domingo, 29 de agosto de 2021

¿Cuáles puntos debería incluir un informe anual del Comité de Auditoría?


Durante el mes pasado tuve la fantástica oportunidad de desarrollar una capacitación in-house para los miembros del Comité de Auditoría de un moderno Centro de Especialidades Médicas de la República Dominicana, el cual ofrece soluciones innovadoras, para diagnosticar, tratar y curar enfermedades diversas.

Esta actividad fue mucho más que una simple capacitación, nuestra presentación en si misma representó un manual pragmático cargado de herramientas y técnicas poderosas, algunos de los temas que incluimos como parte del entrenamiento fueron:

1. Definición y Características de CA 

2. Composición y Perfil de Miembros 

3. Características de la Relación con la Gerencia 

4. Acciones que marcan la pauta - 50 Prácticas y tendencias 

5. Deberes y responsabilidades

Durante nuestra exposición puntualizamos que el trabajo realizado por los miembros del Comité de Auditoría es arduo y un ejemplo de esto lo representa las innumerables tareas que tienen que desarrollar como parte de sus responsabilidades primarias, entre las que se encuentran las siguientes: 

1. Procurar un trabajo de auditoría interna con alto valor agregado para el Grupo. 

2. Validar principios, criterios y prácticas contables. 

3. Promover y evaluar la infraestructura de control interno, evaluar que se ha sido diseñado de forma eficiente y que se encuentre funcionando de forma efectiva. 

4. Apoyar la implementación de un sistema de gestión de riesgos que permita tomar decisiones de negocio con la mejor información disponible. 

5. Evaluar el cumplimiento con leyes y regulaciones. 

6. Fortalecer los sistemas de gobierno corporativo.

7. Contratar y evaluar el servicio prestado por los auditores externos.

8. Promover prácticas sanas y eficientes en los procesos de negocio a través de la aplicación de mejores prácticas corporativas. 

9. Emitir informes al consejo de administración.

Basados en este detalle de deberes y responsabilidades surgió la siguiente interrogante:

¿Cuáles puntos debería incluir un informe anual del Comité de Auditoría?

Los informes anuales del comité de auditoría proporcionan una imagen completa a la Junta Directiva o al Consejo sobre su funcionamiento y las actividades realizadas durante el año. 

Los informes normalmente incluyen:

1. Presentación de la composición de los miembros del Comité, junto con su perfil y experiencia profesional.

2. Evaluación global gestión de riesgo, control interno y el marco de cumplimiento normativo de la organización.

3. Resumen de los avances en la implementación de las observaciones y recomendaciones presentadas en los informes de auditoría interna y externa.

4. Detalles de las reuniones desarrolladas, incluido el número de reuniones celebradas durante el período pertinente, y el número de reuniones a las que asistió cada miembro del Comité de forma individual.

5. Resumen de la evaluación del Comité respecto al desempeño de actividades de auditoría interna y auditoría externa.

6. Temas relacionados con estados financieros, contabilidad y razonabilidad de información financiera.

7. Seguimientos a denuncias de actividades indebidas o irregularidades.

8. Evaluación anual del desempeño del propio Comité de Auditoría.

9. Análisis de situaciones que podrían impactar el tono en la cumbre, código de conducta, valores y ética.

10. Resumen del trabajo realizado por el Comité de Auditoría para poder cumplir plenamente con sus responsabilidades.

Cualquier otra actividad que consideren relevante puede ser incluida en esta lista, por lo que no duden en dejarnos saber sus comentarios.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!


Sé disciplinado


¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

miércoles, 25 de agosto de 2021

Curso Taller Virtual Presencial: Metamorfosis Esencial Proceso Auditoría Operativa

La semana pasada desarrollamos con éxito el Curso Taller Metamorfosis Esencial del Proceso de Auditoría Operativa a través de la prestigiosa organización Auditool con participantes de Bolivia, Guatemala, República Dominicana y Colombia.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

lunes, 23 de agosto de 2021

El futuro de la auditoría

Iván Rodríguez


Algunas de las principales actividades de las áreas o departamentos de auditoría es ayudar a la alta dirección de las organizaciones a proteger tanto los activos como su reputación, así como apoyar la sostenibilidad operativa. Con la pandemia de COVID-19 y su incidencia en el aumento del trabajo remoto, ciertos riesgos han aumentado, a la vez que el entorno empresarial se ha visto afectado por la incertidumbre. Es de esperarse que en los siguientes meses haya mayores desafíos para los auditores pues deben seguir proporcionando una supervisión segura mientras se adaptan a un panorama dinámico de riesgos.

