miércoles, 31 de julio de 2013

Promueva la ética y las buenas prácticas de negocio

Federico Reyes Heroles, Presidente del Capítulo Mexicano de Transparencia Internacional, nos presenta una reflexión magnifica sobre los principios éticos:

"En arca abierta, hasta el justo peca", reza un refrán.  "La ocasión hace al ladrón", reza el otro.  Tal parece que los diques de contención para la corrupción no se construyen con los principios éticos, sino con dispositivos y medidas que impidan apropiarse de lo ajeno.  Sin embargo, de nada sirven éstos si no hay valores éticos.  "Si no se fomenta la integridad personal, la corrupción siempre encontrará un caldo de cultivo",

Debemos ayudar a desarrollar un ambiente y una “cultura” que establezca los principios, valores y pautas que deben pernear y prevalecer en nuestras entidades y que sirva de base para todos los demás componentes de los sistemas de control interno, proveyendo la disciplina y estructura requeridas.  Eliminar las situaciones y oportunidades que podrían conducir a cometer irregularidades y actos deshonestos.

Finalizamos el post con una frase que hemos usado anteriormente, pero que consideramos fantástica para concluir este tema:
¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

lunes, 29 de julio de 2013

Muestreo Para Auditoría

El empleo de procedimientos de muestreo eficaces mejorará el alcance, el enfoque y la eficiencia de las auditorías y permite al auditor proporcionar aseguramiento sobre los procesos de negocio que sean relevantes para que la organización cumpla con sus metas y objetivos. Es importante que los auditores internos comprenda los consejos y los estándares aceptados en materia de muestreo, junto con los procesos del negocio y los datos con los que esté trabajando, cuando proceda a elegir la técnica de muestreo más apropiada para la auditoría. Por esta razón a continuación compartimos un resumen del Consejo para la Práctica 2320-3: Muestreo para Auditoría, emitido por el IIA Global en mayo de este año.

El muestreo en auditoría se emplea para obtener una evidencia real y una base razonable para la formulación de conclusiones sobre una población de la cual se extrae la muestra. El auditor interno deberá diseñar y seleccionar una muestra, ejecutar los procedimientos de auditoría y evaluar los resultados de la muestra para obtener una evidencia suficiente, fiable, relevante y útil para cumplir con los objetivos de la auditoría.

El muestreo en auditoría se define como la aplicación de procedimientos de auditoría a menos del 100% de las transacciones o ítems de un tipo determinado o de una cuenta del balance, de tal manera que todas las unidades presenten la misma probabilidad de ser seleccionadas. La población se define como el conjunto íntegro de datos sobre el que se selecciona la muestra y sobre el cual el auditor desea obtener sus conclusiones. Riesgo de muestreo se define como el riesgo de que la conclusión del auditor interno basada en una muestra, pudiera diferir de la conclusión que se hubiera obtenido aplicado la misma técnica de auditoría al total de la población.

El muestreo estadístico (p.ej. aleatorio y sistemático) requiere la utilización de técnicas que permitan la formulación de conclusiones sobre una población con una base matemática. El muestreo estadístico permite al auditor obtener conclusiones soportadas en niveles de confianza aritmética (p.ej. probabilidad de conclusión errónea) sobre una población de datos. Es crítico que la muestra de transacciones sea representativa de la población. Si no se asegura que la muestra sea representativa de la población, se limita la capacidad del auditor de obtener las conclusiones e incluso podrían generarse conclusiones erróneas. El auditor interno deberá validar la integridad de la población para asegurar que la muestra se extrae de un conjunto de datos apropiado.

viernes, 26 de julio de 2013

Definiciones Auditoría Interna

Español:

Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.

Chino Simplificado:

内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标

Portugués

A auditoria interna é uma actividade independente, de garantia e de consultoria, destinada a acrescentar valor e a melhorar as operações de uma organização. Assiste a organização na consecução dos seus objectivos, através de uma abordagem sistemática e disciplinada, para a avaliação e melhoria da eficácia dos processos de gestão de risco, controlo e governação.

Ruso

Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

jueves, 25 de julio de 2013

El Secreto Para Ser Irremplazable

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

miércoles, 24 de julio de 2013

Sistema de Control Interno de la Información Financiera

Jesús Aisa Díez
Atendiendo a la definición de la actividad de Auditoría Interna que recoge el Marco Internacional para la práctica Profesional de la Auditoría interna, emitido por The Institute of Internal Auditors, sabemos que la finalidad de nuestro trabajo es la de ayudar a las organizaciones a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar los siguientes tres procesos: El de gestión de riesgos, los de control y los relativos al gobierno corporativo.

Resulta evidente que estos tres procesos son básicos para poder asegurar si las estrategias de las compañías se están atendiendo y, además, si estas se consiguen respetando  los derechos e intereses de las partes interesadas, para lo que resultará preciso asegurar: (i) la fiabilidad de integridad de la información financiera y operativa, (ii) Eficiencia y eficacia de las operaciones y programas, (iii) la integridad patrimonial y (iv) El cumplimiento de las leyes, regulaciones, políticas, procedimientos y contratos.

En lo que se refiere a la fiabilidad de la integridad financiera, las buenas prácticas, así como  las regulaciones aplicables a las sociedades mercantiles, obligan a que esta sea verificada por auditores externos independientes, los cuales deben dar fe de si los Estados Financieros reflejan la imagen fiel de la compañía o, en caso contrario, señalar las salvedades que se tengan al respecto, a fin de que sean tenidas en consideración a los efectos que correspondan. Para ello, y partiendo de la Ley Sarbanes-Oxley, en este proceso de verificación de la bondad de la información financiera, se entendió imprescindible que las compañías no solo debían asegurar que las prácticas contables aplicadas eran compatibles con los criterios de contabilidad generalmente aceptados,  sino que, complementariamente, deberían realizar una supervisión de sus Sistemas de Control Interno sobre dicha información financiera, con la  que reforzar las garantías sobre su fiabilidad, así como opinar sobre la eficacia del sistema de supervisión y verificación empleado. Aspecto que, como garantía adicional, se entendió conveniente que fuese realizado por las Unidades de Auditoría Interna, en cuyo objetivo se están dedicando importantes esfuerzos.

 En este sentido, la Comisión Nacional del Mercado de Valores español, entendió conveniente publicar en el 2010 el documento denominado Control Interno sobre la información financiera en las sociedades cotizadas (SCIIF), según el cual el Sistema de Control Interno sobre la Información Financiera, lo constituyen el conjunto de procesos que el Consejo de Administración, el Comité de Auditoría, la alta dirección y el personal involucrado de la entidad llevan a cabo para proporcionar seguridad razonable respecto a la fiabilidad de la información financiera que se publica y se difunde a los mercados. Describiendo asimismo las responsabilidades adscritas a cada uno de los intervinientes en dicho proceso. Como veremos a continuación:

martes, 23 de julio de 2013

Conferencia Magistral: El Oficio del Auditor Interno

La Alcaldía de Medellín comprometida con la política pública de transparencia y probidad  y buscando fortalecer la objetividad, la eficacia y la cultura del Control Interno, realizará el próximo 2 de Agosto de 2013, el Seminario Internacional “Control Interno para la Eficiencia y Transparencia en la Gestión Pública”, evento que contará con la participación de los responsables de Control Interno de las entidades públicas de la Ciudad, del Departamento de Antioquia y delegados nacionales de las oficinas de Control Interno de entidades públicas de nivel nacional.

La Alcaldía de Medellín nos invito gentilmente a participar como conferencista en este magno evento, con la ponencia: “El oficio del Auditor interno”. Durante nuestra presentación compartiremos:

·         Principales retos y barreras que enfrenta nuestra profesión en la actualidad.
·         Cómo implementar un enfoque de auditoría interna basado en riesgos.
·         Mejores prácticas para el desarrollo de un Plan Estratégico para su departamento de auditoría interna.
·         Impacto que posee la implementación de un Programa de Aseguramiento y Mejora de la Calidad.
·         Métricas efectivas para medir el valor agregado real de un departamento de auditoría interna.
·         Cinco asesinos de la eficiencia.
·         Herramientas para mantener un alto nivel de compromiso con la excelencia en todo el personal que forma parte del departamento.

Estamos emocionados por retorna a Colombia y poder compartir con colegas y amigos que frecuentemente visitan nuestro Blog.

¿Te ha gustado la noticia? ¡Compártela con otro auditor interno!

lunes, 22 de julio de 2013

Calidad Informe Auditoría Interna

Las Normas establecen que los informes de auditoría interna deben incluir los objetivos y alcance del trabajo así como las conclusiones correspondientes, las recomendaciones, y los planes de acción.

Si bien el formato y contenido de las comunicaciones finales del trabajo varían según la organización o el tipo de trabajo, deben contener, como mínimo, el propósito, alcance y resultados del trabajo. 

Los informes finales del trabajo pueden incluir antecedentes y resúmenes. Los antecedentes pueden identificar las unidades y actividades revisadas de la organización y proporcionar información aclaratoria. También pueden incluir la situación de las observaciones, conclusiones y recomendaciones de informes anteriores. Asimismo, pueden indicar si el informe se refiere a un trabajo planificado o si responde a una petición. 

sábado, 20 de julio de 2013

La Intención

La intención sin acción es pura ilusión.
¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

viernes, 19 de julio de 2013

Fomenta la Pasión por la Excelencia

Pasión es una es una palabra que inspira entrega y dedicación a todo lo que hacemos, sin ella las actividades que realizamos no tendrían un gran valor, para mi pasión, es echarle más ganas a las cosas pasión es la inspiración de la vida, es el motor de la vida, sin pasión no hay ilusión, motivación ni sueños.

“Los seres humanos no son alimentados por la razón, sino por la pasión”.

¿Te ha gustado el consejo? ¡Compártelo con otro auditor interno!

miércoles, 17 de julio de 2013

Patologías en las Organizaciones

Todas las instituciones –grandes y pequeñas, públicas y privadas, nacionales y extranjeras, con ánimo o sin ánimo de lucro...– tienen taras e imperfecciones. Ninguna escapa a esta realidad y ninguna podrá ser indiferente a la misma si quiere alcanzar –o seguir manteniendo– cotas elevadas. Para ello, es fundamental acudir a los especialistas – auditores, asesores, consultores o coaches– que permitan saber qué ocurre en cada organización y prescriban el tratamiento preciso que conduce a la excelencia.

Patologías en las Organizaciones es una publicación escrita conjuntamente por Marcos Urarte (Presidente del Grupo Pharos), Javier Fernández Aguado (Presidente de MindValue) y Francisco Alcaide Hernández (Profesor Universidad Antonio de Nebrija), la cual presenta más de 40 enfermedades que pueden afectar a su organización. 


Para cada una de ellas se detalla de forma bien estructurada:

– Diagnóstico.
– Síntomas.
– Causas.
– Tratamiento.

A continuación presentamos algunos ejemplos:

-Osteoporosis. En las empresas se manifiesta por el debilitamiento de la estructura por falta de recursos financieros o humanos. Un derroche en los costes, el endeudamiento excesivo, una plantilla sobredimensionada y la falta de liderazgo son algunas de la causas de esta enfermedad. El tratamiento pasa por una planificación financiera o la externalización; y, en la gestión de personas, hay que apostar por la meritocracia y por planes de retribución rigurosos.

-Anemia. El apalancamiento del talento y la disminución del compromiso provoca empresas anémicas. La desgana, el trabajo de escasa calidad, la rumorología y el absentismo son sintomáticos. Es posible solventar esta situación diseñando políticas de conciliación que incidan en la parte emocional de los empleados y el desarrollo de políticas de imagen de marca que fomenten el compromiso.

lunes, 15 de julio de 2013

Las Auditorías de las Marcas

Jesús Aisa Díez
Últimamente hemos prestado atención a las formas de acometer algunos tipos de auditorías internas, en concreto la relacionada con el proceso de compras colgada en el blog la semana pasada, o a las medioambientales, a las que creo deberíamos prestarle mucha más atención del que en la actualidad se le concede, pues es un tema muy marginal dentro de los Universo de Auditoría, a pesar de que los riesgos que de él se derivan son muy relevantes, y afectan a toda la humanidad presente y futura. Espero que en breve podamos compartir algunos consejos que puedan sernos útiles para incidir sobre estos riesgos emergentes.

