Hasta dónde hemos interiorizado, y aplicado, las nuevas herramientas de Auditoría

Jesús Aisa Díez

Para los que seguimos el Marco Internacional para la Práctica Profesional de Auditoría Interna como orientador de las actividades de la función auditora, tenemos claro que, la evaluación de los riesgos, es un aspecto fundamental para el desarrollo de nuestra actividad, puesto que, con él podremos incidir en dos de sus aspectos trascendentes: en primer lugar en la determinando de forma eficiente del contenido del Plan de Auditoría Interna que propongamos para su aprobación a la alta dirección y al Comité de Auditoría, pero también para guiar el desarrollo de nuestros trabajos dentro del capítulo correspondiente al aseguramiento. Es por tanto una herramienta básica y de “obligado” empleo. Recordemos en este sentido lo señalado por las Normas 2010 y 2120, fundamentalmente.

Recientemente he tenido la oportunidad de participar en una encuesta realizada a los asistentes de un seminario realizado en Colombia sobre el tema: La administración de Riesgos: Herramienta de gestión empresarial y de Auditoría Interna. Cuyas conclusiones me gustaría compartir, debido a lo interesante de sus respuestas, puesto que, como reflejamos en la figura con la que ilustramos estas líneas, entiendo que nos facilitarán el camino para alcanzar los objetivos fijados.

Obviamente el resultado de esta muestra, en principio, solo debería ser extrapolable a ese entorno de empresarial, el colombiano, pues incluye la opinión de profesionales de: Bogotá, Cali, Medellín, Barranquilla, Cartagena de Indias, y un largo etcétera. Si bien, en mi opinión, también creo que refleja el ambiente de trabajo de otros muchos ambientes organizacionales, tanto en Iberoamérica, como en otras latitudes a este lado del Atlántico.

Dos Cosas Maravillosas

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Plan de Auditoría en Base a Riesgos

Jesús Aisa Díez

Después de unas pequeñas vacaciones de verano, y de atender algunos compromisos, vuelvo a retomar la atención del blog, que espero poder mantener de forma continuada.

Para comenzar esta nueva etapa, quisiera comentar un aspecto que creo  significativo, cual es la determinación del Plan de Auditoría en base a riesgos, y la coherencia de nuestras decisiones con respecto de la información contenida en los mapas de riesgos institucionales derivados del Sistema de Gestión de Riesgos (SGR) de la organización en la que desarrollemos nuestro trabajo.

Si repasamos las Normas del IIA, nos encontramos con que, la 2010, nos indica que: El director de auditoría interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización. Incorporando como interpretación de este requerimiento que: Para actuar según lo expresado, el director de auditoría interna debe tener en cuenta el enfoque de gestión de riesgos de la organización, incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la entidad.

De donde se deduce que Auditoría Interna debe tener una interacción directa y continua con el área de Gestión de Riesgos, que siendo el responsable de desarrollar el SGR, le corresponde elaborar el mapa de riesgos residuales que se adecue a los niveles apreciados respecto de las amenazas que incidan sobre los objetivos estratégicos y operativos de la empresa.

En estos mapas de riesgos aparecerán representados dichas amenazas, de acuerdo a la valoración de sus dos atributos básicos, impacto y probabilidad, que es la información que debe servir de base de trabajo de auditoría interna a la hora de definir sus próximas actuaciones.

Cómo Debemos Ser

Paulo Coelho de Souza. Es uno de los escritores más leídos del mundo con más de 150 millones de libros vendidos en más de 150 países, traducidos a 80 lenguas. Desde octubre de 2002 es miembro de la Academia Brasileña de las Letras. Ha recibido destacados premios y reconocimientos internacionales, como la prestigiosa distinción Chevalier de L' Ordre National de La Legión d' Honneur del gobierno Francés, la Medalla de Oro de Galicia y el premio Crystal Award que concede el Foro Económico Mundial, entre muchos otros premios que ha obtenido gracias a su gran éxito.

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Algunos Ejemplos de Indicadores Claves de Desempeño

Los indicadores claves son los datos, índices, mediciones o ratios que generan información de la situación de cada área clave. Su seguimiento y evaluación periódica permite contar con un mayor conocimiento de la situación de su empresa o sector que opera la organización.

Como una condición indispensable, se requiere supervisar los principales indicadores del negocio, con una visión sobre su tendencia, cumplimiento y contribución al logro de las metas estratégicas de la organización. Adicionalmente los mismo facilitan enormemente el trabajo de auditoría interna, debido a que permiten compara los resultados esperados de un proceso y de esta forma medir su eficiencia y efectividad.

La empresa como organización formal e informal es sujeta de parametrización en muchos de sus valores para facilitar el diagnóstico y la toma de decisiones. Si bien hay indicadores genéricos para todas las empresas, especialmente en áreas como las económicas financieras, cada empresa o sector requiere definiciones a medida de sus propios parámetros y definir quién y cómo va a monitorear esa información.

Auditoría Interna 101: Una Pregunta Indecente

La Repuesta: Los auditores internos no deben aceptar dinero, regalo o agasajos de parte de un empleado, cliente, proveedor o persona relacionada con el negocio que pueda crear la apariencia de que la objetividad del auditor interno ha sido afectada. La apariencia de que la objetividad ha sido afectada puede aplicarse a trabajos actuales o futuros realizados por el auditor. La calidad de los trabajos no debe ser considerado como justificación para recibir dinero, regalos o agasajos. Recibir elementos de promoción (tales como lápices, calendarios o muestras) que estén a disposición de los empleados y del público en general y tengan un mínimo valor no obstruyen los juicios profesionales del auditor interno. Lo más importante los auditores internos deben informar todo ofrecimiento de dinero o regalos materiales de inmediato a sus supervisores.

La Norma 1130 Impedimentos a la independencia u objetividad, indica: Si la independencia u objetividad se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicación dependerá del impedimento.

Para Pensar

Johann Wolfgang von Goethe. Poeta, novelista, dramaturgo y científico alemán. Expreso una nueva concepción de las relaciones de la humanidad con la naturaleza, la historia y la sociedad; sus dramas y sus novelas reflejan un profundo conocimiento de la individualidad humana. En palabras de George Eliot fue: "el más grande hombre de letras alemán... y el último verdadero hombre universal que caminó sobre la tierra".

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Auditoría Interna 101 – La Pregunta Más Común

La Repuesta: Los auditores internos no deben aceptar responsabilidades por funciones o tareas distintas de auditoría que estén sujetas a evaluaciones periódicas de auditoría interna. Si asumen este tipo de responsabilidades, se entenderá que no se están desempeñando como auditores internos.

La Realidad: Muchos Departamentos de Auditoría Interna realizan en su trabajo diario funciones operativas, las cuales no están relacionadas con servicios de aseguramiento y consultoría. Ahora bien la pregunta del millón de dólares es:

¿Qué debe tener en cuenta un Departamento de Auditoría Interna que realiza tareas operativas?

Conferencia Magistral: COSO 2013

Durante la próxima semana el miércoles 25 de septiembre del 2013, tenemos la fantástica oportunidad de desarrollar una conferencia magistral in-company en el Banco Central de Reserva del Perú, el nombre de la conferencia es:

Nuevo Marco de Control Interno COSO 2013:

Todo lo que usted necesita saber y no se había atrevido a preguntar

Durante nuestra presentación compartiremos conceptos, ideas y reflexiones sobre este nuevo documento técnico. Los participantes conocerán:

1.    Las razones de la actualización del nuevo Marco de Control COSO 2013.

2.    Evolución marco de control interno COSO.

3.    Definiciones de control interno.

4.    Presentación de los principales cambios.

5.    Análisis de los componentes del nuevo cubo COSO.

6.    17 principios básicos para implementar un sistema efectivo de control interno.

7.    Impacto del control interno en los procesos de negocio.

8.    Mejores prácticas del sistema de control interno.

9.    Recomendaciones para el uso del marco.

10. Preguntas y repuestas.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

El análisis Bow – Tie en el Trabajo de Auditoría

Juan Villanueva Chang

En la actualidad todos coincidimos que el cambio en auditoría interna está en la adopción de un enfoque basado en riesgos, y que éste se materializa en una metodología práctica que se diseña y evoluciona de acuerdo al nivel de madurez de la gestión de riesgos en la organización.

En las etapas iniciales, el auditor comienza a utilizar una diversidad de técnicas de análisis: lluvia de ideas, causa – efecto, Delphi, Pareto, taller de CSA o RCSA, entre otros. Pero es casi común advertir que al momento de decidir sobre cuáles serán los controles críticos para el desarrollo de las pruebas de auditoría, hace falta de una herramienta que respalde la decisión del auditor para señalarlos. Esta incertidumbre suele ser producto del incipiente resultado logrado en la identificación y evaluación de riesgos por parte de los dueños de los procesos (sobre todo en los grados iniciales de madurez de riesgos). Otro fundamental es a la falta de un instrumento que permita obtener una visión integral de la información recogidas hasta el momento de diversas fuentes y técnicas de análisis.

Para decidir con seriedad la selección de aquellos controles críticos que serán empleados para el desarrollo de las pruebas de auditoría, el auditor se puede apoyar en la técnica de análisis Bow – Tie. Esta es una de las diversas técnicas de evaluación de riesgos clasificadas para evaluar controles según el ISO 31030 y que perfectamente puede cubrir este vacío.