En condiciones normales, la auditoría se ha centrado en ofrecer seguridad en torno a los riesgos y controles de los procesos de negocio. Ahora, que los riesgos se han multiplicado y se han vuelto más complejos, se espera que los auditores ofrezcan una gama más amplia de servicios en muy corto tiempo. Hay casos en que la auditoría llega a tener responsabilidades en torno a la gobernanza, el apetito por el riesgo y en la cultura de riesgo y control.

Los auditores deben estar atentos a los riesgos emergentes que surgen de las operaciones digitales en un entorno de trabajo remoto, del ritmo acelerado del cambio de modelo de negocio y de la profundidad de la incertidumbre en muchos mercados. Ahora hay mayor preocupación por la seguridad de la información, se requieren nuevas estrategias y procesos, así como herramientas innovadoras y mejores conjuntos de habilidades para enfrentar un entorno post-COVID-19. Ahora bien, para gestionar estos desafíos y alinear las capacidades con los riesgos emergentes, los auditores pueden tomar medidas como las siguientes:

Uso de análisis de datos e inteligencia artificial en la identificación de riesgos

Los recientes acontecimientos demuestran que la identificación temprana de los riesgos emergentes es un elemento esencial para identificar las debilidades de control. Las empresas líderes han respondido invirtiendo en técnicas de análisis de datos de manera que los equipos de auditoría puedan llevar a cabo una gama más amplia de actividades con un mayor grado de precisión en la evaluación de riesgos, la planificación de auditorías y su ejecución. También han ayudado a garantizar que la priorización de las auditorías y el alcance de las pruebas reflejen el entorno altamente dinámico, tanto interna como externamente.

El análisis de datos y la inteligencia artificial se han constituido en herramientas para lograr niveles mucho más altos de eficiencia y eficacia y agudizar la identificación de los riesgos emergentes, mediante la determinación de patrones o riesgos que antes eran indetectables. La inteligencia artificial está particularmente bien adaptada a este tipo de aplicaciones, y puede proporcionar la información necesaria tanto para lanzar nuevas auditorías como para volver a priorizar los casos existentes.

Fortalecer la ejecución y los reportes para reflejar los cambios en los entornos operativos

Es necesario equilibrar la agilidad del trabajo con el rigor y la exhaustividad. Normalmente los tiempos de los ciclos de auditoría y emisión de informes a menudo son demasiado largos y carecen de la agilidad requerida en un entorno dinámico. Las actividades de auditoría deben adaptarse a través de nuevas tecnologías tales como herramientas colaborativas, buscar una mayor automatización y mecanismos de generación de informes mejorados. Este tipo de soluciones pueden permitir ciclos de auditoría más rápidos e informes más oportunos.

Los equipos de auditoria deben asegurarse de que incorporan apropiadas actividades de supervisión y control de su trabajo. Debe haber un complemento con las labores de supervisión de la segunda línea y ver que estas actividades son eficaces y contribuyen en el proceso de control y se centran en los riesgos y exposiciones clave. Los casos en que el trabajo sea duplicado o ineficaz deben interrumpirse.

Los procesos de auditoría actuales en ocasiones carecen de mecanismos para informar rápidamente de las cuestiones clave al personal directivo superior y al comité de auditoría. Esto a menudo es causado por el tiempo que toma proceso de auditoría, que comprende la planificación, la evaluación de riesgos, los recorridos, las pruebas, la identificación de problemas, el acuerdo y la aprobación de problemas, las respuestas de la gerencia y la determinación de la opinión final. Mientras que los mandos intermedios suelen discutir los problemas al principio del ciclo, la presentación de informes a la alta dirección normalmente se retrasa hasta la finalización del proceso, lo cual ocurre en un lapso demasiado largo en un entorno empresarial que cambia rápidamente.

Una forma de mejorar e incorporar informes más oportunos sería a través de algún mecanismo de auditoría ágil, en el cual se reporte en tiempo real. Un panel de control puede proporcionar métricas de rendimiento basadas en factores como el alcance, el tiempo, el estado y los problemas potenciales, y puede servir de base para un diálogo más regular con la alta dirección.

El reconocimiento de la nueva realidad y los nuevos riesgos

Circunstancias como el trabajo remoto, los cambios presupuestales y operativos han aumentado los riesgos existentes y han creado otros nuevos, relacionados por ejemplo con la supervisión remota y la capacitación. Las áreas de auditoría deben centrarse en las áreas que inicialmente no fueron consideradas de alto riesgo o simplemente en riesgos que no fueron considerados en absoluto. En un entorno de trabajo a distancia, los controles básicos, como la supervisión y la segregación de funciones, pueden dificultarse, especialmente cuando se basan en soluciones tecnológicas que no consideraron esta situación.

Toda vez que el impacto de la pandemia hay afectado los patrones de trabajo de auditoría, el cuál requiere un gran rigor. Los protocolos para la seguridad de la información y los controles tecnológicos para evitar accesos indebidos deben ser bastante sólidos para atender las demandas del trabajo remoto, incluido el trabajo desde casa con sus preocupaciones de seguridad adicionales. Es posible que se requieran controles adicionales, incluidas las certificaciones de que el personal puede proteger los datos y la ampliación de las pruebas de cumplimiento. Toda vez que la auditoría a menudo tiene acceso a grandes almacenes de datos confidenciales, también debe revisar sus propios procedimientos de seguridad, incluidas las capacidades de descarga de datos y las posibilidades de impresión.

Adicionalmente, la auditoria deben estar atenta a revisar la ciberseguridad y la necesidad de proteger el acceso a las redes, que pueden ser más propensas a ataques en un entorno remoto, ya sea debido a errores humanos o vulnerabilidades en sistemas no diseñados para el trabajo remoto. Las transacciones iniciadas por los clientes normalmente pasan por múltiples rutinas de supervisión. Sin embargo, en el entorno actual, tales procedimientos pueden estar más expuestos al riesgo. Por tanto, la auditoría debe analizar las interacciones de terceros y considerar cómo pueden afectar los perfiles de riesgo y los procesos de control de las organizaciones. Es importante, de otra parte, que la auditoría trabaje con las líneas de negocio y la segunda línea para revisar sus matrices de riesgo y control, asegurando que los para los nuevos riesgos existen controles adecuados y efectivos.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!


domingo, 15 de agosto de 2021

lunes, 9 de agosto de 2021

¿Es la auditoría un comodity?

Javier Fernandez Klus, MBA, CIA
Esta pregunta nos la hemos hecho en algún momento, más si dentro de nuestros propios departamentos de Auditoría Interna o en nuestras organizaciones no supimos responder a esta pregunta.  La percepción de muchas organizaciones es que el servicio de auditoría es algo estándar, que debe hacerse muchas veces por especificaciones regulatorios pero que al final del día es un mal necesario.  La percepción de que cualquiera persona la pudiera hacer y que el resultado es el mismo es algo realmente preocupante para los Auditores Externos y también para los Departamentos de Auditoría Interna que no pueden exhibir un valor diferencial en su tarea.

Esta percepción en parte es cierta dado que nuestra profesión se encuentre ampliamente regulada, existen Normas Internacionales de Auditoría, existen Institutos de Auditores que regulan nuestra profesión y esto tiene que ser así por las implicancias en varios aspectos, uno de ellos económicos que conlleva el mal ejercicio de la profesión.  Pero que la profesión tenga muchos estándares y por lo tanto se encuentre “estandarizada” no es lo mismo que sea un comodity.  Marcar esta diferencia es parte de nuestra responsabilidad.

Como anteriormente dijimos gran parte de nuestras tareas deben ser realizadas en base a estándares y esto es así precisamente a lo que dijimos anteriormente, nuestra profesión tiene impacto en otras áreas, lo que digamos/opinemos o bien lo que no hagamos puede afectar a la organización y los stakeholders que están relacionadas con la misma y esto precisamente lleva a tratar de homogeneizar nuestros procedimientos para asegurar que en cualquier lugar del mundo las metodologías utilizadas al momento de llevar a cabo una auditoría son las mismas, pero esto es el mínimo de la vara, es decir, es el piso que establecemos al momento de realizar la auditoría y así asegurarnos que todos tenemos el mismo nivel, pero la auditoría no tiene techo.  Lo que hagamos después depende de nosotros y en este sentido es bueno saber ¿qué otras cosas podemos hacer? para que nuestras tareas no sean consideradas un commodity.  Aquí va un listado de las mismas:

