Jesús Aisa Diez
Invitado por la Gobernación de Antioquia, Colombia, he tenido la
oportunidad de volver a visitar ese precioso país, y poder compartir
experiencias con sus profesionales. En esta ocasión la ponencia se centraba en
debatir sobre la forma de gestionar los Planes de Auditoría en base a Riesgos.
Tema que también tuve la oportunidad de desarrollar previamente en Bogotá los
días 4 y 5 de Noviembre pasado.
En ambos encuentros los resultados creo que pueden calificarse de
satisfactorios, debido al enorme interés que observamos en los participantes
por el tema expuesto, lo que viene a evidenciar la priorización que desde las
distintas organizaciones, tanto privadas como públicas, se están actualmente
concediendo a la gestión de los riesgos empresariales; considerado a este como
un camino estratégico para conseguir los objetivos empresariales, entre los que
no debemos ignorar la necesidad de optimizar la labor de las Unidades de
Auditoría, de forma que seamos muy selectivos en el momento de elegir los entes
auditables que pretendamos supervisar en el corto plazo, centrando nuestra
atención en los procesos que resulten determinantes para alcanzar las metas
marcadas por las organizaciones.
De los cuestionarios cumplimentados por los asistentes a la reunión de
Bogotá, creemos que pueden sacarse algunas conclusiones que consideramos
importantes, pues nos permiten inducir en dónde se focaliza actualmente el
interés de los profesionales con los que nos relacionamos.
En primer lugar, destacaríamos que de los asistentes, el 30% estaba
adscrito a labores de gestión en sus empresas, en tanto que, el 70% restante,
actuaba en el ámbito de la supervisión. Llama nuestra atención que, a pesar que
el título nos dirigía hacia los profesionales de la función auditora, casi una
tercera parte de los asistentes actuaban en el ámbito de la gestión, lo que
entendemos como un indicador con el que apreciar el interés que la labor
auditora está levantando actualmente en las organizaciones, lo que vendría a
demostrar la importancia que se le concede a nuestra actividad.
Otro de los aspectos que también consideramos muy positivo de la opinión de
los participantes, es la que se refiere a la respuesta dada a la pregunta:
¿Cómo entienden que podrían aplicarse los aspectos aprovechables de la
metodología expuesta en sus organizaciones?. Habiéndose obtenido un 50% de
opiniones que entendían que se podrán aplicar en el corto plazo, y el otro 50%
en el medio plazo. Por consiguiente, para la mitad de los asistentes, los que
consideraron viable su implementación a corto plazo, no se debieron observar
dificultades que impidieran acometer el proyecto de implantar un Sistema de
Gestión de Riesgos en sus empresas, ámbito que necesariamente también se
contempló en el seminario. Por lo que, en estos casos, estaríamos ante un
contexto exclusivo de voluntad empresarial, como condición última para
acometerlo.
En lo que respecta a los condicionantes que se entendían pudieran existir
para no aplicarlas de inmediato. Las respuestas se centraron en:
- Capacidad del personal de la Unidad de Auditoría Interna.
- Mayor coordinación con el Gestor de Riesgos.
- Contar con los recursos humanos suficientes.
- Cultura organizacional, compromiso de las gerencias en su conjunto
- Apoyo de la Gerencia General o del CEO.
De estas respuestas, la que se identifica con la necesaria coordinación con
el Gestor de Riesgos, nos sitúa, creemos, en ámbitos empresariales donde ya
estaría iniciándose la implantación del Sistema de Gestión de Riesgos, pero en
el que Auditoría encuentra dificultades para colaborar en el mismo, ya que no
existe la debida coordinación con el Gestor de Riesgos. Lo cual, aunque ya
también percibido en otras ocasiones, no deja de sorprendernos, ya que no vemos
puntos de conflicto entre las actividades a desarrollar por ambas unidades,
sino todo lo contrario, complementariedad.
En cualquier caso, entiendo que este posible conflicto se pueda deber a la
confusión que pudiera existir respecto de los roles que ambas unidades deben
desempeñar, no solo desde la visión de los gestores de Riesgos, que pueden
visualizarnos como unos competidores y cuestionadores de la determinación y evaluación de los riesgos por
ellos establecida, sino también por la indebida actuación que pudiesen realizar
las auditorías internas “exigiendo” determinadas actuaciones con las que
reconducir los riesgos residuales observados hasta zonas de menor incertidumbre
en la consecución de los objetivos.
Si la causa de la no necesaria coordinación y complementariedad de
actividades, fuese debida a la actuación inadecuada de auditoría, entendemos
que el pronunciamiento realizado por el Instituto de Auditores Interno al
respecto es determinante, como podemos recordar haciendo mención al famoso
abanico de posibles escenarios en los que movernos recogidos en la figura,
donde queda claro lo que debemos hacer, lo que podemos hacer y lo que nos está
prohibido realizar.
Campo de actuaciones que deberíamos exponer con claridad y coordinarlas con
el gestor de riesgos, con lo que habremos evitado que surjan dudas sobre hasta
dónde vamos a intervenir en el proceso, evitando malas interpretaciones, pero
sobre todo duplicidades.
Otro aspecto que también debería establecerse con el Gestor de Riesgos en
estas conversaciones previas de coordinación, es la forma en la que Auditoría
Interna pondrá a su disposición los resultados de las auditorías en base a
riesgos y las conclusiones alcanzadas, de forma que estas puedan ser tenidas en
consideración y modificar, en la medida que sea necesario, el mapa de riesgos
corporativo, que es la responsabilidad del citado Gestor. Asimismo, y si no
existiesen definidos por la Organización los apetitos o tolerancia a los
riesgos, este también es un aspecto que debe ser puesto de manifiesto en las
auditorías, a fin de que el Comité de Riesgo los proponga al Consejo de
Administración/Directorio, a fin de este sea el que decida los niveles de
riesgo que se entiendan compatibles con la consecución de los objetivos
empresariales.
Por todo lo anterior, la interacción entre ambas Unidades es algo
necesario, y que, aclarando los roles que vamos a realizar, no consideramos que
sea motivo de polémica o malas interpretaciones, sino todo lo contrario. Por
ello no vemos justificada la razón aludida para la implantación de un proceso
de determinación del Plan de Auditoría en base a riesgos/Sistema de Gestión de
Riesgos, la falta de coordinación con el responsable de riesgos, ya que debería
ser una parte interesada en que lo desarrollemos, al ser un beneficiario
directo de nuestro trabajo.
En cualquier caso, la experiencia observada es mucho más positiva que la
que he tenido la oportunidad de apreciar no hace demasiado tiempo en el mismo
entorno, por lo que creo vamos por el buen camino.
Pudiendo para terminar señalar que el Gestor de Riesgos y el Director de Auditoría Interna no son rivales, son colaboradores que deben aprovechar las sinergias de sus respectivas actuaciones.
Esperando que estos comentarios puedan resultar de interés, gracias por la
atención que puedan prestarles. Saludos
Jesús
Aisa Díez.
Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA.
Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico
de FSH Consulting. Para mayor información visita el Blog de Don Jesús “Auditoría Interna del
Siglo XXI”.
¿Te ha gustado
la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario