cómo logra (es decir, qué es necesario para ello) que los llamados “Recursos Humanos” se pongan en acción para producir.

Se dice que para que un Gerente (un Líder) logre de sus Colaborador el “sí, quiero” existen tres alternativas:

·         Utilizar la fuerza física.
Ya que el Gerente tiene el poder investido, él manda. Es el Jefe y el Jefe manda. Esto funcionaba durante los años de Revolución Industrial aunque ahora cabe la pregunta: “¿Se puede obligar ahora a las personas hacer lo que el Jefe quiere?
·         Negociar.
Quienes tienen hijas adolescentes conocen bien el significado de esta palabra. “Te doy permiso para ir a esa fiesta, pero….” “Puede venir a verte ese amigo, pero…”. Cuando uno negocia, “algo” se obtiene aunque a cambio de “algo” que uno, normalmente, no está dispuesto a entregar.

La tercera alternativa, que es la que queremos resaltar, es “Persuadir”. Y que es algo diferente a “influir”.

Brevemente:

Influir es la intención deliberada de influenciar en las ideas y creencias de otra persona mediante un mensaje.

Persuadir es la intención deliberada de influenciar en las acciones de otra persona mediante un comportamiento.

Creo que esto abre nuevas puertas acerca de la visión del Gerenciamiento de Empresas. La Persuasión tiene que ver mucho con la Inspiración que es un concepto de un mayor alcance de los que se han venido manejando hasta ahora en la llamada “Gerencia de Personas”.

Permítaseme dejar esbozada mi idea a este propósito: “Motivar es inducir a otro a una conducta determinada. El Jefe que aspire a ser Líder debe ir aún más lejos: debe cultivar en el alma de sus Colaboradores, un ambiente de Inspiración, que es —tal como yo lo entiendo— un estado superior del Espíritu en el que una persona se siente llamada a rendimientos superiores”.
¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

lunes, 1 de abril de 2013

Auditoría Interna Para No Auditores - Evaluación Riesgos Nivel Proceso

¿Cómo realizo una evaluación de riesgos para identificar las áreas de alto riesgos del proceso bajo revisión?

El punto inicial de la evaluación de riesgos a nivel de proceso es identificar los riesgos que pueden afectar la habilidad de alcanzar los objetivos. Para nuestro ejemplo este paso estará alineado con el componente del cubo COSO ERM de Identificación de Eventos y puede ser realizado a través de formular la siguiente pregunta:

¿Qué puede ocurrir que nos impida alcanzar el logro de cada uno de los objetivos a nivel de proceso?

El enfoque para responder a esta interrogante generalmente incluye los siguientes pasos:

1.    Selección de un objetivos a nivel de proceso (este ejercicio se hace mejor seleccionando un objetivo a la vez).

2.     Identificación de barreras (evento, escenarios, asuntos o circunstancias) que puede causar que el objetivo fracase. Ejemplos: