32 0 2MB
Plan de Auditoría Basado en Riesgos
Material de Apoyo
Autor: Jesús Aisa Díez
Autor: Jesús Aisa Díez Plan de Auditoría Basado en Riesgos Para una adecuada exposición de los aspectos desglosaremos su contenido en los siguientes apartados:
a
desarrollar
en
este
módulo,
El Instituto de Auditores Internos y el Plan de Auditoría. Integrantes. Cómo diseñarlo. Aplicación práctica. Distintas forma de actuar según exista, o no, un proceso ERM en la empresa. Distinta ponderación de sus componentes. Trámite a seguir para su aprobación. Auditorías con base a riesgos. Ejercicios prácticos y autoevaluación Los planes de auditoría, bien sean estos anuales o plurianuales, son la manifestación de los temas que pretenden ser atendidos por la función auditora en el periodo considerado. Es el documento que debe ser sometido a aprobación de la alta dirección y del Consejo de Administración antes de su desarrollo, y debe contener, aparte de los trabajos y actividades que se prevén realizar, la estimación de los recursos precisos para su desarrollo, lo que permitirá concluir sobre la suficiencia de los recursos disponibles para acometerlo. Resulta evidente que si el Plan de Auditoría recopila las actuaciones que se pretenden acometer en el periodo considerado, su contenido debe responder a criterios de prioridad, si es queremos incidir en lo trascedente. Esta prioridad puede estar justificada por el origen de las solicitudes de inclusión, por ejemplo: primero las que procedan del Consejo de Administración, pero también por la oportunidad de la supervisión de los procesos previstos a auditar, dadas las circunstancias que concurran en ellos, fundamentalmente por la criticidad de los riesgos que les puedan afectar. En este sentido, el Instituto de Auditores Internos en su Marco Internacional para la Práctica Profesional para la Profesión de Auditoría Interna, ha incidido en la forma en que se debe establecer la planificación de la función, tanto en sus Normas como en sus Consejos para la Práctica, como vamos a recordar. La Norma. 2010 nos señala que: El Director de Auditoría Interna debe establecer planes basados en los riesgos a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes han de ser consistentes con la metas de la organización. Mientras que el Consejo para la Práctica 2010-2, nos indica que: La planificación necesita usar el proceso de gestión de riesgos, si este ha sido desarrollado en la Organización. Al planificar un trabajo, el auditor interno ha de tener en consideración los riesgos significativos de la actividad y los medios mediante los cuales la dirección puede aminorar el riesgo hasta un nivel aceptable. El auditor interno utilizará técnicas de evaluación de riesgos en el desarrollo del plan de la actividad de auditoría interna, así como para determinar prioridades a la hora de asignar recursos. La evaluación de riesgos se utiliza para examinar las unidades auditables y seleccionar las áreas sujetas a análisis que deben incluirse en el plan de auditoría interna y que son las que tienen mayor exposición al riesgo
1
www.auditool.org
Autor: Jesús Aisa Díez Ante la situación descrita anteriormente, el auditor interno debe ser capaz de seleccionar oportunamente los diferentes tipos de actividades que serán incluidas en el plan de auditoría interna. Entre otras: Actividades de análisis o aseguramiento del control: En esta actividad se analiza la adecuación y eficacia de los sistemas de control existente, ofreciendo una seguridad razonable de que los controles funcionan y los riesgos son gestionados de manera efectiva. Actividades de investigación: Permiten determinar si la gestión organizacional tiene un nivel inaceptable de incertidumbre sobre los controles relacionados con la actividad del negocio o área de riesgo identificada, en cuyo caso el auditor interno llevará a cabo procedimientos para obtener un mejor entendimiento de los riesgos residuales. Actividades de consulta: Permiten aconsejar a los gestores de la Organización en el desarrollo de los sistemas de control adecuados para mitigar riesgos inaceptables. También deben identificarse controles innecesarios, redundantes, excesivos o complejos que reduzcan el riesgo de manera ineficiente. Sabemos que Auditoría Interna no tiene el monopolio de la supervisión del control interno en las Organizaciones, pues existen diferentes tipos de proveedores de aseguramiento que podríamos agrupar en función de a quien dirigen o informan de sus resultados, tales como: La Auditoría Interna. Que trabaja para informar de sus conclusiones a la alta dirección y al Consejo de Administración. Los otros proveedores de aseguramiento (LOPD - Ley Orgánica de Protección de Datos, Calidad, Seguridad e Higiene en el trabajo, medioambiente, etc.). Destinan los resultados de sus actuaciones a las gerencias responsables de la actividad supervisada. Complementan la supervisión que ellos como responsables operativos deben realizar. Los Auditores Externos. Buscan poder opinar sobre la bondad de los Estados Financieros, en el sentido de que estos representen una imagen fiel de la realidad patrimonial. Su destino son los accionistas de la Compañía. Esta situación, sin embargo, no debe entenderse como que son actuaciones sin relación entre ellas, sino todo lo contrario; una actuación eficiente de los recursos exige que haya una adecuada coordinación de actuaciones, sin que se dupliquen esfuerzos para atender los mismos temas, ni que existan huecos en los puntos de interés que no sean cubiertos por nadie. Es decir sin solapamientos y sin vacíos. En esta línea el Consejo para la Práctica 2050-3, nos indica que: El auditor interno puede hacer uso del trabajo de otros proveedores internos o externos de servicios de aseguramiento sobre el gobierno, gestión de riesgos y control.
2
www.auditool.org
Autor: Jesús Aisa Díez
Sumemos y aprovechemos esfuerzos Lo que acabamos de comentar en el Slide anterior, en el sentido de que debemos coordinarnos y aprovechar el esfuerzo y los resultados de los otros proveedores de aseguramiento que también estén trabajando en la verificación de determinados aspectos de la gestión empresarial, debe tener un condicionante, y es que el trabajo realizado, así como los diagnósticos aportados sean fiables; lo cual en algunas ocasiones exigirá que Auditoría Interna profundice en la forma en que trabajan estos otros proveedores, no el sentido de auditar sus formas de trabajar, pero sí en la de poder opinar sobre la solvencia profesional de los mismos, asegurándonos de que sus conclusiones son adecuadas y merecedoras de confianza. No siempre todas las opiniones son certeras, y deben ser cuestionadas antes de emplearlas. Como ejemplo de ello podemos citar los diagnósticos iniciales sobre la evolución de la crisis española que aún padecemos, los cuales nos aportan un buen número de dudosas opiniones, incluso las provenientes del propio Presidente del Gobierno.
3
www.auditool.org
Autor: Jesús Aisa Díez
Como resumen de la necesidad de que hemos de trabajar empleando un planteamiento holístico con el que hacer más eficiente nuestra actividad, me gustaría reproducir las palabras de Rod Winters, ex-Presidente del Instituto de Auditores Internos Global, el cual llegó a la conclusión de que “Auditoría Interna debe hacer menos, lo más importante, con menos recursos. Centrarnos en lo que sea significativo y apoyándonos en la tecnología como herramienta de trabajo, pues si bien ésta comporta riesgos, es incuestionable que también es una oportunidad con la que mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos”. Este planteamiento creo que lo podríamos enunciar como la regla de los signos, aquella que nos decía que “menos por menos arroja un más”; es decir, si queremos ser eficientes, no solo eficaces, debemos ser muy selectivos a la hora de decidir dónde aplicamos los recursos escasos de los que vamos a disponer. “No demos palos de ciego”, vayamos a revisar lo que entendamos está con dificultades. Si somos capaces de actuar de esta manera, nuestros esfuerzos, los imprescindibles, deben centrarse en lo verdaderamente significativo para la consecución de los objetivos que preveamos no están en un nivel de aseguramiento óptimo.
Hacer más cosas, no es sinónimo de hacerlo mejor.
4
www.auditool.org
Autor: Jesús Aisa Díez La volatilidad y el dinamismo de los entornos profesionales requieren que las organizaciones avancen en sus prácticas y modelos de evaluación y gestión de riesgos, pero teniendo en consideración algunos aspectos importantes: Hemos de reforzar el plan de auditoría interna poniendo también el foco en los riesgos emergentes (Seguridad laboral, medioambiente,…) Debemos flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditoría con la mayor frecuencia posible. Hay que proporcionar aseguramiento sobre la función del ERM de la compañía. Atender las recomendaciones que hemos ido señalando, requiere que esta forma de proceder debe estar reflejada en el Plan de Auditoría, el cual se diseñará teniendo en cuenta varios inputs, obtenidos a través de fuentes diversas, como son: las propias percepciones de los auditores, pero también la de aquellos otros agentes internos y externos con intereses en la Organización. Todo ello sin olvidarnos que los medios de los que dispondremos para desarrollarlo, tanto desde el punto de vista cuantitativo, como cualitativo, no serán ilimitados, sino escasos, y sin olvidar tampoco que es el Plan el que debe determinar los medios y no al contrario. En forma resumida un esquema de actuación para concretar la propuesta del Plan Anual de Auditoría, es el que se recoge en el esquema reproducido en el presente Slide.
Si observamos el desglose efectuado sobre los diferentes inputs que deben considerarse para determinar la composición del Plan de Auditoría, veremos que el que más se repite es el correspondiente a la evaluación de riesgos, bien la realizada por la propia Unidad de Auditoría Interna, como la que se reflejaría, en su caso, en el Proyecto Corporativo de Gestión de Riesgos.
