Oficio Auditor Interno - Consejo No. 10: El Factor Humano

El director de auditoría interna debe asegurar que los recursos de auditoría interna sean apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado. Tenga presente que: Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para llevar a cabo el plan. Suficientes se  refiere a la cantidad de recursos necesarios para cumplir con el plan. Los recursos  están eficazmente asignados cuando se utilizan de forma tal que optimizan el cumplimiento del plan aprobado.

Para lograr este requerimiento de las Normas el responsable de la función de Auditoría Interna debe asegurarse que:

1.    Las habilidades, capacidades y conocimientos técnicos del personal de auditoría interna tienen que ser apropiados para las actividades planificadas.  

2.    Los recursos humanos de auditoría interna deben ser suficientes para llevar a cabo las tareas de auditoría con la amplitud, profundidad y oportunidad esperadas por la alta dirección y el consejo de administración, según se establece en el estatuto de auditoría interna.

3.    La planificación del personal debe tener en cuenta el universo de auditoría, los niveles de riesgos relevantes, el plan anual de auditoría, las expectativas de cobertura y una estimación de tareas no anticipadas.

4.    Estos recursos estén estar distribuidos  eficazmente. Esto incluye la asignación de auditores competentes y cualificados para cada trabajo en particular. También incluye el desarrollo de un enfoque de recursos y estructura organizacional que sean apropiados para la estructura, perfil de riesgos y  dispersión geográfica de los negocios de la organización.

El pulso de la auditoría interna. Perspectivas 2013

Jesús Aisa Díez

Encabezamos y graficamos estas líneas con el título de un interesante documento elaborado por el Instituto de Auditores Internos de España, difundido el pasado lunes día 20 del presente mes de Mayo. En dicho documento aparecen unos indicadores de la gestión de la profesión, tanto en España, como en Europa y Norteamérica, con los que se puede tener una visión amplia del estado en el que se encuentra la función de auditoría en estos entornos empresariales.

 

Según se señala en el informe, para su elaboración se han empleado las opiniones de 1700 profesionales de la actividad auditora, fundamentalmente Directores de Unidades de Auditoría; entre ellos los correspondientes a 43 entidades españolas que respondieron a la encuesta. En base a los datos agregados aportados creo que se pueden sacar algunas conclusiones  muy interesantes, que nos gustaría  compartir.

En primer lugar, y por su incidencia en la independencia con la que se podrá, en su caso, ejercer la actividad auditora, destacaríamos que, según los datos recogidos, en España un 80% de las Unidades de Auditoría Interna (UAI) dependen funcionalmente del Consejo de Administración, bien directamente o a través del Comité de Auditoría. Superando este porcentaje la situación global reconocida en Europa (58%), e incluso de Norteamérica (76%). Adicionalmente también se indica que el 44% de las UAI en España tienen una dependencia jerárquica del Consejo/Comité de Auditoría, porcentaje que se reduce a un 21% en Europa y a un 10% en Norteamérica. Situaciones que entiendo podemos considerar muy satisfactoria en todos los niveles geográficos analizados.

 

Sin embargo, cuando observamos las otras posibles dependencias de las UAI´s, se hallan informaciones que no son del todo apropiadas, como por ejemplo, y en lo que afecta a las dependencias funcionales, en España un 7% la tienen del Director Financiero (que es similar a la situación reconocida en Europa y un 6% en Norteamérica), en tanto que la dependencia jerárquica de los CFO es del 12%  en España y en Europa, pero de un altísimo  37% (¡!) en Norteamérica, lo que nos debería alertar sobre los posibles conflictos de intereses que pudieran manifestarse, ya que no debemos olvidar que las áreas financieras son las propietarias de entes auditables prioritarios.

 

En esta línea de posibles influencias negativas en la objetividad e independencia de los auditores, el informe incluye unos datos interesantes, como por ejemplo que, cuando se pregunta sobre quienes han intentado interferir en los resultados de los trabajos de Auditoría Interna, en un 3% estas influencias se ubican en el Consejo de Administración. Lo que nos permite  llegar a concluir que aún en no todos estos Órganos de Gobierno de las Sociedades, existe una total asunción de sus responsabilidades como ente de control a su máximo nivel. Asimismo, y enlazando con lo comentado del párrafo anterior, a los CFO se les imputa adicionalmente un 5% de las interferencias que deben combatir las UAI´s.

¿Qué Tipo de Hueso Eres?