  1. Interactuar con las áreas que son interesadas en nuestro trabajo, saber que necesitan, saber sus problemas y ofrecer soluciones en base a “sus” problemas
  2. No enfocarnos sólo en actividades de “Aseguramiento”, brindar también servicios de “consultoría” que sean percibidos como que aportan valor a sus áreas,
  3. Aplicar la tecnología al servicio de nuestro trabajo, muchas grandes firmas de auditoría han invertido en tecnología para automatizar procesos y por sobre todas las cosas eficientizarlos.  Los nuevos software y herramientas nos permiten evaluar sobre todo el universo, versus una muestra como lo hacíamos antes, nos permiten sacar patrones de comportamientos o anomalías que antes eran muy difíciles de detectar, nos permiten auditar en tiempo real pudiendo generar reportes en el mismo momento que ocurre el fraude/error, etc. 
  4. Empecemos a trabajar nuestras habilidades blandas, finalmente nosotros y nuestro Departamento es un área que interactúa con otras, de la forma que interactuemos, de la forma en que también gestionemos nuestro Capital Humano dependerá el éxito de nuestra auditoría y por sobre todas las cosas estaremos agregando un valor diferencial.

Como vemos, la Auditoría en si no es un commodity, lo que es cierto es que depende de nosotros en cada una de nuestras auditorías marcar esa diferencia. Que estemos obligados a cumplir un mínimo de tareas no implica que no podamos hacer más, y en ese gap que depende de nosotros, se encuentra el verdadero diferencial que percibirán nuestros clientes.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!


jueves, 5 de agosto de 2021

Conferencia Magistral: El auditor interno como asesor de confianza

El día de hoy tenemos la fantástica oportunidad de desarrollar la conferencia Magistral de Cierre del Congreso de Auditoría Interna 2021 del Instituto de Auditores Internos de Chile:

¿Te ha gustado la información? ¡Compártela con otro auditor interno!


lunes, 2 de agosto de 2021

Implantar un sistema de desintoxicación digital


Estoy totalmente convencido que nosotros los auditores internos tenemos la tarea de evitar el agotamiento digital en nuestras organizaciones, para esto debemos de convertirnos en impulsores de datos fiables para traer orden al caos de la disrupción digital.

Yuval Noah Harari es un historiador israelí, pensador y escritor que triunfó con un libro titulado 'Sapiens', y que ahora en su último trabajo, que se titula "21 lecciones para el siglo XXI" comienza diciendo: 

“En un mundo inundado de información irrelevante, la claridad es poder”

La alta dirección no solamente necesita datos e información, sino que la misma tiene que ser relevante y útil. Auditoría interna debe adoptar el concepto de que cada auditoría que realiza es esencialmente una auditoría de datos, debemos implementar una cultura orientada hacia el uso intensivo de información relevante.

Si auditoría interna no está considerando los datos como parte de sus proyectos y trabajos, es una oportunidad perdida, así como un área de riesgo potencial que se pasa por alto. 

Entre las preguntas que los auditores deben hacer durante cada trabajo se encuentran:

¿Qué datos se utilizan para respaldar las actividades comerciales?
¿Qué datos se crean, procesan, transmiten y almacenan?
¿En qué sistemas se almacenan los datos?
¿Cómo se protegen los datos?
¿Cómo se utilizan los datos para respaldar informes preparados?, y lo más importante, 
¿Son la calidad, disponibilidad, capacidad y accesibilidad de los datos suficientes? 

Lo más relevante es la calidad de los datos. Lo que hace realmente útil los datos son las conocidas como “Cinco V”:

1. Volumen. ¿De cuántos datos disponemos?

2. Variedad. ¿En qué formatos y con qué variedad de fuentes disponemos de la información?

3. Velocidad. La velocidad a la que se generan los nuevos datos y se añaden a los existentes. También, la velocidad en la que podemos analizarlos, si es en tiempo real, por ejemplo.

4. Veracidad. La calidad y veracidad de los datos que poseemos. El grado de confianza.

5. Valor. El valor que nos aportan a través de su análisis.

La tormenta pasará, pero las decisiones que tomemos ahora podrían cambiar el modelo de negocio de nuestras organizaciones, por lo que debemos tomar las decisiones con la mejor información posible y actuar con rapidez.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!


domingo, 1 de agosto de 2021