Seminario-Taller: Smart-Audit: Cómo Hacer más Eficiente a su Departamento de Auditoría Interna

¿Por qué asistir a este seminario?

Ser eficientes como profesionales de la auditoría interna y como Departamento no es una elección en el mundo de hoy: es imprescindible para alcanzar el éxito. Sin lugar a dudas que para sobrevivir, prosperar, innovar, sobresalir y liderar en esta nueva realidad nos exigirá aumentar la eficiencia, la efectividad e ir más allá.

Durante los últimos veinte años he trabajado con auditores internos de instituciones financieras, gubernamentales, de servicio y de empresas de otras ramas; lo cual me ha permitido comprobar la crisis de eficiencia que atraviesan los departamentos de auditoría interna. En la actualidad todavía son escasos los directores, gerentes y supervisores de auditoría interna que han desarrollado un sistema efectivo para luchar contra este mal y de esta forma poder crear valor real para sus clientes. Es por esta razón que este entrenamiento presentamos un enfoque innovador, que crea una ruptura con la tradición, con los viejos modos de pensar, con los enfoques antiguos de cómo debe realizarse el trabajo de auditoría interna. Estamos convencidos que al implementar la metodología de auditoría inteligente o Smart Audit, la eficiencia y efectividad de su departamento aumentará extraordinariamente.

Oficio Auditor Interno – Consejo No. 15: Vive Como una Versión Beta

El día de hoy estoy especialmente feliz, debido a que tres personas del departamento acaban de finalizar un Postgrado de Auditoría de Sistemas Computarizados en una universidad local. El año que duro el programa fue altamente retador para la mayoría de los miembros del grupo, debido a que 2 de los 3 auditores participantes no son ingenieros en sistemas, por lo que tuvieron que realizar un esfuerzo adicional para familiarizarse con las herramientas necesarias para desarrollar adecuadamente una auditoría de sistemas, tales como: marcos de gobierno tecnología de la información, desarrollo de aplicaciones, seguridad de activos informáticos, procesos de soporte y programas de recuperación. Esta experiencia representó el descubrimiento de todo un nuevo mundo de posibilidades para mejorar la calidad del trabajo.   

Por lo que nuestro consejo esta relacionado con un termino informático “Versión Beta”. Mi recomendación es que te mantengas siempre como una versión Beta, considérate a ti mismo y a cada uno de los miembros del departamento como un proyecto o programa en constante desarrollo. Es fundamental vivir con esa idea. Independientemente de lo que usted haya podido lograr o no, de su edad, su experiencia o cargo en su empresa. Debería evitar la tentación de mirar el retrovisor para ver lo que ha hecho hasta ahora, y concentrarse en mirar hacia delante con optimismo. Siempre debemos buscar nuevos retos, tareas y desafíos profesionales, que nos permitan evolucionar, crecer y ejercer un impacto positivo en nuestra organización.

En nuestro departamento tratamos de mejorar constantemente y buscamos apasionadamente nuevas formas de añadir valor. No olviden que para alcanzar la excelencia es absolutamente necesario convertirse en un innovador excepcional. Todos los días busco formas creativas para incrementar las destrezas del personal, el mejoramiento continúo es parte esencial de nuestro ADN como equipo de auditoría interna. 

Comienza Ya

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

25 Preguntas Básicas de una Planificación Efectiva

Las organizaciones forman un ecosistema que se mantiene activo y en constante evolución, una muestra de esto es que las estrategias son ejecutadas, los riesgos son gestionados, las transacciones son completadas y las actividades claves son realizadas a través de procesos claramente establecidos. Un proceso es definido como una serie continúa de acciones que traen los resultados deseados. Los auditores internos estamos llamados ha convertirnos en expertos en la evaluación de procesos. Aquí ya no hay lugar para las dudas, si deseas ser un consultor interno confiable, debes conocer las actividades de tu empresa y como es lógico nuestro trabajo comienza con una planificación efectiva.

El primer paso de la fase de planificación de un proyecto requiere que el auditor interno gane entendimiento de cuáles son las acciones realizadas, quien debe realizarlas, cuál debe ser la secuencia y el resultado final del proceso. Generalmente, realizamos dos tareas para ganar una mejor comprensión de un proceso de negocio:

I. Examinar los documentos:

·         Políticas relacionadas al proceso.

·         Manuales de procedimientos.

·         Descripciones de puesta de las personas envueltas en el proceso.

·         Grafico que presente el flujo de proceso.

Pensar

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Auditoría Interna 101 – Planificación Auditoría

Ronny Castillo nos pidió que publiquemos artículos sobre la planificación por lo que durante el lunes y miércoles presentaremos dos temas básicos sobre la planificación de auditoría interna, pero que consideramos son esenciales para realizar un trabajo efectivo.

