¿Te ha
gustado la frase? ¡Compártela con otro auditor interno!
▼
jueves, 31 de octubre de 2013
miércoles, 30 de octubre de 2013
¿COSO III, cuál es su alcance?
Jesús Aisa Díez
Desde
mi perspectiva, si bien COSO I dedicaba toda su atención a la forma de
entender, y atender, el control interno de las organizaciones, con el documento
del año 2004, es decir con el ERM, se seguía manteniendo la preocupación por el
control interno, pero se incidía y ampliaba un aspecto básico para conseguirlo,
en concreto, la descripción del proceso
de gestión de los riesgos, por lo que se
detallaban, como nuevos elementos: (I) el establecimiento de los objetivos
empresariales, (ii) la identificación de eventos que pudiesen afectarles y
(iii) las respuestas a los riesgos. Aparte de considerar que los objetivos
deben ser consecuentes con la estrategia fijada por la Organización.
Con
esta ampliación, creo, que los que tuvimos oportunidad de apoyarnos en estos
protocolos, entendimos que la administración de riesgos era uno de los
elementos fundamentales del Sistema de Control Interno con el que lograr la
eficacia y eficiencia de las operaciones, la confiabilidad de los reportes y el
cumplimiento de leyes, normas y reglamentos, ya que dichos sistemas de gestión
de riesgos no son independientes del Sistema de Control Interno, sino que
forman parte integral del mismo. En sentido inverso la afirmación contraria
también es cierta, ya que no puede existir una adecuada gestión de los riesgos,
si en la empresa no impera un buen control interno. Por ello la versión de COSO
relativa a la Gestión de Riesgos Empresariales, ERM por sus siglas en inglés,
la entendimos que era COSO I, ampliado con un sistema de gestión de riesgos. Es
decir, que mejorándolo, lo anulaba y sustituía, a todos los efectos.
Por
todo ello, esta ampliación del año 2004 permitió “corregir” algunos de los
aspectos del Marco original que necesitaban mejorarse, por ejemplo: que los
objetivos del control interno no debían limitarse a la “fiabilidad de la
información financiera”, sino que debía darse cabida a todo tipo de
información, no solo la financiera. También que el orden de los elementos,
fuesen 5 u 8, debían partir del “entorno de control”, situándolo en el
nivel más alto del cubo que gráficamente lo representaba, reconociendo así la
validez del criterio “Tone at the top”, que nos indicaba que un buen
tono en la parte superior se consideraba como un requisito previo para
conseguir un adecuado y sólido gobierno corporativo.
Adicionalmente se consideró oportuno señalar que los objetivos, fuesen estos
operacionales, de reporting o de cumplimiento normativo, debían fijarse
de forma coherente con los objetivos estratégicos previamente definidos, los
cuales derivaban de la estrategia de la Organización, que era lo primero que
había que conocer.
martes, 29 de octubre de 2013
lunes, 28 de octubre de 2013
Seis cosas que cada DAI debe hacer para retener el mejor talento en el Departamento de Auditoría Interna
1.
Desafíe a los auditores internos con nuevas
oportunidades de crecimiento en todos los sentidos. No olvide que sus
auditores más talentosos se aburren
fácilmente realizando tareas de rutina.
A los mejores y más brillantes deben asignárseles constantemente proyectos retadores, que les proporcionen
oportunidades para crecer y mejorar.
2.
Reconozca a los que tengan un
desempeño exepcional. No tenga miedo de "tener favoritos" cuando se trata de
los auditores con mejor desempeño. Reconozca sus logros privada y
públicamente. Esforzarse para reconocer a todos los miembros del personal por igual hará muy poco para
motivar a los auditores con un desempeño
marginal, y de seguro puede desmotivar a los de mejor desempeño o peor aún, los hará disminuir su capacidad de aporte.
3.
Muestre sus
auditores
con mejor desempeño y permitales tener la exposición que merecen.
Los mejores
DAI’s con quienes
trabajé tomaron
en consideración el llevarme con ellos cuando
había que discutir los resultados
de una auditoría con altos ejecutivos.
De hecho, habitualmente
me invitaban a ser parte de
las reuniones del
Comité de Auditoría.
viernes, 25 de octubre de 2013
miércoles, 23 de octubre de 2013
Comentarios sobre la determinación del rating de los informes
Jesús Aisa Díez
Una mejor práctica aplicada por algunas Unidades
de Auditoría Interna, es la de incorporar en sus informes un rating o semáforo
con el que informar y resumir la gravedad/trascendencia de las conclusiones
alcanzadas. Para ello se hace preciso disponer de un sistema de valoración,
mediante el otorgamiento de una calificación homogénea, tanto de la situación global del ente
auditado, como específica de cada uno de los riesgos vinculados al mismo.
La valoración final del rating, que suele ser
único en cada informe, no es más que la ponderación de los valores otorgados a
cada uno de los subfactores que lo componen.
Recientemente hemos tenido la oportunidad de
conocer la metodología aplicada por la Unidad de Auditoría Interna de una gran
empresa española, según la cual, la otorgación de los valores de cada subfactor
se realiza con una puntuación entera de 0 a 100.
La escala aplicable estaba subdividida en los
siguientes niveles:
Obteniéndose,
por ponderación de la valoración individual de cada subfactor, el rating
agregado.
Con la finalidad de poder aportar algunas
sugerencias a la Unidad de Auditoría que emplea esta metodología, y con el
objetivo de que se puedan adoptar las decisiones precisas para que se
posibilite a la áreas auditadas una mayor transparencia y detalle de la
calificación asignada, así como complementar la visión que se derivará de los
indicadores aplicados. Nos permitimos identificar, y proponer, algunas
“oportunidades de mejora”. Que a continuación reproducimos:
martes, 22 de octubre de 2013
Seminario-Taller: Smart-Audit: Cómo Hacer más Eficiente a su Departamento de Auditoría Interna
Ahora bien muchos de ustedes se estarán preguntando:
¿Por qué debo asistir a este
seminario?
Ser eficientes como profesionales
de la auditoría interna y como Departamento no es una elección en el mundo de
hoy; es imprescindible para alcanzar el éxito. Sin lugar a dudas que para
sobrevivir, prosperar, innovar, sobresalir y liderar en esta nueva realidad nos
exigirá aumentar la eficiencia, la efectividad e ir más allá.
Durante
los últimos veinte años he trabajado con auditores internos de instituciones
financieras, gubernamentales, de servicio y de empresas de otras ramas; lo cual
me ha permitido comprobar la crisis de eficiencia que atraviesan los
departamentos de auditoría interna. En la actualidad todavía son escasos los
directores, gerentes y supervisores de auditoría interna que han desarrollado
un sistema efectivo para luchar contra este mal y de esta forma poder crear
valor real para sus clientes. Es por esta razón que este entrenamiento
presentamos un enfoque innovador, que crea una ruptura con la tradición, con
los viejos modos de pensar, con los enfoques antiguos de cómo debe realizarse
el trabajo de auditoría interna. Estamos convencidos que al implementar la
metodología de auditoría inteligente o Smart Audit, la eficiencia y efectividad
de su departamento aumentará extraordinariamente.
lunes, 21 de octubre de 2013
Factores Para Mejorar el Proceso de Gobierno Corporativo
Existen
varias definiciones para el término gobierno, las cuales dependen de diversas circunstancias
del entorno, estructurales y culturales, así como legales. Las Normas Internacionales
para el Ejercicio Profesional de la Auditoría Interna (Las Normas) definen gobierno como: “la combinación de procesos y estructuras implantados por el Consejo
para informar, dirigir, gestionar y vigilar las actividades de la organización
con el fin de lograr su objetivos”.
El
director de auditoría interna puede utilizar una definición distinta a efectos
de auditoría cuando la organización haya adoptado un marco o modelo de gobierno
diferente.
Existe
una amplia variedad de modelos de gobierno que han sido publicados por otras organizaciones
y organismos jurídicos y reguladores. Por ejemplo, la Organización para la
Cooperación y el Desarrollo Económico (OCDE) define gobierno como: “…un conjunto de relaciones entre la
dirección de la empresa, su Consejo, sus accionistas y otras partes
interesadas. El gobierno corporativo proporciona la estructura a través de la cual
se establecen los objetivos de la empresa y se deciden los medios para lograr dichos
objetivos y vigilar su desempeño”.
El
Consejo de Gobierno Corporativo de la Bolsa de Valores de Australia (ASX)
define gobierno como: “…el sistema que
dirige y gestiona las empresas. Influye en el establecimiento de los objetivos
y en su consecución, en el seguimiento y evaluación del riesgo y en la
optimización del desempeño.”
viernes, 18 de octubre de 2013
jueves, 17 de octubre de 2013
miércoles, 16 de octubre de 2013
Nuevas reflexiones sobre la recomendación de las rotaciones de los auditores
Jesús Aisa Díez
Entre las
recomendaciones que se han presentado a la Unidad de Auditoría Interna de la
Organización que se ha sometido recientemente a la evaluación externa periódica
recogida en la Norma 1312, se ha recogido la correspondiente a la conveniencia
de someter a su equipo de auditores a una dinámica de rotaciones, ya que, como
mejor práctica, así está reconocida por el Instituto.
Ante esta
recomendación, que era asumida por el responsable de Auditoría Interna como muy
favorable, pero dado que su implantación no podía ser decidida por él, ya que
era algo que debía ser aprobada por el área de Recursos Humanos, al afectar a
otras unidades de la Compañía, se solicitó que aportásemos razones suficientes
para poder justificar los beneficios que de esta práctica podrían derivarse
y, así, fortalecer el proyecto. Al tiempo que se nos demandaba opinión
sobre las distintas formas de aplicar estas rotaciones.
Antes de
entrar a valorar los posibles modelos que podrían aplicarse al proyecto,
entendemos conveniente argumentar que, como en toda decisión empresarial, la
rotación conllevará oportunidades y riesgos. Debiendo aceptarse esta operativa
siempre que las oportunidades superasen a los riesgos o costes de su
aplicación.
Adicionalmente,
y como descripción del contexto en el que desarrollamos nuestra actividad, se
entendió oportuno aportar alguna referencia que, aunque referida a los
auditores externos, entendemos es también aplicable a los auditores internos:
En ese
sentido, y como ya hemos tenido oportunidad de comentar en este blog, la
postura que la Unión Europea ha adoptado es clara y viene recogida en su Libro
Verde, con el título “Política de auditoría: lecciones de la crisis”,
incidiendo en la conveniencia de la rotación obligatoria, ya que
considera que: “las situaciones en las que una empresa lleva décadas
nombrando a la misma sociedad de auditoría interna parecen incompatibles con
las normas que sería deseables en materia de independencia. Por mucho que los
principales socios auditores roten con regularidad, conforme establece
actualmente la Directiva, todavía persiste la amenaza de familiaridad.
lunes, 14 de octubre de 2013
Auditoría Interna 101 - Controles de Aplicación
Los Controles generales de tecnología
de la información se aplican a todos los componentes, procesos y datos de
sistemas presentes en una organización o al entorno de sistemas. El objetivo de
estos controles es garantizar el desarrollo y la implementación adecuada de las
aplicaciones, así como también la integridad de los archivos de datos y programas
y de las operaciones informáticas. Los controles generales de tecnología de la
información más comunes son:
- Controles de acceso lógico sobre la infraestructura, las aplicaciones y los datos.
- Controles de ciclo de vida del desarrollo del sistema.
- Controles de gestión de cambio de programa.
- Controles de seguridad física sobre el centro de datos.
- Controles de respaldo y recuperación de datos y sistema.
- Controles de operaciones informáticas.
Dado que los controles de aplicación
se relacionan con las transacciones y los datos que pertenecen a cada sistema de
aplicación basado en computadora, son específicos de cada aplicación
individual. El objetivo de los controles de aplicación es garantizar la integridad
y precisión de los registros y la validez de las entradas realizadas en cada
registro, como el resultado del procesamiento de programas.
¿Qué son los controles de aplicación?
viernes, 11 de octubre de 2013
¿Para qué nos educamos?
Steven R.
Covey dijo en una ocasión que:
“El
principal valor de la educación no es de tipo financiero u ocupacional, sino
personal y espiritual, así como forjador del carácter. Es aquel que nos impulsa
ha convertirnos en mejores maridos y padres, esposas y madres, y ciudadanos.
Nos permite aprender a pensar de forma analítica y creativa, a escribir y
comunicarse de manera clara y convincente, a leer con una perspectiva crítica.
A través de él, desarrollamos una forma de pensar la vida y sus problemas.
Nuestro conocimiento fundamental se hace más profundo y amplio, y nuestros
horizontes se elevan. Nuestra capacidad de sentir aprecio y simpatía aumenta.
Nos permite convertirnos en seres humanos más sabios, capaces, íntegros y
satisfechos, en todos los aspectos.”
miércoles, 9 de octubre de 2013
Con quién debemos coordinar los auditores
Jesús Aisa Díez
Un aspecto básico con el conseguir la deseada
eficiencia de las actividades empresariales, es la coordinación que debe
existir entre ellas, de forma que se complementen y apoyen, aprovechándose
mutuamente del esfuerzo y resultados de sus respectivas actividades, evitando
duplicidades y eliminando “tierras de nadie” que, por una u otra causa, impidan
una adecuada cobertura de los distintos procesos empresariales.
Esta adecuada coordinación entre actividades, se
asemeja con una “carrera de relevos”, en la que cada corredor cumple con su
tramo de la carrera, entregando el “testigo” al siguiente atleta para que
continúe su marcha hacia la meta final. El éxito no solo dependerá de lo
veloces que hayan sido los participantes, sino también de la sincronización que
exista en la entrega de los “testigos”.
Por ello, y como ya hemos tenido oportunidad de
comentar previamente en otros artículos, en la actividad de las Auditorías
Internas es imprescindible, como se recoge en la Norma 2050, Coordinación, que
el responsable de la Unidad comparta
información y coordine actividades con otros proveedores internos y externos de
servicios de aseguramiento y consulta.
Entre los proveedores de aseguramiento
existentes en las Organizaciones, desde mi punto de vista hay uno que entiendo
es fundamental para nuestra función: el responsable de la Gerencia de Riesgos
de la empresa. Pero no solo por lo que su actividad pueda ayudar/orientar al
trabajo de las Unidades de Auditoría Interna, sino también en sentido inverso
desde la perspectiva de lo que las conclusiones de los trabajos de auditoría
les aportará a las Gerencias de Riesgos.
Resulta evidente que la existencia de los mapas
de riesgos levantados por la Gerencia de Riesgos es una información muy útil
para la actividad auditora, puesto que facilitan, en base a la información en
ellos recogidos, la selección de los entes auditables que entendamos oportuno
acometer en un futuro inmediato. Pero también, en sentido contrario, que los
resultados de los trabajos de auditoría interna resultarán básicos para el
Gestor de Riesgos, dado que nuestras conclusiones, debidamente soportadas confirmarán,
o en su caso cuestionarán, las valoraciones que sobre los riesgos auditados
manejase la Organización según el Sistema de Gestión de Riesgos aplicado,
corrigiéndose los errores que se hayan detectado.
Esta interacción: Auditoría Interna versus
Gerencia de Riesgos, la entendemos imprescindible para conseguir una eficiente y simultanea optimización de ambas
actividades, pues no debemos ignorar que son complementarias, como señala el
modelo de las tres líneas de defensa, en el que el Gestor de Riesgos es una
segunda línea, mientras que nosotros, los auditores, estamos ubicados en la
tercera línea.
martes, 8 de octubre de 2013
Entrenamientos Auditoría Interna en República Dominicana
En
la primera semana de noviembre 2013, voy a tener la magnifica oportunidad de
desarrollar dos entrenamientos de alto impacto sobre dos temas transcendentales
para el éxito de tu departamento de auditoría interna, a través de la
prestigiosa empresa BDO ESENFA, la cual es una organización líder en
capacitación en las áreas de finanzas, auditoría y riesgos en la República
Dominicana.
Los
talleres de 16 horas cada uno, que impartiremos son los siguientes:
Plan
de Auditoría Interna Basado en Riesgos - 5 y 6 de noviembre del 2013
Diseño Efectivo Informes Auditoría Interna - 7 y 8 de noviembre del 2013
¿Te ha
gustado la noticia? ¡Compártela con otro auditor interno!
lunes, 7 de octubre de 2013
Tecnología de Información y Fraude
Situaciones
como estas podrían poner los nervios de puntas a cada auditor interno de esta
prestigiosa organización, por lo que deberíamos preguntarnos:
¿Estamos los auditores internos
latinoamericanos listos para ayudar a nuestras organizaciones a hacer frente a
situaciones como estas?
La actividad de auditoría interna debe
evaluar si el gobierno de tecnología de la información de la organización apoya
las estrategias y objetivos de la organización.
¿Qué es Gobierno de
tecnología de la información?
Consiste en el liderazgo, las estructuras
de la organización y los procesos que aseguran que la tecnología de la información
de la empresa soporta las estrategias y objetivos de la organización.
Las Normas son claras los auditores
internos deben tener conocimientos suficientes:
§
De
los riesgos y controles clave en tecnología de la información y de las técnicas
de auditoría interna disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado. Sin embargo,
no se espera que todos los auditores internos tengan la experiencia de aquel
auditor interno cuya responsabilidad fundamental es la auditoría de tecnología
de la información.
§
Para
evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización,
pero no es de esperar que tengan conocimientos similares a los de aquellas
personas cuya responsabilidad principal es la detección e investigación del
fraude.
viernes, 4 de octubre de 2013
Síndrome de los Cuatro Puntos
Robin
Sharma, siempre lúcido y provocador, escribió la teoría del Síndrome de los Cuatro
Puntos, la cual comparto contigo a continuación:
He aquí
las cuatro cosas que nos impiden realizar los cambios que queremos:
Miedo. La gente teme abandonar la seguridad de lo
conocido y aventurarse en lo desconocido. Los seres humanos anhelan la
certidumbre aunque suponga una limitación para ellos. A la mayoría de nosotros
no nos gusta probar algo nuevo; nos incomoda. En este punto, la clave consiste
en controlar nuestro miedo haciendo precisamente aquello que tememos. Esa es la
mejor manera de superar el miedo. Hazlo hasta que se lo pierdas. Los miedos de
los que huyes corren hacia ti. Los miedos que no controlas te controlan. Pero,
tras todo miedo, se esconde un valioso tesoro.
Fracaso. Nadie quiere fracasar. En consecuencia, la mayoría
de nosotros ni siquiera lo intenta. Qué triste. Ni siquiera damos ese primer
paso para mejorar nuestra salud, para mejorar nuestras relaciones personales o
laborales o para hacer realidad un sueño. En mi opinión, el único verdadero
fracaso que existe es el de no intentarlo. Y creo sinceramente que el peor
riesgo que uno puede correr es no asumir riesgo alguno. Da ese pequeño paso y
hazlo deprisa. La estrella del baloncesto Michael Jordan ha dicho: “Nunca hubo
miedo en mí, no tuve miedo a fracasar. Podía fallar un lanzamiento, ¿y qué?”.
El fracaso es una parte consustancial del éxito. No puede existir el éxito sin
el fracaso.
Olvido. Seguramente saldremos de un seminario tras una
charla enriquecedora dispuestos a cambiar el mundo. Pero al día siguiente
llegamos a la oficina y la realidad se impone: compañeros de trabajo difíciles,
clientes exigentes a los que satisfacer, proveedores poco flexibles, jefes
implacables… No nos queda tiempo que dedicar a las promesas que nos hicimos de
ponernos en camino hacia el liderazgo personal y profesional. Por tanto, las
olvidamos. He aquí una clave para el éxito: mantén tus promesas frescas en tu
mente. Ten conciencia de ellas. A más conciencia, mejores decisiones. A mejores
decisiones, mejores resultados. Mantén tu compromiso en el centro de tu visión.
