Plan de Auditora Basado en Riesgos

Material de Apoyo

Autor: Jess Aisa Dez

Autor: Jess Aisa Dez

Plan de Auditora Basado en Riesgos
Para una adecuada exposicin de los aspectos desglosaremos su contenido en los siguientes apartados: a desarrollar en este mdulo,

El Instituto de Auditores Internos y el Plan de Auditora. Integrantes. Cmo disearlo. Aplicacin prctica. Distintas forma de actuar segn exista, o no, un proceso ERM en la empresa. Distinta ponderacin de sus componentes. Trmite a seguir para su aprobacin. Auditoras con base a riesgos. Ejercicios prcticos y autoevaluacin Los planes de auditora, bien sean estos anuales o plurianuales, son la manifestacin de los temas que pretenden ser atendidos por la funcin auditora en el periodo considerado. Es el documento que debe ser sometido a aprobacin de la alta direccin y del Consejo de Administracin antes de su desarrollo, y debe contener, aparte de los trabajos y actividades que se prevn realizar, la estimacin de los recursos precisos para su desarrollo, lo que permitir concluir sobre la suficiencia de los recursos disponibles para acometerlo. Resulta evidente que si el Plan de Auditora recopila las actuaciones que se pretenden acometer en el periodo considerado, su contenido debe responder a criterios de prioridad, si es queremos incidir en lo trascedente. Esta prioridad puede estar justificada por el origen de las solicitudes de inclusin, por ejemplo: primero las que procedan del Consejo de Administracin, pero tambin por la oportunidad de la supervisin de los procesos previstos a auditar, dadas las circunstancias que concurran en ellos, fundamentalmente por la criticidad de los riesgos que les puedan afectar. En este sentido, el Instituto de Auditores Internos en su Marco Internacional para la Prctica Profesional para la Profesin de Auditora Interna, ha incidido en la forma en que se debe establecer la planificacin de la funcin, tanto en sus Normas como en sus Consejos para la Prctica, como vamos a recordar. La Norma. 2010 nos seala que: El Director de Auditora Interna debe establecer planes basados en los riesgos a fin de determinar las prioridades de la actividad de auditora interna. Dichos planes han de ser consistentes con la metas de la organizacin. Mientras que el Consejo para la Prctica 2010-2, nos indica que: La planificacin necesita usar el proceso de gestin de riesgos, si este ha sido desarrollado en la Organizacin. Al planificar un trabajo, el auditor interno ha de tener en consideracin los riesgos significativos de la actividad y los medios mediante los cuales la direccin puede aminorar el riesgo hasta un nivel aceptable. El auditor interno utilizar tcnicas de evaluacin de riesgos en el desarrollo del plan de la actividad de auditora interna, as como para determinar prioridades a la hora de asignar recursos. La evaluacin de riesgos se utiliza para examinar las unidades auditables y seleccionar las reas sujetas a anlisis que deben incluirse en el plan de auditora interna y que son las que tienen mayor exposicin al riesgo

www.auditool.org

Autor: Jess Aisa Dez

Ante la situacin descrita anteriormente, el auditor interno debe ser capaz de seleccionar oportunamente los diferentes tipos de actividades que sern incluidas en el plan de auditora interna. Entre otras: Actividades de anlisis o aseguramiento del control: En esta actividad se analiza la adecuacin y eficacia de los sistemas de control existente, ofreciendo una seguridad razonable de que los controles funcionan y los riesgos son gestionados de manera efectiva. Actividades de investigacin: Permiten determinar si la gestin organizacional tiene un nivel inaceptable de incertidumbre sobre los controles relacionados con la actividad del negocio o rea de riesgo identificada, en cuyo caso el auditor interno llevar a cabo procedimientos para obtener un mejor entendimiento de los riesgos residuales. Actividades de consulta: Permiten aconsejar a los gestores de la Organizacin en el desarrollo de los sistemas de control adecuados para mitigar riesgos inaceptables. Tambin deben identificarse controles innecesarios, redundantes, excesivos o complejos que reduzcan el riesgo de manera ineficiente. Sabemos que Auditora Interna no tiene el monopolio de la supervisin del control interno en las Organizaciones, pues existen diferentes tipos de proveedores de aseguramiento que podramos agrupar en funcin de a quien dirigen o informan de sus resultados, tales como: La Auditora Interna. Que trabaja para informar de sus conclusiones a la alta direccin y al Consejo de Administracin. Los otros proveedores de aseguramiento (LOPD - Ley Orgnica de Proteccin de Datos, Calidad, Seguridad e Higiene en el trabajo, medioambiente, etc.). Destinan los resultados de sus actuaciones a las gerencias responsables de la actividad supervisada. Complementan la supervisin que ellos como responsables operativos deben realizar. Los Auditores Externos. Buscan poder opinar sobre la bondad de los Estados Financieros, en el sentido de que estos representen una imagen fiel de la realidad patrimonial. Su destino son los accionistas de la Compaa. Esta situacin, sin embargo, no debe entenderse como que son actuaciones sin relacin entre ellas, sino todo lo contrario; una actuacin eficiente de los recursos exige que haya una adecuada coordinacin de actuaciones, sin que se dupliquen esfuerzos para atender los mismos temas, ni que existan huecos en los puntos de inters que no sean cubiertos por nadie. Es decir sin solapamientos y sin vacos. En esta lnea el Consejo para la Prctica 2050-3, nos indica que: El auditor interno puede hacer uso del trabajo de otros proveedores internos o externos de servicios de aseguramiento sobre el gobierno, gestin de riesgos y control.

www.auditool.org

Autor: Jess Aisa Dez

Sumemos y aprovechemos esfuerzos Lo que acabamos de comentar en el Slide anterior, en el sentido de que debemos coordinarnos y aprovechar el esfuerzo y los resultados de los otros proveedores de aseguramiento que tambin estn trabajando en la verificacin de determinados aspectos de la gestin empresarial, debe tener un condicionante, y es que el trabajo realizado, as como los diagnsticos aportados sean fiables; lo cual en algunas ocasiones exigir que Auditora Interna profundice en la forma en que trabajan estos otros proveedores, no el sentido de auditar sus formas de trabajar, pero s en la de poder opinar sobre la solvencia profesional de los mismos, asegurndonos de que sus conclusiones son adecuadas y merecedoras de confianza. No siempre todas las opiniones son certeras, y deben ser cuestionadas antes de emplearlas. Como ejemplo de ello podemos citar los diagnsticos iniciales sobre la evolucin de la crisis espaola que an padecemos, los cuales nos aportan un buen nmero de dudosas opiniones, incluso las provenientes del propio Presidente del Gobierno.

www.auditool.org

Autor: Jess Aisa Dez

Como resumen de la necesidad de que hemos de trabajar empleando un planteamiento holstico con el que hacer ms eficiente nuestra actividad, me gustara reproducir las palabras de Rod Winters, ex-Presidente del Instituto de Auditores Internos Global, el cual lleg a la conclusin de que Auditora Interna debe hacer menos, lo ms importante, con menos recursos. Centrarnos en lo que sea significativo y apoyndonos en la tecnologa como herramienta de trabajo, pues si bien sta comporta riesgos, es incuestionable que tambin es una oportunidad con la que mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos. Este planteamiento creo que lo podramos enunciar como la regla de los signos, aquella que nos deca que menos por menos arroja un ms; es decir, si queremos ser eficientes, no solo eficaces, debemos ser muy selectivos a la hora de decidir dnde aplicamos los recursos escasos de los que vamos a disponer. No demos palos de ciego, vayamos a revisar lo que entendamos est con dificultades. Si somos capaces de actuar de esta manera, nuestros esfuerzos, los imprescindibles, deben centrarse en lo verdaderamente significativo para la consecucin de los objetivos que preveamos no estn en un nivel de aseguramiento ptimo.

Hacer ms cosas, no es sinnimo de hacerlo mejor.

www.auditool.org

Autor: Jess Aisa Dez

La volatilidad y el dinamismo de los entornos profesionales requieren que las organizaciones avancen en sus prcticas y modelos de evaluacin y gestin de riesgos, pero teniendo en consideracin algunos aspectos importantes: Hemos de reforzar el plan de auditora interna poniendo tambin el foco en los riesgos emergentes (Seguridad laboral, medioambiente,) Debemos flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditora con la mayor frecuencia posible. Hay que proporcionar aseguramiento sobre la funcin del ERM de la compaa. Atender las recomendaciones que hemos ido sealando, requiere que esta forma de proceder debe estar reflejada en el Plan de Auditora, el cual se disear teniendo en cuenta varios inputs, obtenidos a travs de fuentes diversas, como son: las propias percepciones de los auditores, pero tambin la de aquellos otros agentes internos y externos con intereses en la Organizacin. Todo ello sin olvidarnos que los medios de los que dispondremos para desarrollarlo, tanto desde el punto de vista cuantitativo, como cualitativo, no sern ilimitados, sino escasos, y sin olvidar tampoco que es el Plan el que debe determinar los medios y no al contrario. En forma resumida un esquema de actuacin para concretar la propuesta del Plan Anual de Auditora, es el que se recoge en el esquema reproducido en el presente Slide.