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Actualización COSO I

 Jesús Aisa Díez
Ya es oficial, el Committe of Sponsoring Organizations of the Treadway Commission acaba de publicar la esperada actualización del Marco sobre Control Interno editado en 1992. No puede decirse que haya sido una labor breve, pues como en la propia power point que ha sido difundida por el citado Committe las etapas para conseguirlo han sido:

2010. Evaluación y encuestas a las partes interesadas.

2011. Diseño y estructura marco actualizado

2012. Exposición pública, evaluación y mejoras

2013. Finalización.

El camino recorrido en la actualización ha permitido que se haya podido seguir con detalle la evolución de los cambios que finalmente se han materializado, por lo que la primera conclusión es que esta nueva edición no aporta sorpresas, pues sus previsibles modificaciones la hemos podido conocer a lo largo del proceso, fundamentalmente desde la exposición pública del borrador sometido a consulta.

Aunque a continuación podamos verlo con algún detalle, podemos decir que los 5 componentes de Control Interno no varían con respecto al Marco original de 1992. No obstante, los principios y puntos de enfoque sí que han introducido cambios claves en cada uno de los componentes, todo ello con el objetivo de mejorar y facilitar la implantación y mantenimiento de Sistema de Control Interno. A continuación enumeramos dichos cambios:

 

1) Se aplica un enfoque basado en 17 principios.

2) Aclara la necesidad de establecer los objetivos estratégicos como condición previa a la fijación de los objetivos de Control Interno.

3) Refleja la relevancia incrementada de la Tecnología de la Información

4) Fortalece los conceptos de Gobierno Corporativo.

5) Amplía el objetivo del reporte financiero, pasando a ser reporte en general.

6) Fortalece la consideración de las expectativas contra el fraude.

7) Considera los diferentes modelos de negocio y estructuras organizacionales.

A continuación detallamos estos diecisiete principios con los que implementar un adecuado Control Interno, relacionándolos con sus correspondientes elementos:

Entorno de Control

1.- La Organización ha de demostrar su compromiso con la integridad y los valores éticos.

2.- El Consejo de Administración debe demostrar independencia en la gestión y ejercer la supervisión del desarrollo y ejecución del control interno.

3.- La alta dirección debe establecer, con la supervisión del Consejo de Administración: la estructura, líneas de reporting, autoridad y responsabilidad en la consecución de objetivos.

4.- En sinfonía con los objetivos, la Organización debe demostrar su compromiso para atraer, desarrollar, y retener personas competentes.

5.- En la consecución de los objetivos, la Organización debe disponer de personas responsables para atender sus responsabilidades de Control Interno.

Evaluación de Riesgos

6.- La Organización ha de especificar los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados.

7.- La Organización debe identificar y evaluar sus riesgos.

8.- La Organización gestionará el riesgo de fraude.

9.- La Organización debe identificar y evalúar los cambios importantes que podrían impactar en el sistema de control interno.

Auditando lo que creía desconocido – Sentido Común más 14 puntos

Antonio Fajardo Chacón
Estando en pleno siglo XXI he observado que muchos profesionales escriben acerca de lo importante que es la actualización de conocimientos de Normativas de Control Interno, de Buenas Prácticas de Auditoria y los innumerables templates para nuestro trabajo, es así que en muchas ocasiones se menciona que hoy en día inventarse la fórmula del agua caliente es netamente una pérdida de tiempo; sin embargo, me he percatado de que no existe mucha documentación acerca de Buenas Prácticas de Auditoria Interna para el Sector de Salud (Hospitales / Clínicas).

Relacionando el trabajo realizado (conocimiento de procesos de ciertas áreas hospitalarias) con lecturas en la web y blog que los he considerado importantes, puedo ratificar a la escasez de lineamientos para este sector de salud, que en nuestra carrera una herramienta invalorable es el Sentido Común que con nuestro conocimiento multidisciplinario nos llevará a documentar nuestro mejor template para un futuro, ya que al enfrentar esta gran responsabilidad de ser Auditores Internos de este sector, tratamos con un sinnúmero de áreas que son entre si dependientes, pero como unidad de negocio son tan distintas en cuanto a sus procesos, actividades y controles; áreas como Emergencias (Urgencias),  Laboratorio Clínico, Patológico, Radiología, entre otras, dependiendo de la magnitud del Hospital/Clínica.

