viernes, 28 de febrero de 2014
jueves, 27 de febrero de 2014
Curso Taller SMART-AUDIT - San José, Costa Rica - Abril 2014
Mayor información, desde el siguiente link: http://goo.gl/77A2wN
¿Te ha gustado la noticia? ¡Compártela con otro auditor interno!
miércoles, 26 de febrero de 2014
¿Cuándo finalizan las auditorías?
Jesús Aisa Díez
El
proceso auditor tiene, como cualquier otro proceso empresarial, varias fases,
debiendo ser atendidas y revisadas convenientemente para asegurar que se
alcancen los objetivos perseguidos. En el caso de las auditorías internas el
objetivo es el garantizar razonablemente el grado de eficiencia del control
interno existente de las Organizaciones en las que trabajemos.
En su
inicio, parece claro que las auditorías nacen cuando se decide incluirlas en el
Plan Anual de Auditoría, desarrollándose posteriormente con su planificación,
programación, trabajo de campo, reuniones con los auditados, etcétera.
En este
punto nos surge una primera duda, cómo de amplio es este etcétera, hasta dónde
alcanza. Parece evidente que en el extremo del final del proceso auditor esté
la fase de preparación y envío del informe en borrador, el análisis de los
comentarios recibidos de los auditados, y la confección-distribución del
informe final, en el que, necesariamente, debe incluirse el plan de acción
asumido por los responsables del ente auditado, conteniendo asimismo la
identificación de los encargados de realizar las acciones correctoras estimadas
necesarias, y las fechas estimadas de realización.
Si nos
atenemos a lo recogido por el Marco Profesional para la Práctica Profesional de
la Auditoría Interna, que como sabemos, es el “libro de cabecera” de los
auditores internos al encontrarse en él recogidas las pautas de actuación que
no son de aplicación, observaremos que en la Norma 2500, Seguimiento del
Progreso, se señala que: El director de Auditoría interna debe
establecer y mantener un sistema para vigilar la disposición de los resultados
comunicados a la dirección. Aclarándose este requerimiento en el sentido de
que: el director de auditoría interna debe establecer un proceso de
seguimiento para vigilar y asegurar que las acciones de la dirección hayan sido
implantadas eficazmente, o que la alta dirección haya aceptado el riesgo de no
tomar medidas (N. 2500. A1).
En base a
lo cual estimamos que, en principio, un informe de auditoría no estaría acabado
hasta que no esté implementada la última de las recomendaciones recogidas en el
informe final, y se haya confirmado la eficacia de las recomendaciones
sugeridas o, en su defecto, haber sido desestimadas por la alta dirección.
Por estos
principios de actuación, los Planes anuales de Auditoría deben contemplar las
acciones necesarias para verificar el grado de atención real a las
recomendaciones de las auditorías previamente realizadas, actuando de forma
selectiva en función del riesgo y de la exposición al mismo, ya que no
resultará posible supervisar todas las recomendaciones emitidas con
anterioridad.
lunes, 24 de febrero de 2014
30 Preguntas Partes Interesadas Internas Tomadas de Cobit 5.0
Las necesidades de las partes
interesadas deben transformarse en una estrategia corporativa factible. Es por
esta razón que en el capítulo 2 principio 1: satisfacer las necesidades de las partes
interesadas del Manual de Cobit 5.0 en la Sección de Cuestiones
sobre las TI de Gobierno y Dirección, encontramos 30 Preguntas de las Partes
Interesadas Internas, las cuales consideramos que todo auditor interno debería tener
presente:
1.
¿Cómo
consigo valor del uso de TI?
2.
¿Están
los usuarios finales satisfechos con la calidad del servicio de TI?
3.
¿Cómo
gestiono el rendimiento de TI?
4.
¿Cómo
puedo explotar mejor las nuevas tecnologías para nuevas oportunidades de
negocio?
5.
¿Cómo
construyo y estructuro mejor mi departamento de TI?
6.
¿Cuánto
dependo de los proveedores externos? ¿Estoy gestionando bien los contratos de
externalización de TI?
7.
¿Cómo
obtengo aseguramiento sobre los proveedores externos?
8.
¿Cuáles
son los requisitos (de control) para la información?
9.
¿Considero
todos los riesgos relativos a TI?
10.
¿Estoy
realizando una operación de TI eficiente y resiliente?
11.
¿Cómo
controlo los costos de TI?
12.
¿Cómo
utilizo los recursos de TI de la manera más efectiva y eficiente?
13.
¿Cuáles
son las opciones de aprovisionamiento más efectivas y eficientes?
14.
¿Tengo
suficiente personal para TI?
15.
¿Cómo
puedo desarrollar y mantener sus habilidades y cómo gestiono su rendimiento?
16.
¿Cómo
consigo aseguramiento sobre TI?
17.
¿Está
bien asegurada la información que se está procesando?
18.
¿Cómo
puedo mejorar la capacidad de respuesta del negocio mediante un entorno de TI
más flexible?
19.
¿Fracasan
los proyectos de TI en proporcionar lo que habían prometido? Si es así, ¿por
qué? ¿Está siendo TI un obstáculo para ejecutar la estrategia de negocio?
20.
¿Cuán
críticas son las TI para la sostenibilidad de la empresa?
21.
¿Qué
haría si las áreas críticas de TI no estuvieran disponibles?
22.
¿Qué
procesos de negocio críticos dependen de TI y cuáles son los requerimientos de
los procesos de negocio?
23.
¿En
cuánto han excedido de la media los presupuestos de operación de TI?
24.
¿Con
qué frecuencia y cuánto se salen del presupuesto los proyectos de TI?
25.
¿Qué
parte del esfuerzo de TI se dedica a apagar fuegos en lugar de facilitar las
mejoras del negocio?
26.
¿Son
suficientes los recursos y la infraestructura de TI disponibles para conseguir
los objetivos estratégicos de empresa requeridos?
27.
¿Cuánto
se tarda en la toma de decisiones importantes de TI?
28.
¿Son
transparentes el esfuerzo y las inversiones totales en TI?
29.
¿Respalda
TI a la empresa en el cumplimiento de la normativa y los niveles de servicio?
30.
¿Cómo
puedo saber si se cumple con todas las normas aplicables?
¿Te ha gustado el post?
¡Compártelo con otro auditor interno!
sábado, 22 de febrero de 2014
viernes, 21 de febrero de 2014
Fortalezas y debilidades de las Unidades de Auditorías internas según encuestas a los clientes y a nuestros colaboradores
Jesús Aisa Díez
Uno de
los productos obtenidos en las evaluaciones de calidad de las Unidades de
Auditoría Internas, realizadas de acuerdo con los protocolos The
Institute of Internal Auditors, son los resultados de las encuestas
efectuadas a una muestra representativa de los clientes de la Unidad evaluada,
así como también de los propios miembros del Departamento/Gerencia de
Auditoría.
Estas
encuestas constan, en el apartado correspondiente a los clientes, de 24
preguntas, agrupadas en seis grandes bloques: (i) Relación con la alta
dirección, (ii) Personal de Auditoría, (iii) Alcance de los trabajos de
Auditoría, (iv) Procesos e informes de Auditoría, (v) Administración de la
función de Auditoría y (vi) Valor agregado. En tanto que las preguntas
realizadas a los miembros de la Unidad de Auditoría evaluada son 36, agrupadas
en tres apartados: (i) Relación con la Gerencia, (ii) Evaluación de la
capacitación /experiencia de los auditores y (iii) Evaluación de la práctica de
la actividad de Auditoría.
Los
resultados de estas encuestas permiten cubrir varios objetivos, en primer
lugar, a los evaluadores de la función sometida al proceso de supervisión de la
calidad, al conocer cuál es la percepción que existe en la Organización en
relación con los servicios prestados por la función auditora, pero desde una
doble perspectiva: los clientes y los propios miembros de la función auditora.
Finalmente
los resultados de estas encuestas son facilitados a los responsables de las
Unidades de Auditoría Interna evaluadas, incluyendo una comparativa de las
respuestas individuales obtenidas en su Organización versus la media
acumulada de las evaluaciones previamente realizadas; lo que permitirá realizar
un doble análisis: el individual a través de la interpretación de los
resultados obtenidos directamente en la propia empresa, y otro de alcance
relativo comparando las respuestas obtenidas en la empresa con las
conseguidas en el resto de Organizaciones evaluadas. Con estos dos análisis se
podrán conocer las debilidades, o fortalezas, manifestadas por los encuestados
de nuestra empresa, pero también los gaps que pudieran existir
entre la situación particular y la media aportada como referencia, lo que
posibilitará saber si estamos “mejor” o “peor” que el promedio
del conjunto ya evaluado.
jueves, 20 de febrero de 2014
miércoles, 19 de febrero de 2014
El triángulo del fraude y la eficiencia en la lucha contra los fraudes
Jesús Aisa Díez
Como
sabemos el fraude empresarial es un riesgo que está presente en todo tipo de
organizaciones y en cualquier latitud, por lo que se hace preciso concederle la
grave importancia que tiene, administrándole convenientemente. Para ello,
y como actuamos con cualquier otro riesgo, hemos de empezar por concretar
cuáles son sus dos atributos, impacto y probabilidad.
Respecto
del posible impacto, de acuerdo con las estadísticas elaboradas por los
especialistas, podemos decir que, en términos generales, el fraude tiene unas
enormes repercusiones, estimadas, en promedio, en el equivalente al 5%
del importe de las ventas de cada año. Lo que nos da idea del impacto de dicho
riesgo.
En cuanto
a la probabilidad de ocurrencia, que sería el segundo de los atributos con los
que podríamos estimar la importancia del riesgo, tanto a nivel inherente
como residual. Este dato nos lo podría facilitar la dimensión del famoso
triángulo de fraude que sea aplicable en cada organización.
Recordemos
que fue D. Cressey quien en 1961 expuso su conocida teoría respecto a los
condicionantes para que se materialice el fraude, debiendo coexistir para ello
tres situaciones:
1º)
Motivación (incentivo, presión). Cuando la Administración u otros empleados tienen
un estímulo o presiones que les aportan razones justificativas para cometer
fraudes.
2º) Poder
(Oportunidad). Serían
las circunstancias que facilitan las posibilidades de perpetuar fraudes (por
ejemplo la ausencia de controles, controles ineficaces, o la capacidad de la
administración para abrogar los controles).
3)
Racionalización, actitud. Cuando las personas son capaces de racionalizar un acto fraudulento en
total congruencia con su código de ética personal o que poseen una actitud,
carácter o conjunto de valores que les permiten, consciente e intencionalmente,
cometer un acto deshonesto.
martes, 18 de febrero de 2014
Auditoria Interna 2.0
Visita Auditoria Interna 2.0, este es un blog personal de Jaime García
sobre auditoría interna. Ocasionalmente encontrarás entradas sobre otros temas
que le interesan. Y un apartado especial de los libros que el lee. Es Licenciado en Economía por la Universidad de Sevilla se inició en el
mundo laboral mediante unas prácticas en Control de Gestión en la compañía
Steelcase en Estrasburgo, Francia.
Tiene quince años de carrera profesional la mayor parte han sido en la
función de auditoría interna, en diversas entidades del sector financiero. Además
posee una amplia experiencia en la realización de auditorias a nivel
internacional en países como Brasil, Francia, Bélgica, Portugal, Grecia y Reino
Unido.
Jaime es CIA y socio del Instituto de Auditores Internos de España y, desde 2012, colaborador de su programa 'La Fábrica de Pensamiento' en diversas Comisiones Técnicas.
Estoy totalmente seguro que este Blog será de gran ayuda para obtener
información actualizada sobre temas técnicos y de inspiración para todos los
que nos dedicamos a ejercer la profesión de Auditoría Interna. Enhorabuena Jaime
por tu aporte a la profesión.
¿Te ha gustado la noticia?
¡Compártela con otro auditor interno!
lunes, 17 de febrero de 2014
Errata
De
acuerdo al Diccionario de la
lengua española (DRAE)
“Errata” es una equivocación
material cometida en lo impreso o manuscrito. A continuación presentamos un
ejemplo famoso:
Dewey
defeats Truman (Dewey
derrota a Truman) fue un famoso titular erróneo de la primera plana de la
edición del Chicago Tribune del 3 de noviembre del 1948. En la noche de las
elecciones, el Tribune decidió mandar su edición a la imprenta antes de que se
conocieran muchos de los resultados electorales de la costa del este. El
documento se basó en el informe del veterano corresponsal y analista político
Arthur Sears Henning, que había predicho los resultados de cuatro de las cinco
contiendas presidenciales de los últimos 20 años, la sabiduría popular, apoyada
por las encuestas era casi unánime en que la presidencia de Dewey era
"inevitable", y que el gobernador de Nueva York ganaría las
elecciones cómodamente. La edición del Tribune fue a la imprenta con el titular:
"Dewey defeats Truman" ("Dewey derrota a Truman").
Sólo
al final de la noche, después de que los despachos de prensa ponían en duda la
certeza de la victoria de Dewey, el Tribune decidió cambiar el títular a
"Democrats make sweep of state offices" (Demócratas hacen barrido
en oficinas del estado.) para la edición de ese día. Unos 150.000
ejemplares del periódico ya se habían publicado con el título erróneo antes de
la corrección.
Truman
ganó las elecciones por mayoría de 303 a 189 sobre Dewey, gracias a unos pocos
miles de votos en Ohio, Illinois y California, sin los cuales se habría
producido la victoria de Dewey. Los demócratas no sólo ganaron la Presidencia,
también tomaron el control de ambas cámaras del Congreso.
¿Qué podemos aprender los auditores internos de
uno de los errores periodísticos más grandes de la historia de los Estados
Unidos de América?
sábado, 15 de febrero de 2014
Segundo Lugar
En
plenas olimpiadas de invierno de Soshi 2014, compartimos una frase de un ganador:
¿Te ha gustado la frase?
¡Compártela con otro auditor interno!
viernes, 14 de febrero de 2014
Curso Taller: Evaluaciones de Calidad de la Función de Auditoría Interna
Don
Jesús Aisa Díez estará desarrollando este formidable entrenamiento en Colombia
durante el mes de abril del 2014.
Las
evaluaciones de calidad de los distintos procesos empresariales son siempre
recomendables, al tratarse de una buena práctica que nos permite avanzar en el
deseado camino de la mejora continua.
Esta recomendación,
en el supuesto de aplicarse a los procesos seguidos por la actividad de la
Unidades de Auditoría Interna, adquiere una mayor dimensión ya que, del nivel
de calidad de la función auditora observado, dependerá la garantía real que
ésta ofrezca a las “partes interesadas” respecto de la bondad del Sistema de
Control Interno existente en las Organizaciones. Pero además, porque el Marco
Internacional para la Práctica Profesional de Auditoría Interna, que es el
reglamento que contiene la normas de actuación que son de aplicación a las
Auditorías Internas, exige que se estime periódicamente el grado de calidad de
la función desempeñada, aplicando para ello una metodología predeterminada.
Conocer
esta metodología, así como los alcances y detalles de los procesos de
evaluación que serán aplicados, es el objeto principal del curso que ponemos a
su disposición, con el que podremos prepararnos y organizarnos para la
comprobación a la que debemos someternos, corrigiendo previamente los gaps
existentes entre la situación observada y la requerida desde la perspectiva de
las Normas.
Que
aspectos abordaremos:
- El contenido del Marco Normativo del Instituto de Auditores Internos aplicable.
- Los protocolos sobre Gobierno Corporativo, Control y Riesgos de referencia y aplicación universal.
- Contenido de los programas de aseguramiento y mejora de calidad de Auditoría Interna y los tipos de evaluaciones posibles.
- Cómo prepararnos para realizar una evaluación y obtener con éxito la Certificación Quality Assessment
- Identificar los puntos fuertes y débiles que con mayor frecuencia se observan en las organizaciones.
- Ejercicios de capacitación.
A quién
va dirigido: Directores
Ejecutivos de Auditoría, Profesionales de Auditoría Interna, Miembros de
los Directorios o Comités de Auditoría que deseen estar preparados para
supervisar un proceso de evaluación de la calidad de la función auditora
en sus Organizaciones, responsables jerárquicos de la función de Auditoría
Interna que deseen actualizar y profundizar sus conocimientos sobre el Programa
de Aseguramiento de la Calidad requerido por el IIA, y cualesquiera otros
responsables empresariales con inquietudes en este asunto.