Si observamos el desglose efectuado sobre los diferentes inputs que deben considerarse para determinar la composicin del Plan de Auditora, veremos que el que ms se repite es el correspondiente a la evaluacin de riesgos, bien la realizada por la propia Unidad de Auditora Interna, como la que se reflejara, en su caso, en el Proyecto Corporativo de Gestin de Riesgos.

www.auditool.org

Autor: Jess Aisa Dez

Con esta forma de actuar en la definicin de los contenidos y el alcance de los Planes de Auditora, es evidente que no se incluirn en ellos la revisin de todos los procesos que intervengan en desarrollo de la actividad empresarial, sino solo aquellos que, segn la criticidad o relevancia derivada de la matriz riesgos/procesos se consideren, de acuerdo con su importancia en la consecucin de los objetivos empresariales, estn en una situacin que aconseje su supervisin; as como aquellas otras actividades que sean requeridas por la alta direccin y el Comit de Auditora. As como tambin los trabajos de consultora que pudieran habrsenos solicitado por parte de las distintas gerencias; los planes de formacin que entendamos oportuno desarrollar por los auditores en el periodo considerado; el seguimiento de los planes de mejora y/o accin derivados de anteriores trabajos de auditora; los programas de aseguramiento y mejora de la calidad a efectuar; etctera, etctera, as hasta enumerar detalladamente TODAS las actuaciones que entendamos oportunas para conseguir la seguridad razonable de la eficacia del modelo de control interno empleado en la Organizacin.

Llegado a este punto creemos que ya podemos incidir en las dos premisas que han de regir la actividad auditora: (i) (ii) Supervisar lo trascendente, es decir aquello que pueda afectar a los objetivos bsicos de la organizacin y Hacerlo de la manera ms eficiente posible.

Aspectos ambos que no debemos olvidar si pretendemos que la actividad aporte autntico valor a la organizacin en la que trabajemos. Para ello. Planifiquemos la actividad con base a: Los objetivos estratgicos y los riesgos del negocio. Los requerimientos y exigencias de los reguladores o supervisores. Las exigencias normativas aplicables. Todo lo anterior, procurando obtener la mxima eficacia de la funcin.

www.auditool.org

Autor: Jess Aisa Dez

Tampoco debemos olvidar que, dado que las condiciones del entorno son cambiantes, los Planes de Auditora que presentemos a aprobacin de la Comisin de Auditora deben ser flexibles, permitiendo su actualizacin cuando las circunstancias lo requieran, lo que obligar a tener que reevaluar su contenido con la mayor frecuencia posible, lo que, entendemos, desaconseja preparar Planes plurianuales con el que cubrir todo el universo de auditora en un determinado espacio temporal, pues difcilmente se podrn ejecutar, sobre todo en la parte que hayamos postergado para dentro de uno o dos aos, ya que la actualizacin de lo que deberamos hacer, segn los datos de cada momento, se ver modificado cuando volvamos a repetir el ejercicio de priorizar las actuaciones. En este sentido, definir un Universo de Auditora que deba ser analizado ntegramente a lo largo de un periodo plurianual (tres o cuatro aos), pensamos que es desaprovechar recursos, pues la escasez de los mismos nos debera exigir focalizarnos, ao tras ao, en la revisin de los puntos trascendentes, obviando aquellos que estn un nivel ms bajo. Por ello: a) Actualicemos los inputs con la mxima frecuencia posible. b) Si un ente auditable entendemos que no comporta riesgos significativos o apreciables, no debera incluirse en el Plan. c) Olvidmonos de Planes plurianuales. d) Partir del mapa de riesgos existente en cada momento Pero sobre todo: Que no debemos jugar a acertar, sino a no equivocarnos! Es evidente que la postura que representa este slide nosotros no la defendemos, pues aunque nuestra profesin nos exige que seamos escpticos, ello no nos debe conducir a situaciones tan extremas, ya que para actuar de esta manera precisaramos de un volumen de recursos que bajo ningn concepto nos seran habilitados, pero lo que es an peor, estaramos revisando procesos perfectamente gestionados, sobre los que no podramos aportar ninguna recomendacin de mejora, y en donde no olvidemos es dnde radica una de las formas de aportacin de valor. Otra forma de exponer lo que acabamos de sealar, es nuestro rechazo a una teora hasta hace poco tiempo defendida por algunos especialistas en la actividad auditora, cul era la de desglosar el universo de Auditora en entes auditables, de forma que, debidamente jerarquizados los mismos, todos ellos fuesen auditados en un periodo de tres o cuatro aos. Reiteremos: Los planes no deberan ser tan rgidos. Las circunstancias cambian, adaptmonos a ellas Si de la teora pasamos a la accin, siguiendo las recomendaciones ya expuestas con anterioridad, lo primero que deberamos hacer es planificar las actuaciones que nos permitan definir el Plan de Auditora con base a Riesgos, por lo que definir su hoja de ruta lo consideramos prioritaria. Observemos que en el slide que ahora comentamos aparece una lnea de puntos rojos, con ella lo que queremos marcar es la diferencia entre las actuaciones que Auditora Interna puede aprovechar del proceso ERM aplicado en la Organizacin, y lo que debemos hacer, exista o no ese proceso. Los apartados debajo de la lnea de puntos son de obligada realizacin por parte de Auditora, tenga la Organizacin un sistema de Gestin de Riesgos Empresariales funcionando, o no.

