Por: Jesús Aisa Díez – España – Colaborador de www.auditool.org
Para conseguirlo disponemos en la actualidad de diversos protocolos, de ellos, quizá, el denominado Enterprise Risk Management, o COSO II, sea el más utilizado, habiéndonos permitido conocer que: la gestión de los riesgos corporativos es un proceso efectuado por el consejo de administración de la entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.
Adicionalmente, como es bien conocido, este proceso está integrado por 8 componentes : ambiente de control, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta al riesgo, actividades de control, información/comunicación y supervisión; todos ellos de similar importancia, si bien el correspondiente a la supervisión es, desde la perspectiva de los comentarios que queremos compartir, en el que subyace una mayor trascendencia, ya que es el que permitirá evaluar si el proceso integral de administración de los riesgos se lleva a cabo de forma eficiente, aportando, en su caso, una seguridad razonable sobre el adecuado desarrollo del proceso de gestión de riesgos o, en su defecto, la información necesaria para adoptar las modificaciones oportunas que sean necesarias.
La complejidad actual de los negocios, y las circunstancias en la que estos actualmente se desenvuelven, fundamentalmente en épocas de crisis como la que estamos padeciendo, han requerido que las estructuras de las organizaciones sean cada vez más fuertes en sus aspectos de control interno y de gestión de riesgos, incidiendo y potenciando la necesaria supervisión; en este contexto un modelo considerado a nivel global como una mejor práctica es el denominado de las «Tres Líneas de Defensa», que en forma resumida reflejamos en el siguiente cuadro. En el que:
Como primera línea de defensa se situaría la gerencia operacional de la organización, la cual tendrá la responsabilidad directa de implementar y supervisar los procesos sobre los que descansan todas actividades desarrolladas en sus diferentes facetas, entre la que debe considerarse la de rendir cuentas respecto a la evaluación, control y mitigación los riesgos.
En la segunda línea de defensa se ubicaría la función de gestión de riesgos de la empresa, la cual debe facilitar y monitorear la implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operacional y ayudar a los propietarios de los riesgos en la adecuada presentación de información relacionada con los mismos hacia toda la organización. Verificando la eficacia obtenida.
Y por último, como tercera línea de defensa estaría auditoría interna, la cual proporcionará aseguramiento al Consejo de Administración y a la alta dirección de la organización sobre el grado de efectividad global alcanzado en el proceso de evaluación y gestión de sus riesgos, resultado de la manera en que la primera y segunda líneas de defensa realmente actúan. Esta tarea de aseguramiento debe cubrir todos los elementos del marco de trabajo de la gestión de riesgos de la institución, por ejemplo: desde la identificación de riesgos, evaluación de riesgos y la respuesta a la comunicación de información relacionada con el riesgo.
Como puede apreciarse en esta secuencia de actuaciones, es en la tercera línea de defensa en la que se ubica la supervisión de la totalidad del proceso de gestión de riesgos empresariales empleado, recayendo en ella la responsabilidad final de la evaluación de la eficacia integral del modelo, en base a la cual los órganos de decisión de las compañías consolidarán sus actuales diseños y desarrollos, o determinarán los cambios que sean pertinentes con la que alcanzar la eficacia que les debe ser requerida. Pero para que esto resulte válido, se hace imprescindible que la actividad de auditoría interna se realice en forma adecuada, aportando un enfoque objetivo y sistemático en la evaluación y mejora del proceso de gestión de riesgos que les ocupe. Debiendo tener presente la elevada responsabilidad que la función auditora está asumiendo, ya que de sus hallazgos y evidencias se derivarán decisiones gerenciales importantes, que serán adecuadas cuando el informe de auditoría también lo sea, o en caso contrario inoportunas.
Por todo ello debemos considerar que entre los riesgos operativos con los que han de convivir las organizaciones se encuentra el que denominaremos “Riesgo de Auditoría”, que podríamos definirlo como la eventualidad de que en sus informes existan errores que incidan sobre la bondad del aseguramiento de los procesos efectuados. Su probabilidad de ocurrencia se mediría por la frecuencia en que esta circunstancia sucediese, en tanto que su impacto dependerá de la materialidad de los errores.
Dado por tanto que el Riesgo de Auditoría existe y es real, es un riesgo inherente más que las organizaciones deben gestionar; para ello lo primero que sugerimos que habría que efectuar es la identificación de los factores de riesgo que lo propician, para posteriormente identificar los controles existentes con los que gestionarlos, de forma que, como con cualquier otro tipo de riesgo, poder evaluar el nivel residual existente y compararlo con el “apetito al riesgo” que se haya considerado adecuado aceptar.
Respecto de los factores que pueden generar el Riesgo de Auditoría en nuestra opinión estos son múltiples, tanto de tipo estructural como coyunturales, tales como: Actitud y aptitud de los equipos de auditoría, dimensión de las Unidades, dependencia funcional y jerárquica del DAI (Director de Auditoría Interna), modelo de determinación de la planificación anual empleado, coordinación con los otros proveedores de aseguramiento, herramientas de gestión utilizadas, etcétera.
En este sentido The Instutute of Internal Auditors (IIA), en su Marco Internacional para la práctica Profesional de Auditoría Interna, incide en la necesidad, a través de la Norma 1300, de que los DAI deben desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad auditora; entre los que se encuentran necesariamente los factores de riesgo previamente enunciados.
Es por consiguiente la citada Norma 1.300 del IIA, una directriz a seguir con la que identificar, evaluar y controlar los factores que pueden incidir en el Riesgo de Auditoría. Empleando, como seguidamente veremos, un doble esquema: Evaluaciones Internas y Evaluaciones externas independientes.
Las evaluaciones internas son aquellas que se realizan por la propia Unidad de Auditoría Interna (UAI) en base a un seguimiento continuo del desempeño de la actividad auditora, así como también mediante revisiones periódicas con las que comprobar el grado de cumplimiento de las Normas del IAI que regulan la actividad.
En cuanto a las evaluaciones externas, estas deben ser efectuadas por revisores cualificados e independientes al menos una vez cada 5 años, centrándose en varios aspectos:
a) En primer lugar verificando la existencia de procedimientos que regulen y definan las funciones y dependencias orgánicas de las unidades de auditoría, tales como: Estatuto, Código de Ética, Manual de Auditoría, Planificación anual en base a riesgos, Planificación y Programación individual de los trabajos, Supervisión del Progreso. Comprobando su efectiva aplicación y adecuación a lo regulado al respecto por las Normas de IIA, así como su preceptiva aprobación y difusión en la organización, con las que verificar su independencia de criterio y eficiente empleo de los recursos disponibles.
b) Adicionalmente supervisando la gestión documental aplicada en el desarrollo de la actividad, valorando la calidad de los informes distribuidos, así como su adecuada difusión y custodia, sin olvidar la revisión y opinión sobre las tecnologías empleadas.
c) Por último se indaga sobre la percepción de las partes interesadas de la organización en lo referente al valor agregado por la actividad auditora, practicidad y pertinencia de las actuaciones de la UAI; como también en la opinión de los componentes del equipo auditor respecto a su autoridad, capacidad de opinar en la concreción del Plan de Auditoría, Plan de formación, rotación con otras áreas, etcétera.
Es decir, se valoran todos aquellos elementos que permiten concluir sobre la eficacia y eficiencia de la labor auditora en un escenario de mejora continua, en base a opiniones subjetivas (encuestas y entrevistas a los clientes internos representativos, responsables jerárquico y funcional del DAI, personal adscrito a la Unidad y Auditores externos), así como opiniones subjetivas a través de: revisión de papeles de trabajo, desempeño acreditado de la Unidad, ámbito de actuación según programa de trabajos reales, capacitación de los recursos de la Unidad, planificación y realización de las auditorías. Para finalmente poder concluir sobre el resultado observado, emitiendo un informe en el que se incluyen las conclusiones de la revisión efectuada, destacándose los puntos fuertes que se hayan podido evidenciar, así como los aspectos de mejora que, en opinión del equipo evaluador, fuesen oportunos recomendar.
Aunque la evaluación externa de calidad no debería considerarse una auditoría en sentido estricto, no obstante con el informe se sigue un procedimiento similar a si así lo fuese, pues las conclusiones, antes de dar por finalizado el trabajo de campo, se justifican ante el DAI, debatiéndose, en su caso, los contenidos y alcances de las mismas, para finalmente incorporarlas en un borrador de informe en el que se incluyen las recomendaciones pertinentes con las que atender las exigencias de las Normas, o con las que aplicar las mejores prácticas conocidas; así como la calificación obtenida de acuerdo a los tres niveles establecidos por el IAI. En concreto:
Cumple Generalmente: Cuando en opinión del equipo evaluador se cumplen todos los aspectos materiales de la Normas o Código de Ética, sin que ello excluya la existencia de oportunidades de mejora.
Cumple Parcialmente: Cuando se estén haciendo esfuerzos para cumplir con las Normas o Código de Ética, pero no se ha logrado alcanzar alguno de los objetivos esenciales, existiendo oportunidades de mejora significativas.
No Cumple: Si Auditoría Interna aún no conoce o aplica muchos de los objetivos de las Normas y no se están haciendo esfuerzos para conseguirlo o no se ha logrado alcanzarlos. Situación que representa importantes oportunidades de mejora.
Solo cuando el resultado de la evaluación sea Cumple Generalmente, de acuerdo con lo recogido en la Norma 2430, los equipos de auditoría podrán informar que sus “trabajos son realizados de conformidad con las Normas Internacionales para el Ejercicio profesional de la Auditoría Interna”.
Circunstancia y manifestación que, según el esquema de la gestión del Riesgo de Auditoría que hemos estado compartiendo a lo largo de estas líneas, debe interpretarse en el sentido de que la UAI evaluada ha alcanzado un Riesgo de Auditoría residual que se sitúa en el entorno de la tolerancia al riesgo que el IIA ha establecido como situación satisfactoria y compatible con la consecución de los objetivos que la empresa se haya marcado. Desde esta óptica determinados reguladores bancarios, como por ejemplo la Superintendencia de Banca y Seguros Peruana, están ya exigiendo a las instituciones financieras por ellos supervisados, que se sometan a las evaluaciones de calidad establecidas por el IIA como garantía de que su “Riesgo de Auditoría” se sitúa en una tolerancia al riesgo aceptable.
Por todo ello, consideramos oportuno recomendar a las UAI que aún no se hayan sometido a verificación de la calidad que periódicamente requiere el Marco profesional que les es de aplicación, a que consideren la oportunidad de realizarlo, en la seguridad de que el esfuerzo asumido aportará un plus de garantía sobre el valor añadido a sus organizaciones.
Importante: En el mes de abril estaré en Colombia dictando el curso, “Evaluaciones de Calidad de la Función de Auditoría Interna”. Los interesados pueden obtener mayor información ingresando desde el siguiente link: https://bit.ly/1jcyCqM
Del Autor: Jesús Aisa, Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA., ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Evaluador certificado de Quality Assurance y director de múltiples evaluaciones de calidad de Unidades de Auditoría Interna realizadas en el ámbito iberoamericano, tanto en España, Portugal, como en diversos países latinoamericanos (Chile, Perú y Colombia). Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Colaborador de www.auditool.org