Nuestro Más Profundo Temor

Nelson Mandela, en su discurso de juramentación como Presidente de Sudáfrica (1994-1999), pronunció las siguientes palabras del libro de Marianne Williamson "A Return to Love":

"Nuestro más profundo temor no es ser inadecuados. Nuestro más profundo temor es que somos poderosos sin medida. Es nuestra luz, no nuestra oscuridad la que más nos asusta. Nos preguntamos, “¿Quién soy yo para ser brillante, hermoso, con talento o fabuloso? ". En realidad, ¿quién eres tú para no serlo? Eres un hijo de Dios. Jugar a hacerte pequeño no le sirve al mundo. No hay nada iluminador en que te encojas para que las otras personas no se sientan inseguras a tu alrededor. Todos estamos destinados a brillar, como hacen los niños. Hemos nacido para hacer manifiesta la gloria de Dios que está dentro de nosotros. No está sólo en algunos de nosotros, está en todo el mundo. Y cuando dejamos que nuestra propia luz brille, inconscientemente damos permiso a otras personas para hacer lo mismo. Como estamos liberados de nuestro propio miedo, nuestra presencia automáticamente libera a otros." 

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Examen CISA: Consejos

Edgar Morrobert

Como parte de la experiencia adquirida al presentar el examen CISA y las interacciones posteriores con los manuales y bases de datos de preguntas y respuestas, he logrado identificar algunos aspectos que, considero, pueden contribuir a la adecuada preparación de quienes se examinen para esta certificación: A continuación un detalle de estos:

1- Estudiar el Manual de Preparación para CISA, mientras más reciente mejor, es un punto vital. Este material es la fuente primaria de conceptos y consideraciones relacionadas con la auditoría de sistemas desde la perspectiva de ISACA. El candidato CISA debe utilizar la metodología de estudio que más ayude a su manera de aprender. Algunos entienden/aprenden conceptos leyendo (vista), otros escuchando (oído) y otros interactuando con otras personas sobre dichos conceptos (por lo general este esquema combina los dos anteriores). El punto es que cada quien utilice la manera que le resulte más cómoda para estudiar el material. Por ejemplo, yo obtengo un mejor resultado en aprender, cuando leo un material, lo resumo y vuelvo a leer.

2- Repasar el material de la base de datos de preguntas y respuestas de CISA. Al igual que el caso anterior, mejor si se trata de la versión más reciente. La versión digital permite crear exámenes modelos por dominios específicos, cantidad de preguntas, aleatorio, etc. Luego activar la opción de evaluar cada pregunta respondida, el software ofrece un resumen indicando si usted contestó correctamente o indicando la respuesta correcta, en caso de que no haya elegido la correcta. En todo caso ofrece una explicación, en la mayoría de los casos bien detallada, indicando el por qué de la respuesta correcta y los por qué de las no correctas. Estas explicaciones las considero una fuente valiosa de información para preguntas en exámenes reales. Además ayudan a entender mejor determinados temas. Por esta razón recomiendo que las explicaciones de la base de datos de preguntas y respuestas sea incluido como fuente de estudio para el examen. Por otro lado, la interacción con la base de datos ayuda a familiarizarse con el enfoque ISACA, lo cual no se logra del todo con el estudio de conceptos. En tal sentido, a una mayor interacción con preguntas mayor nivel de entendimiento de este enfoque.

3- Durante la presentación del examen, es importante saber manejar el tiempo. Considero que no resulta conveniente iniciar una lucha, cuerpo a cuerpo, con cada pregunta. Es necesario leer y responder el 100% de las preguntas, nunca de dejar alguna sin contestar. En tal sentido, lea detenidamente el enunciado de cada pregunta, repase las cuatro opciones de respuestas y elija la que considere. Si no sabe cual puede ser la respuesta, marque la pregunta y siga con la siguiente. Si entiende que puede ser una respuesta (ejemplo: la B) selecciónela y a su izquierda haga una marca que indique que debe ser revisada, de este modo si le sobra tiempo luego de responder el 100% de las preguntas, podrá utilizar este tiempo en revisar las preguntas que respondió sin estar totalmente seguro.

Por último y no menos importante

4- La experiencia que pueda tener en auditoría de sistemas es de mucha ayuda. No obstante, debe tratar de aplicar esa experiencia sobre el enfoque de ISACA para el manejo de la respuesta.

Espero que lo anterior pueda ser de utilidad para aquellos que van a presentar examen CISA.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

Planes de Auditoría y los CSA´s

Jesús Aisa Diez

Un aspecto de la actividad de las Unidades de Auditoría Interna en el que creo que existe un consenso generalizado, es el correspondiente a la conveniencia de definir los planes de trabajo a desarrollar en base a los riesgos que en cada momento amenacen a los procesos de las correspondientes Organizaciones, ya que se entiende que es la forma más adecuada para lograr la debida eficacia que nos es exigible; por ello, este proceder se ve recogido como requerimiento de las Normas Internacionales para el Ejercicio Profesional de la actividad en su epígrafe 2010, señalando que: “El Director de Auditoría Interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad….”

 

Varias son las formas que existen para poder identificar los riesgos que pueden afectar a los objetivos empresariales, de las que destacaríamos la correspondiente al empleo de los denominados por su siglas en inglés KRI´s, es decir los indicadores de riesgos clave, que podemos entenderlos, no solo como: valores con correlación estadística con determinados riesgos, que pueden utilizarse como sistema de alertas preventivas o tempranas, sino en su sentido más amplio, como cualquier información que nos permita interpretar o diagnosticar anticipadamente una determinada amenaza, pues lo importante es detectar la presencia de riesgos por sus síntomas más primigenios (es decir cuando aún la fase crítica no se haya manifestado), pues siempre será preferible detectarlos y prevenirlos, en vez de tener que corregir sus efectos.

 

En este contexto, cuando nos refiramos al empleo de KRI´s no deberíamos olvidar considerar  los Control Self Assessment (CSA,s), ya que según el IIA se definen como “ proceso que permite a la Dirección y al personal a participar en la revisión de los controles existentes para comprobar su adecuación y recomendar, acordar e implementar las mejoras a los controles existentes”. Aportando la capacidad de:

 

a) Participar en la evaluación del control interno 

b) Evaluar riesgos

c) Desarrollar preventivamente planes de acción destinados a subsanar debilidades  identificadas

d) Evaluar la probabilidad de alcanzar objetivos determinados.

Las Diez Victorias Humanas

1.    Llegas al final de tu vida sintiéndote feliz y realizado por que lo has aprovechado al máximo: has gastado todos tus talentos, tus mayores recursos y lo mejor de tu potencial desempeñando un gran trabajo y llevando una vida poco común.

2.    Llegas al final sabiendo que has vivido una vida excelente y que has mantenido el listón lo más alto posible en todo lo que has hecho.

3.    Llegas al final celebrando con todo tu corazón haber tenido la valentía de enfrentarte siempre a tus mayores miedos y de hacer realidad tus ambiciones más elevadas.

4.    Llegas al final sabiendo que has sido una persona que ha inspirado y motivado a otros, en lugar de desanimarlos.

5.    Llegas al final sabiendo que aunque tu viaje no siempre haya sido fácil, cada vez que caíste te levantaste de inmediato y tu optimismo no decayó en ningún momento.

6.    Llegas al final disfrutando de la asombrosa gloria de tus fenomenales logros y del valor de haber colaborado en la vida de las personas en las que tuviste la suerte de servir.

7.    Llegas al final encantado con la persona fuerte, ética, empática e inspiradora que llegaste a ser.

8.    Llegas al final y te das cuenta que has sido un auténtico innovador que abrió nuevos caminos en lugar de seguir las viejas rutas.

9.    Llegas al final rodeado de compañeros que te consideran una estrella, un cliente que te considera un héroe y de seres queridos que te consideran una leyenda.

10. Llegas al final como un verdadero líder sin cargo, sabiendo que tus grandes logros perdurarán mucho más allá de tu muerte, y que tu vida sera un modelo a seguir.

Tomado del libro "El líder que no tenía cargo" de Robin Sharma

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

¿Estas listo para caer?

¿Estas Preparado para una Crisis? Es el titulo del artículo principal de la edición de abril de la publicación Tone at the Top del IIA, el cual inicia con la siguiente información:

“Los ataques cibernéticos, desastres naturales, una fuga química, la muerte repentina de un CEO, dañando mensajes de redes sociales, un ejecutivo involucrado en el fraude, etc.; la lista continúa. Muchos ejecutivos creen que es sólo cuestión de tiempo antes que se encuentran hasta las rodillas en una crisis, un riesgo catastrófico y problema serio. De hecho, casi el 80 por ciento de los líderes empresariales predicen que su empresa experimentará una crisis en el próximo año, según un reciente estudio de Preparación para la Crisis, efectuado por  la firma de comunicaciones Burson-Marsteller.

Una crisis puede interrumpir las operaciones, sacudir la confianza del cliente, sumergirse valor de las acciones, y causar estragos en la reputación de una organización. Sin embargo, sólo el 54 por ciento de las empresas participantes en el estudio tiene un plan de crisis, y casi la mitad de esos planes se consideran insuficientes”.

Ahora bien, te has preguntado

¿Cuándo los riesgos se convierten en una brutal realidad?

Del Gobierno Corporativo a la Responsabilidad Social Corporativa

Jesús Aisa Diez

Recientemente hemos conocido una inmensa tragedia consecuencia del derrumbe de un edificio en Bangladesh, que albergaba varios talleres de artículos textiles, y en la que han muerto más de 1.000 personas. Adicionalmente nos hemos enterado también por la prensa que en dichos talleres sus trabajadores cobraban menos de 30 euros al mes, que las condiciones en el que desarrollaban su actividad eran deficitarias, y que en ellos se atendían pedidos de varias e importantes cadenas de distribución radicadas en países desarrollados.

 

Partiendo de esta terrible noticia, creo que podemos hacer algunas reflexiones que nos permitirán sacar conclusiones con las que mejorar el aporte de valor de la función auditora.

 

En primer lugar es que, como ya tuvimos oportunidad de comentar no hace mucho tiempo, en los Planes de Auditoría deben recogerse como entes auditables la supervisión de los procesos externalizados, ya que, aunque asumidos y realizados por terceros, comportan riesgos para las organizaciones descentralizadoras que deben ser también adecuadamente valorados y gestionados. 

 

En este punto, y en beneficio de la duda, aceptemos que el proceso de fabricación empleado en esos talleres sí hubiese sido auditado; pero viendo los hechos acaecidos, sería más que probable que se empleasen para ello especialistas locales, lo cual no siempre es recomendable, ya que los ambientes y prácticas usualmente utilizadas en los países donde se desarrollen los procesos pueden condicionar los niveles de los riesgos que se consideren razonables. Por tanto, nuestra primera recomendación es que, si en la auditoría empleamos colaboradores de los países en donde se desarrolle el proceso deslocalizado, que dejemos claro cuál es el apetito al riesgo que como Unidad de Auditoría Interna se considera aceptable, y que se verifique que éste nivel se asume realmente por quienes colaboren en la realización de las auditorías in situ.

 

En segundo lugar, y si nos centramos en las condiciones en las que esos trabajadores realizaban su actividad, es probable que concluyamos que estas no eran las más adecuadas, pudiendo entonces concluir que las empresas que encargaban sus pedidos a esos talleres priorizaban el rendimiento económico a cualesquiera otros aspectos de la actividad empresarial por ellas desarrolladas, entre ellos los derechos laborales de los trabajadores.

 

Aunque quizás en épocas de crisis económica como la que actualmente atravesamos no aportan las condiciones más favorables para seguir avanzando en la sustitución del objetivo recogido por los postulados relativos al Gobierno Corporativo, sustituyéndolos por los correspondientes a los de la Responsabilidad Social Corporativa, creemos, no obstante, que desde las Auditorías Internas se debe aprovechar cualquier oportunidad para insistir en las ventajas de definir las estrategias orientadas al logro de una empresa sostenible, ya que tan importante es alcanzar los objetivos y resultados económicos–financieros, como la forma en que estos se consiguen.

 

Progresar en este cambio representa un salto cualitativo importante, ya que no solo se tendría presente el valor que las Organizaciones puedan generar a los accionistas, los Shareholders, sino que habría que pensar en los Stakeholders, es decir en todas las parte interesadas, sean estas internas o externas. Escenarios que están debidamente recogidos en las definiciones que de ambos conceptos nos aportan la OCDE y la Comunidad Europea, respectivamente:

Para la OCDE “El Gobierno Corporativo es un elemento clave en la mejora del crecimiento y la eficiencia de la economía, así como en el incremento de la confianza de los inversores. Implica un sistema de relaciones entre la Dirección, el Consejo, los Accionistas y demás personas con intereses en la empresa”.

Los Diez Arrepentimientos Humanos

1.        Llegar a tu último día cuando la magnífica canción que tu vida tenía que cantar sigue en silencio en tu interior.

2.        Llegar a tu último día sin haber experimentado el poder natural que posees para crear una gran obra y alcanzar grandes logros.

3.        Llegar a tu último día dándote cuenta de que jamás has inspirado a nadie con tu ejemplo.

4.        Llegar a tu último día lleno de dolor al darte cuenta de que jamás asumiste grandes riesgos y por tanto jamás obtuviste grandes recompensas.

5.        Llegar a tu último día sabiendo que perdiste la oportunidad de ver ni de lejos lo que es la excelencia porque te creíste la mentira de que debías resignarte a la mediocridad.

6.        Llegar a tu último día lamentando no haber aprendido nunca a transformar la adversidad en victoria y el plomo en oro.

7.        Llegar a tu último día lamentando haber olvidado que el trabajo consiste en ayudar a los demás, no en ayudarte solo a ti mismo.

8.        Llegar a tu último día sabiendo que has vivido la vida que la sociedad te enseñó a desear y no la vida que verdaderamente querías.

9.        Llegar a tu último día y averiguar que jamás realizaste todo tu potencial ni te acercaste al genio en el que tenías que haberte convertido.

10.     Llegar a tu último día y descubrir que podías haber sido un líder y transformar el mundo en un lugar mejor. Pero te negaste a aceptar esa misión porque te dio miedo. Así que fracasaste. Y desperdiciaste tu vida.

Tomado del libro "El líder que no tenía cargo" de Robin Sharma

  

¿Te ha gustado el post? ¡Compártela con otro auditor interno!

El Contenido Optimo de los Planes de Auditoría

Jesús Aisa Diez

Es evidente que conseguir una adecuada aportación de valor por parte de las auditorías internas  precisa que la planificación de su actividad sea apropiada; motivo por el que El Marco Internacional para la Práctica profesional de la Auditoría Interna recoge, en su Norma 2010, que los Directores de las Unidades de Auditoría Interna deben establecer su plan de trabajo basado en riesgos, a fin de determinar las prioridades de la actividad a desarrollar; aclarando que dichos planes han de ser consistentes con las metas de la Organización. 

Requerimiento que es ampliado en los Consejos para la Práctica CP 2010-1 y el CP 2010-2, los cuales describen pormenorizadamente cómo debemos actuar para enlazar el Plan de Auditoría con los riesgos y demás exposiciones que puedan afectar a las Organizaciones.

Partiendo de esta exigencia normativa, quizás resultara apropiado que precisemos que debemos entender por Plan. En mi opinión una forma acertada de describirlo es aquella que los define como: Documento que contempla en forma ordenada y coherente las metas y objetivos que se quieren lograr, con indicación de los instrumentos, mecanismos y acciones que se utilizarán para llegar a los fines deseados.

           

De acuerdo con ello, los Planes de Auditoría no solo deben reseñar los entes auditables que serán objeto de análisis a lo largo del periodo considerado, sino que han de incluir  adicionalmente toda la información complementaria con la que los responsables de su aprobación (la alta dirección y el Directorio) puedan entender adecuadamente: (i) qué es exactamente lo que el Director de Auditoría Interna les propone acometer, (ii) el alcance de los distintos trabajos seleccionados, (iii) los factores que motivan su inclusión en el Plan, es decir los porqué de la conveniencia de incidir sobre ellos, aclarando si son consecuencia del resultado de la gestión de riesgos empresariales, de solicitudes expresas de las partes interesadas o cualesquiera otra razón.

Identificado el qué pretendemos hacer, así como el porqué, nos quedaría todavía por informar del con quién. Es decir, los recursos que vamos a necesitar para acometer dicho Plan de trabajo, a fin de que sean habilitados, si así se considerase adecuado, por los responsables de aprobar dicho Plan.

Admitida la oportunidad de actuar según lo indicado, hay un aspecto que no podemos ignorar, y es que los recursos disponibles son limitados, por lo que será probable que en determinadas condiciones no se puedan atender plenamente las peticiones de medios efectuada, o lo que es lo mismo de aceptación íntegra del Plan de trabajo propuesto, viéndose entonces el Director de Auditoría en la necesidad de recortar sus pretensiones de trabajo, ajustando estas a las posibilidades reales de actuación. En este supuesto el Director de Auditoría Interna debería reconocer explícitamente la incidencia que pudiera derivarse de esta limitación de recursos, a fin de que quienes cuestionaron su aprobación compartan, en su caso, la responsabilidad que les pudiera corresponder si la decisión resultase finalmente desacertada.

Otra buena práctica que entendemos recomendable sugerir para el diseño y presentación del Plan auditor, es el de estructurarlo de forma que puedan observarse fácilmente los aspectos más significativos atendidos por el mismo. Es decir: