Está en la página 1de 90

GUÍA AUDITORÍA INTERNA DEL

TERCER MILENIO
AUDITORÍA INTERNA DEL TERCER MILENIO

Objetivo del curso

El propósito del presente curso, es identificar aquellos aspectos que permitan mejorar la
efectividad de la función auditora, por medio de adecuarla a los actuales requerimientos
empresariales y sociales, y de fortalecerla para que aporte el valor que de nuestra actividad
se espera.

Para lograr esto debemos profundizar en los siguientes temas:

a) Identificación de la situación empresarial y económica vigente.


b) Énfasis en los conceptos, la terminología y la nomenclatura relacionados con los
protocolos más reputados internacionalmente relativos al Control Interno, la Gestión
de Riesgos Empresariales y el Gobierno Corporativo. De estos protocolos
destacamos varios: COSO, Basilea, SOX e ISO.
c) Definición de los roles a desempeñar por auditoría interna en el desarrollo de los
objetivos a desempeñar.
d) Identificación de posibles formas de implementarlos de manera eficiente, con base en
el conocimiento de experiencias reales y mejores prácticas.

La hoja de ruta que nos parece conveniente emplear para conseguir los objetivos
perseguidos debe incluir diversas etapas, entre las que destacamos las siguientes:

1. Instruir a los participantes en el conocimiento de las nuevas técnicas sobre


auditorías internas, que permiten evaluar de forma objetiva y competente el nivel del
control interno de las organizaciones.
2. Capacitar a los asistentes para que apoyen a la Alta Dirección, a la Junta Directiva y
a los Comités de Auditoría en el diseño e implementación de procesos de
administración de riesgos, en aras de conseguir los objetivos empresariales.
3. Aportar los conocimientos precisos en el diseño de los Planes Anuales de Auditoría
Interna de la forma más eficiente posible, seleccionando aquellas acciones de
aseguramiento que resulten más oportunas, prioritarias y significativas, y centrando
la atención en ellas.
4. Desarrollar las acciones auditoras basándonos preferentemente en los riesgos
existentes en los entes auditables, identificando las posibles conclusiones y las
recomendaciones.
5. Compartir criterios para desarrollar un Programa de aseguramiento y
mejoramiento de la calidad de las auditorías, con el que podamos evaluar y
disminuir el riesgo de auditoría, entendido como los errores y fallos que pueden
encontrarse asociados a la función auditora.

www.auditool.org 2
Pero antes de entrar en materia, es conveniente hacer una breve referencia sobre los
orígenes de nuestra actividad, tal y como hoy en día se entiende; esto nos permitirá
observar los cambios que se han producido en su desarrollo a lo largo de sus 75 años de
existencia.

Hasta el año 1941, la auditoría interna era esencialmente una función administrativa, sin
estructura organizacional ni estándares de conducta, ya que, debido a la necesidad de
mantener registros de contabilidad adecuados y confiables, los auditores internos fueron
utilizados principalmente para revisar los movimientos contables antes de su registro con el
fin de asegurar que éstos no tuvieran errores; su segunda tarea estaba relacionada con la
investigación (o de detección de posibilidades) de fraude.

Así, los auditores internos eran vistos como revisores o "policías" encargados de proteger
los activos de la organización. El viejo concepto de auditoría interna se puede entender
como si fuera un seguro: su principal objetivo era descubrir fraudes, sin necesidad de
esperar a que los auditores externos los detectaran durante su supervisión anual, de modo
que su trabajo se convirtió en complemento de la labor de los auditores externos.

El concepto moderno de auditoría interna es el de apoyo a las organizaciones en todo su


contexto, ya que está inmersa en el proceso administrativo y se enfoca en los aspectos
relacionados con la prevención de errores, ineficiencias y fraude. Surge en 1941, gracias a
dos acontecimientos importantes, estrechamente interrelacionados: uno de éstos fue la
publicación, en enero de ese año, de la tesis doctoral de Víctor Z. Brink (Columbia
University), presentada en la forma de libro con el título Modern Internal Auditing; el otro se
dio con la fundación de The Institute of Internal Auditors (IIA).

Dentro de las características que pueden definir la profesión de auditoría interna podemos
decir que, en cuanto a su forma de actuación, se destaca la mesura, prudencia y
confidencialidad con que los profesionales deben manejar la información a la que, por la
naturaleza de su trabajo, tienen acceso; asimismo, otra característica es la independencia
de criterio con que deben desarrollar su labor.

Pero al margen de esta homogenización de actuación, en los profesionales que se dedican


a esta función empresarial existe también una cierta discrecionalidad que se manifiesta en
los orígenes de su labor, su foco de actuación y su forma de atenderla. Entre ellas, como
aparece en la pantalla, las siguientes:

 Se desarrolla en entornos empresariales y sociales diferentes.


 Salvo excepciones, no tiene una especialización universitaria específica.
 Es, por tanto, desarrollada por profesionales con titulaciones académicas diferentes
(contadores, abogados, ingenieros, economistas).

www.auditool.org 3
 Puede incidir en distintos ámbitos empresariales: financieros, operacionales,
medioambientales, de cumplimientos normativos, etc.
 Se puede desarrollar de varias formas: ex-post, ex-ante, apoyada en técnicas
asistidas por ordenadores, in situ, a distancia. Pero sobre todo, puede hacerse de
forma eficaz o con debilidades.

De acuerdo con el calendario gregoriano, el siglo XXI no se inició el 1º de enero de 2000


sino el 1º de enero de 2001, y llegará hasta el 31 de diciembre de 2100. En cualquier caso,
el paso del siglo XX al siglo XXI habría pasado inadvertido, de no ser porque se tuvieron
que someter las aplicaciones informáticas a un riguroso análisis para comprobar su
compatibilidad con el cambio de numeración, lo que obligó a realizar el denominado
“Proyecto milenio”.

Sin embargo, hay dos acontecimientos que son frontera entre ambos siglos; nos referimos
a los atentados de Las Torres Gemelas de Nueva York y al escándalo ENRON, que de una
u otra manera han definido algunas de las características del presente siglo, que podemos
resumir en los siguientes temas:

 Deslocalizaciones y globalización.
 Auge del terrorismo internacional.
 Reconocimiento del cambio climático.
 Guerras en Oriente Próximo, etc.

Además, este siglo ha sido marcado sobre todo por la aparición de numerosos escándalos
financieros, y crisis financieras y bursátiles que han supuesto una importante pérdida de
confianza de los inversores.

Esta pérdida de confianza se produjo como consecuencia de los importantes fallos de


control interno que se pusieron de manifiesto de manera evidente al analizar los
comportamientos de aquellos que tenían la responsabilidad y la obligación de vigilar la
actuación de las entidades; de estos fallos se destacan los siguientes:

 Gestores deshonestos y mecanismos de control interno obviados.


 Auditores externos que no ejercieron su función adecuadamente.
 Los supervisores (SEC, Comisión Nacional del Mercado de Valores) no estuvieron
atentos.
 Los analistas financieros fungieron con conflictos de intereses.

Estas situaciones dieron lugar a la elaboración y difusión en los mercados de Estados


Financieros fraudulentos, no representativos de la realidad patrimonial de las
organizaciones, lo que supuso pérdidas millonarias a los accionistas.

www.auditool.org 4
Lo que acabamos de comentar ha sido válido durante algunos años, específicamente los
que corresponden a la época de expansión, durante los cuales los sistemas económicos
han funcionado con aparente normalidad en un entorno en el que los PIB de las economías
desarrolladas seguían creciendo, al igual que la de los países emergentes; asimismo, los
tipos de interés se situaban en niveles nunca vistos, lo cual hacía rentable cualquier
negocio, y los gestores aparentemente habían abandonado prácticas que privilegiaban sus
intereses a corto plazo; en resumen, los controles que se habían establecido después del
batacazo de ENRON aparentemente funcionaban, estábamos en el buen camino, todo el
mundo tenía empleo, las empresas ganaban dinero y los altos ejecutivos también, las
bolsas subían, etc.

Pero llegó el año 2007, es decir, solo seis años después del fenómeno Enron, y empezamos
a escuchar hablar de las hipotecas subprime, de empleados desleales, de problemas de
liquidez de algunas instituciones financieras, de que la burbuja inmobiliaria no era un
invento sino que realmente existía, etc., etc. Las bolsas de valores se desploman, algunos
grandes bancos entran en crisis, el sistema financiero mundial se derrumba, el miedo a una
depresión se generaliza. La confianza vuelve a entrar en crisis: ¿cómo debíamos interpretar
lo que estaba pasando?, ¿trabajábamos sobre bases falsas?, ¿los remedios se
manifestaban ineficaces?, ¿por qué el Control Interno no había reaccionado?

Hagamos un pequeño análisis y veamos lo que podemos responder.

Recordemos que, como respuesta a los escándalos financieros de 2001 y 2002 se


adoptaron, en términos generales, dos medidas: mayor regulación y mejor supervisión.

Pero decimos en términos generales puesto que no se aplicaron por igual a todos los
sectores. Entre aquellos en que no se aplicaron está la banca de inversión, y los sofisticados
instrumentos financieros que iban naciendo, y que solo algunos iniciados entendían.

En resumen, debido a la implementación de las políticas neocons mal aplicadas, que se ha


llevado por delante la “mano invisible que regula el mercado”, y a los principios neoliberales
defendidos por Reagan (para quien “el estado no es la solución, es el problema”) y el
reputado gurú Greespans, la realidad comúnmente aceptada es que lo que sucedió en esos
años de espejismo económico se podría resumir de la siguiente manera:

 Oposición de Alan Greespans, Presidente de la FED, a que la SEC, la Secretaría del


Tesoro o la propia FED, regularan los nuevos instrumentos financieros
(AUTOREGULACIÓN).
 Autorización para que los bancos, vía titulaciones, sacaran fuera de balance los
créditos con alto riesgo (BASILEA CORTOCIRCUITADA).

www.auditool.org 5
 Las agencias clasificadoras valoraron muy positivamente los nuevos instrumentos
financieros (CONFLICTO DE INTERESES).
 Los reguladores encontraron dificultades para mantenerse al día respecto a las
innovaciones introducidas en los instrumentos puestos en el mercado (FALTA DE
EXPERTISE).

Estas situaciones permitieron grandes excesos a las políticas liberales representativas del
libre mercado.

Una situación que afectaba tan directamente las bases del sistema económico mundial
necesitó de la adopción de medidas correctoras adecuadas de acuerdo con el diagnóstico
de las causas que permitieron que se produjeran estos fraudes a los inversores.

Hemos dicho que fallaron fundamentalmente los mecanismos de control, tanto internos
como externos. Para mejorar el control interno se han ampliado y actualizado los objetivos
que deben ser alcanzados por las organizaciones para garantizar la existencia de un
adecuado mecanismo que permita, con una seguridad razonable, opinar sobre la
inexistencia de riesgos, pero sobre todo exigir transparencia.

También se han fortalecido los principios fundamentales que deben regir la forma de dirigir
las sociedades. Por ambos procesos la actividad de auditoría interna se ha visto afectada:
en primer lugar, se ha reconocido la necesidad y conveniencia de su existencia y, en
segundo lugar, se han asignado funciones de apoyo a la Gerencia en el camino de alcanzar
la debida protección a los accionistas, inversores, entidades financieras y cualesquiera
otros agentes.

Por todo ello la función de auditoría interna no debe limitarse solo a vigilar la inexistencia
de fraudes, sino también a verificar que se cumplen las leyes y normas que le son
impuestas, a que existe la necesaria fiabilidad financiera y operativa y a que los procesos
estén optimizados.

De esto podemos concluir que, con ambas decisiones, la actividad de auditoría interna se
ha visto potenciada, pues ha pasado de una mera labor “policiaca” a otra mucho más amplia
como asesor de confianza de las organizaciones. Dentro de esta labor, las funciones que
se destacan son el fortalecimiento del ambiente de control, la evaluación de los controles,
la gestión de riesgos, el acompañamiento y asesoramiento en la implementación de los
procesos de gobierno, riesgo y control, y la coordinación de la relación con los entes
externos. Estas nuevas facetas de la función de auditoría interna serán objeto de nuestra
atención.

www.auditool.org 6
En resumen, después de unos años críticos, en los que la función de los supervisores se
ha visto cuestionada por los fallos que se apreciaron en su funcionamiento y actividad,
podemos decir lo siguiente:

a) Los escándalos y fraudes no han perjudicado a la función de auditoría interna, todo


lo contrario, ésta se ha visto fortalecida.
b) Los Códigos de Buen Gobierno más reputados y actualizados (por ejemplo, SOA) dan
carta de naturaleza a la función de auditoría interna, y reclaman su existencia en las
organizaciones.
c) La gestión de riesgos tipo ERM (COSO II, Basilea,) ha incorporado nuevos roles a
desempeñar por los equipos de auditoría interna.
d) Estas nuevas funciones no excluyen las que se le adscribieron en su inicio. Son dos
situaciones complementarias.
e) Para que auditoría interna sea eficiente, debe cumplir con determinadas normas de
funcionamiento
f) Y, sobre todo, debe actuar con calidad.

En este punto deberíamos intentar ser críticos con nosotros mismos, empezando por
conocer si estamos en la estructura de las organizaciones porque respondemos a una
exigencia de los reguladores o porque aportamos auténtico valor. Lo ideal sería que
pudiésemos responder que se debe a ambas circunstancias, es decir, por una obligación
normativa inicialmente, para pasar a consolidarnos posteriormente por la utilidad que
reportamos en la mejora de los procesos con la participación en el control interno de las
organizaciones.

En resumen, solo podremos dejar de representar un costo a las organizaciones si nos


convertimos en una actividad rentable, cuando seamos capaces de desarrollar, con los
menores medios posibles, un Plan de Auditoría Interna adecuado para aportar una
seguridad razonable respecto de la bondad del Sistema de Control Interno de la empresa,
para lo que deberemos tener presente en todo momento que nuestra labor comprende lo
siguiente:

 Ayudar a la Gerencia y los Directorios a cumplir sus objetivos.


 Emitir opiniones independientes.
 Proporcionar certidumbre objetiva.
 Ser sistemáticos y disciplinados.
 Mejorar la eficacia de las organizaciones, en los ámbitos de:

 Administración de riesgos
 Controles internos
 Gobierno corporativo

www.auditool.org 7
 Ser selectivos, enfatizando en lo importante.
 Actuar con eficiencia, flexibilidad y proactividad.
 En definitiva, agregar valor.

Dicho de otra manera, debemos convertirnos en la pieza clave del proceso de supervisión
del control interno, fin de garantizar su adecuado funcionamiento.

Una vez conocido el objetivo básico a cumplir por las unidades de auditoría interna en el
ámbito del control interno, es indudable que conseguirlo comportará incertidumbres, pues
requiere que podamos contar con determinados requisitos tanto cuantitativos como
cualitativos, sin los cuales nos enfrentamos a un gran riesgo: que el producto entregado no
tenga la calidad requerida.

Entre los factores de riesgo que pueden influir negativamente en el ejercicio de nuestra
actividad están estos:

 Recursos disponibles inadecuados, por cantidad o conocimientos.


 Programa de actividad mal seleccionado.
 Falta de autoridad de la Unidad.
 Capacidad supervisora limitada.
 Independencia de criterio condicionada o limitada.
 Falta de compromiso del Directorio en disponer de un buen Control Interno.

Estos factores dependen tanto de la voluntad y capacidad de decisión del Director de


Auditoría Interna como del entorno de control de la Sociedad, por lo cual estamos ante una
responsabilidad compartida.

Pero volviendo al autoanálisis de la realidad de nuestra profesión, en un reciente estudio


de PwC, titulado: ¿Se están cubriendo las expectativas sobre la función de auditoría
interna?, que trata perfectamente la cuestión, son varios los puntos en los que los
stakeholders creen que debe haber un cambio en el planteamiento por parte de los
auditores internos a fin de poder conseguir los objetivos deseados. En concreto, los
siguientes:

A. Gestionar la función auditora a través de la alineación de las actividades a desarrollar


con los riesgos más críticos de la organización. Para lograr esto se deben cumplir tres
acciones:

 Pensar y actuar de manera estratégica.


 Alinear la asignación de recursos.
 Aprovechar la segunda línea de defensa.

www.auditool.org 8
B. Aportar mayor profundidad en nuestros análisis, lo que requiere:

 Entender mejor el negocio.


 Ofrecer asesoramiento y mejores prácticas.
 Aprovechar la aportación de los especialistas.

C. Simplificar la complejidad, a través de estas acciones:

 Generar confianza mediante un diálogo continuo.


 Simplificar la comunicación; producir informes fáciles de asimilar.
 Ser capaz de ver “la foto completa”.

En el mismo ámbito de análisis crítico, de acuerdo con el National Audit Office del Reino
Unido, que recoge la opinión de diversos Presidentes de los Comités de Auditoría y de la
Alta Dirección de los organismos públicos encuestados, la auditoría interna ejercida en los
mismos es vista como una auditoría de bajo nivel, de procesos y procedimientos rutinarios,
que no tiene en cuenta las cuestiones más estratégicas; esto se pone de manifiesto en el
contenido de los Planes Anuales de trabajo, que no están lo suficientemente adaptados a
la relevancia de los diferentes problemas con que se enfrentan las organizaciones.
Enumeran como debilidades más significativas las siguientes:

 Experiencia del personal,


 Conocimientos técnicos sobre los sistemas de información basados en las TI,
 Evaluación de la eficiencia en la organización y de la capacidad para ofrecer
asesoramiento a la Alta Dirección,
 Independencia de criterio para no dejarse influenciar por los altos funcionarios que
buscan gestionar el mensaje.

Como conclusión de lo que acabamos de exponer, el objetivo perseguido por una correcta
actividad de auditoría interna es conseguir la adecuada calidad en el desarrollo del proceso
auditor. Pero de esto nos surge una primera duda: ¿qué debemos entender por calidad?