Las Normas de auditoría interna requieren que la actividad de auditoría interna se centre en áreas de alto riesgo, incluyendo los riesgos residuales e inherentes.

Plan Anual

Como consecuencia de llevar a cabo un proceso de planificación de auditoría anual, el auditor interno debe identificar diferentes tipos de actividades que serán incluidas en el plan de la actividad de auditoría interna. Entre otras:

·    Actividades de análisis/aseguramiento de control: el auditor interno analiza la adecuación y eficacia de los sistemas de control y ofrece la seguridad de que los controles funcionan y los riesgos son gestionados de manera efectiva.

·    Actividades de investigación: la gestión organizacional tiene un nivel inaceptable de incertidumbre sobre los controles relacionados con la actividad del negocio o área de riesgo identificada, y el auditor interno lleva a cabo procedimientos para obtener un mejor entendimiento de los riesgos residuales.

·    Actividades de consulta: el auditor interno aconseja la gestión organizacional en el desarrollo de sistemas de control para mitigar riesgos actuales inaceptables. Los auditores internos también tratan de identificar controles innecesarios, redundantes, excesivos o complejos que reducen el riesgo de manera ineficiente. En estos casos, el coste del control puede llegar a ser mayor que el beneficio obtenido y, por lo tanto, hay una oportunidad para que el diseño del control gane eficiencia.

¿Qué tipo de jefe eres?

En auditoría interna o en cualquier otra profesión la gente le gusta trabajar con personas que sienten pasión por lo que hacen; trabajan duro, es decir predican con el ejemplo; son profesionales que poseen conocimientos profundos de las técnicas y herramientas usadas en el trabajo y son capaces de transmitir sus conocimientos de forma efectiva; y lo más importante son personas que saben hacia donde se dirigen y los demás miembros del equipo de trabajo están motivados a ir con el.

"Un líder es alguien a quien sigues a un lugar al que no irías por ti mismo".
 Joel A. Barker

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

The Crazy Ones

"Esto es para los [que son llamados] locos...
Los que no encajan,
los rebeldes,
los creadores de problemas,
los tornillos cuadrados en los agujeros redondos,
aquellos que ven las cosas de una manera diferente...

Ellos son de los que no siguen las reglas,
y no tienen ningún respeto por el status quo.

Los puedes citar, estar en desacuerdo con ellos, glorificarlos o vilipendiarlos,
pero lo único que no puedes hacer... es ignorarlos.
Porqué ellos cambian las cosas.
Ellos empujan la raza humana hacia adelante...

Aunque algunos los vean como unos locos,
nosotros vemos a genios.
Porque los que son lo suficientemente locos como para pensar 

que pueden cambiar el mundo... 

son los que lo hacen"

Traducción Comercial Apple de 1997

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

Riesgo inherente versus riesgo residual. Cómo se evalúan.

Jesús Aisa Díez

Hace unos días recibía en mi correo electrónico una pregunta que me parece muy oportuna compartir, pues creo que la duda que planteaba podría repetirse entre algunos auditores que estén interesados en la aplicación de modelos de gestión de riesgos. La pregunta concreta se refería a si existía alguna diferencia en la forma de evaluar los riesgos inherentes y los residuales.

La respuesta es negativa. No existe ninguna diferencia en la forma de cuantificar la importancia de los riesgos, aplicándose, según los modelos tradicionales recogidos por COSO, ISO 31.000, AS/NZ 4360, e innumerables otros protocolos de uso generalizado,  a través de dos de sus atributos: la probabilidad de ocurrencia y el impacto.

Y ello es así porque ambos tipos de riesgos solo se diferencian en el nivel de control que pueda estar aplicándose en los procesos en los que estos se visualizan, pues mientras que la valoración del riesgo residual pretende estimar la importancia efectiva de la gravedad de la amenaza que estemos cuantificando, de acuerdo con las medidas correctoras que ya se estén aplicando; en la evaluación del riesgo inherente lo que se pretende es apreciar la importancia de las hipotéticas amenazas en ausencia de cualquier tipo de control. Es por tanto una valoración que no se corresponde con una situación existente, sino una simulación de la misma si no hubiésemos aplicado los controles que estemos aplicando.

Entendida la diferencia entre ambos conceptos, surge ahora una nueva pregunta. Si el riesgo inherente no responde a situaciones reales, ¿cuál es su utilidad, para qué sirve?

Ser Tú

¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

7 Pecados Capitales en la Redacción de un Informe

Joanne Feierman nos enseña en conferencia “The Seven deadly Sins of Report Wiriting” los principales errores que se pueden cometer en la redacción de un informe de auditoría interna:

¿Te ha gustado la lista? ¡Compártela con otro auditor interno!