5
www.auditool.org
Autor: Jesús Aisa Díez Con esta forma de actuar en la definición de los contenidos y el alcance de los Planes de Auditoría, es evidente que no se incluirán en ellos la revisión de todos los procesos que intervengan en desarrollo de la actividad empresarial, sino solo aquellos que, según la criticidad o relevancia derivada de la matriz riesgos/procesos se consideren, de acuerdo con su importancia en la consecución de los objetivos empresariales, estén en una situación que aconseje su supervisión; así como aquellas otras actividades que sean requeridas por la alta dirección y el Comité de Auditoría. Así como también los trabajos de consultoría que pudieran habérsenos solicitado por parte de las distintas gerencias; los planes de formación que entendamos oportuno desarrollar por los auditores en el periodo considerado; el seguimiento de los planes de mejora y/o acción derivados de anteriores trabajos de auditoría; los programas de aseguramiento y mejora de la calidad a efectuar; etcétera, etcétera, así hasta enumerar detalladamente TODAS las actuaciones que entendamos oportunas para conseguir la seguridad razonable de la eficacia del modelo de control interno empleado en la Organización.
Llegado a este punto creemos que ya podemos incidir en las dos premisas que han de regir la actividad auditora: (i) (ii)
Supervisar lo trascendente, es decir aquello que pueda afectar a los objetivos básicos de la organización y Hacerlo de la manera más eficiente posible.
Aspectos ambos que no debemos olvidar si pretendemos que la actividad aporte auténtico valor a la organización en la que trabajemos. Para ello. Planifiquemos la actividad con base a: Los objetivos estratégicos y los riesgos del negocio. Los requerimientos y exigencias de los reguladores o supervisores. Las exigencias normativas aplicables. Todo lo anterior, procurando obtener la máxima eficacia de la función.
6
www.auditool.org
Autor: Jesús Aisa Díez Tampoco debemos olvidar que, dado que las condiciones del entorno son cambiantes, los Planes de Auditoría que presentemos a aprobación de la Comisión de Auditoría deben ser flexibles, permitiendo su actualización cuando las circunstancias lo requieran, lo que obligará a tener que reevaluar su contenido con la mayor frecuencia posible, lo que, entendemos, desaconseja preparar Planes plurianuales con el que cubrir todo el universo de auditoría en un determinado espacio temporal, pues difícilmente se podrán ejecutar, sobre todo en la parte que hayamos postergado para dentro de uno o dos años, ya que la actualización de lo que deberíamos hacer, según los datos de cada momento, se verá modificado cuando volvamos a repetir el ejercicio de priorizar las actuaciones. En este sentido, definir un Universo de Auditoría que deba ser analizado íntegramente a lo largo de un periodo plurianual (tres o cuatro años), pensamos que es desaprovechar recursos, pues la escasez de los mismos nos debería exigir focalizarnos, año tras año, en la revisión de los puntos trascendentes, obviando aquellos que estén un nivel más bajo. Por ello: a) Actualicemos los inputs con la máxima frecuencia posible. b) Si un ente auditable entendemos que no comporta riesgos significativos o apreciables, no debería incluirse en el Plan. c) Olvidémonos de Planes plurianuales. d) Partir del mapa de riesgos existente en cada momento Pero sobre todo: ¡Que no debemos jugar a acertar, sino a no equivocarnos! Es evidente que la postura que representa este slide nosotros no la defendemos, pues aunque nuestra profesión nos exige que seamos escépticos, ello no nos debe conducir a situaciones tan extremas, ya que para actuar de esta manera precisaríamos de un volumen de recursos que bajo ningún concepto nos serían habilitados, pero lo que es aún peor, estaríamos revisando procesos perfectamente gestionados, sobre los que no podríamos aportar ninguna recomendación de mejora, y en donde no olvidemos es dónde radica una de las formas de aportación de valor. Otra forma de exponer lo que acabamos de señalar, es nuestro rechazo a una teoría hasta hace poco tiempo defendida por algunos especialistas en la actividad auditora, cuál era la de desglosar el universo de Auditoría en entes auditables, de forma que, debidamente jerarquizados los mismos, todos ellos fuesen auditados en un periodo de tres o cuatro años. Reiteremos: Los planes no deberían ser tan rígidos. Las circunstancias cambian, adaptémonos a ellas Si de la teoría pasamos a la acción, siguiendo las recomendaciones ya expuestas con anterioridad, lo primero que deberíamos hacer es planificar las actuaciones que nos permitan definir el Plan de Auditoría con base a Riesgos, por lo que definir su hoja de ruta lo consideramos prioritaria. Observemos que en el slide que ahora comentamos aparece una línea de puntos rojos, con ella lo que queremos marcar es la diferencia entre las actuaciones que Auditoría Interna puede aprovechar del proceso ERM aplicado en la Organización, y lo que debemos hacer, exista o no ese proceso. Los apartados debajo de la línea de puntos son de obligada realización por parte de Auditoría, tenga la Organización un sistema de Gestión de Riesgos Empresariales funcionando, o no.
7
www.auditool.org
Autor: Jesús Aisa Díez Puesto que nuestro objetivo es decidir el Plan de Auditoría con base a los riesgos a los que debe enfrentarse la empresa, si hay un modelo de gestión basado en riesgos, aprovechémoslo, pero si este no existe, no importa, nuestra obligación es tomar las decisiones basadas en las amenazas que directamente percibamos y que deben ser debidamente administradas. Obviamente el actuar en uno u otro escenario no es similar ni tampoco baladí, pues si la empresa ya ha avanzado en el desarrollo de un proceso tipo ERM, a Auditoría Interna le resultará más sencillo desenvolverse en ese ambiente. Pero si no existe, no es excusa para no abordarlo, únicamente que esa circunstancia exigirá un mayor esfuerzo por nuestra parte. Las fases sobre las que tendremos que trabajar entendemos que serían: 1) Analizar el Proceso de Gestión de Riesgos de la organización. 2) Opinar sobre su efectividad (madurez y fiabilidad). 3) Acceder al Mapa de Riesgos de la Organización. 4) Conocer los apetitos a los riesgos de las principales amenazas. 5) Identificar las acciones correctoras definidas por los gestores para reconducir riesgos residuales hacia la zona de tolerancia. 6) Identificar de los procesos con mayor relación con los objetivos estratégicos de la organización. 7) Ordenar los procesos críticos según la visión de Auditoría Interna. La hoja de ruta que exponíamos en el anterior Slide, se vería complementada con los siguientes otros seis pasos: 8) Valoración del grado y eficacia del control existente en estos procesos 9) Priorización de los procesos según Auditoría 10) Definir ponderaciones y pesos de los distintos ítems a considerar. 11) Ordenar los posibles trabajos por su grado de relevancia deducida. 12) Cuantificar los recursos y trabajos a incluir en el plan Auditor. 13) Gestionar la aprobación del Plan de Auditoría elaborado.
8
www.auditool.org
Autor: Jesús Aisa Díez
Ya lo hemos comentado que si la empresa no tuviese desarrollado un proceso de Gestión Integral de Riesgos en el que apoyarse, nos tocaría actuar en forma decidida en ese ambiente, obviando las ayudas que pudiésemos obtener del análisis corporativo realizado al respecto, pero, como bien señalábamos al principio del curso, siempre que hay una situación desfavorable, un riesgo, existirá una oportunidad. En este caso sería la de promover al más alto nivel la necesidad de mejorar los procesos de gestión con base a riesgos, acomodando la función de la corporación a las técnicas de administración consideradas una mejor práctica. Recordemos: Si no existe el proceso de Gestión Integral de Riesgos o ERM en la empresa. ¡TODO NUESTRO! Manos a la obra, pero sin olvidar: Defender el establecimiento del Proceso de Gestión Integral de Riesgos y Desarrollarlo con base a Modelos tipo ERM. Resulta evidente que si nuestra actuación al comenzar el proceso de planificación de las actividades depende de la experiencia acumulada por la Organización en la gestión de riesgos, deberemos averiguar cuál es el nivel que este ha alcanzado en la empresa. Este conocimiento es lo que pretenden los cinco primeros pasos que se recogen en la hoja de ruta expuesta. Para hacer más completo el desarrollo conceptual sobre la forma de gestionar el proceso, supongamos que sí existen precedentes en la Organización sobre la gestión empresarial con base a riesgos, y veamos como pensamos que debería ser en ese supuesto, que es lo que resultará más normal, el comportamiento del Director de Auditoría Interna. Dicho de otra manera posicionémonos respecto de lo que ya haya avanzado en la Gestión de Riesgos la Organización Si la situación con la que nos encontramos fuese que ya se está trabajando en el Sistema de Gestión de Riesgos, entonces Auditoría Interna ya debería disponer de una valoración preliminar respecto del grado de bondad del Proceso de Gestión de Riesgos empleado por la empresa, del que se deduciría la confianza que debe darse a las conclusiones que de él se derivasen, pues no debemos olvidar que:
9
www.auditool.org
Autor: Jesús Aisa Díez El proceso de Gestión Integral de Riesgos es una actividad corporativa, en la que Auditoría Interna no debe ser ajena, debiendo tener opinión formulada respecto a su grado de utilidad para la Organización y, sobre todo, de su bondad. En este contexto, habrá que tener presente si Auditoría hubiese trasladado a los responsables de la gestión de riesgos diversas recomendaciones, dependiendo de cómo estos hubiesen actuado con las mismas, pues si hicieron caso omiso de ellas, la situación, a los efectos que nos ocupa, no diferiría de aquella otra en la que no dispusiésemos de antecedentes en los que apoyarnos. Pero de momento sigamos describiendo el proceso ya iniciado. Lo que resultará determinante es el análisis del mapa de riesgos existente en la Organización, en el que deben estar ubicados, de acuerdo con su importancia, los riesgos residuales que existan en el entorno de los procesos empresariales críticos.
De acuerdo con esta información, Auditoría Interna debe hacer su propio análisis sobre estas estimaciones, identificando aquellas con las que pudiera estar de acuerdo, según su conocimiento del negocio y su experiencia, y con cuáles no. Con las que comparta la opinión de los gestores, solo en los casos que resulte oportuno y conveniente, deberá analizar si las decisiones empresariales adoptadas en la administración de los distintos riesgos residuales son aplicadas y resultan lo eficaces que se estimó en principio. Mientras que para los casos en los que no se comparta la opinión de los gestores, o existan dudas respecto de su eficacia, debería procederse a una verificación de su verdadera utilidad y coherencia con los objetivos perseguidos, incluyendo, en su caso, los procesos o subprocesos afectados en el borrador del Plan.
10
www.auditool.org
Autor: Jesús Aisa Díez En resumen, la actuación de Auditoría Interna debe centrase en las posibles discrepancias que pudieran existir respecto de la estimación de la importancia de los riesgos identificados dentro el mapa global, es decir su “verdadera” posición respecto del entorno de la tolerancia al riesgo, analizando en detalle las razones que puedan existir para proponer modificaciones de la posición del riesgo, incluyendo también estas verificaciones en el borrador del plan de auditoría, ya que serían trabajos a efectuar supervisando si la eficacia de los controles permiten mantener el riesgo en la posición definida por los gestores o si deben adoptarse medidas correctoras complementarias. Prosiguiendo con el proceso de gestión por parte de Auditoría, y con independencia de las verificaciones que debamos realizar referente a la adecuada evaluación de los riesgos residuales, a lo que ya nos hemos referido, lo que sí debemos tener claro es que las tres zonas en las que podemos dividir el mapa de riesgos demandarán a la organización de las respuestas adecuadas, tal y como se describen en el slide, actuaciones que deben ser comprobadas y validadas por Auditoría Interna, ya que es la única forma de supervisar adecuadamente si el proceso de gestión de riesgos empleado es el correcto.
La primera pregunta que debe hacerse Auditoría es si, para aquellos riesgos evaluados en la zona de alto riesgo, las del cuadrante superior derecho, se han tomado las decisiones oportunas para reconducirlos en forma conveniente, acercándolos hacia la zona próxima al apetito al riesgo que en cada caso se hubiese definido.
11
www.auditool.org
Autor: Jesús Aisa Díez
Si la conclusión es que no es así, deberían ser los procesos afectados por dichos riesgos los primeros a incluir en el Plan de Auditoría. Asimismo Auditoría debería opinar sobre el apetito al riesgo que haya sido adoptado por la organización, aportando su opinión a la alta dirección y al Consejo de Administración. Ver Norma 2600. Más adelante vendrían las opiniones sobre los riesgos menos importantes según el criterio de los gestores, ahí Auditoría debe preguntarse si comparte y asume esa posición de los riesgos, ya que, en caso contrario, como ya hemos comentado, debe efectuar sus propias valoraciones con la finalidad de poder aportar las necesarias conclusiones que corrijan y mejoren la opinión de los gestores. Una forma útil de poder opinar de manera objetiva sobre la situación “real” de los riesgos residuales, es que Auditoría, para los riesgos críticos para los que tenga dudas sobre la situación asignada por los gestores a los mismos, que analice y/o prepare unas fichas de trabajo en las que se relacionen los riesgos que se pretendan analizar y los controles que se apliquen en el proceso con los que mitigarlos. Una vez disponible esta información, lo que corresponde es la valoración de la eficacia y suficiencia de dichos controles. Al igual que sucede con otros aspectos del proceso ERM, estas fichas debieran estar previstas para complementar por el Gestor de Riesgos Corporativo, en cuyo caso Auditoría accedería a ellas, las analizaría y sacaría sus propias conclusiones. Si las fichas no existieran como práctica habitual de la organización, Auditoría sí debiera elaborarlas, pues permiten sacar conclusiones sobre la situación real que rodean a los riesgos críticos.
12
www.auditool.org
Autor: Jesús Aisa Díez
Entrando ya en la fase específica que le corresponde a Auditoría Interna, como actor independiente en la supervisión del proceso de gestión de riesgos, he de volver a reproducir la secuencia que estamos comentando: (i) (ii) (iii)
Conocer la estrategia de la organización, Concluir en cuales en su opinión son los procesos más vinculados a la consecución de esos objetivos y Identificar los riesgos inherentes que Auditoría Interna asocie a estos procesos.
Los procesos identificados como más críticos, desde la perspectiva de Auditoría Interna, podrán, o no, coincidir con las conclusiones previas disponibles, radicando en su posible discrepancia la utilidad de este ejercicio, pues permitirá comparar las dos posiciones y actuar en consecuencia. Este objetivo obligará a Auditoría Interna a replicar el mismo modelo que podría haberse realizado con anterioridad por los gestores, pero ahora dependiendo exclusivamente de su propia opinión, ya que lo que se trata es de poder comparar las conclusiones obtenidas según ambos modelos. Por ello, partiendo de las perspectivas del negocio que determinen sus objetivos estratégicos, tanto cualitativos como cuantitativos, deben relacionarse con los procesos operativos con los que se desarrollen estas estrategias. Tal y como recoge el presente slide, en la que partiendo de los objetivos estratégicos y de sus respectivas metas, se han asociado con los procesos en los que descansarán dichas estrategias.
13
www.auditool.org
Autor: Jesús Aisa Díez
Progresando en la hoja de ruta que nos hemos marcado, ahora correspondería pasar a conocer los factores que pueden afectar a los riesgos que hayamos observado y que se pueden producir al desarrollar los procesos críticos. La figura que recogemos en el slide, entendemos que es un ejemplo evidente de lo que debemos buscar, pues en este caso el riesgo de accidente dependerá fundamentalmente de la agresividad del conductor, que sería el factor más determinante. En este caso el control de llevar los cinturones puestos poco puede contrarrestar el peligro. Atendiendo a las 4 formas de combatir los riesgos, solo habría una válida, la de rechazarlo, bajándonos del coche. Llegar a concluir sobre los factores de riesgo que pueden afectar a los procesos, exige un análisis profundo de los mismos, así como un elevado conocimiento sobre su operativa, para ello, si fuese necesario, Auditoría Interna debería apoyarse en el conocimiento que los propios gestores tienen de los mismos. Veamos un ejemplo: Reducirlos. En este caso el objetivo perseguido es la reducción de los costos operativos de la empresa. La vía elegida: la mecanización de las actividades y su deslocalización buscando mercados de trabajo con mano de obra más competitiva. Pero analizando las dificultades con las que nos podemos encontrar para llevar adelante este forma de actuar, nos encontramos con los siguientes condicionantes (o lo que es lo mismo los siguientes factores de riesgo para alcanzar los objetivos perseguidos): la falta de conocimientos informáticos de los nuevos empleados, la falta de un software que se adapte a nuestras necesidades, la rigidez del mercado nacional de origen que nos impida una fácil y económica resolución de los contratos laborales existentes, etc. Lo que nos conduciría a identificar tres riesgos inherentes: TI, Recursos Humanos y Fallos en los servicios. Siendo este el panorama, lo que la organización debe localizar son las soluciones a estas amenazas.
14
www.auditool.org
Autor: Jesús Aisa Díez Supongamos que los mecanismos de gestión de riesgos empleados por la empresa hayan sido los siguientes: Factores de riesgo:
Controles a implementar:
Falta de conocimientos informáticos de la plantilla
Cursos de formación rápida
Inexistencia de aplicaciones estándar que sean de uso para la empresa
Contratación para el desarrollo de Software.
Dificultades para desvincular al personal existente
Negociación con sindicatos.