La respuesta la podemos obtener si recurrimos a diversas fuentes, por ejemplo:

 Definiciones clásicas: según la Real Academia Española, “propiedad o conjunto de


propiedades inherentes a una cosa, que permiten apreciarla como igual, mejor o peor
que las restantes de su especie”; según el diccionario Larousse, “conjunto de
cualidades de una persona o cosa; superioridad, excelencia de alguna cosa”.
 Otras definiciones: hacer bien las cosas a la primera; tomar acciones preventivas
evitando las correctivas; mejorar continuamente los procesos, y satisfacer los
requerimientos de los clientes, dándoles lo que ellos necesitan, no lo que el proveedor
desea, con una rentabilidad adecuada para la empresa.

www.auditool.org 9
Después de lo que hemos visto, creemos que, en términos generales, la función de auditoría
interna todavía no ha alcanzado el nivel de calidad que le demandan las partes interesadas.
Pero, ¿qué debemos entender por calidad de un producto: su relación calidad/precio, la
fiabilidad del mismo, lo bien que se adapta a nuestros gustos? La respuesta nos la dan los
gurús del tema: para Deming, “calidad es el nivel satisfacción del cliente”; sin embargo, para
Walter A. Shewhart: “la calidad es el resultado de la interacción de dos dimensiones:
dimensión subjetiva (lo que el cliente quiere) y dimensión objetiva (lo que se le ofrece)”;
mientras que para Juran “calidad es el conjunto de características de un producto que
satisfacen las necesidades de los clientes y, en consecuencia, hacen satisfactorio el
producto”.

Como ejemplo paradigmático podríamos señalar las manifestaciones del Presidente del
Gobierno de España, quien recientemente ha confesado: “No he hecho lo que prometí, pero
he hecho lo que debía”. Su índice de popularidad ha descendido de manera sorprendente
desde el momento en que resultó elegido en 2011. Esto podría interpretarse como una
valoración muy mala de la calidad de su gobierno, lo que justifica que el porcentaje de votos
a favor de su partido en las últimas elecciones haya sido muy bajo: y que haya pasado de
186 diputados a 123.

Las reglas de oro que guían la implantación de un proceso de calidad son cuatro:

 En primer lugar, identificar las normas/leyes/ regulaciones que sean de aplicación.


 En segundo lugar, enunciar formalmente lo que se quiere conseguir, es decir, lo que
se quiere hacer.
 Posteriormente, cumplir lo que se ha escrito.
 Y, por último, verificar lo que realmente se ofrece al mercado, comparándolo con el
objetivo.

Estos requisitos, entre otros, son aspectos que deberán ser objeto de verificación al evaluar
la calidad de cualquier proceso, incluso el auditor. Estos aspectos, de forma resumida,
están representados en el conocido círculo de Deming.

Dejando al margen las normas técnicas que regulan el funcionamiento de las auditorías,
como pueden ser las Normas de Auditoría Generalmente Aceptadas (NAGAS), con el
ánimo de contemplar la función de auditoría interna con su máxima amplitud y dentro de un
contexto conceptual, podemos señalar que son tres las directrices que determinan (i) su
ámbito de actuación, (ii) los reportes a emitir, (iii) sus responsabilidades, (iv) los grados de
dependencias y los roles a desempeñar por las Unidades de Auditoría Interna. Estas
directrices son las siguientes:

1. COSO como referencia conceptual, de aceptación universal, respecto del Control


Interno, objetivos y elementos (define el ámbito de actuación de auditoría interna).

www.auditool.org 10
2. Los requerimientos incorporados en los distintos protocolos relativos al Buen
Gobierno Corporativo (funciones a desarrollar).
3. Marco para la Práctica Profesional de la Auditoría Interna del IIA (la forma de
desarrollar la actividad y mejores prácticas).

Al actuar atendiendo lo que estas tres referencias esperan de auditoría interna podremos
concretar la actividad que debemos desempeñar y estimar el nivel de eficacia/calidad
alcanzado en cada caso concreto analizado.

Otra forma de ver lo que acabamos de señalar, pero ahora de manera algo más gráfica,
podría ser la que recogemos a continuación:

Aunque no puede señalarse que el concepto de control interno surge con el


pronunciamiento de COSO, sí podemos afirmar que su forma de desarrollarlo sigue siendo
una de las más reputadas, y con una aceptación más extensa. Antes de entrar en detalles
debemos señalar que COSO es la sigla de Committee of Sponsoring Organizations of the
Treadway Commission, y que plasma los resultados de un grupo de trabajo creado en
Estados Unidos en el año 1985 (¡hace ya más de 30 años!) a fin de aportar un marco
conceptual consensuado que sirviera de referencia a las empresas que quisieran
desarrollarlo, sobre el control interno inicialmente (el que se denomina COSO I) y,
posteriormente, sobre de la Gestión de Riesgos Corporativos (el llamado COSO II).

www.auditool.org 11
Si bien el grupo de trabajo se constituyó en el año 1985, el resultado de su actividad no vio
la luz sino 7 años más tarde, en concreto en el año 1992, lo que nos da una idea de la
complejidad de los temas que se debatieron, y la dificultad de llegar a un consenso entre
sus participantes, que pretendían disponer de una sola voz dentro de la comunidad de
negocios financieros. Estos fueron los participantes:

 American Accounting Association (AAA) [http://AAA-edu.org]


 American Institute of Certified Public Accountants (AICPA) [http://aicpa.org]
 Financial Executives International (FEI) [http://fei.org]
 The Institute of Internal Auditors (IIA) [http://www.theiia.org]
 Institute of Management Accountants (IMA) [http://www.imanet.org]

Sus dos formulaciones básicas se refieren, como ya hemos anticipado, al modelo sobre el
control interno respecto a cuestiones relacionadas con el problema de los reportes
fraudulentos, y a la problemática en la gestión de riesgos empresariales.

En su desarrollo se contó con la colaboración de Coopers & Leabrand, en el primero de


ellos, y, una vez desaparecido éste, con Pricewaterhouse Coopers para el segundo.

COSO ha pretendido que cuando se plantee cualquier discusión o problema sobre el control
interno, tanto a nivel práctico en las empresas, en los equipos de auditoría interna y externa,
o en cualquiera de los ámbitos académicos o legislativos en que se produzca el debate,
debe existir una referencia conceptual de aceptación general, para evitar la multiplicidad de
definiciones e incluso conceptos que existía antes de su publicación, pero también para
aportar un modelo de referencia sobre el cual evaluar los sistemas de control existente en
las empresas.

En su inicio el control interno es un proceso diseñado para obtener seguridad razonable


respecto a:

 La eficacia y eficiencia de las operaciones


 La fiabilidad de la información financiera
 El cumplimiento de las leyes y normas,

En él participan todas las personas de la organización y no es un fin en sí mismo, sino un


medio para alcanzar un fin, como es la salvaguarda de los intereses de los accionistas, de
los empleados y del resto de los grupos de interés; pretende (i) aportar una definición común
de control interno que responda a las necesidades de todas las partes, y (ii) describir un
modelo de referencia sobre el cual evaluar los sistemas de control existente en las
empresas.

www.auditool.org 12
De acuerdo con lo anterior, el control interno se trata de un proceso a implantar en el ámbito
de la empresa. Todos sus miembros son responsables de su correcto funcionamiento, pero
es la gerencia (CEO) la principal responsable de su implantación y eficacia.

Una forma gráfica y tradicional de describirlo íntegramente es recurriendo a un


paralelepípedo o cubo, en el que en su cara superior se indiquen los objetivos perseguidos,
en su cara vertical delantera aparecen los 5 componentes que lo integran, y en la vertical
de la derecha todas las unidades de la organización sobre las que opera:

Por nuestra parte, como responsables de la función auditora, destacamos que es en el


componente relativo a la supervisión en donde la presencia de nuestra actividad es más
evidente, ya que en este aspecto asume un papel protagonista.

También de manera gráfica, la representación del proceso de gestión empresarial en su


integridad puede conseguirse con el siguiente esquema.

www.auditool.org 13
Podemos apreciar que se inicia en el Consejo de Administración/Directorio, instancia que
no solo debe marcar la estrategia, de la que se derivarán los objetivos de la compañía, sino
que también debe establecer el ambiente de control con el que se desea trabajar.

Una vez definidos estos aspectos (lo que queremos conseguir), debemos identificar cuáles
podrían ser las dificultades que impidieran el alcance de dichos objetivos, es decir,
concretar las amenazas de las que se derivarían los impedimentos que debamos gestionar.
Una vez conocidas éstas, a continuación debemos decidir cómo las combatimos, de qué
forma, y con qué controles haremos funcionar adecuadamente los procesos empresariales
en su conjunto, para pasar finalmente a una fase de supervisión para concluir sobre el grado
de eficacia y eficiencia con que hemos desarrollado todo el proceso, adoptando los cambios
que la experiencia nos aconseje. A partir de ahí, se inicia de nuevo, pues estamos ante un
proceso dinámico de mejora continua.

De los componentes que intervienen en el proceso empresarial recogido en el gráfico,


podemos observar que no todos ellos están contemplados en COSO I (únicamente los que
están en color rojo en el gráfico), lo cual empezaría a darnos una idea de que algo nos está
faltando. Efectivamente, así es, y por ello el propio Committee amplió este protocolo con el
correspondiente a la gestión de riesgos que inicialmente no estaba contemplada, dando
origen al denominado COSO II.

Para continuar con la suficiencia, o no, del modelo defendido por COSO I, podemos decir
que algunos años después de su publicación, concretamente en el año 2001, nuevamente
los componentes del Committee vuelven a reunirse, ahora con el apoyo de Pricewaterhouse
Coopers, a fin de ver qué aspectos deberían ser objeto de mejora en el protocolo emitido
anteriormente sobre el control interno. Así, se publicó en el año 2004 el Marco Integrado
sobre la Gestión de Riesgos Corporativos (ERM, por sus siglas en inglés), que no sustituye
al anterior, sino que lo perfecciona y amplía.

Este marco define la gestión de riesgos empresariales como un “proceso llevado a cabo
por el directorio, la gerencia y el resto del personal de una entidad, aplicado en la definición
de la estrategia y que abarca a toda la empresa, destinado a identificar acontecimientos
eventuales que puedan afectar a la organización y a procurar que los riesgos estén dentro
del nivel de riesgo aceptado para proveer una seguridad razonable con respecto al logro de
los objetivos de la misma”.

Podemos emplear el mismo esquema gráfico que ya utilizamos para describir COSO I, es
decir, el cubo de seis caras. En la superior aparecerán los objetivos de la organización, que
ahora son cuatro, pues se han incorporado los estratégicos y modificado los de reporte, que
antes se referían exclusivamente a los financieros, mientras que ahora se refieren a
cualesquiera de ellos, estén o no relacionados con los aspectos financieros:

www.auditool.org 14
En cuanto a los componentes, si antes eran 5 ahora pasamos a 8. Se han añadido los
correspondientes a Establecimiento de los objetivos, Identificación de objetivos y la
Respuesta a los riesgos; se amplía el correspondiente a la Evaluación de riesgos, que en
esta nueva versión, como más adelante veremos, ya nos indica cómo debemos ponderarlos
y con base en qué atributos. De esto podemos concluir que el nuevo protocolo COSO,
denominado COSO II, incluye una actualización del primero más una descripción detallada
del Sistema Integral de la Gestión de Riesgos Empresariales.

Esta nueva versión de COSO pretende, básicamente, el reconocimiento de que los


objetivos de control que fijaba COSO I deben estar en sintonía con la estrategia de la
sociedad, ya que es ésta la que debe marcar el funcionamiento de toda la organización, es
decir, es la que debe dirigir todos sus actos.

Si no se respeta la estrategia podremos haber hecho cualquier cosa, incluso la habremos


realizado muy bien, pero fuera de lo que se pretendía: podremos haber gestionado
adecuadamente los recursos, haber vendido con éxito los productos fabricados, e incluso
obtenido unos resultados aceptables, circunstancias que podríamos considerar un balance
positivo, pero esta situación podría no ser tan positiva en el supuesto de no haber atendido
los objetivos estratégicos fijados (por ejemplo, si la estrategia empresarial fuese la
distribución de nuestros productos en países en vías de desarrollo dando acceso a ellos a
personas de bajo poder adquisitivo en esas poblaciones, no lo habremos atendido si se
pensó que la mejor forma para su comercialización era promocionarlos a través de internet,
debido a lo cual los pedidos se recibieron de países industrializados y avanzados).

www.auditool.org 15
Por tanto, los objetivos ya conocidos de Cumplimiento de leyes y normas, Fiabilidad de la
información, Eficiencia y eficacia de las operaciones, con COSO II se entiende que no
pueden fijarse de forma abstracta, sino como una derivación de los objetivos estratégicos,
los cuales determinarán la actuación (estrategia) de la compañía, y a partir de ésta se
definirán los objetivos operacionales, informativos y de cumplimiento. Adicionalmente, la
evaluación de riesgos es más precisa y exigente, ya que no solo se señala cómo hay que
hacerlo, sino también las magnitudes que deben medirse (probabilidad de ocurrencia y el
impacto económico).

En este sentido, respecto a COSO I se han añadido:

a) Objetivos estratégicos. Aquellos que fijan la estrategia de la compañía. De los


objetivos estratégicos se debe deducir la estrategia que queramos seguir, y de ésta
se podrá derivar el resto de los demás objetivos (operativos + informativos +
cumplimiento).
b) Identificación de eventos. Fenómenos que afectan a la empresa, bien favorable o
desfavorablemente.
c) Respuesta a los riesgos. Previo análisis de su costo-beneficio, determinan cómo
responder a ellos: evitándolos, reduciéndolos, compartiéndolos o aceptándolos.

En lo que se refiere a los 8 componentes de COSO II, debemos destacar como muy
significativo el correspondiente al ambiente interno o entorno de control de la propia
organización, ya que resulta determinante para el desarrollo de todo el proceso, puesto que
si falla éste no habrá ninguna posibilidad de implementarlo adecuadamente. Un adecuado
entorno de control dependerá en gran medida del posicionamiento de la Alta Dirección y
del Directorio. Sin su compromiso y ejemplo, resultarán inútiles los demás esfuerzos.

Seguidamente, debemos referirnos al establecimiento de los objetivos, es decir, a las metas


a dónde queremos llegar; si no lo sabemos con exactitud, lo normal es que no sepamos
elegir el camino adecuado, así como tampoco los márgenes de tolerancia con que podemos
trabajar para no poner en riesgo la consecución de dichas metas. Una vez conocidas estas,
debemos identificar las situaciones (riesgos) que puedan perjudicar el alcance de los
objetivos, ya que lo importante es poder conocer las amenazas que puedan existir y decidir
qué plan de actuación debemos aplicar de forma que los riesgos se reduzcan a unos niveles
que no pongan en peligro los objetivos establecidos. Para lograr esto es imprescindible
cuantificar su importancia, ya que no todos tienen la misma incidencia en el desarrollo de
la actividad empresarial.

www.auditool.org 16
La importancia de los riesgos dependerá de dos factores: (i) la probabilidad de ocurrencia
y (ii) el impacto que produciría su materialización. Al conocer las amenazas o riesgos que
pueden incidir en la marcha de la organización hacia el logro de sus objetivos, es
imprescindible definir cómo nos vamos a organizar para impedir que estos riesgos se
materialicen y puedan impedir alcanzar los objetivos establecidos. A esta faceta del Proceso
de Gestión de Riesgos lo denominaremos “Respuesta a los riesgos”, es decir, lo que
haremos para que los riesgos no nos afecten, o lo hagan de forma no determinante en la
consecución de nuestras metas, para pasar posteriormente a concretar las medidas a
implementar, o lo que denominaremos controles, de forma que podamos administrar
adecuadamente los riesgos que puedan presentarse.

Por último, nos quedarían los elementos: “Información y comunicación” y “Supervisión”. El


primero de ellos nos indica que este proceso, para funcionar adecuadamente, precisa de
una buena interacción de todas las partes de la organización, para lo cual la información
debe fluir en todos los sentidos; mientras que la “Supervisión” nos indica que este proceso
de gestión de riesgos, como cualquier otro proceso empresarial, debe ser sometido a una
evaluación que nos permita deducir su eficacia; además, en este elemento de supervisión
es donde se focaliza fundamentalmente la función auditora.

De forma secuencial, podemos definir los componentes de la siguiente manera:

 Entorno o ambiente de control - El ambiente interno define la posición de una


organización y establece la base de cómo se percibe el riesgo y cómo es dirigido por
las personas de la entidad, incluyendo la filosofía de gestión de riesgo y tolerancia al
mismo, la integridad y los valores éticos y el entorno en el que operan.
 Establecimiento de objetivos - Los objetivos deben existir antes de que la Dirección
pueda identificar los potenciales acontecimientos que afectan su rendimiento. La
gestión de riesgos corporativos asegura que la Dirección tiene en marcha un proceso
para fijar objetivos y que los objetivos elegidos permiten apoyarse y alinearse con la
misión de la entidad y que estos sean compatibles con su apetito de riesgo.
 La identificación de eventos - Circunstancias internas y externas que afectan el logro
de los objetivos de una entidad deben ser identificados, diferenciando entre riesgos y
oportunidades .Las oportunidades se canalizan como respuesta a la estrategia de la
Administración o al establecimiento del objetivo de los procesos.
 Evaluación de Riesgo – Los riesgos son analizados teniendo en cuenta la probabilidad
de ocurrencia y el impacto esperado, como base para determinar cómo deben ser
gestionados. Los riesgos se evalúan por su componente inherente y por el residual.
 Respuesta a los riesgos – Los responsables de la gestión deben seleccionar las
respuestas al riesgo -evitar, aceptar, reducir, o compartir los riesgos- desarrollando
una serie de acciones para alinear los riesgos esperados con lo que la entidad está
dispuesta a tolerar, en función de la tolerancia y del apetito de riesgo.

www.auditool.org 17
 Actividades de control – Son las políticas y procedimientos que se establecen e
implementan para ayudar a garantizar que las respuestas a los riesgos se lleven
realmente a cabo.
 Información y comunicación - La información relevante debe ser identificada,
capturada, y comunicada en la forma y en los plazos que permitan a las personas
llevar a cabo sus responsabilidades. La comunicación efectiva también se da en un
sentido amplio, fluyendo en todas las direcciones.
 Monitoreo o supervisión - La totalidad de las facetas de la gestión de riesgos
corporativos debe supervisarse e introducir las modificaciones que sean necesarias.
El monitoreo se realiza a través del curso de las actividades de gestión, de
evaluaciones separadas o de ambos modos.

COSO II permite dar entrada en el esquema descrito en la página 13, a diversas partes
hasta ahora no incluidas, tales como Metas y objetivos a alcanzar, lo que requerirá
establecer los límites de los riesgos compatibles con los mismos, conocidos como apetito
al riesgo y su tolerancia, así como la necesidad de identificación de los eventos perjudiciales
en la consecución de los objetivos establecidos y la forma de combatirlos.

Se han ampliado convenientemente los componentes del proceso de gestión que hasta
ahora se verían involucrados, y se puede observar que se han cubierto prácticamente la
totalidad de las fases que se habían identificado como partícipes en el desarrollo del mismo.
Como resultado de todo ello, se pasa a una situación como la que recoge el esquema que
aparece a continuación:

www.auditool.org 18
Una vez conocidas las fases del Proceso de Control Interno y del correspondiente a la
Gestión de Riesgos Empresariales, creemos conveniente identificar los roles a desempeñar
por los distintos estamentos y unidades de las organizaciones. Por ejemplo:

 El Consejo, Directorio o Junta fijará la estrategia y la visión global del negocio. Debe
tener un papel activo en el conocimiento de las acciones que se ejecutan,
asegurándose de contar con vías de comunicación efectivas con la Alta Dirección y
las áreas financieras, legales y de auditoría interna.
 La Alta Dirección es la responsable última de la implementación del sistema de
control. Su integridad y ética deben ser elementos que aporten ejemplo a los demás
empleados. Debe dirigir a los gerentes, que a su vez son los responsables en sus
respectivas áreas.
 La auditoría interna debe desempeñar un papel de supervisión sobre la eficiencia y
permanencia de los sistemas de control. Para ello debe contar con una ubicación
jerárquica adecuada, entre otros atributos.
 Los empleados en general tienen la responsabilidad de participar en el esfuerzo de
aplicar el control interno, cuyos detalles deben ser incorporados a la descripción de
sus puestos de trabajo. Ellos deben comunicar al nivel superior las desviaciones que
detecten respecto a los códigos de conducta, a las políticas establecidas o a la
legalidad de las acciones realizadas

En las explicaciones anteriores hemos podido recorrer el proceso de gestión de riesgos en


su integridad, destacando el rol que debe desempeñar en el mismo el Consejo de
Administración/Directorio o Junta, ya que éste debe asumir un papel trascendente, pues
como líder e impulsor de todas las actuaciones que deben realizarse al unísono por las
distintas partes de la organización, debe estar plenamente involucrado en su definición y
desarrollo.

En este sentido, es el Directorio la instancia que debe asumir el compromiso de su


implementación en las organizaciones, y “convencer” a las partes aún no comprometidas
con el proceso, en la oportunidad de su desarrollo; por lo que debe liderar el proceso de
implantación de los modelos de control interno y de gestión de riesgos.

Como elemento fundamental de dicho liderazgo está la preparación y comunicación a toda


la organización de un Código de Ética que defina las líneas generales de actuación.

Dicho código de ética debería cubrir las siguientes facetas:

 Objetivos
 Obligatoriedad
 Actuación ante conflictos de intereses
 Utilización de información confidencial

www.auditool.org 19
 Integridad de los registros
 Relaciones con organismos públicos
 Cumplimiento de leyes y regulaciones
 Responsables de su seguimiento
 Consecuencias de los incumplimientos del Código

Las actividades de una organización están sometidas de forma permanente a una serie de
amenazas, lo que las hace vulnerables y compromete su estabilidad y la consecución de
los objetivos perseguidos. Accidentes operacionales, enfermedades, incendios u otras
catástrofes naturales son una muestra de este panorama, sin olvidar las amenazas propias
del negocio.

El riesgo se define como la posibilidad de que un evento ocurra y afecte adversamente la


consecución de los objetivos de una organización. Su naturaleza puede ser muy variada y
deberse a factores externos (económicos, medioambientales, políticos, sociales,
catastróficos, etc.) o internos (infraestructura, personal, procesos y tecnología, etc.). Como
señaló acertadamente Suzanne Lagarbe, Jefa de Riesgos del Royal Bank of Canadá: “El
riesgo en sí mismo no es malo; lo malo es que el riesgo esté mal administrado, mal
interpretado, mal calculado o, lo que es lo mismo, no bien comprendido”.

El concepto de riesgo se desarrolla diferenciando entre el inherente, el aceptado y el


residual. El riesgo inherente es el que existiría si no se hiciera nada para modificar la
probabilidad de ocurrencia o su impacto. Es un concepto poco realista, pues significa que
la empresa no ha adoptado ninguna medida (los accesos a los almacenes estarían sin
puertas, sin vigilantes y con los cajones abiertos). El riesgo aceptado, también denominado
“apetito al riesgo”, es la cuantía que se entendería como admisible con los objetivos de la
organización. El riesgo residual es el que queda realmente después de adoptar medidas
para controlar su impacto y la probabilidad de ocurrencia.

La tolerancia al riesgo es la diferencia que puede existir entre el riesgo aceptado y el riesgo
residual, siempre que esta diferencia no fuera incompatible con los objetivos de la
organización. En el hábito de fumar creemos que se pueden seguir perfectamente estos
conceptos: riesgo inherente, cuando fumamos lo que nos pide el cuerpo y sin ninguna
prevención; controles, cuando fumamos cigarrillos bajos en nicotina o con filtros; el apetito
al riesgo sería la aceptación de las bronquitis que fumar nos puede producir, mientras que
la tolerancia al riesgo es la diferencia entre el daño que sabíamos que podríamos sufrir al
fumar y el que realmente nos hace.

El riesgo inherente es el que existe en ausencia de cualquier acción realizada por la


empresa para alterar la probabilidad o el impacto, en tanto que el riesgo residual es el
remanente que quedaría después de la acción realizada por la empresa para alterar su
probabilidad o impacto, vía controles.

www.auditool.org 20
La diferencia entre el apetito al riesgo o riesgo aceptado y el riesgo residual es lo que se
denomina tolerancia al riesgo, pero siempre que la importancia del riesgo residual permita
alcanzar razonablemente los objetivos, tal y como muestra la figura:

Otra forma de representar la tolerancia al riesgo es la que recogemos en la presente


imagen:

La tolerancia al riesgo es la distancia que existe entre el apetito al riesgo y el riesgo residual;
debe analizarse por los gestores si la situación que se deriva de la tolerancia al riesgo
evidenciada es asumible con la consecución de los objetivos que nos hayamos fijado.

www.auditool.org 21
Los riesgos están presentes siempre en cualquier acto que realicemos las personas, por lo
que encontrarlos en las actividades empresariales es lo habitual, y debemos actuar
aceptando que coexistimos con ellos, pero actuando/gestionando o administrando aquellos
factores que los desencadenen.

Las formas de reaccionar ante estas amenazas son cuatro: las más extremas serían evitar
el riesgo o aceptarlo tal cual. En el primer caso, si no queremos sufrir ningún accidente
subiendo una montaña, no lo hacemos, y practicamos otro deporte; en el segunda caso, no
nos preocupa lo que nos pueda pasar y nos lanzamos a subir la montaña, aun a pesar del
riesgo que ello implique. Las otras dos opciones son las que exigen adoptar medidas
concretas con las cuales administrar o gestionar las amenazas. Mitigar el riesgo significa
que estaremos incidiendo sobre la probabilidad de ocurrencia y/o de impacto. En el caso
del deporte de montaña, sería subir solo montañas con caminos bien definidos y habilitados,
y exclusivamente en días soleados y bien pertrechados, mientras que compartir el riesgo
sería, por ejemplo, asociarse con otro montañero y subir enganchados uno al otro o, en los
supuestos empresariales, suscribir pólizas de seguros.

Ya sabemos que los riesgos son consustanciales a las actividades humanas y


empresariales, lo que nos obliga a gestionarlos convenientemente. En este punto es donde
aparecen los controles, entendidos éstos como mecanismos para neutralizar el efecto de
los riesgos.

Todos “sufrimos“ las políticas de control impuestas en los aeropuertos para minimizar el
riesgo de atentados o secuestros en los aviones, y las entendemos incluso razonables y
ajustadas al objetivo perseguido (reducir la probabilidad de ocurrencia) si, por ejemplo,
éstas consisten en que nos abran las maletas, que nos pasen por los detectores de metales,
que tengamos que quitarnos los zapatos, los cinturones, que no llevemos líquidos, etc.;
pero lo que, probablemente, veríamos como desproporcionado es que se sustituyese al
personal de cabina por la guardia nacional.

Por ello los controles deben estar ajustados a los riesgos que se pretenden limitar (los
controles excesivos y desproporcionados son a su vez factores de riesgo, pues reducen la
productividad). Tampoco debemos olvidar que el control final es la suma de los controles
parciales, y que éstos siempre tienen un costo.

¿Quiénes deben llevar a cabo los controles? La respuesta es toda la organización, que,
durante el proceso de gestión, debe procura:

 Prevenir su ocurrencia.
 Reducir el impacto de sus consecuencias.
 Procurar restablecer el proceso en el menor tiempo.

www.auditool.org 22
Los controles pueden intervenir en momentos diferentes del proceso, según sean
detectivos, preventivos o correctivos. Son preventivos cuando actúan antes de iniciarse el
proceso en el cual están operando (por ejemplo, en la gestión de tesorería, las firmas
mancomunadas de las órdenes de pago). Son detectivos cuando se sitúan dentro del
proceso (por ejemplo, los indicadores de la temperatura del aceite de los motores de los
coches). En tanto que son correctivos los que se sitúan después de que se haya acabado
el proceso (como sucede con los arqueos de caja o recuento de almacenes).

Los controles no son excluyentes, de forma que podemos tener en un mismo proceso
distintos tipos de controles. De su elección dependerá en buena medida la eficacia y la
eficiencia del proceso de gestión de riesgos.

La mayor eficiencia de los controles se obtiene, en principio, con los preventivos. Esto
resulta obvio, pues al estar situados antes de iniciarse el proceso, evitan que se hayan
consumido recursos en la realización de terminadas actividades que se perderán cuando el
control rechace que se progrese en la ejecución del proceso (un control de calidad de la
bondad de unos materiales debe hacerse en el almacén del proveedor de la materia prima,
no cuando las piezas están realizándose o ya estén terminadas).

Por el contrario, la menor eficiencia económica se obtiene con los controles correctivos,
pues se sitúan al final de todo el proceso, cuando este ya se ha acabado.

Lo que acabamos de comentar no debe hacernos pensar que debemos emplear


exclusivamente controles de tipo preventivo, pues su aplicación o no dependerá de su
viabilidad de uso.

Lo primero que podríamos preguntarnos es ¿por qué la evolución de COSO I? La respuesta,


de acuerdo con PwC, experto participante en la redacción de la nueva versión del año 2013,
está asociada a varias circunstancias, en especial:

 Los cambios en el entorno empresarial introducen o elevan los riesgos:

 Cambio principal – Nuevos modelos de negocio, mercados, productos, socios.


 Supervisión regulatoria – Los requerimientos regionales o mundiales dan poco
margen para el error.
 Expectativas nuevas y evolución de informes no financieros – Las partes
interesadas y los reguladores buscan una mayor transparencia y confianza en
sus informes.
 Las quiebras de empresas y eventos perjudiciales para la marca – Las empresas
en muchas industrias tienen que volver a construir la confianza con los clientes y
las partes interesadas.

www.auditool.org 23
 Los cambios dentro de las empresas introducen o elevan los riesgos:

 Cambio principal – Nuevo liderazgo, crecimiento, reestructuraciones.


 Mayor complejidad en su modelo de funcionamiento y estructura – Asumir nuevos
proveedores de servicios o socios pueden crear riesgos que pueden estar muy
alejados de la empresa.
 Dependencia de la tecnología – Los nuevos usos de la tecnología existentes y
las nuevas inversiones pueden afectar los riesgos para las interacciones internas
y externas.

Las diferencias más significativas de esta nueva versión del protocolo sobre control interno,
respecto de la previa del año 1992, son estas:

 Aplica un enfoque basado en principios.


 Aclara la necesidad de establecer objetivos del negocio como condición previa a los
objetivos de control interno. Ver COSO II.
 Refleja la relevancia incrementada de la Tecnología.
 Fortalece los conceptos de gobierno corporativo. Ver COSO II.
 Amplía el objetivo de reporting financiero. Ver COSO II.
 Fortalece la consideración de las expectativas contra el fraude.

Algunos aspectos ya estaban implícitos en COSO I, como es el caso de los principios, y


otras en el protocolo sobre ERM, o COSO II.

Hay un aspecto que puede generar una cierta confusión: el correspondiente a la forma de
valorar la importancia de los riesgos, ya que, según se indica en COSO III, “las
organizaciones pueden evaluar la importancia de los riesgos utilizando criterios tales como
los siguientes:

 Probabilidad de ocurrencia de un riesgo y su impacto.


 Velocidad o rapidez del impacto una vez que se produzca el riesgo.
 Persistencia o duración en el tiempo del impacto una vez que se materialice el riesgo”.

Pero estos requerimientos no deben entenderse como requisitos complementarios, sino


alternativos.

La velocidad de ocurrencia del riesgo se refiere a la rapidez con la que impacta un riesgo
en la organización una vez se ha materializado, es decir, alude al ritmo con el que se espera
que la entidad experimente el impacto. Obviamente, es indudable que este atributo refleja
una de las singularidades de los riesgos, que debería considerarse a la hora de valorar el
impacto que la amenaza pude producir; pero entendemos que por sí solo no pueden hacer
una estimación del riesgo, sino más bien de las características de los controles a implantar
para mitigarlos.

www.auditool.org 24
A título de ejemplo, podemos hacer referencia a las insuficiencias cardiacas, cuyo impacto
es muy alto, en parte por su elevada velocidad de ocurrencia, por lo que sus controles (la
atención médica) deben ser lo más rápidos que sea posible, de ahí la existencia de
desfibriladores en los aeropuertos o espacios alejados de los centros sanitarios.

En cuanto a la persistencia, es considerada como la duración del impacto después de que


el riesgo se haya materializado. En nuestra opinión esta característica no afectaría la
probabilidad de ocurrencia, pero sí la gravedad de los daños que puedan producirse. Aquí
el ejemplo es de los riesgos de sequía, ya que los daños que pueden producir dependen
del tiempo que ésta dure una vez iniciada.

Aparte de la “velocidad de ocurrencia” y de la “persistencia” citadas por COSO III, creemos


que existen otros aspectos que, como la “vulnerabilidad” (la incapacidad de resistencia
cuando se presenta un fenómeno amenazante, o la incapacidad para reponerse después
de que ha ocurrido un desastre), pueden afectar el impacto y/o la probabilidad de ocurrencia
de los riesgos.

Estos términos podemos incluirlos dentro del concepto de “factores de riesgo”, entendido
como la causa que origina los riesgos. Como vemos, hemos recogido una manifestación de
ahorradores de edad avanzada que protestan por los fraudes financieros a los que han sido
sometidos debido a su desconocimiento de los instrumentos financieros que se les
vendieron, y que adquirieron por la confianza depositada en los gestores de las entidades
financieras que los engañaron, los cuales eran conscientes de que estaban frente a un
grupo muy vulnerable para caer en el engaño.

Los 17 principios vinculados a los 5 elementos que integran el control interno son los
siguientes:

Entorno de control.

• La organización debe demostrar compromiso con la integridad y los valores éticos.


• El Consejo de Administración debe demostrar independencia de la gestión y ejercerá
la supervisión en el desarrollo y ejecución del control interno.
• La Alta Dirección establece, con la supervisión del Consejo de Administración, la
estructura, las líneas de reporting, autoridad y responsabilidad en la consecución de
los objetivos.
• En alineación con los objetivos, la organización debe demostrar compromiso para
atraer, desarrollar, y retener personas competentes.
• En la consecución de objetivos, la organización debe tener personas responsables
para atender sus responsabilidades de control interno.

www.auditool.org 25
Evaluación de riesgos.

• La organización debe especificar los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados.
• La organización identifica y evalúa riesgos.
• La organización gestiona el riesgo de fraude.
• La organización identifica y evalúa los cambios importantes que podrían impactar el
Sistema de Control Interno.

Actividades de control

• La organización seleccionará y desarrollará actividades de control que contribuyan a


la mitigación de los riesgos en el logro de sus objetivos.
• La organización seleccionará y desarrollará controles generales sobre tecnología.
• La organización implementa sus actividades de control a través de políticas y
procedimientos.

Información y comunicación.

• La organización genera información relevante para respaldar el funcionamiento de los


otros componentes de control interno.
• La organización comunica internamente la información, incluyendo los objetivos y
responsabilidades para el control interno, necesaria para respaldar el funcionamiento
de los otros componentes de control interno.
• La organización se comunica externamente en relación con las materias que afectan
el funcionamiento de los otros componentes de control interno.

Actividades de monitoreo.

• La organización lleva a cabo evaluaciones continuas e individuales, con el fin de


comprobar si los componentes del control interno están presentes y están
funcionando.
• La organización evalúa y comunica las deficiencias de control interno.

Un aspecto importante de los cambios que se introducen en la gestión de los Sistemas de


Control Interno está en el alcance u objetivos de los mismos; se encuentra reflejado
fundamentalmente en el reporting, ya que, mientras que anteriormente solo se refería a la
información financiera, con la nueva versión de COSO, la fiabilidad de la información se
refiere tanto a la financiera como a la no financiera, es decir, a la operativa. Pero además
se reitera que este objetivo debe contemplar la información generada tanto internamente
como externamente.

www.auditool.org 26
Ante esta situación surge una pregunta, ¿cómo debemos confeccionar ahora los mapas de
riesgo: de forma convencional, con dos dimensiones, o multidimensional? En nuestra
opinión, no hay duda de que debemos seguir representándolos de forma dimensional, por
impacto y probabilidad, ya que estos son los dos atributos que definen a los riesgos. Las
otras circunstancias de las que hemos hablado (velocidad, persistencia, vulnerabilidad) son
aspectos que debemos contemplar y ponderar, de manera que nos permita estimar
adecuadamente el impacto previsiblemente esperado de la materialización del riesgo, así
como su probabilidad de ocurrencia.

En este sentido, por ejemplo, si estamos estimando el riesgo de sismo, es indudable que
éste dependerá de la zona que estemos analizando, pues no es el mismo en el caso de
Lima, que en España, ya que son zonas con diferente vulnerabilidad.