Conferencista
- Jesús Aisa Díez de España. Ingeniero Técnico
Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias
Económicas y Empresariales por la Universidad Complutense de Madrid, Ex-Subdirector General Corporativo de
Auditoría Interna de Telefónica SA., ponente de diversos cursos y
workshops sobre materias relacionadas con el control interno. Evaluador certificado de Quality Assurance y director de múltiples
evaluaciones de calidad de Unidades de Auditoría Interna realizadas en el
ámbito iberoamericano, tanto en España, Portugal, como en diversos países
latinoamericanos (Chile, Perú y Colombia). Ponente y
conferencista en diversos eventos internacionales, tanto en España, como
Iberoamérica. Colaborador de www.auditool.org
Lugar y Fecha:
Bogotá, Colombia - Hotel
Capital. 31
de Marzo y 1 de Abril de 2014 (16 horas)
Medellín, Colombia: Hotel Poblado Alejandría. 3
y 4 de Abril de 2014 (16 horas)
Para
mayor información visite: http://bit.ly/1jcyCqM
¿Te ha gustado la noticia?
¡Compártela con otro auditor interno!
jueves, 13 de febrero de 2014
miércoles, 12 de febrero de 2014
La cultura organizacional como un objetivo de control y administración de riesgos
Por Pablo G. Fudim (CPA; CIA; CRMA; QAS)*
En la actualidad y a partir de los análisis de las principales metodologías internacionales de Administración de Riesgos (COSO-ERM; BASILEA 2 Y 3, ISO 31.000), así como en los modelos de diseño de estructuras de Control Interno (COSO 2013), incluso al considerar los objetivos de los modelos en general, y la función del alineamiento organizacional que forma parte de la actividad de Auditoria Interna, existe una ausencia de discusión de cuál es el rol de la cultura organizacional en la administración de riesgos y estructuras de control interno.
Esta falencia en principio podría ser causada
por un conocimiento limitado por parte de los profesionales de ciencias
económicas de los factores blandos que gobiernan las organizaciones. Por ello,
debemos considerar una perspectiva diferente y multidisciplinaria, y asumir que
la cultura está constituida por las creencias
y tradiciones que rigen la conducta de las personas. Es la síntesis de todas
las variables del liderazgo y, de esta manera, genera una acción en función de
un canon cultural.
En las metodologías antes mencionadas, la
cultura es uno de los componentes, es decir, está subordinada a diferentes
objetivos. En mi experiencia, sin embargo, considero que es una variable
esencial para la consecución de los objetivos organizacionales, derribando los paradigmas
vigentes.
Si la estrategia es el primer objetivo de un
modelo de administración de riesgos (COSO-ERM)
y la estrategia es el todo o el objetivo más importante de las actividades
organizacionales, entonces, ¿cuál de las dos es más importante? Peter Drucker
afirmó: "La cultura se come a la estrategia para el desayuno". Si esta
es tan importante, ¿por qué no se encuentra incluida en la Matriz de Estrategia
Competitiva de Michael Porter? Efectivamente, en ninguna de las metodologías
analizadas se incluye este objetivo. No consideramos la cultura en el análisis
estratégico o el Modelo de cinco Fuerzas de Porter, tampoco en el modelo COSO 2013, BASILEA 2 y 3, etc. No obstante, la consideramos en los análisis
de riesgo externo o interno (ISO 31.000;
COSO-ERM; entre otros). ¡Qué paradoja!
Considero entonces oportuno señalar que es necesario un nuevo marco de referencia. Como ejemplo, en la General Electric (GE) gestionada por J. Welch, la estrategia consistió en "ser el número 1 o 2 en cualquier negocio que operaran".
lunes, 10 de febrero de 2014
In fraganti
Sorprender
a alguien in fraganti
viene a ser lo mismo que atraparlo con las manos en la masa, o sea,
mientras está haciendo algo indebido. No hay necesidad de escribir in fraganti en cursiva ni entre comillas
porque es castellano puro y duro, aunque pueda parecer latín. En realidad es la
deformación del latinismo in
flagranti (delicto), es decir, ‘en flagrante delito’.
Para una
muestra solo falta un botón, recuerdan el Caso Paul Wolfowitz y el drama ético
del Banco Mundial. El 28 de enero del
2007, el entonces Presidente del Banco Mundial, Paul Wolfowitz fue atrapado in
fraganti al ingresar a una mezquita en un viaje que hizo a Turquía, debido a
que se vio obligado a develar un secreto íntimo, al tener que quitarse los
zapatos, toda la humanidad pudo observar sus medias rotas, todos vimos en vivo
y directo dos grandes agujeros en sus calcetines.
Pero lo
más sorprendente aun, es que el Sr. Wolfowitz no será recordado por la
fotografía de sus dedos gordos asomándose, impúdicamente, a través de los
agujeros de sus calcetines, sino por sus amores lucrativos con Shasha Riza,
empleada del Banco Mundial, a quien le asignó un salario extraordinariamente
alto.
Más
adelante fue sorprendido de nuevo con las manos en la masa, debido a que entre
marzo y abril de 2007, Wolfowitz estuvo envuelto en un escándalo de corrupción,
al descubrirse que su novia (Shaha Riza), también empleada del Banco Mundial,
había recibido importantes aumentos de sueldo (incluso por encima de lo que
dictan las reglas de la organización) tras llegar Wolfowitz a la presidencia de
la misma. El primero, de 47.300 dólares, supuso un incremento del 35,5%. El
segundo, de 13.590 dólares, supuso un 7,5%. Estos aumentos violaban claramente
las normas del banco, que permitían aumentos menores, del 12% y del 3,7%
respectivamente. El salario de Shaha Riza alcanzó en 2007 los 193.590 dólares
libres de impuestos.
viernes, 7 de febrero de 2014
Definiciones de Apetito, Tolerancia y Capacidad de Riesgo
El apetito es el nivel de riesgo que la empresa quiere aceptar y su tolerancia es la desviación respecto a este nivel. La capacidad es el máximo de riesgo que una organización puede soportar en la persecución de sus objetivo.
Información tomada de la Guía de Buenas Prácticas de Gestión de Riesgos: Definición e Implementación de Apetito de Riesgos publicada por La Fabrica de Pensamiento del Instituto de Auditores Internos de España.
¿Te ha gustado el post? ¡Compártelo con otro auditor interno!
miércoles, 5 de febrero de 2014
lunes, 3 de febrero de 2014
Los Servicios de Aseguramiento y la Gestión de Riesgos
¿Cuál es la responsabilidad de auditoría
interna y de otros proveedores de aseguramiento respecto a la gestión de
riesgos?
El Glosario de las Normas para la Práctica Profesional de la auditoría interna define:
Servicios de Aseguramiento: Es un examen
objetivo de evidencias con el propósito de proporcionar una evaluación
independiente de los procesos de gestión de riesgos, control y gobierno de una
organización.
Gestión de Riesgos: Es un proceso para
identificar, evaluar, manejar y controlar acontecimientos o situaciones
potenciales, con el fin de proporcionar un aseguramiento razonable respecto del
alcance de los objetivos organizacionales.
La
gestión de riesgos es un proceso gerencial que promueve la efectividad y
eficiencia en el logro de los objetivos organizacionales. El aseguramiento y la
gestión de riesgos son procesos complementarios. Como apoyo a la gestión de
riesgos, el rol principal de auditoría interna y otros proveedores
independientes de aseguramiento es proveer aseguramiento de que:
·
El
proceso de gestión de riesgos ha sido aplicado apropiadamente y que los
elementos del proceso son adecuados y suficientes.
·
El
proceso de gestión de riesgos mantiene las necesidades estratégicas y los
objetivos organizacionales.
·
Los
procesos y sistemas ha sido establecidos para asegurarse que todos los riesgos
materiales son identificados y tratados.
·
Todos
los riesgos priorizados como intolerables tienen planes costo-efectivos
implementados.
·
Los
controles han sido correctamente implementados y se mantienen actualizados con
los resultados del proceso de gestión de riesgos.
·
Los
controles claves son adecuados y efectivos.
·
Los
riesgo no están sobre controlados o infectivamente manejados.
·
La
gerencia de línea revisa los controles y otras actividades de aseguramiento que
no sea auditoría están manteniendo y mejorando el sistema de control interno.
·
Los
planes de tratamiento de riesgos están siendo ejecutados.
·
Existe
un proceso de reporte apropiado en el plan de gestión de riesgos.
Suscribirse a:
Entradas (Atom)