Hoy quería comentar un tema que tampoco es frecuente que abordemos, aunque creo que detrás de él pueden existir múltiples riesgos y amenazas en la reputación de nuestras organizaciones. Estoy pensando en la forma en que entre todos cuidamos y gestionamos la “marca” de nuestras empresas, pues no debemos olvidar que estas son las que permitirán a la organización a desarrollar su estrategia de competitividad y forjar su prestigio e identidad empresarial.
                               
Comento esto porque hace un par de semanas estuve participando en la evaluación del funcionamiento de una Unidad de Auditoría Interna, en la que, dentro de sus entes auditables, se encontraba la realización de auditorías presenciales en sus oficinas comerciales, en las que, una parte significativa del alcance de dichas auditorías, se encontraba el aspecto correspondiente a la “gestión de la marca”. Que entiendo es una buena práctica que deberíamos replicar si las condiciones de nuestra actividad así lo aconsejaran.

Es indudable que una de las imágenes que más impactan en la percepción de los clientes cuando accedemos a cualquier dependencia de cualesquiera organización, es el orden que podamos observar en sus instalaciones, la limpieza del mobiliario o escaparates, la compostura de los empleados, sus indumentarias, etc.

sábado, 13 de julio de 2013

300

Durante esta semana llegamos a nuestro artículo publicado número 300, por lo que deseamos agradecer a todos los visitantes que diariamente leen los temas presentados, a los más de 100 participantes que se han inscrito en el Blog, a los lectores que nos dejan saber su opinión a través de sus valiosos comentarios y sobre todo a nuestros colaboradores quienes desinteresadamente comparten sus conocimientos sobre la profesión de auditoría interna.

¿Te ha gustado la noticia? ¡Compártela con otro auditor interno!

viernes, 12 de julio de 2013

Oficio Auditor Interno – Consejo No. 12: El Peligro de sobre-auditar

Sobre-auditar (uso de un alcance exageradamente amplio),
me estoy refiriendo a no saber cuando detenernos.
Los auditores más diligentes y apasionados con su trabajo tienden a tener serios problemas por establecer un alcance muy amplio, lo cual incrementa la posibilidad de que el riesgo se escape de las manos y que los proyectos de auditoría tomen mucho tiempo para ser completados.

Por otra parte, tenemos en algunas instituciones gubernamentales existen que auditores sedientos de sangre, los cuales al igual que los vampiros de la serie de televisión True Blood pasan todo el tiempo buscado su próxima victima y no terminan un proyecto hasta que no encuentran un problema que puedan incluir en su informe, aunque el mismo en algunas ocasiones este fuera del alcance definido inicialmente para el proyecto.

Siempre tenemos la tentación de auditar más en vez de reducir la cobertura de nuestro trabajo. Debemos de emplear el juicio profesional para balancear el riesgo y los recursos limitados de su departamento de auditoría interna.

jueves, 11 de julio de 2013

Do it right or don't do it at all

"Esa frase proviene de mi madre. Si hay algo que quiero hacer, yo soy una de esas personas que no estarán satisfechas hasta lograr que se haga. Si estoy tratando de cantar algo y no puedo conseguirlo, seguiré con ello hasta llegar adonde yo quiero."
Ray Charles

¿Te ha gustado el consejo? ¡Compártelo con otro auditor interno!

miércoles, 10 de julio de 2013

7 Puntos Claves en la Revisión de un Modelo de Madurez

Los procesos de negocio hablan y al realizar una evaluación eficaz de los mismos podemos identificar oportunidades de mejora y crear nuevas realidades para nuestras organizaciones. Una de las cosas más fascinantes de la profesión de auditoría interna es la búsqueda constante de nuevas herramientas y técnicas para el análisis de las operaciones. Es por esta razón que el IIA Global en su nueva Guía Práctica Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements, nos trae una metodología antigua pero poderosa, esta es el Modelo de Madurez.