www.auditool.org

Autor: Jess Aisa Dez

Puesto que nuestro objetivo es decidir el Plan de Auditora con base a los riesgos a los que debe enfrentarse la empresa, si hay un modelo de gestin basado en riesgos, aprovechmoslo, pero si este no existe, no importa, nuestra obligacin es tomar las decisiones basadas en las amenazas que directamente percibamos y que deben ser debidamente administradas. Obviamente el actuar en uno u otro escenario no es similar ni tampoco balad, pues si la empresa ya ha avanzado en el desarrollo de un proceso tipo ERM, a Auditora Interna le resultar ms sencillo desenvolverse en ese ambiente. Pero si no existe, no es excusa para no abordarlo, nicamente que esa circunstancia exigir un mayor esfuerzo por nuestra parte. Las fases sobre las que tendremos que trabajar entendemos que seran: 1) Analizar el Proceso de Gestin de Riesgos de la organizacin. 2) Opinar sobre su efectividad (madurez y fiabilidad). 3) Acceder al Mapa de Riesgos de la Organizacin. 4) Conocer los apetitos a los riesgos de las principales amenazas. 5) Identificar las acciones correctoras definidas por los gestores para reconducir riesgos residuales hacia la zona de tolerancia. 6) Identificar de los procesos con mayor relacin con los objetivos estratgicos de la organizacin. 7) Ordenar los procesos crticos segn la visin de Auditora Interna. La hoja de ruta que exponamos en el anterior Slide, se vera complementada con los siguientes otros seis pasos: 8) Valoracin del grado y eficacia del control existente en estos procesos 9) Priorizacin de los procesos segn Auditora 10) Definir ponderaciones y pesos de los distintos tems a considerar. 11) Ordenar los posibles trabajos por su grado de relevancia deducida. 12) Cuantificar los recursos y trabajos a incluir en el plan Auditor. 13) Gestionar la aprobacin del Plan de Auditora elaborado.

www.auditool.org

Autor: Jess Aisa Dez

Ya lo hemos comentado que si la empresa no tuviese desarrollado un proceso de Gestin Integral de Riesgos en el que apoyarse, nos tocara actuar en forma decidida en ese ambiente, obviando las ayudas que pudisemos obtener del anlisis corporativo realizado al respecto, pero, como bien sealbamos al principio del curso, siempre que hay una situacin desfavorable, un riesgo, existir una oportunidad. En este caso sera la de promover al ms alto nivel la necesidad de mejorar los procesos de gestin con base a riesgos, acomodando la funcin de la corporacin a las tcnicas de administracin consideradas una mejor prctica. Recordemos: Si no existe el proceso de Gestin Integral de Riesgos o ERM en la empresa. TODO NUESTRO! Manos a la obra, pero sin olvidar: Defender el establecimiento del Proceso de Gestin Integral de Riesgos y Desarrollarlo con base a Modelos tipo ERM. Resulta evidente que si nuestra actuacin al comenzar el proceso de planificacin de las actividades depende de la experiencia acumulada por la Organizacin en la gestin de riesgos, deberemos averiguar cul es el nivel que este ha alcanzado en la empresa. Este conocimiento es lo que pretenden los cinco primeros pasos que se recogen en la hoja de ruta expuesta. Para hacer ms completo el desarrollo conceptual sobre la forma de gestionar el proceso, supongamos que s existen precedentes en la Organizacin sobre la gestin empresarial con base a riesgos, y veamos como pensamos que debera ser en ese supuesto, que es lo que resultar ms normal, el comportamiento del Director de Auditora Interna. Dicho de otra manera posicionmonos respecto de lo que ya haya avanzado en la Gestin de Riesgos la Organizacin Si la situacin con la que nos encontramos fuese que ya se est trabajando en el Sistema de Gestin de Riesgos, entonces Auditora Interna ya debera disponer de una valoracin preliminar respecto del grado de bondad del Proceso de Gestin de Riesgos empleado por la empresa, del que se deducira la confianza que debe darse a las conclusiones que de l se derivasen, pues no debemos olvidar que:

www.auditool.org

Autor: Jess Aisa Dez

El proceso de Gestin Integral de Riesgos es una actividad corporativa, en la que Auditora Interna no debe ser ajena, debiendo tener opinin formulada respecto a su grado de utilidad para la Organizacin y, sobre todo, de su bondad. En este contexto, habr que tener presente si Auditora hubiese trasladado a los responsables de la gestin de riesgos diversas recomendaciones, dependiendo de cmo estos hubiesen actuado con las mismas, pues si hicieron caso omiso de ellas, la situacin, a los efectos que nos ocupa, no diferira de aquella otra en la que no dispusisemos de antecedentes en los que apoyarnos. Pero de momento sigamos describiendo el proceso ya iniciado. Lo que resultar determinante es el anlisis del mapa de riesgos existente en la Organizacin, en el que deben estar ubicados, de acuerdo con su importancia, los riesgos residuales que existan en el entorno de los procesos empresariales crticos.

De acuerdo con esta informacin, Auditora Interna debe hacer su propio anlisis sobre estas estimaciones, identificando aquellas con las que pudiera estar de acuerdo, segn su conocimiento del negocio y su experiencia, y con cules no. Con las que comparta la opinin de los gestores, solo en los casos que resulte oportuno y conveniente, deber analizar si las decisiones empresariales adoptadas en la administracin de los distintos riesgos residuales son aplicadas y resultan lo eficaces que se estim en principio. Mientras que para los casos en los que no se comparta la opinin de los gestores, o existan dudas respecto de su eficacia, debera procederse a una verificacin de su verdadera utilidad y coherencia con los objetivos perseguidos, incluyendo, en su caso, los procesos o subprocesos afectados en el borrador del Plan.

10

www.auditool.org

Autor: Jess Aisa Dez

En resumen, la actuacin de Auditora Interna debe centrase en las posibles discrepancias que pudieran existir respecto de la estimacin de la importancia de los riesgos identificados dentro el mapa global, es decir su verdadera posicin respecto del entorno de la tolerancia al riesgo, analizando en detalle las razones que puedan existir para proponer modificaciones de la posicin del riesgo, incluyendo tambin estas verificaciones en el borrador del plan de auditora, ya que seran trabajos a efectuar supervisando si la eficacia de los controles permiten mantener el riesgo en la posicin definida por los gestores o si deben adoptarse medidas correctoras complementarias. Prosiguiendo con el proceso de gestin por parte de Auditora, y con independencia de las verificaciones que debamos realizar referente a la adecuada evaluacin de los riesgos residuales, a lo que ya nos hemos referido, lo que s debemos tener claro es que las tres zonas en las que podemos dividir el mapa de riesgos demandarn a la organizacin de las respuestas adecuadas, tal y como se describen en el slide, actuaciones que deben ser comprobadas y validadas por Auditora Interna, ya que es la nica forma de supervisar adecuadamente si el proceso de gestin de riesgos empleado es el correcto.

La primera pregunta que debe hacerse Auditora es si, para aquellos riesgos evaluados en la zona de alto riesgo, las del cuadrante superior derecho, se han tomado las decisiones oportunas para reconducirlos en forma conveniente, acercndolos hacia la zona prxima al apetito al riesgo que en cada caso se hubiese definido.

11

www.auditool.org

Autor: Jess Aisa Dez

Si la conclusin es que no es as, deberan ser los procesos afectados por dichos riesgos los primeros a incluir en el Plan de Auditora. Asimismo Auditora debera opinar sobre el apetito al riesgo que haya sido adoptado por la organizacin, aportando su opinin a la alta direccin y al Consejo de Administracin. Ver Norma 2600. Ms adelante vendran las opiniones sobre los riesgos menos importantes segn el criterio de los gestores, ah Auditora debe preguntarse si comparte y asume esa posicin de los riesgos, ya que, en caso contrario, como ya hemos comentado, debe efectuar sus propias valoraciones con la finalidad de poder aportar las necesarias conclusiones que corrijan y mejoren la opinin de los gestores. Una forma til de poder opinar de manera objetiva sobre la situacin real de los riesgos residuales, es que Auditora, para los riesgos crticos para los que tenga dudas sobre la situacin asignada por los gestores a los mismos, que analice y/o prepare unas fichas de trabajo en las que se relacionen los riesgos que se pretendan analizar y los controles que se apliquen en el proceso con los que mitigarlos. Una vez disponible esta informacin, lo que corresponde es la valoracin de la eficacia y suficiencia de dichos controles. Al igual que sucede con otros aspectos del proceso ERM, estas fichas debieran estar previstas para complementar por el Gestor de Riesgos Corporativo, en cuyo caso Auditora accedera a ellas, las analizara y sacara sus propias conclusiones. Si las fichas no existieran como prctica habitual de la organizacin, Auditora s debiera elaborarlas, pues permiten sacar conclusiones sobre la situacin real que rodean a los riesgos crticos.

12

www.auditool.org

Autor: Jess Aisa Dez

Entrando ya en la fase especfica que le corresponde a Auditora Interna, como actor independiente en la supervisin del proceso de gestin de riesgos, he de volver a reproducir la secuencia que estamos comentando: (i) (ii) (iii) Conocer la estrategia de la organizacin, Concluir en cuales en su opinin son los procesos ms vinculados a la consecucin de esos objetivos y Identificar los riesgos inherentes que Auditora Interna asocie a estos procesos.

Los procesos identificados como ms crticos, desde la perspectiva de Auditora Interna, podrn, o no, coincidir con las conclusiones previas disponibles, radicando en su posible discrepancia la utilidad de este ejercicio, pues permitir comparar las dos posiciones y actuar en consecuencia. Este objetivo obligar a Auditora Interna a replicar el mismo modelo que podra haberse realizado con anterioridad por los gestores, pero ahora dependiendo exclusivamente de su propia opinin, ya que lo que se trata es de poder comparar las conclusiones obtenidas segn ambos modelos. Por ello, partiendo de las perspectivas del negocio que determinen sus objetivos estratgicos, tanto cualitativos como cuantitativos, deben relacionarse con los procesos operativos con los que se desarrollen estas estrategias. Tal y como recoge el presente slide, en la que partiendo de los objetivos estratgicos y de sus respectivas metas, se han asociado con los procesos en los que descansarn dichas estrategias.

13

www.auditool.org

Autor: Jess Aisa Dez

Progresando en la hoja de ruta que nos hemos marcado, ahora correspondera pasar a conocer los factores que pueden afectar a los riesgos que hayamos observado y que se pueden producir al desarrollar los procesos crticos. La figura que recogemos en el slide, entendemos que es un ejemplo evidente de lo que debemos buscar, pues en este caso el riesgo de accidente depender fundamentalmente de la agresividad del conductor, que sera el factor ms determinante. En este caso el control de llevar los cinturones puestos poco puede contrarrestar el peligro. Atendiendo a las 4 formas de combatir los riesgos, solo habra una vlida, la de rechazarlo, bajndonos del coche. Llegar a concluir sobre los factores de riesgo que pueden afectar a los procesos, exige un anlisis profundo de los mismos, as como un elevado conocimiento sobre su operativa, para ello, si fuese necesario, Auditora Interna debera apoyarse en el conocimiento que los propios gestores tienen de los mismos. Veamos un ejemplo: Reducirlos. En este caso el objetivo perseguido es la reduccin de los costos operativos de la empresa. La va elegida: la mecanizacin de las actividades y su deslocalizacin buscando mercados de trabajo con mano de obra ms competitiva. Pero analizando las dificultades con las que nos podemos encontrar para llevar adelante este forma de actuar, nos encontramos con los siguientes condicionantes (o lo que es lo mismo los siguientes factores de riesgo para alcanzar los objetivos perseguidos): la falta de conocimientos informticos de los nuevos empleados, la falta de un software que se adapte a nuestras necesidades, la rigidez del mercado nacional de origen que nos impida una fcil y econmica resolucin de los contratos laborales existentes, etc. Lo que nos conducira a identificar tres riesgos inherentes: TI, Recursos Humanos y Fallos en los servicios. Siendo este el panorama, lo que la organizacin debe localizar son las soluciones a estas amenazas.

14

www.auditool.org

Autor: Jess Aisa Dez

Supongamos que los mecanismos de gestin de riesgos empleados por la empresa hayan sido los siguientes: Factores de riesgo: Falta de conocimientos informticos de la plantilla Inexistencia de aplicaciones estndar que sean de uso para la empresa Dificultades para desvincular al personal existente Formacin del personal deslocalizado con el proceso Traslado de los cumpliendo plazos productos terminados Controles a implementar: Cursos de formacin rpida Contratacin para el desarrollo de Software. Negociacin con sindicatos. Cursos de formacin in situ Acuerdo agencias transporte

Auditora Interna debe concluir es si est o no conforme con la nueva evaluacin de la criticidad del proceso segn las medidas adoptadas, y, en cualquier caso, an faltara validar la eficacia de los controles implementados, por lo que no debemos descartar incluir este proceso entre los que deberamos supervisar en un futuro prximo. Supongamos que la experiencia profesional de los auditores les hace concluir que la eficacia de los controles es la que se indica seguidamente: Cursos de formacin rpida Dudosa Contratacin desarrollo de software..Eficaz Negociacin con sindicatos Nula Cursos de formacin in situ..........................Dudosa Acuerdo agencias de transporte Razonable De ser as, el proceso, que sigue siendo crtico, pero los riesgos que le afectan han pasado a ser: TI. Moderados; Recursos Humanos. Graves; Fallos en los servicios. Aceptable. Pudiendo sealar que sera un Candidato a ser un ente auditable. Despus de realizado el ejercicio de evaluacin por parte, tanto de los gestores, como de la Unidad de Auditora Interna, nos podemos encontrar con dos mapas de riesgos, el que han elaborado los responsables gerenciales, y el que ha elaborado Auditora. Con base a este ltimo es con el que debemos definir el borrador del Plan Auditor, identificando los procesos a revisar, con base a la presencia en ellos de riesgos crticos en la consecucin de los objetivos.

15

www.auditool.org

Autor: Jess Aisa Dez

Mapa riesgos s/Auditora Inter. Mapa riesgos s/gestores

Por ello, los procesos que den cabida a los riesgos: 4, 8 y 23, deben incluirse en el Plan de Auditora para su revisin inmediata, pero tambin un porcentaje a determinar de los que se sitan en la franja azul. Ahora bien, cuando nos referimos a que debemos concebir el Plan de Auditora con base a riesgos, no debe entenderse que sea solo la evaluacin de los riesgos la informacin que hemos de considerar, puesto que existen tambin otros elementos que pueden aportarnos informacin muy valiosa. Por este motivo, y de acuerdo con el ejemplo del presente slide, el Plan no solo incluir los procesos correspondientes a los 3 riesgos extremos y a los 22 altos, sino tambin otros trabajos de acuerdo con la ponderacin que finalmente asignemos a todos los datos que debemos considerar.

16

www.auditool.org

Autor: Jess Aisa Dez

Hemos de sealar que no existe una nica mejor prctica que nos oriente definitivamente sobre los inputs que deberamos emplear para determinar el contenido de los Planes de Auditora, pues eso depender de muchas circunstancias, pero los que seguidamente citamos pueden perfectamente formar parte de los aspectos que podran influir en la definicin de un Plan Auditor: Ambiente general de control del proceso o del rea Alteraciones del equipo de gestin o estructura Redefinicin de los procesos o alteraciones/reconversin de los sistemas informacin Resultados obtenidos en anteriores trabajos de auditoria Resultados del proceso de Gestin de Riesgos Recomendaciones crticas pendientes Existencia de procedimientos escritos Juicio del auditor Su ponderacin o peso, as como el nmero de tems a considerar, pueden variar y ajustarse a la realidad de cada Organizacin. Lo que s entendemos conveniente que sea cual sea el modelo que vayamos a emplear, que se exponga con claridad al Consejo de Administracin y a la alta direccin, puesto que si ambos deben aprobar el Plan a acometer por Auditora, deben saber qu es lo que estn aprobando, y cmo se ha concluido en l. Si bien el ejemplo que se recoge en el slide anterior es totalmente didctico y diseado para poder aclarar los conceptos que subyacen detrs de estas ponderaciones, el que aparece en la actual pantalla por el contrario es real, y se ajusta al modelo empleado por una importante multinacional espaola. Si observamos con detalle los pesos que se han asignado a cada uno de los componentes, se puede concluir que: Siendo cierto que el Plan de Auditora se basa en riesgos, se podra pensar que su peso relativo es bastante reducido, puesto que, incluyendo el mapa de control, sera solo del 10%. No obstante, si observamos cmo est estructurado el modelo, veremos que la importancia estratgica de los procesos, ms la importancia econmica de los mismos agregaran un 30% adicional en la ponderacin, con lo que ya se alcanzara un 40% debido a la gestin de riesgos, mientras que el 60% restante se distribuye un 50% por los antecedentes existentes en Auditora (antigedad auditoras anteriores, valoracin final de los informes, recomendaciones crticas pendientes) y un 10% adicional asignado al juicio subjetivo del Director de Auditora Interna. En resumen: un 40% para la gestin de riesgos y el 60% debido a los antecedentes/opinin de Auditora Interna, lo que nos hace pensar que el modelo no est an muy rodado, y que es muy conservador, habiendo migrando de un modelo en el que el 100% del Plan de Auditora se determinaba por el conocimiento que tuviese Auditora, a otro en el que esta caracterstica se reduce, de momento, a un 60%.