La ley Sarbanes-Oxley nació como respuesta a la serie de escándalos corporativos que


afectaron a empresas estadounidenses a finales de 2001, como producto de quiebras,
fraudes y otros manejos administrativos no apropiados, que mermaron la confianza de los
inversionistas respecto de la información financiera emitida por las empresas. Su objetivo
fue crear un mecanismo para endurecer los controles de las empresas y devolver la
confianza perdida.

El texto legal abarca temas como el buen gobierno corporativo, la responsabilidad de


los administradores, la transparencia, y otras importantes cuestiones del trabajo de
auditores externos e internos.

Esta ley es de alcance internacional, ya que involucra a todas las empresas que cotizan en
las bolsas de valores de los Estados Unidos, así como a sus filiales y subsidiarias. Se
aprobó en julio del 2002. Se puede señalar que si bien la Ley Sarbanex-Oxley afecta solo
a las sociedades cotizadas en EEUU, dada su demostrada eficacia, se ha convertido en
referencia obligada en todo el mundo.

Lo primero que debemos describir es el contexto en el que ésta Ley tiene aplicación.
Podemos señalar que afecta a todas las sociedades que coticen en la Bolsa de Valores de
Estados Unidos, aunque por su incidencia en los estados financieros consolidados, también
tiene incidencia en las filiales de estas sociedades cotizadas, sean norteamericanas o no.

Su objetivo es la protección del accionista, mediante la prevención de fraudes financieros y


el aseguramiento de que la información presentada a los mercados, a través de los reportes
a la Securities and Exchange Commission (SEC), es precisa, completa, fiable, comprensible
y que se presenta en plazos.

www.auditool.org 27
Afecta a todos los agentes que intervienen en el juego de información a los mercados, pero
fundamentalmente a los gestores (CEO y CFO) y a los auditores externos, como garantes
independientes de la fiabilidad de la información distribuida a los mercados. Entre los
cambios que introduce destacamos las importantes responsabilidades penales por
falsedades e incumplimientos (hasta 20 años/ 5 MM USD) y la creación del Public Company
Accounting Oversight Board (PCAOB) para el control de la actividad desarrollada por los
auditores externos.

La estructura de la Ley está constituida por 11 capítulos, que desarrollan los aspectos que
se indican en sus respectivos títulos. De ellos, los que tienen una mayor incidencia sobre la
actividad de auditoría son el 2, el 3 y el 4. Debido a lo siguiente:

El Capítulo 2º.
Establece los requisitos legales para la contratación de los servicios de auditoría externa y
las normas de relación entre el auditor y el auditado. Recoge, entre otras, la prohibición
expresa de la subcontratación a estas entidades servicios de auditoría interna (lo que afecta
indudablemente la actividad a desarrollar por los equipos de auditoría interna).

Capitulo 3º.
En él se establecen las responsabilidades sobre la veracidad de los estados financieros. Se
exigen una serie de controles internos, así como la creación del Comité de Auditoría y la
Certificación de Informes Anuales.

Capítulo 4º.
Se regulan las mejoras en los términos de la información presentada a los mercados. Se
enfatiza el interés tanto por la información presentada como el procedimiento por el que se
ha obtenido internamente (Informe de Control interno sobre el Reporte Financiero).

Su centro de atención, lógicamente, son los puntos débiles que se evidenciaron al analizar
lo sucedido en los fraudes financieros observados. Por ello, se juzgó necesaria la creación
de un supervisor independiente que evaluara la actuación de los auditores externos en su
labor de validar los estados financieros elaborados por las empresas (el PCAOB).

Se fijan incompatibilidades para los auditores de cuentas y los analistas financieros, a fin
de reducir los conflictos de intereses en los que puedan verse afectados. Además, regulan
la existencia de Comités o Comisiones de Auditoría dentro de los órganos de control de las
sociedades, estableciendo sus funciones y su composición. También se concretan las
responsabilidades imputables a los CEO y CFO, que ahora estarán obligados a suscribir y
certificar el contenido de los Estados Financieros, así como a crear y mantener un Sistema
de Control Interno del proceso de generación y reporte de la información financiero-
contable.

www.auditool.org 28
Se exigiendo a las sociedades la implantación de un canal de denuncias anónimo al que
puedan acceder todos los empleados, y se implanta un Código de Ética para financieros y
se establecen responsabilidades penales importantes. En resumen, se tratan aspectos muy
significativos relacionados con el Gobierno Corporativo.

Sarbanes-Oxley entiende que el CEO y el CFO son los responsables gerenciales máximos
de la información financiera que se difunde a los mercados, y que la misma es asumida
íntegramente por ellos, es decir, que conocen lo que incluyen, y además que está elaborada
conforme a la información de que disponen. Se hacen responsables de:

A) Que han revisado los EEFF y que, hasta lo que ellos conocen, no contienen
falsedades ni omisiones relevantes y representan la imagen fiel de la situación de la
compañía.

B) Asegurarse de lo siguiente:

- Mantener los procedimientos y controles sobre la revelación de información a los


mercados.
- Que dichos controles aseguran que toda la información de la sociedad y sus
filiales se ha puesto en su conocimiento.
- Que se ha evaluado la efectividad de los controles internos de la sociedad.
- Que han presentado un informe sobre la efectividad de los procedimientos y
controles.

C) Que han informado a los auditores externos y al Comité de Auditoría de:

- Las carencias significativas en el diseño o funcionamiento de los controles


internos sobre el reporte financiero que hayan sido observadas
- De cualquier fraude (material o no) que afecte a gestores y empleados con un
papel significativo en el control sobre el reporte financiero.
- Cualquier cambio significativo en los controles internos, incluyendo las acciones
para corregir deficiencias significativas y debilidades materiales.

D) Que se han adoptado códigos de ética. Que se les puede requerir la devolución de
bonus si se tuviesen que rehacer los EEFF como consecuencia de una auditoría de
la SEC. No pueden percibir préstamos personales (al igual que todos los altos
directivos).

www.auditool.org 29
Esta ley pretende eliminar el conflicto de intereses que existía antes de su promulgación,
ya que en algunos casos se pudo observar la situación de permisibilidad que rodeaba a las
firmas de auditoría externa; por ello se regula que, a partir de su vigencia, se consideró
como incompatibles para los auditores externos que evaluaran la información financiero-
contable de las sociedades, la realización de los siguientes servicios:

 Llevar servicios de contabilidad


 Diseñar o implementar sistemas de información financiera
 Servicios de auditoría interna
 Funciones administrativas o de recursos humanos
 Actuar como asesor financiero
 Ofrecer servicios legales

Adicionalmente, aquellos otros servicios que no están excluidos solo podrán ser realizados
si la Comisión de Auditoría de la empresa los aprueba por adelantado. Se considera
también oportuno que el socio de auditoría responsable de la cuenta debe ser sustituido al
menos cada 5 años.

La Securities and Exchange Commission (SEC) viene desarrollando reglamentariamente la


SOA mediante las denominadas “Final Rules”. Se destacan, por su relevancia las
siguientes:

 Sección 302. Sobre la certificación de informes anuales. Aplicable para el informe


correspondiente a 2002 y sucesivos, desarrollado mediante Final Rules de 8/02 y
6/03; señala que la información pública presentada deberá ser legitimada por los
directivos de la sociedad. En este sentido, los directivos certificarán su
responsabilidad y corrección respecto a:

- Los informes trimestrales y anuales;


- La no existencia de omisiones o información confusa en los estados financieros;
- Los controles sobre la información que se envía al mercado y la eficiencia del
control interno sobre la misma;
- La comunicación de forma efectiva a los auditores y al Comité de Auditoría de los
errores o fraudes que se identifiquen.

Se deben formalizar estos informes en soporte documental previamente definido,


denominado 20 F.

www.auditool.org 30
 Sección 404. Sobre la evaluación del control interno. Aplicable sobre el Reporte
Financiero a anexar a los informes anuales junto con una declaración de conformidad
con la evaluación, realizada por el auditor externo. El Final Rule de junio ’03 concedió
período transitorio de aplicación (hasta el ejercicio 2005 para emisores extranjeros)
por su dificultad. El auditor externo opinará sobre la corrección de lo manifestado por
la sociedad y sobre la eficiencia del control interno financiero a la fecha de cierre de
los estados financieros.

La 302 materializa el compromiso del CEO y el CFO con la veracidad de la información


facilitada, mientras que la 404 aporta las pruebas de la existencia de un Sistema de Control
Interno de la información financiera adecuado que permita asegurar que ésta representa la
imagen fiel de la compañía

La elaboración del Internal Control over Financial Reporting (ICFR) incluida en la Final Rule
de la Sección 404 se refiere a los controles internos de COSO orientados al control de la
información financiera. Quedan al margen de los objetivos de la Sección 404 los elementos
de COSO relativos a la eficacia o eficiencia operacionales, así como al cumplimiento de
leyes y normas, salvo en lo directamente relacionado con la preparación de estados
financieros.

En estos aspectos la auditoría interna se ha visto involucrada, identificando un rol específico


en la verificación de la bondad de los Estados Financieros, complementando, que no
duplicando, la labor a efectuar por los auditores externos.

Para poder diferenciar los diferentes roles a desempeñar por el auditor externo y el interno
en estas responsabilidades, veamos el ejemplo del depósito de agua:

www.auditool.org 31
Al auditor interno le correspondería valorar la cantidad de litros o m3 que cree que contiene;
mientras que al auditor externo le ocuparía la verificación de la fiabilidad de los conductos
que le provisionan, valorando si ha entrado todo el agua que debería, observando y
detectando fugas indebidas. En otras palabras, el auditor externo verificará que lo que dicen
los Estados Financieros se corresponde con la realidad, mientras que el interno se centra
en si lo que hay es lo que debería haber.

Como se observa a continuación, la implantación de la Sección 404 no ha sido, debido a lo


complejo de algunas de las actuaciones que ello requería, algo rápido, estableciéndose por
el propio regulador un plazo de varios años, sobre todo para las empresas cotizadas en las
bolsas de Estados Unidos, no radicadas en ese país.

Entre las dificultades que conlleva la implantación del ICRF, podemos identificar la
necesidad de tener que formalizar los distintos procesos empresariales que tengan
incidencia en la información financiera, a fin de poder analizarlos y detectar los riesgos que
pudieran afectar el contenido de la misma, así como valorar la eficacia de los controles que
se estuviesen aplicando.

A título de ejemplo de un modelo desarrollado para implementar un adecuado ICRF, es


oportuno referir uno en el que tuvimos la oportunidad de colaborar hace ya algunos años.
En él se incluyeron dos herramientas complementarias, que describiremos a continuación:

 Modelo general de evaluación.


 Autoevaluación auditada.

www.auditool.org 32
El Modelo general de evaluación se apoya en los mapas de riesgos y procesos corporativos
existentes en la organización. Con base en ello, lo primero que procedió fue identificar las
cuentas contables de mayor materialidad, identificando los procesos que las afectaban,
tanto en el debe como en el haber.

Una vez interrelacionadas las cuentas con los procesos a los que estuviesen vinculadas,
procedía identificar los riesgos asociados a estos procesos, evaluando y estableciendo, en
su caso, las actividades de control precisas y suficientes que garantizaran que, finalmente,
el proceso de reporte financiero tuviera un control adecuado y suficiente.

Este proceso, dada la dinámica de las organizaciones, precisa que se efectúen de forma
reiterada todos los ejercicios, a fin de observar y detectar los cambios que hayan podido
producirse, pero también en la aplicación correcta de los controles definidos previamente.

Dado que estamos refiriéndonos a aspectos de control interno, no debemos olvidar que
este es un proceso que afecta a todos los integrantes de la organización, aunque
destacando en él la mayor responsabilidad de la Alta Dirección, motivo por el cual la
metodología empleada en el ICRF incluía una autoevaluación por parte de los gestores de
las compañías del grupo, concluyendo en una autovaloración del control interno realizada
por la propia empresa, que será posteriormente objeto de comprobación por parte de
auditoría interna. Las preguntas planteadas en los cuestionarios tienen los siguientes
objetivos:

 Implicar a todos los gestores en el contenido de la SOA; a través de concientizar sobre


la importancia del control interno y sobre sus responsabilidades en este aspecto, y
construir una cultura de grupo sobre el control interno.
 Facilitar un autoconocimiento de los gestores sobre el nivel de control interno
existente en sus organizaciones
 Obtener una declaración de los gestores de las filiales, similar a la exigida por la SOA
a los de Telefónica S.A. y restantes sociedades afectadas según la SEC (Securities
and Exchange Commission).
 Disponer de información sobre el control interno de una amplia muestra de empresas
o, incluso, sobre el colectivo total de dominadas con actividad.
 Facilitar que auditoría interna pueda seguir y evaluar el Modelo (verificación).

Siguiendo la forma tradicional de evaluar la severidad o gravedad de los riesgos, en el caso


de la bondad de la información recogida en los estados financieros se debe evaluar a través
de los dos atributos clásicos según COSO II: la probabilidad de ocurrencia y el impacto
esperado.

www.auditool.org 33
En lo que se refiere a la probabilidad ésta debe valorarse en tres niveles, medidos de mayor
a menor porcentaje de ocurrencia: probable, posible y remota. En tanto que el impacto
esperado se debe evaluar en los siguientes tres niveles: intrascendente, cuando sean
claramente inmateriales para los EEFF, trascendente, cuando no pueda ser calificado de
intrascendente, y material, cuando la incidencia sobre los EEFF sea especialmente
significativa.

La interrelación de estas 6 situaciones nos permitirá, según la situación en la que nos


encontremos, valorar las deficiencias estimadas en el contenido de la información financiera
evaluada en deficiencias intrascendentes, significativas y materiales, según puede
observarse en el cuadro de la pantalla 63.

Los Acuerdos de Basilea son recomendaciones sobre regulación y supervisión bancaria


emitidos por el Comité de Supervisión Bancaria de Basilea. Aunque no son vinculantes, en
la práctica han sido adoptados por más de 100 países e integrados en su regulación local.
En esencia, los Acuerdos de Basilea pretenden asegurar la capacidad de los bancos de
absorber las pérdidas derivadas de los riesgos vinculados a su actividad. En 1974 se creó
el Comité de Supervisión Bancaria de Basilea, en respuesta a la quiebra del banco alemán
Herstatt, que puso de manifiesto la necesidad de favorecer una regulación bancaria que
estableciera un capital mínimo para las entidades financieras en función de los riesgos
asumidos por estas.

El primer acuerdo que se emitió, conocido como Basilea I o BIS I, se publicó en 1988 y
establecía que el capital mínimo que una entidad debiera tener sería de un 8% del valor de
los riesgos que afrontara. Esto supuso un paso para garantizar la capacidad de los bancos
para asumir sus pérdidas. No obstante, Basilea I tenía importantes limitaciones; en
particular, consideraba que todas las contrapartes tenían la misma calidad crediticia y, con
la innovación financiera de los noventa, esto generó posibilidades de arbitraje. Con todo
ello, en 2004 se publicó Basilea II o BIS II, con el objetivo de hacer converger la medición
de los riesgos realizada por los supervisores y la calculada por las propias entidades
financieras. Pretendía, por tanto, homogeneizar la legislación y regulación bancaria en
materia de riesgo, y para ello fue más allá de un porcentaje mínimo de recursos propios y
fomentó el desarrollo de unos procedimientos internos de gestión adecuados a los riesgos
asumidos.

www.auditool.org 34
El Acuerdo Basilea II, como más adelante veremos, se estructuró en tres pilares:

 Pilar I: centrado en la metodología de cálculo del capital regulatorio necesario para


cubrir adecuadamente los riesgos de crédito, de mercado y operacional, incorporando
un método estándar y métodos avanzados.
 Pilar II: dedicado a potenciar las facultades supervisoras y a incrementar la capacidad
de autoevaluación de los niveles de capital por parte de las entidades que dispusieran
de un modelo de capital económico que integrase adecuadamente todos sus riesgos.
 Pilar III: encargado de mejorar la transparencia informativa a terceros, exigiendo a las
entidades facilitar información clara sobre su perfil de riesgo, así como sobre las
actividades y controles utilizados para mitigar los riesgos asumidos.

Pero la crisis financiera del decenio pasado obligó en noviembre de 2008 a introducir una
serie de cambios para conseguir una mayor garantía en el funcionamiento del sector
bancario, como más adelante veremos.

En 1988 el Comité decidió introducir un sistema de medida del capital de las instituciones
financieras, que fue designado comúnmente como el Acuerdo de Capital de Basilea
(Basilea I) y la puesta en práctica de un estándar de capital mínimo para cubrir el riesgo de
crédito asumido por las entidades. Este marco fue introducido progresivamente no solo en
los países miembros del G10, sino también en prácticamente todos los países que tenían
bancos internacionalmente activos.

El capital de las instituciones es:

 Básico para el crecimiento futuro de la entidad y colchón para cubrir las pérdidas
inesperadas.
 Es la última esperanza de la entidad si la gestión del riesgo no es suficiente y las
provisiones contables se han consumido.
 Permite a la entidad absorber pérdidas y seguir operando.
 Es la última línea de defensa. Cuando el capital se extingue, la entidad desaparece.
 Además, proporciona una medida de referencia para medir la situación financiera de
las entidades.

El problema técnico de los bancos y supervisores es determinar la cuantía del capital: ni


demasiado bajo (riesgo de quiebra), ni demasiado alto (riesgo de uso ineficiente de
recursos).

Como puede observarse en la siguiente imagen, la capitalización de la banca, según datos


del Banco Mundial, ha tenido una creciente evolución desde el año 1988, en el que se
difunden los acuerdos del Comité de Basilea. Esto se debe, como veremos a continuación,
a diversos factores, entre ellos los riesgos que deben contemplarse como amenazas a
salvaguardar por el capital de la entidad.

www.auditool.org 35
En términos simples podemos señalar que Basilea I establece que el capital mínimo del
banco debe ser al menos el 8% de los activos ponderados por su riesgo, tanto los
registrados en el balance como los vinculados a la exposición de la entidad reflejada en
cuentas fuera de balance, debido a que su estabilidad solo se alcanzará con una adecuada
gestión de los riesgos que inciden sobre el negocio de estas entidades.

Se inicia, como ya hemos comentado, en el año 1988, en donde se dan directrices para
controlar el Riesgo de Crédito. Se define como el riesgo de la posible pérdida que asume
un agente económico como consecuencia del incumplimiento de las
obligaciones contractuales que incumben a las contrapartes con las que se relaciona.