El Modelo de Madurez de Capacidades o CMM (Capability Maturity Model), es un modelo de evaluación de los procesos de una organización. Fue desarrollado inicialmente para los procesos relativos al desarrollo e implementación de software por la Universidad Carnegie-Mellon  para el SEI.

Este modelo establece un conjunto de prácticas o procesos clave agrupados en Áreas Clave de Proceso (KPA - Key Process Area). Para cada área de proceso define un conjunto de buenas prácticas que habrán de ser:

·         Definidas en un procedimiento documentado
·         Provistas (la organización) de los medios y formación necesarios
·         Ejecutadas de un modo sistemático, universal y uniforme (institucionalizadas)
·         Medidas
·         Verificadas

A su vez estas Áreas de Proceso se agrupan en cinco "niveles de madurez", de modo que una organización que tenga institucionalizadas todas las prácticas incluidas en un nivel y sus inferiores, se considera que ha alcanzado ese nivel de madurez.
Los niveles son:

1 - Inicial. Las organizaciones en este nivel no disponen de un ambiente estable para el desarrollo y mantenimiento de software. Aunque se utilicen técnicas correctas de ingeniería, los esfuerzos se ven minados por falta de planificación. El éxito de los proyectos se basa la mayoría de las veces en el esfuerzo personal, aunque a menudo se producen fracasos y casi siempre retrasos y sobrecostes. El resultado de los proyectos es impredecible.

2 - Repetible. En este nivel las organizaciones disponen de unas prácticas institucionalizadas de gestión de proyectos, existen unas métricas básicas y un razonable seguimiento de la calidad. La relación con subcontratistas y clientes está gestionada sistemáticamente.

3 - Definido. Buena gestión de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinación entre grupos, formación del personal, técnicas de ingeniería más detalladas y un nivel más avanzado de métricas en los procesos. Se implementan técnicas  de revisión  de pares (peer reviews).

martes, 9 de julio de 2013

Movimiento o Acción

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

lunes, 8 de julio de 2013

Cómo Auditar el Proceso de Compras

Jesús Aisa Diez
Es obvio que existen algunos procesos empresariales que son habituales integrantes de los Planes de Auditoría, ya que son en los que recaen más dudas sobre la eficacia de los controles que puedan estar aplicándose, así como por la trascendencia que para los resultados empresariales tendrán sus resultados.

Entre este grupo “selecto” de procesos, entiendo que se encuentra el de compras, el cual, de una u otra manera, es, además, de los que está presente, con mayor o menor entidad, en cualesquiera organización.
Para comenzar con la planificación y programación de estas auditorías, lo primero que entendemos deberíamos definir, como también sucede en cualquier otro proceso a supervisar, es su alcance, aspecto que en el proceso de compras se refiere al ámbito de verificación que vayamos a realizar, es decir: de forma preventiva sobre la forma de resolver los concursos, pedidos o adjudicaciones, y/o correctivo, verificando si se han cumplido por parte de los proveedores las condiciones establecidas en el contrato, respecto a: precios, plazos de entrega, descuentos por volúmenes pactados, calidad del producto, abono de penalizaciones, etcétera. Veamos ambas opciones.

En la fase preventiva, es decir la que cubriría todas las actuaciones hasta que se adjudique el contrato, lo primero que tendríamos que verificar es si los “pliegos de condiciones” elaborados para entregar a los posibles oferentes, son completos y  definen con claridad las características de los bienes o servicios a adquirir. Otro aspecto importante es que deben recoger el plazo máximo de entrega de las ofertas y la forma de presentarlas (en sobre cerrados, vía e-mail, …) y la persona o Unidad en donde deben presentarse.

viernes, 5 de julio de 2013

La Inactividad

¿Te ha gustado el consejo? ¡Compártelo con otro auditor interno!

miércoles, 3 de julio de 2013

El Universo de Auditoría y los Riesgos Emergentes

Jesús Aisa Diez

Por lo señalado por el Marco Internacional para la Práctica Profesional de la Auditoría Interna, conocemos, a través de lo recogido en su Consejo para la Práctica 2010-1, que se denomina Universo de Auditoría a la lista de todas las posibles auditorías que pudieran realizarse, y que éstas son consecuencia de diversos inputs, como por ejemplo: La información obtenida por parte de la alta dirección y del Consejo de Administración (Directorio),  el plan estratégico de la organización y los resultados del proceso de gestión de riesgos, entre otros.