17

www.auditool.org

Autor: Jess Aisa Dez

Identificados los trabajos que estimemos necesario realizar, hay que cuantificar: las horas necesarias para realizarlos, as como las horas de formacin previstas, las de atencin a las consultoras solicitadas, las precisas para la supervisin de los planes de accin asumidos, etc., comparndolas con las disponibles. Situacin que debe sancionar el Directorio y la alta direccin. Pero sin olvidar incluir, e identificar, las acciones que sern realizadas por los otros proveedores de aseguramiento que vayamos a aprovechar. Incluir todo este detalle en la informacin que se reporta a quienes deben aprobar el Plan resulta imprescindible, ya que la propuesta realizada no ser efectiva, ni aplicable, hasta que no est sancionada en todos sus trminos, fundamentalmente en lo que respecta a los recursos asignados para desarrollarla. En este sentido, si los medios autorizados no fuesen suficientes para abordar todo el Plan en su integridad, debe quedar claro en el acto de aprobacin que existir escasez de recursos para acometerlo, y que se dejarn sin hacer determinados trabajos considerados necesarios, cuya responsabilidad derivada no es aplicable exclusivamente a Auditora Interna, ya que ser compartida con quienes no asignaron los recursos en la dimensin precisa. Un formato cuatrimestral del Plan de Auditora adoptar un esquema similar al que recogemos en la pantalla; pero si observamos hemos entrecomillado el calificativo final, con la intencin de remarcar que lo que se haya aprobado en el momento de la autorizacin por parte de la alta direccin y del Directorio, puede ser modificado a lo largo del ejercicio, pues siempre habr situaciones sobrevenidas que harn necesario introducir cambios, bien por nuevas demandas de las partes interesadas, bien porque la revisin y actualizacin, al menos semestral, de los mapas de riesgo, aconsejen hacer modificaciones, ya que las prioridades han podido cambiar. De estas situaciones habr que dar cuenta al informar del cumplimiento del Plan aprobado en la correspondiente Memoria de actividades.

18

www.auditool.org

Autor: Jess Aisa Dez

Existen dos conceptos que no debemos confundir, disear el Plan de Auditora con base a riesgos (Instituto de Auditores Internos), no es lo mismo que auditar con base a riesgos. En el primer caso el objetivo es determinar qu es lo que debemos hacer. En el segundo lo que se nos pide es que desarrollemos la actividad auditora supervisando el control interno de la Organizacin a travs de la eficacia del Sistema de Gestin de Riesgos existente. Es la misma situacin con la que se suelen enfrentar los entrenadores de los equipos de futbol que compiten con el Real Madrid, ganarle obliga a contrarrestar a Ronaldo (el qu hacer), el problema est en cmo hacerlo El Paper Position Statement Risk Based Internal Auditing del Institute of Internal Auditors UK and Ireland. define la auditora interna basada en riesgos (ABR), como: La metodologa que une las auditoras internas con el marco general de la gestin de riesgo de una organizacin, permitiendo a la auditora interna ofrecer garantas al Directorio de que los procesos de gestin de riesgos son efectivamente aplicados en relacin con el apetito al riesgo. Existen otras muchas definiciones, pero todas ellas inciden en afirmar que son aquellas metodologas con las que elaborar un programa de auditora que permita focalizar las pruebas de auditora en los controles crticos puestos en marcha por la organizacin. Para ello resultar bsico: Centrndonos en lo importante. Ofrecer opinin independiente sobre la bondad del Sistema de Gestin de Riesgos.

19

www.auditool.org

Autor: Jess Aisa Dez

Las auditoras con base a riesgos, consisten en: Evaluar la adecuacin de los procesos de Gestin de Riesgos, verificando: Que los objetivos de la organizacin estn alineados con la estrategia de la empresa. Que los riesgos significativos estn identificados y bien evaluados. Que se han seleccionado respuestas apropiadas a los riesgos de forma que estn en un entorno de aceptacin. Obtener oportuna informacin significativa sobre los riesgos crticos. En resumen: Conjunto de procesos mediante los cuales las auditoras proveen aseguramiento independiente al Directorio acerca de: 1) Si los procesos y medidas de gestin del riesgo que se encuentran implementadas estn funcionando de acuerdo a lo esperado; 2) Si los procesos de gestin de riesgos son apropiados y estn bien diseados, y 3) Si las medidas de control de riesgos que la Gerencia ha implementado son adecuadas y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio. Las auditoras con base a riesgos dependern del nivel de desarrollo que la propia empresa ha alcanzado en la gestin de riesgos en el rea objeto de examen, y el grado en que han sido definidos objetivos apropiados por la Gerencia contra los cuales pueden medirse los riesgos asociados. La Norma. 2600. Comunicacin de la aceptacin de los riesgos, es muy clara: Cuando el Director de Auditora Interna concluya que la direccin ha aceptado un nivel de riesgo que pueda ser inaceptable para la organizacin, debe tratar este asunto con la alta direccin. Si el asunto no se resuelve debe comunicarse la situacin al Directorio.

20

www.auditool.org