Formación del personal deslocalizado con el proceso
Cursos de formación in situ
Traslado de los cumpliendo plazos
productos
terminados
Acuerdo agencias transporte
Auditoría Interna debe concluir es si está o no conforme con la nueva evaluación de la criticidad del proceso según las medidas adoptadas, y, en cualquier caso, aún faltaría validar la eficacia de los controles implementados, por lo que no debemos descartar incluir este proceso entre los que deberíamos supervisar en un futuro próximo. Supongamos que la experiencia profesional de los auditores les hace concluir que la eficacia de los controles es la que se indica seguidamente: Cursos de formación rápida……………………………………………… Dudosa Contratación desarrollo de software……………………………………..Eficaz Negociación con sindicatos……………………………… ………………Nula Cursos de formación in situ……………………………..........................Dudosa Acuerdo agencias de transporte…………………………… ……………Razonable De ser así, el proceso, que sigue siendo crítico, pero los riesgos que le afectan han pasado a ser: TI. Moderados; Recursos Humanos. Graves; Fallos en los servicios. Aceptable. Pudiendo señalar que sería un Candidato a ser un ente auditable. Después de realizado el ejercicio de evaluación por parte, tanto de los gestores, como de la Unidad de Auditoría Interna, nos podemos encontrar con dos mapas de riesgos, el que han elaborado los responsables gerenciales, y el que ha elaborado Auditoría. Con base a este último es con el que debemos definir el borrador del Plan Auditor, identificando los procesos a revisar, con base a la presencia en ellos de riesgos críticos en la consecución de los objetivos.
15
www.auditool.org
Autor: Jesús Aisa Díez Mapa riesgos s/Auditoría Inter.
Mapa riesgos s/gestores
Por ello, los procesos que den cabida a los riesgos: 4, 8 y 23, deben incluirse en el Plan de Auditoría para su revisión inmediata, pero también un porcentaje a determinar de los que se sitúan en la franja azul. Ahora bien, cuando nos referimos a que debemos concebir el Plan de Auditoría con base a riesgos, no debe entenderse que sea solo la evaluación de los riesgos la información que hemos de considerar, puesto que existen también otros elementos que pueden aportarnos información muy valiosa. Por este motivo, y de acuerdo con el ejemplo del presente slide, el Plan no solo incluirá los procesos correspondientes a los 3 riesgos extremos y a los 22 altos, sino también otros trabajos de acuerdo con la ponderación que finalmente asignemos a todos los datos que debemos considerar.
16
www.auditool.org
Autor: Jesús Aisa Díez Hemos de señalar que no existe una única mejor práctica que nos oriente definitivamente sobre los inputs que deberíamos emplear para determinar el contenido de los Planes de Auditoría, pues eso dependerá de muchas circunstancias, pero los que seguidamente citamos pueden perfectamente formar parte de los aspectos que podrían influir en la definición de un Plan Auditor: Ambiente general de control del proceso o del área Alteraciones del equipo de gestión o estructura Redefinición de los procesos o alteraciones/reconversión de los sistemas información Resultados obtenidos en anteriores trabajos de auditoria Resultados del proceso de Gestión de Riesgos Recomendaciones críticas pendientes Existencia de procedimientos escritos Juicio del auditor Su ponderación o peso, así como el número de ítems a considerar, pueden variar y ajustarse a la realidad de cada Organización. Lo que sí entendemos conveniente que sea cual sea el modelo que vayamos a emplear, que se exponga con claridad al Consejo de Administración y a la alta dirección, puesto que si ambos deben aprobar el Plan a acometer por Auditoría, deben saber qué es lo que están aprobando, y cómo se ha concluido en él. Si bien el ejemplo que se recoge en el slide anterior es totalmente didáctico y diseñado para poder aclarar los conceptos que subyacen detrás de estas ponderaciones, el que aparece en la actual pantalla por el contrario es real, y se ajusta al modelo empleado por una importante multinacional española. Si observamos con detalle los pesos que se han asignado a cada uno de los componentes, se puede concluir que: Siendo cierto que el Plan de Auditoría se basa en riesgos, se podría pensar que su peso relativo es bastante reducido, puesto que, incluyendo el mapa de control, sería solo del 10%. No obstante, si observamos cómo está estructurado el modelo, veremos que la importancia estratégica de los procesos, más la importancia económica de los mismos agregarían un 30% adicional en la ponderación, con lo que ya se alcanzaría un 40% debido a la gestión de riesgos, mientras que el 60% restante se distribuye un 50% por los antecedentes existentes en Auditoría (antigüedad auditorías anteriores, valoración final de los informes, recomendaciones críticas pendientes) y un 10% adicional asignado al juicio subjetivo del Director de Auditoría Interna. En resumen: un 40% para la gestión de riesgos y el 60% debido a los antecedentes/opinión de Auditoría Interna, lo que nos hace pensar que el modelo no está aún muy “rodado”, y que es muy conservador, habiendo migrando de un modelo en el que el 100% del Plan de Auditoría se determinaba por el conocimiento que tuviese Auditoría, a otro en el que esta característica se reduce, de momento, a un 60%.
17
www.auditool.org
Autor: Jesús Aisa Díez
Identificados los trabajos que estimemos necesario realizar, hay que cuantificar: las horas necesarias para realizarlos, así como las horas de formación previstas, las de atención a las consultorías solicitadas, las precisas para la supervisión de los planes de acción asumidos, etc., comparándolas con las disponibles. Situación que debe sancionar el Directorio y la alta dirección. Pero sin olvidar incluir, e identificar, las acciones que serán realizadas por “los otros proveedores de aseguramiento” que vayamos a aprovechar. Incluir todo este detalle en la información que se reporta a quienes deben aprobar el Plan resulta imprescindible, ya que la propuesta realizada no será efectiva, ni aplicable, hasta que no esté sancionada en todos sus términos, fundamentalmente en lo que respecta a los recursos asignados para desarrollarla. En este sentido, si los medios autorizados no fuesen suficientes para abordar todo el Plan en su integridad, debe quedar claro en el acto de aprobación que existirá escasez de recursos para acometerlo, y que se dejarán sin hacer determinados trabajos considerados necesarios, cuya responsabilidad derivada no es aplicable exclusivamente a Auditoría Interna, ya que será compartida con quienes no asignaron los recursos en la dimensión precisa. Un formato cuatrimestral del Plan de Auditoría adoptará un esquema similar al que recogemos en la pantalla; pero si observamos hemos entrecomillado el calificativo “final”, con la intención de remarcar que lo que se haya aprobado en el momento de la autorización por parte de la alta dirección y del Directorio, puede ser modificado a lo largo del ejercicio, pues siempre habrá situaciones sobrevenidas que harán necesario introducir cambios, bien por nuevas demandas de las “partes interesadas”, bien porque la revisión y actualización, al menos semestral, de los mapas de riesgo, aconsejen hacer modificaciones, ya que las prioridades han podido cambiar. De estas situaciones habrá que dar cuenta al informar del cumplimiento del Plan aprobado en la correspondiente Memoria de actividades.
18
www.auditool.org
Autor: Jesús Aisa Díez
Existen dos conceptos que no debemos confundir, diseñar el Plan de Auditoría con base a riesgos (Instituto de Auditores Internos), no es lo mismo que auditar con base a riesgos. En el primer caso el objetivo es determinar qué es lo que debemos hacer. En el segundo lo que se nos pide es que desarrollemos la actividad auditora supervisando el control interno de la Organización a través de la eficacia del Sistema de Gestión de Riesgos existente. Es la misma situación con la que se suelen enfrentar los entrenadores de los equipos de futbol que compiten con el Real Madrid, ganarle obliga a contrarrestar a Ronaldo (el qué hacer), el problema está en cómo hacerlo El “Paper Position Statement Risk Based Internal Auditing del Institute of Internal Auditors – UK and Ireland.” define la auditoría interna basada en riesgos (ABR), como: “La metodología que une las auditorías internas con el marco general de la gestión de riesgo de una organización, permitiendo a la auditoría interna ofrecer garantías al Directorio de que los procesos de gestión de riesgos son efectivamente aplicados en relación con el apetito al riesgo”. Existen otras muchas definiciones, pero todas ellas inciden en afirmar que son aquellas metodologías con las que elaborar un programa de auditoría que permita focalizar las pruebas de auditoría en los controles críticos puestos en marcha por la organización. Para ello resultará básico: Centrándonos en lo importante. Ofrecer opinión independiente sobre la bondad del Sistema de Gestión de Riesgos.
19
www.auditool.org
Autor: Jesús Aisa Díez Las auditorías con base a riesgos, consisten en: Evaluar la adecuación de los procesos de Gestión de Riesgos, verificando: Que los objetivos de la organización están alineados con la estrategia de la empresa. Que los riesgos significativos están identificados y bien evaluados. Que se han seleccionado respuestas apropiadas a los riesgos de forma que estén en un entorno de aceptación. Obtener oportuna información significativa sobre los riesgos críticos. En resumen: Conjunto de procesos mediante los cuales las auditorías proveen aseguramiento independiente al Directorio acerca de: 1) Si los procesos y medidas de gestión del riesgo que se encuentran implementadas están funcionando de acuerdo a lo esperado; 2) Si los procesos de gestión de riesgos son apropiados y están bien diseñados, y 3) Si las medidas de control de riesgos que la Gerencia ha implementado son adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio. Las auditorías con base a riesgos dependerán del nivel de desarrollo que la propia empresa ha alcanzado en la gestión de riesgos en el área objeto de examen, y el grado en que han sido definidos objetivos apropiados por la Gerencia contra los cuales pueden medirse los riesgos asociados. La Norma. 2600. Comunicación de la aceptación de los riesgos, es muy clara: Cuando el Director de Auditoría Interna concluya que la dirección ha aceptado un nivel de riesgo que pueda ser inaceptable para la organización, debe tratar este asunto con la alta dirección. Si el asunto no se resuelve debe comunicarse la situación al Directorio.
20
www.auditool.org