Es sobre el Universo de Auditoría sobre el que el equipo de auditores debe trabajar a fin de seleccionar aquellas auditorías que se consideren necesario realizar, a fin de aportar las garantías razonables sobre el control interno realmente existente en la Organización, incorporándolas en el Plan de Auditoría a desarrollar. 

Tanto los componentes del Universo de Auditoría, como del Plan de Auditoría, son lo que denominamos “entes auditables”, los cuales no responden necesariamente a una estructura prefijada, puesto que su alcance puede ser un determinado área de la organización, un proceso, un riesgo o una actividad. Lo que hace falta es que la supervisión a efectuar nos permita concluir con veracidad sobre la eficacia del grado de control existente en el ente elegido para ser auditado. 

Resulta habitual que en la definición del Universo de Auditoría se parta de la identificación de  los riesgos a los que la organización puede estar sometida, para después decidir la forma de verificar o supervisar por Auditoría Interna su adecuada gestión. Dinámica de actuación que nos conduce a una primera conclusión: los Universos de Auditoría no son estables, puesto que son cambiantes en la misma medida que lo son los riesgos que amenazan a los objetivos empresariales.

En este contexto, los Directores de Auditoría cuando definen su universo de  trabajo, no deben olvidar los denominados “riesgos emergentes”, que podríamos definirlos como aquellas amenazas que tienen una naturaleza propia y van más allá de la capacidad de control de la empresa y que, por mucho que su probabilidad pareciera baja en otros tiempos, su impacto es ahora tan importante, con potencial de destrucción o de generación de oportunidades, que obliga a tenerlos en consideración. Nos estamos refiriendo, por ejemplo al: cambio climático, inseguridad alimentaria, volatilidad en el suministro energético, cambios tecnológicos o crisis financiera mundial, resultando preciso controlarlos a través de indicadores cualitativos y cuantitativos que nos permitan detectar cambios en el entorno.

lunes, 1 de julio de 2013

20 Consejos para el desarrollo efectivo de un Sistema de Gestión de Riesgos

Gestión de Riesgos

Sobre este tema se han vertido ríos de tinta, debido a que es ingente la cantidad de teorías, artículos, libros, que se han escrito acerca de este concepto. Todo el mundo hoy en día habla libremente de este término tan abstracto:

El riesgo. Pero se ha preguntado usted alguna vez:

¿Qué es el riesgo?

Es la posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El Riesgo se mide en términos de impacto y probabilidad.

El riesgo representa barreras u obstáculos que limitan el cumplimiento de las metas, éstos provienen de dentro y fuera de la empresa y sus efectos son:

·         Decisiones erróneas por uso de información incorrecta, no oportuna, incompleta o poco confiable.
·         Errores de registros, contabilización inapropiada, exposición a pérdidas financieras.
·         Fallos en salvaguarda de los activos.
·         Insatisfacción de clientes, publicidad negativa y daño a la reputación de la empresa.
·         Violaciones a políticas, planes y procedimientos, no cumplir con leyes y regulaciones.
·         Adquisición de bienes, de forma antieconómica, o uso de los recursos de forma inefectiva e ineficientemente.
·         Falta de cumplimiento con objetivos y metas operativas establecidas.

Los auditores internos debemos evaluar y mejorar el proceso de manejo de riesgo, control y  gobernabilidad.  La auditoría debe ayudar a la gerencia en el manejo del riesgo, identificar los riesgos significativos de negocio, durante el proceso de auditoría.  Los auditores internos  siempre hemos tenido una fascinación por el riesgo. Existe algo excitante y místico en mirar  hacia el futuro.