Posteriormente (1996), se incluiría el riesgo de Mercado, entendido como el riesgo de que


un activo disminuya de valor debido a cambios en las condiciones del mercado, tales como
variaciones en los tipos de interés y de cambio o fluctuaciones en los precios de
valores y productos; también conocido como riesgo de precios. Por consiguiente, al
incrementarse la cuantía de los riesgos a computar, se estaría aumentando los
requerimientos de capital, al ser este, al menos, un 8% del valor de los riesgos.

En última instancia, con BASILEA II se incluye también el riesgo Operativo, el que se deriva
de fallos de los procesos, el personal y los sistemas internos, todo ello con implantación
progresiva.

www.auditool.org 36
El coeficiente de capital relaciona el capital regulador con los activos ponderados por su
nivel de riesgo. Se entiende por activos ponderados por su nivel de riesgos la cuantificación
del riesgo asumido por el Banco. Cada activo tiene un ponderador específico, dependiendo
de su probabilidad de ocurrencia y solvencia del deudor. Estas ponderaciones son definidas
por el Comité dependiendo del activo de que se trate.

Por lo tanto, el Capital Regulador no debe ser inferior al 8% de los activos ponderados por
su nivel de riesgo.

El método estándar de cálculo del riesgo de crédito se efectúa con base en la ponderación
de sus cuantías y la solvencia del deudor.

Cada activo tiene un ponderador específico, dependiendo de su probabilidad de ocurrencia.


Estas ponderaciones son definidas por el Comité dependiendo del activo de que se trate,
así como de la solvencia prevista para el deudor, como en el siguiente ejemplo:

Posteriormente, Basilea admite que, cuando la información manejada par la entidad


financiera sea lo suficientemente precisa respecto del conocimiento de las características
de los prestatarios con los que se relaciona, se pueda calcular el valor de los activos
ponderados por su nivel de riesgo (APNR), a través de sus propias estimaciones, dando
origen a dos modelos diferentes (el IRB básico y el IRB avanzado). Estos métodos solo
serán aplicables cuando la institución financiera disponga de sistemas muy desarrollados,
con bases de datos amplias y desagregadas para poder generar informaciones
cuantitativas y cualitativas en la que sea posible verificar su validez y confiabilidad.

www.auditool.org 37
En ambos modelos, el método es muy similar; se deben determinarse cuatro variables:

 Probabilidad de incumplimiento
 Pérdida en caso de incumplimiento
 Exposición al riesgo de crédito, es decir, respaldos ejecutables de que puede disponer
el deudor en caso de incumplimiento
 Vencimiento efectivo, plazo de vencimiento económico de una exposición.

La diferencia entre el IRB básico y el avanzado está en el mayor o menor número de


variables que son determinadas por las entidades fiscalizadoras, dejando menor
discrecionalidad a la entidad financiera. Veámoslo con detalle.

El propio Comité de Basilea consideró que la bondad de la información interna de las


entidades financieras dependía en gran medida de la amplitud de las series históricas de
los datos empleados, por lo que éstas también fueron establecidas.

www.auditool.org 38
Por lo ya comentado anteriormente, en el año 1996 en la determinación del capital se
incorporaron los riesgos de mercado, es decir los que se vinculaban a los cambios de
precios. En concreto los siguientes:

- Riesgos relacionados con la estructura de la tasa de interés.


- Riesgos asociados a la posición de capital (cotización de acciones)
- Riesgos asociados al tipo de cambio.
- Riesgos vinculados con commodities (bienes transables).

El cálculo de los riesgos de mercado asociados a cada uno de estos elementos se trata de
manera específica para cada uno de ellos, con base en los criterios del Comité, lo que
denominaremos método estándar o mediante modelos internos VaR (valor en riesgo)

En términos simples, el VaR cuantifica la exposición al riesgo de mercado, utilizando las


técnicas estadísticas tradicionales, pero con un análisis de tiempo demasiado corto.
El VaR mide la pérdida que se podría sufrir en condiciones normales de mercado con un
nivel de confianza preestablecido.

Como sucede con el riesgo de crédito, en el de mercado también existen dos métodos, el
estándar y el que se deriva del empleo de modelos internos de medición. El estándar se
obtiene sumando aritméticamente el valor del riesgo asociado a cada una de las cuatro
variables riesgosas, calculados en forma particular según procedimientos definidos
específicamente por el Comité. En los Modelos Internos de Medición, que como su propio
nombre indica son propios de cada entidad financiera, pero sometidos a unas reglas muy
precisas, como por ejemplo, que el valor para cubrir estos riesgos será el mayor de los
siguientes.

El VaR (value at risk) del día anterior.


Tres veces el VaR diario promedio de los 60 días anteriores

Sin entrar a cuestionar el método de cálculo, sino solo a explicarlo, podemos decir que,
según Basilea, las pérdidas probables, las esperadas, se deben cubrir con provisiones, en
tanto que las posibles se deben cubrir con capital. Ésta distribución de pérdidas es lo que
pretende medir el método VaR, con base en un determinado nivel de confianza, tal y como
vemos en el esquema que aparece a continuación.

www.auditool.org 39
El objetivo establecido por Basilea I, consistente en el establecimiento de unos
requerimientos mínimos de capital con los cuales garantizar razonablemente la solvencia
de la entidad, fue ampliado con el pronunciamiento del propio Comité denominado Basilea
II, en el que se incorporaron dos nuevos campos de atención, dando origen a los tres pilares
en los que se apoya, desde ese momento, la regulación bancaria:

- Pilar 1 - Requerimientos mínimos de capital: contempla riesgos de crédito, de


mercado y el operativo.
- Pilar 2 - El proceso de examen supervisor: contempla el proceso de evaluación de
riesgos, de la suficiencia del capital y del entorno del control; riesgo de liquidez.
- Pilar 3 - La disciplina de mercado define los requisitos de divulgación de información
sobre el capital y la gestión de riesgos al mercado.

El acuerdo se basa además en las siguientes hipótesis: (i) Constituye un mínimo y (ii) Se
aplica con criterio de consolidación a un grupo (bancario).

www.auditool.org 40
Una vez conocidos los distintos métodos susceptibles de poder aplicarse en la evaluación
del riesgo de crédito y mercado, nos queda aún por comentar la forma de cuantificar el
riesgo operacional. Este se define como el debido a la inadecuación de los procesos,
personal, sistemas o causas externas.

También existen tres formas de medirlo:

- Método del indicador básico, La media de los tres últimos años de un 15 % de los
ingresos brutos anuales.
- Método estándar. Las actividades del banco se dividen en 8 negocios. Suma de los
ingresos brutos anuales de línea de negocio, afectados por un porcentaje fijo para
cada actividad (Variable del 12% al 18%).
- Método de medición avanzada. De acuerdo con los criterios propios de la entidad
bancaria (dos criterios, cuantitativo y cualitativo).

La fórmula que se ajusta al método del indicador básico sería la siguiente:

www.auditool.org 41
En tanto que las ponderaciones del método estándar, en función de las líneas de negocio
son las siguientes:

La reciente crisis ha puesto de manifiesto que los niveles de capital exigible al sistema
bancario eran insuficientes: la calidad del capital de las entidades se había ido deteriorando
y en muchos países el sistema bancario estaba excesivamente apalancado. Además,
muchas entidades experimentaron problemas de liquidez al no poder refinanciarse en los
mercados a corto plazo. La interconexión existente entre determinadas entidades y el
proceso de desapalancamiento que llevó a cabo el sector contribuyeron, una vez
comenzada la crisis, a aumentar sus efectos negativos sobre la estabilidad financiera y la
economía en general

Es indudable que Basilea ha sido incapaz de conseguir el objetivo perseguido: la estabilidad


del sistema financiero, como lo demuestra la reciente crisis en la que estamos inmersos,
que originándose en el sector financiero se ha trasladado a la economía real, ha obligado
al Comité de Supervisión Bancaria de Basilea a adoptar medidas que:

A. Introducen un mayor conservadurismo en el sistema.

B. Tratan de fortalecer tres aspectos clave revelados en la crisis actual:

- Liquidez
- Mejora en la medición del riesgo asumido
- Calidad y cantidad de los RRPP

www.auditool.org 42
Las medidas adoptadas caminan en la dirección de “aprender de la historia reciente”
(créditos subprime y quiebra de Lehman Brothers) para tratar de evitar que se produzca
una crisis financiera como la actual que, como ha sucedido, termine trasladándose a la
economía real (sectores productivos y consumo). Por ello, los cambios se han orientado a
estos aspectos:

 Aumento de la calidad del capital para asegurar su mayor capacidad para absorber
pérdidas. Recordemos que Basilea II había mantenido básicamente la definición de
capital del Acuerdo de 1988.
 Mejora de la captura de los riesgos. Se modifica el cálculo de los riesgos para
determinadas exposiciones que la crisis ha probado que estaban mal capturados. En
particular, para las actividades de la cartera de negociación, titularizaciones,
exposiciones a vehículos fuera de balance y al riesgo de contraparte que se deriva de
las exposiciones en derivados. En todo lo demás, se mantiene el tratamiento
establecido en Basilea II.
 Constitución de colchones de capital en momentos buenos del ciclo que puedan ser
utilizados en períodos de estrés. Se busca contribuir a un sistema bancario más
estable, que ayude a amortiguar, en lugar de amplificar, las crisis económicas y
financieras.
 Introducción de una ratio de apalancamiento como una medida complementaria a la
ratio de solvencia basada en riesgo, con el objetivo de contener el apalancamiento
excesivo en el sistema bancario.
 Aumento del nivel de los requerimientos de capital, para fortalecer la solvencia de las
entidades y contribuir a una mayor estabilidad financiera. El nivel de la ratio de
solvencia tampoco se había modificado en Basilea II.
 Mejora de las normas del proceso supervisor (pilar 2) y de la disciplina de mercado
(pilar 3) y establecimiento de guías adicionales en áreas como gestión del riesgo de
liquidez, buenas prácticas para la valoración de instrumentos financieros, ejercicios
de estrés, gobierno corporativo y remuneración.
 Introducción de un estándar de liquidez que incluye una ratio de cobertura de liquidez
a corto plazo y una ratio de liquidez estructural a largo plazo. El objetivo es asegurar
que las entidades tengan colchones de liquidez suficientes para hacer frente a
posibles tensiones en los mercados y una estructura de balance que no descanse
excesivamente en la financiación a corto plazo.

La sigla ISO es el acrónimo de International Standarization Organization que es la entidad


internacional encargada de favorecer la normalización en el mundo. Pero ¿qué es una
norma? Las normas son un modelo, un patrón, ejemplo o criterio a seguir. Es una fórmula
que tiene valor de regla y tiene por finalidad definir las características que debe poseer un
objeto y los productos que deben tener una compatibilidad para ser usados a nivel
internacional.

www.auditool.org 43
La finalidad principal de las normas ISO es orientar, coordinar, simplificar y unificar los usos
para conseguir menores costos y efectividad. Tienen valor indicativo y de guía.
Actualmente, su uso se va extendiendo y hay un gran interés en seguir las normas
existentes porque desde el punto de vista económico eso reduce costos, tiempo y trabajo,
con criterios de eficacia y de capacidad de respuesta a los cambios.

Del conjunto de Normas ISO que existen, desde nuestro punto de vista, las que más
incidencia podrían tener en el desarrollo de la actividad de auditoría interna serían la 19.011
y la 31.000. Por eso creemos oportuno comentarlas.

Para la ISO 19.011 las auditorías se caracterizan por depender de varios principios. Éstos
deberían hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y
controles de gestión, proporcionando información sobre la cual una organización puede
actuar para mejorar su desempeño. La adhesión a esos principios es un requisito previo
para proporcionar conclusiones de la auditoría que sean pertinentes y suficientes, y para
permitir a los auditores trabajar independientemente entre sí para alcanzar conclusiones
similares en circunstancias similares. Estos principios son los siguientes:

a) Integridad: el fundamento del profesionalismo. Los auditores y la persona que


maneja el programa de auditoría deberían:

- Llevar a cabo su trabajo con honestidad, diligencia y responsabilidad;


- Observar y cumplir con todos los requisitos legales aplicables;
- Demostrar su competencia durante el desarrollo del trabajo;
- Llevar a cabo su trabajo de manera imparcial; es decir, ser justo e imparcial en
todos sus negocios;
- Ser sensible a cualquier influencia ejercida sobre su juicio durante el curso de
una auditoría.

b) Presentación ecuánime: obligación de reportar con veracidad y exactitud. Los


hallazgos, conclusiones e informes de la auditoría deben reflejar con veracidad y
exactitud las actividades de la auditoría. Se debe informar de los obstáculos
significativos encontrados durante la auditoría y de las opiniones divergentes sin
resolver entre el equipo auditor y el auditado. La comunicación debe ser sincera,
exacta, objetiva, clara y completa.

c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar. Los


auditores deben proceder con el debido cuidado, de acuerdo con la importancia de la
tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría
y por otras partes interesadas. Un factor importante en el desempeño de su trabajo
con el debido cuidado profesional es tener la habilidad de hacer juicios razonables en
toda situación de auditoría.

www.auditool.org 44
d) Confidencialidad: seguridad de la información. Los auditores deben ejercitar la
discreción en el uso y protección de la información adquirida en el curso de sus
labores. La información de auditoría no debería ser usada de manera inapropiada
para ganancia personal del auditor o del cliente de auditoría ni de manera tal que vaya
en detrimento de los intereses legítimos del auditado. Este concepto incluye el
adecuado manejo de información confidencial sensible.

e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de


las conclusiones de la auditoría. Los auditores deben ser independientes de la
actividad que es auditada mientras esto sea posible, y en todo caso actuarán de
manera tal que estén libres de sesgo y conflicto de intereses. Para auditorías internas,
los auditores deben ser independientes de los gerentes operativos de las funciones a
ser auditadas. Los auditores deben mantener una actitud objetiva a lo largo del
proceso de auditoría para asegurarse de que los hallazgos y conclusiones de la
auditoría estarán basados solo en la evidencia de la auditoría.

f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones


de auditoría fiables y reproducibles en un proceso de auditoría sistemático. La
evidencia de la auditoría debe ser verificable. En general, estará basada en muestras
de la información disponible, ya que una auditoría se lleva a cabo durante un período
de tiempo delimitado y con recursos finitos. Se debería aplicar un uso adecuado del
muestreo, ya que éste está estrechamente relacionado con la confianza que puede
depositarse en las conclusiones de la auditoría.

Pero también consideramos necesario aplicar el principio de escepticismo profesional, por


el que no debemos suponer que la gerencia sea deshonesta, ni tampoco presuponer una
honestidad indiscutible de la misma. Más bien, los auditores debemos ejercer un
escepticismo profesional y reconocer que las condiciones observadas y la evidencia
obtenida, incluyendo la información de los compromisos de auditorías anteriores, necesitan
ser evaluadas objetivamente para concluir sobre su viabilidad.

El programa de auditoría debe incluir la información y los recursos necesarios para


organizar y conducir las auditorías de manera eficiente dentro de los tiempos especificados
y también puede incluir lo siguiente:

- Objetivos para el programa de auditoría y auditorías individuales;


- Alcance/número/tipos/duración/ubicación/cronograma de las auditorías;
- Procedimientos del programa de auditoría;
- Criterios de auditoría;
- Métodos de auditoría;
- Selección de equipos auditores;

www.auditool.org 45
- Recursos necesarios, incluyendo viajes y hospedaje;
- Procesos para manejo de confidencialidad, seguridad de la información, salud y
seguridad, y otros temas similares.

La implementación del programa de auditoría debe ser monitoreada y medida para asegurar
que se han alcanzado los objetivos trazados. El programa de auditoría debería ser revisado
para identificar posibles mejoras. La siguiente figura ilustra el flujo de proceso para la
gestión de un programa de auditoría:

El primer paso para determinar el Programa de Auditorías, lo que habitualmente


denominamos plan de auditoría, es la fijación de sus objetivos, ya que resultarán
imprescindibles para dirigir la planificación y realización de las mismas. Estos objetivos
pueden establecerse considerando estos aspectos:

a) Prioridad de la Dirección
b) Propósitos comerciales,
c) Requisitos del sistema de gestión,
d) Requisitos legales, reglamentarios y contractuales,
e) Necesidad de evaluar a los proveedores,

www.auditool.org 46
f) Requisitos del cliente,
g) Necesidades de otras partes interesadas, y
h) Riesgos para la organización

La amplitud de un programa de auditoría puede variar y estará influenciada por el tamaño,


la naturaleza y la complejidad de la organización que se audite, así como por los siguientes
aspectos:

a) El alcance, el objetivo y la duración de cada auditoría que se realice;


b) La frecuencia de las auditorías que se realicen;
c) El número, la importancia, la complejidad, la similitud y la ubicación de las actividades
que se auditen;
d) Las normas, los requisitos legales, reglamentarios y contractuales, y otros criterios de
auditoría;
e) La necesidad de acreditación o certificación /registro;
f) Las conclusiones de las auditorías previas o los resultados de una revisión de un
programa de auditoría previo;
g) Cualquier aspecto idiomático, cultural y social;
h) Las inquietudes de las partes interesadas; y
i) Los cambios significativos en la organización o en sus operaciones.

La responsabilidad de la gestión de un programa de auditoría debe asignarse a una o más


personas con conocimientos generales de los principios de la auditoría, de la competencia
de los auditores y de la aplicación de técnicas de auditoría. Estas personas deberían tener
habilidades para la gestión, así como conocimientos técnicos y del negocio pertinente para
las actividades que van a auditarse.

Aquellos a los que se haya asignado la responsabilidad de gestionar el programa de


auditoría deben:

a. Establecer los objetivos y la amplitud del programa de auditoría,


b. Establecer las responsabilidades y los procedimientos, y asegurarse de que se
proporcionan recursos,
c. Asegurarse de la implementación del programa de auditoría,
d. Asegurarse de que se mantienen los registros pertinentes del programa de auditoría,
y
e. Realizar el seguimiento, revisar y mejorar el programa de auditoría.

Cuando se estén identificando y evaluando los recursos precisos para el programa de


auditoría, deben considerarse:

a. Los recursos financieros necesarios para desarrollar, implementar, dirigir y mejorar


las actividades de la auditoría,

www.auditool.org 47
b. Las técnicas de auditoría a emplear,
c. Los procesos para alcanzar y mantener la competencia de los auditores, y para
mejorar su desempeño,
d. La disponibilidad de auditores y expertos técnicos que tengan la competencia
apropiada para los objetivos particulares del programa de auditoría
e. La amplitud del programa de auditoría,
f. El tiempo de viaje, alojamiento y otras necesidades de la auditoría.