No lo olvides. Escríbelo en un papel y pégalo en el espejo del cuarto de
baño para leerlo todas las mañanas. Parece una tontería, pero funciona
estupendamente (deberíais ver el espejo de mi cuarto de baño). Habla de él a
menudo (ya sabes que te conviertes en aquello de lo que hablas). Escríbelo en
tu diario todos los días.
Fe. Hay demasiada gente que no tiene fe. Son
descreídos. Dicen: “Esta historia del liderazgo y del desarrollo personal es
una chorrada” o “Soy demasiado viejo para cambiar”. El descreimiento surge del
desengaño. La gente descreída y sin fe no siempre ha sido así. De niños estaban
llenos de esperanza y posibilidades, pero lo intentaron y seguramente
fracasaron. Y en lugar de seguir en el partido y admitir que el fracaso es el
camino del éxito, abandonaron y se convirtieron en cínicos. Fue su manera de
evitar sentirse heridos nuevamente.
Aquí
tienes los cuatro puntos que explican por qué nos resistimos a cambiar y a
mostrar verdadero liderazgo en nuestras vidas. Compréndelos y podrás aprender a
superarlos, porque tener conciencia de las cosas es la antesala del éxito.
¿Te ha gustado el post?
¡Compártelo con otro auditor interno!
jueves, 3 de octubre de 2013
miércoles, 2 de octubre de 2013
Tres Pilares Básicos Para una Función de Auditoría Interna de Clase Mundial
¿Dónde pensamos que estamos?
¿Dónde deseamos estar?
¿Dónde realmente estamos ahora?
Los problemas se
convierten en oportunidades cuando las personas correctas trabajan juntas para
solucionarlos. Los auditores internos tenemos la responsabilidad de contribuir
al logro de los objetivos de nuestros clientes a través de la revisión
proactiva de los procesos de negocio. Para agregar valor
los auditores internos deben:
1. Ser
un socio estratégico, que entiende los objetivos, necesidades y retos del
negocio.
2. Proveer
información oportuna y relevante del negocio que pueda ser usada en el proceso
de toma de decisiones.
3. Emplear
conocimientos, herramientas y tecnologías disponibles para recopilar los hechos
y datos sobre los cuales se basan las conclusiones.
4. Comunicarse
efectivamente.
Para lograr estas metas es fundamental trabajar en las
tras siguientes áreas de forma coordinada:
martes, 1 de octubre de 2013
Curso Taller ¿Cómo hacer que los informes de auditoría interna sean efectivos?
Los
invitamos a participar en el Curso Taller ¿Cómo
hacer que los informes de auditoría interna sean efectivos? El próximo 11 y
12 Noviembre del 2013, 8:00 a.m. a 5 p.m.; en Hotel Aurola Holiday, San José, Costa Rica.
Objetivos del
Programa
1.
Aprender que factores que hacen que un informe
de auditoría sea excepcional.
2.
Entender cuáles son las barreras, pecados y
errores que se pueden cometer en el proceso de comunicación.
3.
Saber cómo podemos implementar una estrategia
efectiva para mejorar el proceso de redacción de nuestros informes.
4.
Conocer requerimientos de las Normas de
Auditoría Interna respecto al diseño de informes.
5.
Aprender los principios fundamentales de la
naturaleza, estructura y formato de un informe bien diseñado.
6.
Profundizar en las mejores prácticas en la
redacción de informes empleadas por Departamentos de auditoría interna de clase
mundial.
7.
Develar los tres secretos claves de diseño de
informes efectivos (uso de gráficos, cuadros y colores).
8.
Presentar diversos formatos de informes que se
pueden desarrollar.
9.
Conocer como desarrollar una opinión efectiva.