La implementación de un programa de auditoría debe tratar lo siguiente:

a. La comunicación del programa de auditorías a las partes pertinentes;


b. La coordinación y elaboración del calendario de las auditorías y otras actividades
relativas al programa de auditoría;
c. El establecimiento y mantenimiento de un proceso para la evaluación de los auditores
y su continuo desarrollo profesional, de acuerdo con los apartados 7.6 y 7.5
respectivamente;
d. Asegurarse de la selección de los equipos auditores;
e. La provisión de los recursos necesarios para los equipos auditores;
f. Asegurarse de la realización de las auditorías de acuerdo con el programa de
auditoría;
g. Asegurarse del control de los registros de las actividades de la auditoría;
h. Asegurarse de la revisión y aprobación de los informes de la auditoría, y asegurarse
de su distribución al cliente de la auditoría y a otras partes especificadas; y
i. Asegurarse del seguimiento de la auditoría, si es aplicable.

La implementación del plan de auditorías debe seguirse y revisarse a intervalos apropiados


para evaluar si se han cumplido sus objetivos y para identificar las oportunidades de mejora.
Los resultados deben comunicarse a la Alta Dirección.

Deberían utilizarse indicadores de desempeño para el seguimiento de características tales


como las siguientes:

A. La aptitud de los equipos auditores para implementar el plan de auditoría,


B. La conformidad con los programas y calendarios de auditoría, y
C. La retroalimentación de los clientes de la auditoría, de los auditados y de los auditores.

La revisión del plan de auditoría debería considerar, por ejemplo:

a) los resultados y las tendencias del seguimiento,


b) la conformidad con los procedimientos,
c) las necesidades y expectativas cambiantes de las partes interesadas,
d) los registros del programa de auditoría,

www.auditool.org 48
e) las prácticas de auditoría alternativas o nuevas, y
f) la coherencia en el desempeño entre los equipos auditores en situaciones similares.

Los resultados de las revisiones del Programa de auditoría pueden llevar a acciones
correctivas y preventivas y a la mejora del programa de auditoría.

Hasta ahora lo que hemos descrito es la forma en la que ISO contempla el proceso de
concretar y desarrollar el plan de auditoría, y cómo dedica posteriormente su atención a la
manera como consideran que deben realizarse las auditorías individuales de tipo
presencial. La figura proporciona una visión general de las actividades de auditoría típicas,
que como vemos comenzará con el inicio de la auditoría, para continuar con la revisión de
la documentación disponible, seguido de la preparación de las actividades a realizar y su
posterior realización, finalizando con la elaboración y distribución del informe y el
seguimiento de las recomendaciones y compromisos asumidos por los responsables de los
procesos auditados para atenderlas.

www.auditool.org 49
Una vez conocida la hoja de ruta que nos marca la Norma ISO 19.011, en la que se han
identificado las distintas fases por las que debe pasar el proceso auditor, creemos
conveniente recalcar los dos aspectos que consideramos fundamentales para un adecuado
desarrollo de la función de auditoría interna, en concreto: (i) la forma de actuar para definir
el plan de auditoría, es decir, la identificación de las actividades que deberíamos desarrollar
en un periodo determinado, normalmente el año natural, para conseguir el aporte de valor
que las organizaciones nos requieren, y (ii) la manera de realizar las actividades previstas
a efectuar según el contenido del plan anual.

Los planes de auditoría, bien sean anuales o plurianuales, son la manifestación de los
temas que van a ser atendidos por la función auditora en el periodo considerado. Son los
documentos que deben ser sometidos a aprobación de la Alta Dirección y del Consejo de
Administración antes de su desarrollo, y deben contener, aparte de los trabajos que se
prevén realizar, una estimación de los recursos precisos para su desarrollo, que permita
concluir sobre la suficiencia de los recursos disponibles para acometerlo.

Es evidente que si este documento recopila las actuaciones que se pretenden acometer en
el periodo considerado, su contenido debe responder a criterios de prioridad orientados a
actuar sobre lo trascedente. Esta prioridad puede estar justificada por el origen de las
solicitudes de inclusión, por ejemplo las que procedan del Consejo de Administración, pero
también por la oportunidad de la supervisión de los procesos previstos auditar, dadas las
circunstancias que concurran en ellos, fundamentalmente por la criticidad de los riesgos
que les puedan afectar.

En este sentido, el IIA en su Marco Internacional para la Práctica Profesional, ha avanzado


en la forma en que se debe establecer la planificación de la función, tanto en Normas como
en Consejos para la Práctica, como vamos a recordar.

La Norma 2010, (precepto obligatorio) señala que: el Director de Auditoría Interna (DAI)
debe establecer planes basados en los riesgos a fin de determinar las prioridades de la
actividad de auditoría interna. Dichos planes han de ser consistentes con la metas de la
organización.

Mientras que el Consejo para la Práctica 2010-2 (precepto recomendado): indica que la
planificación necesita usar el proceso de gestión de riesgos, si este haya sido desarrollado.

Al planificar un trabajo, el auditor interno debe tener en consideración los riesgos


significativos de la actividad y los medios mediante los cuales la Dirección puede paliar el
riesgo hasta un nivel aceptable. El auditor interno utilizará técnicas de evaluación de riesgos
en el desarrollo del plan de la actividad de auditoría interna, así como para determinar
prioridades a la hora de asignar recursos.

www.auditool.org 50
La evaluación de riesgos se utiliza para examinar las unidades auditables y seleccionar las
áreas sujetas a análisis que deben incluirse en el plan de auditoría interna y que serán
aquellas que tengan una mayor exposición al riesgo.

El auditor interno debe ser capaz de seleccionar oportunamente los diferentes tipos de
actividades que serán incluidas en el plan de auditoría interna. Entre otras:

 Actividades de análisis/aseguramiento de control: analizar la adecuación y eficacia de


los sistemas de control y ofrecer la seguridad de que los controles funcionan y los
riesgos son gestionados de manera efectiva.
 Actividades de investigación: para determinar si la gestión organizacional tiene un
nivel inaceptable de incertidumbre sobre los controles relacionados con la actividad
del negocio o área de riesgo identificada, en cuyo caso el auditor interno llevará a
cabo procedimientos para obtener un mejor entendimiento de los riesgos residuales.
 ·Actividades de consulta: aconsejar a la gestión-organización en el desarrollo de
sistemas de control para mitigar riesgos actuales inaceptables.

También deben identificarse controles innecesarios, redundantes, excesivos o complejos


que reduzcan el riesgo de manera ineficiente.

Hemos dicho que auditoría interna no tiene el monopolio de la supervisión del control
interno, pues existen tres tipos de proveedores de aseguramiento, que podríamos agrupar
en función de a quién dirigen/informan de sus resultados:

La auditoría interna. La que trabaja para informar de sus conclusiones a la Alta Dirección y
al Consejo de Administración.

Los otros proveedores de aseguramiento (LOPD, Calidad, Seguridad e Higiene en el


trabajo, medioambiente, etc.). Destinan los resultados de sus trabajos a las gerencias
responsables de la actividad supervisada. Complementan la supervisión que ellos como
responsables operativos deben realizar.

Los auditores externos. Buscan poder opinar sobre la bondad de los Estados Financieros,
en el sentido de que representen una imagen fiel de la realidad patrimonial. Su destino son
los accionistas de la compañía.

Esta situación, sin embargo, no debe entenderse como actuaciones sin relación entre ellas,
sino todo lo contrario; una actuación eficiente de los recursos exige que haya una adecuada
coordinación de actuaciones, sin que se dupliquen esfuerzos para atender los mismos
temas, ni que existan huecos en los puntos de interés que no sean cubiertos por nadie, es
decir, sin solapamientos y sin huecos.

www.auditool.org 51
Lo que acabamos de comentar, en el sentido de que debemos coordinarnos y apoyarnos
en los resultados de los otros proveedores de aseguramiento que también estén trabajando
en la verificación de determinados aspectos de la gestión empresarial, debe tener un
condicionante, y es que el trabajo realizado, así como los diagnósticos aportados, sean
fiables; esto en algunas ocasiones exigirá que auditoría interna profundice en la forma en
que trabajan estos otros proveedores, no en el sentido de auditar sus formas de trabajar,
pero sí en el de opinar sobre la solvencia profesional de los mismos.

Es decir, debemos apoyarnos en el trabajo de los otros proveedores de aseguramiento,


solo si sus resultados y conclusiones contienen la fiabilidad que es necesaria.

Atendiendo a lo señalado por Rod Winters, ex Presidente del IIA Global, quien llegó a la
conclusión de que “auditoría Interna debe hacer menos, lo más importante, con menos
recursos. Centrarnos en lo que sea significativo y apoyándonos en la tecnología como
herramienta de trabajo, pues si bien ésta comporta riesgos, es incuestionable que también
es una oportunidad para mejorar la eficiencia, la eficacia y la calidad de nuestros trabajos”.

Este planteamiento creo que lo podríamos enunciar como la regla de los signos, aquella
que nos decía que “menos por menos da más”, es decir, si queremos ser eficientes, no solo
eficaces, debemos ser muy selectivos a la hora de decidir dónde aplicamos los recursos
escasos de los que vamos a disponer. “No demos palos de ciego”, vayamos a revisar lo
que sepamos que está con dificultades.

Si somos capaces de actuar de esta manera, nuestros esfuerzos, los imprescindibles,


deben centrarse en lo verdaderamente significativo para la consecución de los objetivos
que preveamos no están en un nivel de aseguramiento óptimo.

Un aspecto que debemos tener presente es que las cosas cambian, que las previsiones
que hayamos realizado para definir nuestros objetivos de actuación son cambiantes, pero
también que pueden no haber sido estimadas adecuadamente. Por ello, la volatilidad y el
dinamismo de los entornos profesionales requieren que las organizaciones avancen en sus
prácticas de evaluación y gestión de riesgos, pero teniendo en consideración algunos
aspectos importantes:

 Reforzar el plan de auditoría interna poniendo también el foco en los riesgos


emergentes (seguridad laboral, medioambiente).
 Flexibilizar nuestra actividad, reevaluando los riesgos y el plan de auditoría con la
mayor frecuencia posible.
 Proporcionar aseguramiento sobre la función del cumplimiento normativo o la de
Gestión de riesgos de la compañía.

www.auditool.org 52
Esta forma de proceder debe estar reflejada en el plan de auditoría, el cual se diseñará
teniendo en cuenta varios inputs, obtenidos a través de fuentes diversas, como son las
propias percepciones de los auditores, pero también de las de aquellos otros agentes
internos y externos con intereses en la organización. Sin olvidarse de los medios necesarios
para desarrollarlo, tanto desde el punto de vista cuantitativo, como cualitativo, en el buen
entendido que el plan determina los medios, no al contrario.

Si observamos el desglose efectuado sobre los diferentes inputs que deben considerarse
para determinar la composición del plan de auditoría, veremos que el que más se repite es
la evaluación de riesgos, bien la realizada por la propia Unidad de Auditoría Interna, como
la que se reflejaría, en su caso, en el Proyecto Corporativo de Gestión de Riesgos. Esto es
lógico, ya que nuestra pretensión es establecer el plan de auditoría con base en riesgos.

En este punto creemos que ya podemos reiterar las dos premisas que deben regir la
actividad auditora: (i) supervisar lo trascendente, es decir aquello que pueda afectar los
objetivos básicos de la organización y (ii) hacerlo de la manera más eficiente posible. No
debemos olvidar estos aspectos si pretendemos que la actividad aporte auténtico valor a la
organización en la que trabajemos.

Para lograrlo, si podemos disponer de un mecanismo que nos anticipe e indique la


trascendencia de los riesgos que afectan los procesos significativos de la organización,
contaríamos con uno de los mejores aliados posibles.

www.auditool.org 53
Tampoco debemos olvidar que si las condiciones del entorno son cambiantes, los planes
de auditoría que presentemos para aprobación de la Comisión de Auditoría deben ser
flexibles, y permitir su rectificación cuando las circunstancias lo requieran, lo que obligará a
tener que reevaluar su contenido con la mayor frecuencia posible. Esto desaconseja
preparar planes plurianuales para cubrir todo el espectro de actuación de auditoría en un
determinado espacio temporal, pues difícilmente se podrán ejecutar, sobre todo en la parte
que hayamos postergado para dentro de uno o dos años, ya que la actualización de lo que
deberíamos hacer, según los datos de cada momento, se verá modificado cuando volvamos
a repetir el ejercicio de priorizar las actuaciones.

En este sentido, definir un universo de auditoría que deba ser analizado íntegramente a lo
largo de un periodo plurianual (tres o cuatro años) es desaprovechar recursos, pues la
escasez de los mismos nos debería focalizar, año tras año, en la revisión de los puntos
trascendentes, evitando aquellos que sean de un nivel más bajo.

La tarea de ganarle al equipo del Barcelona CF puede ser fácil de diseñar, solo haría falta
controlar a Messi. El problema radica en saber hacerlo. Ahí es donde los entrenadores
deben demostrar su habilidad, estableciendo la manera de hacerlo.

Este símil no es válido para marcar la diferencia entre confeccionar el plan de auditoría y
otra muy diferente, pero diseñar el plan de auditoría con base en riesgos no es lo mismo
que auditar con base en riesgos.

 En el primer caso el objetivo es determinar qué es lo que debemos hacer.


 En el segundo lo que se nos pide es que desarrollemos la actividad auditora
supervisando el control interno de la organización a través de la eficacia del Sistema
de Gestión de Riesgos existente.

Incluso debe opinar respecto a la forma en que la empresa se pronuncia en lo que se refiere
a la forma de gestionar/administrar los riesgos, y auditoría interna debe concluir si la
organización lo está haciendo bien, o lo está enfocando equivocadamente, y aconsejar los
cambios que sean pertinentes.

Si alguien nos preguntara sobre la forma de evitar los riesgos de caídas que acompañan el
proceso de aprendizaje de montar en bicicleta, podríamos señalar que este es el adecuado,
pues el pequeño es dirigido por un adulto, pero además lleva una protección en la cabeza
que evitaría lesiones cuando su impericia lo haga caer. Actuar de forma diferente sería algo
imprudente o, al menos, improcedente.

www.auditool.org 54
La labor de auditar con base en riesgos podemos definirla como el conjunto de procesos
mediante los cuales la auditoría provee aseguramiento independiente al Directorio acerca
de:

1) Si los procesos y medidas de gestión del riesgo que se encuentran implementadas


están funcionando de acuerdo con lo esperado;
2) Si los procesos de gestión de riesgos son apropiados y están bien diseñados, y
3) Si las medidas de control de riesgos que la Gerencia ha implementado son adecuadas
y efectivas, y reducen el riesgo al nivel de tolerancia aceptado por el Directorio.
4) Si se aportan las conclusiones obtenidas, así como las recomendaciones que se
entiendan oportunas para subsanar las debilidades o los fallos de control
evidenciados.

La forma de desarrollar la auditoría con base en riesgos dependerá del nivel de desarrollo
que la propia empresa haya alcanzado en la gestión de riesgos en el área objeto de
examen, y el grado en que han sido definidos objetivos apropiados por la Gerencia contra
los cuales pueden medirse los riesgos asociados.

El modelo de las tres líneas de defensa se ocupa de cómo los derechos específicos
relacionados con el riesgo y el control podrían ser asignados y coordinados en el ámbito de
las organizaciones, sin tener en cuenta su tamaño o complejidad.

www.auditool.org 55
La Junta y la Alta Gerencia deben entender las diferencias fundamentales en los roles y
responsabilidades de los distintos intervinientes en el proceso de control interno y cómo
deben ser asignados de manera óptima dentro de la organización a fin de conseguir una
mayor probabilidad de alcanzar sus objetivos.

1. Como primera línea de defensa nos encontramos con la gerencia operacional de la


institución. Ésta tiene la responsabilidad de gestionar los procesos y debe rendir
cuentas respecto a la forma de evaluar, controlar y mitigar los riesgos.
2. Como segunda línea de defensa estaría la función especializada de gestión de
riesgos que facilita y monitorea la implementación de las prácticas efectivas de
gestión de riesgos por parte de la gerencia operacional y ayuda a los propietarios de
los riesgos en la adecuada presentación de información relacionada con riesgos en
toda la organización.
3. Como tercera línea de defensa estaría la auditoría interna, la cual, a través de un
enfoque basado en riesgos, proporciona aseguramiento a la Junta Directiva y a la Alta
Dirección de la organización sobre cuán efectiva es la organización en la evaluación
y gestión de sus riesgos, incluyendo la manera en que la primera y segunda líneas de
defensa operan. Esta tarea de aseguramiento cubre todos los elementos del marco
de trabajo de la gestión de riesgos de una institución, por ejemplo, desde la
identificación de riesgos, evaluación de riesgos y respuesta a la comunicación de
información relacionada con el riesgo.

Otra manera de exponerlo gráficamente, es la que utilizó KPMG en su presentación sobre


La administración integral de los riesgos, y en la que se recogen detalladamente los
intervinientes en cada una de las tres líneas de defensa.

www.auditool.org 56
Se debe considerar que cada una de estas tres líneas asume las siguientes funciones:

A) Primera línea de defensa: constituida por los dueños de los procesos y de la


administración de sus riesgos. Le corresponde:

 Administrar riesgos/ acciones de implementación para manejar y tratar riesgos.


 Cumplimiento con proceso de administración de riesgos.
 Implementación del proceso de administración de riesgos donde sea aplicable.
 Ejecutar evaluación de riesgos e identificar riesgos emergentes.

B) Segunda línea de defensa. A los especialistas en la gestión de los riesgos les


corresponde:

 Definición de políticas y procesos de administración de riesgos.


 Estrategia de gestión alineada al negocio en términos de riesgos.
 Proveer guías y coordinación entre las distintas áreas del negocio.
 Identificar tendencias del negocio, sinergia y oportunidades para cambios en la
administración de riesgos.
 Facilitar y comunicar la tercera y la primera línea de defensa.
 Vigilancia sobre ciertas áreas de riesgos y los objetivos de negocios.

C) Tercera línea de defensa. La auditoría interna como validador del proceso de


administración y gestión de riesgos:

 Comunicación con Alta Gerencia y Junta Directiva.


 Evaluación del proceso de administración de riesgos en su conjunto.
 Verificación de la administración de riesgos con relación a contenido y proceso y
gestión de riesgos.
 Proveer razonable aseguramiento de que el proceso de administración de riesgos
es adecuado y apropiado al perfil de riesgo del negocio.

www.auditool.org 57
De la Junta Directiva, Consejo o Directorio, según sea la forma que se utilice para
denominar al máximo órgano directivo de la organización, podemos observar que hay dos
grandes líneas de reporte, la denominada ejecutiva (la que aparece de color azul), y la
correspondiente a la supervisión y control (la del conjunto amarillo), constituido por el
Comité de Auditoría y la Unidad de Auditoría Interna.

Los cometidos de la JUNTA DIRECTIVA corresponden a estos:

 Aprobar estrategias de administración de riesgos e indicadores.


 Aprobar el perfil de riesgos y los límites de exposición de riesgo de la compañía.
 Analizar desarrollo de la estrategia de administración de riesgos.
 Tomar decisiones con respecto a riesgos críticos.
 Reportar a los accionistas sobre la situación financiera y de Gobierno y garantizar la
aplicación de políticas de buen gobierno.

Mientras que los propósitos del COMITÉ DE RIESGOS son estos:

 Aprobar objetivos, políticas y procedimientos de administración de riesgos.


 Aprobar el perfil de riesgos y los límites de exposición de riesgo de la compañía,
desarrollado por el área de Administración de Riesgos.
 Aprobar metodología para administración de riesgos.
 Avalar las funciones del área de administración de riesgos.
 Informar a la Junta Directiva sobre la exposición al riesgo asumida por la Compañía,
resultados y medidas correctivas.

www.auditool.org 58
Dependiendo del ámbito en que el Comité de Auditoría esté actuando, tendrá diferentes
responsabilidades, tales como:

A) Evaluación del riesgo y el entorno de control de la sociedad: la implementación de las


políticas y procedimientos para:

 Identificar, analizar y evaluar riesgos,


 Identificar y evaluar controles,
 Definir las estrategias de información y comunicación de riesgos y controles.

B) En lo que se refiere a la información financiera:

 Verificar la veracidad de los estados financieros,


 Cumplimiento de los requerimientos reglamentarios,
 Transacciones significativas o inusuales, y estimados de contabilidad.

C) Y respecto del proceso de auditoría:

 Velar por el cumplimiento de los estándares del Instituto de Auditores Internos,


 Alcance del trabajo,
 Evaluar las competencias, independencia y honorarios del auditor externo,
 Implementación de sugerencias y recomendaciones de la auditoría interna.

A las distintas áreas de riesgos que existan en la estructura de la organización, que son las
que compondrán la segunda línea de defensa, le corresponderán las siguientes
competencias y responsabilidades:

 Desarrollar el perfil de riesgos y los límites de exposición de riesgo de la compañía.


 Definir las metodologías, políticas, procedimientos y actividades de administración de
riesgos.
 Evaluar los límites por líneas de negocios, operaciones y funcionarios y presentarlos
al Comité de Riesgos-
 Garantizar un efectivo proceso de administración de riesgos, que debe ser integral y
que considere los diferentes riesgos del negocio.
 Facilitar el despliegue de la metodología para administración de riesgos.

En cuanto a los líderes y al personal que gestiona directamente los procesos, como primera
línea de defensa, deberán:

 Identificar y valorar riesgos.


 Establecer controles para administrar los riesgos y definir estrategias de tratamiento.

www.auditool.org 59
 Monitorear los riesgos y los mecanismos de control.
 Definir e implantar acciones correctivas propuestas por el área de riesgos y/o auditoría
interna.

Por último, y como tercera línea de defensa, tendremos la auditoría interna, la cual,
siguiendo las indicaciones del propio Instituto de Auditores Internos, puede desenvolverse
en la gestión de riesgo en tres niveles diferentes, que son los que se recogen en el gráfico,
en que aparecen tres zonas correspondientes a las actividades que sí está obligada a
realizar, las cuales pueden realizarse si así se entendiese oportuno, y las que están
expresamente excluidas de su realización.

Su representación gráfica se corresponde con el anterior semicírculo, que analizándolo de


izquierda a derecha, refleja las tres situaciones que hemos comentado. Es destacable que
el propio IIA entiende conveniente que auditoría interna pueda asumir el papel de impulsor
de este proceso, pero marcando una “línea roja” que no debe traspasarse en ningún
momento, como es la toma de decisiones respecto del nivel de riesgo asumible por la
organización, ni la de decidir qué acciones deben realizarse para reconducir los riesgos a
los entornos aceptables.

En este sentido, en determinadas situaciones al Director de Auditoría Interna se le asigna


la responsabilidad de Gestor de Riesgos, como prolongación de su rol de impulsor del
proyecto, pero debemos señalar que esto no es aceptable; basta recordar en este sentido
lo indicado por la N. 1130. A2, que señala que “los trabajos de aseguramiento para
funciones en las cuales el DAI tiene responsabilidades deben ser supervisadas por alguien
fuera de la actividad de auditoría interna”.

www.auditool.org 60
Si nos centramos en el cometido que le corresponde en el modelo de las tres líneas de
defensa, debemos señalar que es en el rol de supervisor de la eficacia de las otras dos
líneas defensivas aplicadas en la organización, evaluando su eficacia y eficiencia, donde
se debe observar su función más importante.

En un escenario tan cambiante como el actual, donde los riesgos que afectan a las
organizaciones son muy importantes, y condicionan la consecución de los objetivos
estratégicos, la auditoría interna no puede conformarse con limitarse a reaccionar ante los
acontecimientos que se vayan produciendo; en su lugar, debe adoptar una mentalidad
estratégica que tenga capacidad de respuesta preventiva ante los riesgos y que contribuya
a ayudar a sus organizaciones a estar listas ante nuevas amenazas y oportunidades.

Para responder a esta cuestión, lo primero que entendemos necesario es conocer cuáles
serían las expectativas actuales de los stakeholders respecto a la actividad de auditoría
interna, para pasar después a concretar el método de trabajo que debemos aplicar.

La pregunta que nos hacíamos respecto de las expectativas de las partes interesadas en
cuanto a la función a desarrollar por las Unidades de Auditoría Interna no tiene una única
respuesta, pues dependerá de a quién se la formulemos, ya que probablemente no opinará
lo mismo la Alta Dirección que los consejeros presentes en las Comisiones de Auditoría o
los gestores operativos.

Para buscar las respuestas podemos apoyarnos en las encuestas que los especialistas de
la materia hayan realizado recientemente al respecto, de los que podemos concluir que:

 Para la Alta Dirección, auditoría interna debería potenciar su evolución para


convertirse en un asesor de negocios.
 Sin embargo, los Comités de Auditoría y los Directorios no están de acuerdo con el
rol de asesor del auditor interno demandado, deseando que se centren en la atención
a la función de aseguramiento.

Resulta evidente que asumir el rol de asesor de negocio debe hacerse con la mayor
precaución, dado que el auditor interno debe permanecer independiente y no puede ser
responsable de la ejecución (probable conflicto de intereses). Además, desarrollar nuevas
responsabilidades obligará a dejar de hacer algunas de las tradicionales o ampliar la
plantilla (los auditores no tenemos el don de la ubicuidad).

www.auditool.org 61
Aunque no se trata de definir aquí una posición definitiva respecto del camino que en el
futuro debe seguir la actividad de auditoría interna, para poder avanzar en el desarrollo del
curso entendemos conveniente de momento centrarnos en las exigencias más inmediatas
que debemos atender, que corresponden a las expectativas del Directorio o del Comité de
Auditoría, ya que al ser los últimos responsables de nuestra función tienen la capacidad de
evaluar el trabajo que realizamos. Una vez atendidas estas ya pasaremos a las requeridas
por las otras instancias de la organización.

En cualquier caso, sí existe consenso entre la opinión de las distintas partes interesadas en
que las características a cumplir por los auditores del futuro serían las siguientes:

 Pensar y actuar de manera estratégica.


 Aportar mayor profundidad a los análisis.
 Mejor entendimiento del negocio.
 Generar confianza mediante un diálogo continuo con los stakehorders.
 Ser capaces de ver “la foto completa”.
 Habilidades en comunicación oral y escrita.
 Disponer de conocimientos y habilidades en TI.
 Ser muy selectivo a la hora de definir el plan de trabajo.
 Efectuar la actuación con base en riesgos.
 Manejar indicadores de riesgo para direccionar el trabajo de la auditoría.
 Emplear técnicas de auditoría ayudadas de las nuevas tecnologías.
 Seguimiento del grado de implementación de las acciones correctoras.

Si analizamos estos requerimientos, una “hoja de ruta” adecuada para avanzar en estos
requerimientos podría ser la que seguidamente describimos, y que es factible de conseguir,
si no en todos los casos, sí en la mayoría de ellos sin requerir de un incremento de recursos
significativo.

En primer lugar, para pensar y actuar de manera estratégica, lo primero que se requiere es
que conozcamos en detalle la estrategia de la Compañía. Para ello creemos imprescindible
que los DAI estén presentes, con voz y oídos, pero no con voto, en los Comités de Dirección
en los que se debatan los objetivos estratégicos y se analice su evolución temporal.

En segundo lugar, el mejor conocimiento del negocio puede adquirirse si los auditores,
sobre todo en el momento de incorporarse a la empresa, se ubicaran transitoriamente en
aquellas áreas más directamente relacionadas con el corazón del negocio, conociendo sus
procedimientos pero también sus debilidades.

www.auditool.org 62
La generación de confianza con los stakeholders puede conseguirse consultando
sistemáticamente con ellos, antes de preparar el borrador del plan de auditoría, qué
aspectos relacionados con sus responsabilidades e intereses entienden oportuno que se
incluyan en él. Adicionalmente, sería muy oportuno que el DAI solicitase a las partes
interesadas el diligenciamiento de cuestionarios periódicos en los que se pudiera opinar
sobre el valor aportado por la UAI, así como los aspectos de mejora que consideraran
pertinentes.

También en este apartado sería conveniente que el DAI reportase un balance sobre los
aspectos positivos relacionados con la actividad auditora. En cuanto a la conveniencia de
“ver la foto completa” creemos que para lograrlo lo mejor es auditar procesos completos, a
un primer nivel, con base en los riesgos que amenacen los objetivos a conseguir por cada
uno de ellos, es decir, huir de analizar subprocesos.

El requerimiento de ser selectivos en la elección de los entes auditables que conformen el


plan de auditoría, se verá atendido si empleamos criterios de identificación de las
prioridades con base en riesgos, incluyendo solo la verificación de los procesos que resulten
trascendentes en la consecución de los objetivos básicos de la organización, y que se crea
que pueden estar mal controlados, o se dude de la bondad del sistema aplicado.

Actuar con base en riesgos requiere que verifiquemos que los controles existentes en los
procesos auditables son eficaces para administrar adecuadamente las amenazas que
puedan presentarse, y que, además, dichos controles se están aplicando en la forma que
se había previsto.

El empleo de técnicas de auditoría basadas en el empleo de las nuevas tecnologías nos


conduce a emplear, siempre que sea posible, auditorías de tipo continuo y/o a distancia, lo
cual requiere el empleo de los indicadores apropiados para detectar anticipadamente la
presencia de amenazas.

La meta de aportar mayor profundidad en los análisis se conseguirá si somos capaces de


programar adecuadamente los alcances de los distintos trabajos individuales recogidos en
el plan de auditoría, para lo cual debemos analizar e identificar previamente todos los
factores de riesgo que puedan afectar el proceso auditable.

El seguimiento de las acciones correctoras exige que en el plan de auditoría se incluya


también la necesidad de verificar la implementación de los planes de remediación asumidos
por los gestores, y que éstos sean adecuados para atender las recomendaciones.

Por último, las habilidades de comunicación y de las tecnologías de la información,


requieren de la capacitación y formación específica de los auditores a través de los
oportunos planes de formación.

www.auditool.org 63
En resumen, salvo excepciones, aplicando los protocolos descritos en el curso,
fundamentalmente COSO y el Marco Para la Práctica Profesional de Auditoría Interna, lo
que aún no ha sido tratado son los indicadores y las auditorías continuas y/o a distancia.
Veámoslo a continuación.

Los cambios que se han producido en los resultados de la actividad auditora también son
observables si consideramos la forma en la que ésta ha ido analizando progresivamente
los datos. Hemos partido de una situación descriptiva, en la que pudimos conocer qué pasó,
cuánto fue el quebranto económico que produjo el fraude, cuánto fue la pérdida por la
morosidad acumulada no atendida oportunamente, etc.; en un estadio posterior pudimos
identificar dónde se producen las situaciones indeseadas: lugar, negocio, lo que nos
permitió una situación de alerta sobre las amenazas a las que debíamos enfrentarnos;
seguidamente, pasamos a preguntarnos e investigar por qué pasaban estas cosas, es decir,
cuál era el problema o qué controles no funcionan, para posteriormente intentar anticipar la
presencia de las amenazas a través de alertas específicas que nos alertarán sobre la
existencia de factores de riesgo indeseados; pero no paramos ahí, seguimos indagando y
se nos ocurrió preguntarnos por qué pasaba eso, cuáles eran las causas, y adoptamos una
postura previsora respecto a lo que se avecinaba, predijimos el futuro e identificamos las
oportunidades que se nos podrían ofrecer.

Esta evolución ha sido paralela a la gestión de riesgos, en la que auditoría debe


desempeñar un papel determinante no solo en la supervisión del grado eficacia del modelo
existente, sino también en el desempeño de un rol significativo en la implantación del propio
proceso, cuestionando, cuando ello sea necesario, la aceptación de niveles inadecuados
respecto a la consecución de los objetivos estratégicos de la organización.

www.auditool.org 64
Pero esta situación óptima solo podrá ser real si disponemos de datos, los tratamos en
tiempo real y decidimos con anticipación a la materialización de las amenazas.

Actuar de manera preventiva requiere del empleo de indicadores, porque son los elementos
en los que nos apoyaremos para monitorear procesos en el sentido de observar el curso de
uno o varios parámetros para detectar posibles anomalías. El propio Instituto de Auditores
Internos ha dedicado su atención a esta herramienta, y ha editado una guía en la que
expone sus conclusiones al respecto.

Esta guía viene a aclarar la relación entre la auditoría permanente, la vigilancia continua y
el aseguramiento continuo, aclarando que el monitoreo es el “proceso realizado por los
responsables de la gestión para asegurar que las políticas y los procesos operativos
resultan eficaces y para evaluar la adecuación y la eficacia de los controles. Es un proceso
realizado por los responsables de gestión financiera u operativa; auditoría evalúa la
adecuación de estas actividades de gestión”.

No obstante lo que acabamos de señalar anteriormente, el propio IIA entiende también que
estamos ante dos procesos complementarios, es decir, que si queremos que el control
interno en su conjunto tenga una seguridad razonable en alcanzar los objetivos definidos
por COSO, la supervisión que no realicen los gestores, monitoreando la eficacia de los
controles, deberá ser complementada por auditoría, de forma que si el gestor hace una
buena labor de supervisión, ésta no debe ser replicada por la auditoría, pero si, en sentido
inverso, hay una mala o deficiente supervisión, ésta deberá ser realizada por auditoría en
forma suficiente para obtener la seguridad razonable sobre la situación real existente.

Esta consideración es lo que pretenden representar los dos triángulos puestos en situación
invertida, en que las diversas líneas transversales paralelas a la base del triángulo verde
siempre tendrán la misma magnitud, pero el segmento que esté en el triángulo azul, el que
corresponde al monitoreo de los gestores, siempre determinará el segmento
complementario del área auditora.

www.auditool.org 65
Se puede concluir que:

 El rol de la auditoría es inversamente proporcional a la actividad de los gestores en el


seguimiento continuo de los controles. Cuanto mayor sea el papel de los gestores,
menor será la función directa de la auditoría interna.
 Conseguir una seguridad razonable dependerá de un monitoreo continuo de la
eficacia de los controles internos y evaluaciones independientes de auditoría de esa
función.

El objetivo de las auditorías a distancia y/o continuas es mejorar la eficiencia de la actividad


de auditoría interna, mediante estas acciones:

- Priorización de las actividades del Plan Anual, orientándolas a los puntos de riesgo.
- Aumentar el control efectivo y su percepción por la organización.
- Adelantar el momento de conocimiento de los hechos (oportunidad de las
actuaciones).
- Especialización y normalización de actuaciones (best practices).
- Reduciendo el costo de las actuaciones y liberando recursos para aportarlos a la
mejora de los procesos de las empresas y la cobertura por auditoría de nuevos
riesgos (estratégicos, emergentes, etc.). Así, se mejora el proceso de auditoría en su
conjunto que, como sabemos, incluye las fases que recoge el siguiente flujograma:

Las siglas KRI son las siglas en inglés de indicadores de riesgos clave, de cuya descripción
destacamos sus aspectos más significativos:

a) Se emplean para detectar.


b) Se aplican en forma selectiva, revelando los riesgos.
c) Su eficacia dependerá del grado de anticipación con que podamos intuir la presencia
de las amenazas, antes de que éstas se materialicen.

Es obvio que a los conductores de los vehículos que se han quedado atascados en la
carretera como consecuencia de la nevada algo les ha fallado, pues el riesgo de quedarse
bloqueados se ha materializado con toda su intensidad. Es posible que aun habiendo tenido
conocimiento del pronóstico no lo hayan considerado certero, o bien que no hayan tenido
la precaución de actualizar las previsiones meteorológicas existentes antes de iniciar el
viaje o también que nadie alertase con antelación suficiente sobre lo que se avecinaba.

www.auditool.org 66
En cualquier caso, estas tres circunstancias son las que deben erradicarse con el empleo
de KRI elegidos, puesto que deben ser fiables, es decir, con una clara correlación con el
riesgo a medir, debemos hacer un seguimiento continuado de su evolución y diseñarlos con
afán preventivo.

En resumen, los KRI son herramientas de control interno, preferiblemente, de tipo


preventivo.

Los KRI no son un fin en sí mismos, son un medio para alcanzar un fin. Tomemos como
ejemplo la evolución de la distribución de las personas según su edad, ya que puede servir
de anticipo (alerta) de los problemas que se nos puedan presentar en los servicios sociales
que deban prestarse dentro de unos años, como por ejemplo geriátricos, guarderías
infantiles, o el importe de pensiones que deban atenderse.

En este sentido, si se observan las dos pirámides de edad de los españoles de 1950 y 2007,
se pueden apreciar cambios importantes, como por ejemplo que la gráfica de 1950
representaba prácticamente un triángulo isósceles; si excluimos los efectos de la guerra
civil en el periodo 1936-39, se puede decir que los mayores de 65 años, los jubilados, no
representaban un volumen importante, sobre todo si tenemos en consideración que la
presencia en el mercado laboral de personas del sexo femenino era muy poco
representativo.

Sin embargo, la pirámide de edad de 2007 se aleja mucho de una representación similar a
la anterior, pero además el porcentaje de los mayores de 65 años duplica al existente en el
1950, con la circunstancia añadida de que la presencia de las mujeres en el mercado
laboral, si no igual a la de varones, sí es algo más próxima. Estos cambios pueden
relacionarse con la viabilidad de las políticas de las pensiones con cargo a la Seguridad
Social, que se nutre de las contribuciones de los trabajadores activos; se puede intuir que
de mantenerse esta tendencia existirá un riesgo de insuficiencia de recursos para atender
el pago de las futuras pensiones.

www.auditool.org 67
Por este motivo, en estos momentos se está trabajando para adecuar el modelo a las
necesidades venideras, no a las actuales, aumentando el cómputo de los periodos de
cotización y la edad de jubilación, pasando, respectivamente, de los 15 últimos años a los
25 y de 65 a 67 años.

La importancia de los KRI en el proceso de gestión de riesgos está también reconocida por
COSO, pues ha editado el documento cuya portada se reproduce a continuación,
concluyendo que “el diseño y la puesta en marcha de un conjunto de KRI es un elemento
importante de las organizaciones en el proceso gestión de los riesgos empresariales”, por
lo que nos encontramos frente a un mecanismo de máxima utilidad.

Según COSO, la forma de vincular los objetivos estratégicos, los riesgos y los KRI viene
representada por el gráfico adjunto. En este ejemplo la gestión tiene como objetivo lograr
la mayor rentabilidad mediante el aumento de los ingresos y disminución de los costos.

Se han identificado cuatro iniciativas estratégicas que son críticas para el cumplimiento de
los objetivos. Varios riesgos potenciales de los que han sido identificados puede tener un
impacto en uno o más de las cuatro iniciativas estratégicas claves. La interrelación de los
principales riesgos con las principales iniciativas estratégicas pone a los responsables de
la gestión en condiciones de comenzar a identificar los indicadores críticos que puedan
servir como alertas clave de riesgo para ayudarles a supervisar la ejecución del núcleo
estratégico.

Como se muestra en la imagen, los KRI se han definido para cada riesgo crítico. La
asignación de estos KRI a los riesgos críticos y básicos con influencia sobre las estrategias
reduce la probabilidad de que la gestión se distraiga con otra información que puede ser
menos relevante para el logro de los objetivos de la empresa.

www.auditool.org 68
Un método eficaz para la selección de KRI comienza por analizar un evento de riesgo que
ha afectado la organización en el pasado (o presente) y luego trabajar hacia atrás para
identificar los eventos intermedios y la raíz o causa que llevó finalmente a la pérdida material
o pérdida de oportunidades. El objetivo es identificar indicadores de riesgo que
proporcionen valiosos indicios de que el riesgo puede estar surgiendo.

Cuanto más se aproxime el KRI a la causa origen del evento de riesgo, más probable es
que el KRI proporcione a los gestores el tiempo para tomar acciones de manera proactiva
en orden a responder al evento de riesgo. Este proceso puede ser representado
visualmente de la siguiente manera.

www.auditool.org 69
En este diagrama se puede observar que el paso del tiempo produce que un acontecimiento
inicial, que denominamos “acontecimiento origen”, causa otros eventos intermedios que
finalmente conducen a una situación de riesgo. En el desarrollo de un KRI que nos sirva
como un indicador básico para advertir posibles casos futuros del riesgo a gestionar, puede
ser útil pensar a través de la cadena de acontecimientos que condujo a la pérdida para que
la Administración pueda descubrir el factor de riesgo que produjo el evento.

Si volvemos momentáneamente al ejemplo del sistema de pensiones español, el riesgo


está claro: que el sistema entre en quiebra y que los futuros pensionistas no puedan cobrar
sus pensiones cuando alcancen la edad de jubilación. Si hacemos una visión retrospectiva
y analizamos los eventos inmediatos nos encontramos con que una situación de bonanza
económica, consecuencia del boom inmobiliario, hizo que el país tuviera que ampliar su
población activa, ya que la baja tasa de natalidad de años precedentes no había aportado
suficiente mano de obra para atender las necesidades de la actividad.

Efectivamente, la estructura de la población sí evidenciaba un riesgo, pero este se eliminó


a través de las migraciones, y se llegó a alcanzar una situación de 4 trabajadores activos
por cada jubilado; la causa del problema es que la población activa empieza a disminuir
como consecuencia de la desaceleración económica y de que los desempleados dejan de
cotizar, pasando a 2 trabajadores activos por jubilado. Este es el indicador que realmente
nos da idea del riesgo al que se enfrenta el país, pues contradice el esquema sobre el que
descansan las prestaciones de la Seguridad Social.
/
Los indicadores serán ex-ante cuando permitan:

 Identificar los factores de riesgo (sin haberse producido necesariamente aún los
eventos). Por ejemplo, riesgos de incendios estivales, con base en los niveles de
precipitaciones precedentes, o riesgos de fraude interno según el grado de
satisfacción de los trabajadores obtenido en estudios de clima laboral.

 En tanto que serán ex-post si valoran y cuantifican eventos pasados. Por ejemplo, el
fraude en tarjetas de débito/crédito de periodos anteriores.

La división entre indicadores ex-ante y ex-post no debe confundirnos en lo que hemos


señalado respecto a alertarnos tempranamente de forma preventiva sobre la existencia de
riesgos, puesto que, aun si son ex-post, como en el caso del fraude de las tarjetas, el
seguimiento de su evolución nos permitirá detectar si los controles establecidos son
suficientes para garantizar el apetito al riesgo que nos hayamos marcado, y nos permite
reaccionar, correctiva pero tempranamente, si la tolerancia al riesgo no se encuentra en los
niveles considerados adecuados.

www.auditool.org 70
De forma esquemática, lo dicho hasta aquí puede representarse con el gráfico que se
visualiza a continuación. Los responsables de las distintas áreas de la organización, una
vez decididos los objetivos operativos con los cuales desarrollar la estrategia de la
compañía, deberían identificar los riesgos que de forma más significativa puedan amenazar
su consecución, pasando posteriormente a identificar los eventos o factores de riesgo
principales que los podrían originar, estableciendo los correspondientes planes de acción
para controlar dichas amenazas, definiendo los indicadores pertinentes para medir su
importancia, supervisando su eficacia de forma continuada, y, dado el caso, introduciendo
los cambios que sean oportunos.

Debe tenerse claro que los KRI no auditan los datos, “solo” detectan anomalías. Esto lo
podemos ver en la siguiente figura que corresponde a la comparativa entre las ausencias
históricas por enfermedad durante los doce meses del año -la línea azul- y la situación
observada en el año en curso -línea roja-; se aprecia que en el mes de mayo la tendencia
de los meses anteriores se rompe, y se acumulan unos días de bajas por enfermedad
superiores a la media histórica y además muy por encima de lo esperado.

www.auditool.org 71
¿Podríamos indicar de acuerdo con estos datos que nos encontramos ante una
irregularidad? En nuestra opinión sería temerario pronunciarse en ese sentido, dado que
aún no es posible contestar a la pregunta, pero lo que sí podemos señalar es que hay una
incidencia que debe investigarse para conocer las causas y adoptar las medidas correctoras
que procedan.

Si seguimos analizando la información que nos facilita el indicador de la figura anterior,


podremos obtener más datos útiles para la actividad a la que esta estadística se refiere, por
ejemplo, que en los meses de principio y finales de año hay una incidencia elevada en las
bajas por enfermedad, lo que probablemente nos obligará a tener que buscar y ampliar los
apoyos externos para cubrir dichas bajas y así atender los procesos productivos que
pudieran verse afectados. Hemos pasado de un KRI ex-post a uno ex-ante, ya que nos
alerta sobre un hecho estadísticamente esperable en el futuro.

Hemos descrito cómo deben ser aplicados los KRI por los responsables de la gestión de
riesgos y, más importante, la utilidad que de ellos puede esperarse. También para los
auditores esta herramienta comporta grandes ventajas, si bien es necesario introducir
ligeras variaciones respecto del proceso a seguir (las que se derivan de la peculiaridad de
nuestra función dentro del proceso de control interno), de manera que, marcados unos
rangos máximo y mínimo de normalidad, en el momento en que estos indicadores se sitúen
fuera de la franja de aceptabilidad, se activen alarmas que adviertan de la existencia de una
situación que, por ahora, podemos denominar singular, y que precisa de aclaración.

Al igual que en los controles médicos se nos suele tomar la tensión arterial a fin de conocer
si se encuentra en el rango de normalidad, cuando se detecta una situación de hiper o
hipotensión, es preciso conocer la causa que la origina, para recetar el tratamiento que se
considere apropiado. En la actividad auditora lo normal es que al saltar una alerta sobre un
riesgo debemos entender que estamos ante una situación que precisa analizarse con
detalle, para determinar si estamos ante una irregularidad o solo ante una situación
coyuntural y atípica que tiene una justificación razonable.

El camino a seguir para su empleo sería el siguiente:

 En los procesos/riesgos seleccionados determinar sus indicadores.


 Identificar datos disponibles en las aplicaciones; programar su captura.
 Para los que no estén en las aplicaciones, definir cuestionarios y fechas de recepción;
establecer métodos de comprobación.
 Definir pistas de auditoría (rango de admisión de valores).
 Analizar resultados y consultar causas de desviaciones ilógicas.
 Abrir auditoría para los casos no justificados razonablemente.
 Concluir sobre las causas reales que justifican las desviaciones.
 Proponer recomendaciones.

www.auditool.org 72
Como hemos comentado a lo largo del curso, la calidad de cualquier producto o servicio se
puede apreciar con base en el grado de cumplimiento de las expectativas de los clientes.
En nuestro caso, el cliente lo debemos identificar con las partes interesadas de las
organizaciones en las que desarrollemos la actividad de auditoría interna, para lo cual
debemos establecer diversos controles que nos permitan concluir sobre percepción de los
mismos en el desarrollo de la función en todos sus ámbitos.

La evaluación previa de la calidad del trabajo que se pretende realizar viene recogida en
las normas del IAI, específicamente en la 2240, la cual señala que los programas de trabajo
deben incluir los procedimientos para identificar, analizar, evaluar y documentar información
durante la tarea. El programa de trabajo debe ser aprobado con anterioridad a su aplicación
y cualquier ajuste o modificación debe ser aprobado oportunamente.

Obviamente, es una autoverificación de la calidad, pero permitiría corregir, si hubiese


voluntad para ello, defectos de origen. En según lugar, y según también las propias normas
del IAI, en su epígrafe 2340, los trabajos deben ser adecuadamente supervisados para
asegurar el logro de sus objetivos, la calidad del trabajo y el desarrollo del personal.
Seguimos, pues, dentro de la fase de autoevaluación de la función.

Asimismo, el Consejo para la Práctica 2410-1, punto 12, señala que como parte de las
conversaciones del auditor con el cliente del trabajo, el auditor interno obtiene su acuerdo
sobre los resultados del trabajo y sobre cualquier plan de acción necesario para mejorar las
operaciones. Si ambos discrepan, las comunicaciones pueden exponer ambas posiciones
y las razones del desencuentro, con lo cual disponemos de una valoración externa de la
calidad del trabajo.

Posteriormente, también el Marco prevé (ver CP 1311-1) la necesidad de disponer de una


retroalimentación de los clientes de auditoría y otras partes interesadas, lo que permitirá
conocer también la calidad observada por éstos en los trabajos realizados.

Otro aspecto que consideramos importante dentro de la dinámica que se recoge en el Marco
del IAI es lo señalado por el Consejo 2050-1, apartado 3, cuando señala que el auditor
externo puede confiar en la labor de la actividad de auditoría interna para realizar su trabajo;
para cumplir esto, el acceso a los programas y papeles de trabajo de los auditores internos
se otorga a los auditores externos con el fin de que se aseguren de la aceptabilidad del
trabajo de aquéllos. Por lo tanto, esta revisión debe considerarse como una validación y
conformidad respecto de la calidad de los mismos.

Para avanzando un poco más en la supervisión del trabajo de los auditores internos, no
debemos olvidar que una de las responsabilidades más significativa de los Comités de
Auditoría es ser los encargados de supervisar la función desarrollada por la UAI.

www.auditool.org 73
Por último, como aspecto que incide en la opinión externa de la calidad de la función
auditora, tampoco debemos ignorar que la Norma 1300 prevé la necesidad de realizar
evaluaciones de calidad por evaluadores ajenos a la organización al menos una vez cada
5 años. Esta actuación, de realizarse según lo indicado por el IAI, no solo incide en la
verificación de la existencia de los Sistemas de Gestión de Calidad, como realiza la ISO
9.000, sino que también repercute sobre todo en la calidad de la propia función, evaluando
el grado del cumplimiento de las normas.

En cualquier caso, siendo realistas debemos reconocer que una seguridad absoluta sobre
el nivel de calidad con que opera auditoría interna no es fácil de conseguir, pero sí pueden
observarse, de actuar con todos los filtros críticos que hemos enunciado, indicios más que
suficientes para llegar a una conclusión adecuada, sobre todo por quienes actúen como
evaluadores externos de la calidad, según la N.1312.

En cualquier caso, la calidad de nuestra actividad dependerá de nuestro compromiso con


la ética, pues son los DAI los que tienen que decidir si prefieren llevarse bien con sus jefes
o asumen incondicionalmente sus responsabilidades, aunque puedan resultar incómodos
en determinados momentos. En resumen, la calidad está básicamente en nuestras manos.

Para ir terminando con la descripción de las materias conceptuales previstas en el curso,


del cual esperamos que haya respondido a las expectativas que tenían antes de iniciarlo
(lo cual pondría de manifiesto la calidad del mismo), creemos que procede visualizar de
forma gráfica lo que hemos pretendido trasladar a lo largo de los momentos que hemos
compartido a través de estos videos.

En mi opinión personal, la eficiencia requerida en la actividad auditora se manifestará de


forma incuestionable si somos capaces de realizarla basándola en tres principios básicos:

 Objetividad e independencia.
 Empleo de herramientas de las tecnologías de la información.
 Trato humano con los clientes y colaboradores.

Si los aplicamos, habremos conseguido reunir los requisitos básicos para alcanzar la
calidad que nos permitirá atender las expectativas de aquellos que confiaron en nuestro
trabajo

La evolución de la función de auditoría ha sido muy evidente en los últimos años lo que ha
aumentado sus atribuciones y responsabilidades. El camino recorrido ha sido largo; hoy se
encuentra posicionada al lado del nivel más alto de dirección e informándole a esta
instancia, lo que la coloca ante grandes desafíos.

www.auditool.org 74
La auditoría interna ha pasado de ser un órgano de control a convertirse en staff de la
Dirección, transformándose en un consultor-asesor interno de la empresa. Así concebida,
tiene que entenderse como una prolongación de la Administración que busca la forma de
hacer la empresa más eficiente.

Esta labor de asesor se materializa en las dos actividades a desarrollar por las Unidades
de Auditoría: la de aseguramiento (auditorías) en el momento de hacer las
recomendaciones para eliminar las debilidades evidenciadas en los entes auditables
analizados, y la de consultoría, en las que su rol específico es aconsejar la mejor forma de
incidir en los procesos/actividades objeto de las mismas, lo que podríamos llamar auditorías
preventivas, ya que lo usual es que desarrollemos las consultorías sobre procesos aún no
operativos.

Además, también podemos señalar que esta función de asesor se puede materializar en
las conversaciones con la Alta Dirección y el Comité de Auditoría.

Dentro de las partes interesadas, creemos que si hubiese que hacer un ranking de las
mismas, en el nivel VIP situaríamos al Comité de Auditoría, ya que, de acuerdo con las
normas del IIA, debe ser nuestro jefe funcional, a quien le corresponderá la responsabilidad
del nombramiento y/o cese del Director de Auditoría Interna. Por esto, una forma de
potenciar nuestra reputación como asesores podría ser desempeñar los siguientes roles:

- Colaborar con el Comité en lo que nos sea requerido.


- Conocer y entender el estatuto, el rol y las actividades del Comité.
- Mantener una comunicación fluida y continua.
- Ayudar a revisar periódicamente sus actividades y sugerir mejoras.
- Mantener la agenda de sus reuniones y preparar sus minutas.
- Identificar necesidades de formación e información de los nuevos miembros.
- Asesorar en el entendimiento de las operaciones de la entidad.
- Evaluar su adecuada composición con base en las reglamentaciones aplicables.

Si observamos en detalle las actividades que auditoría interna puede desarrollar en el


entorno de actuación del Comité de Auditoría, y que acabamos de resumir en la pantalla
anterior, podríamos concluir en que una gran parte de las mismas están relacionadas con
el denominado compliance, o cumplimiento normativo, actividad a la que, por su gran
trascendencia en el ámbito del Gobierno Corporativo, vamos a dedicarle cierta atención, ya
que es una actividad en la que la Unidades de Auditoría Interna se ven muy
interrelacionadas, e incluso afectadas. Para ello nos apoyaremos en la norma ISO 19.600.

www.auditool.org 75
Atendiendo a lo señalado por la Norma ISO 19600, por compliance o cumplimiento
normativo debe entenderse el hecho de que una organización cumpla con sus obligaciones,
y lo hace sostenible incorporándolo en su cultura, y en el comportamiento y en la actitud de
las personas que trabajan en ella. Mientras que mantenga su independencia, es preferible
que la gestión de finanzas, riesgos, calidad, medio ambiente-salud y seguridad, y en sus
requisitos y procedimientos operacionales.

Como aparece a continuación, su objetivo y alcance son los siguientes:

Objetivo: implantar un Sistema de Gestión de compliance eficaz que permita a la


organización mostrar su compromiso de cumplir con las normativas, incluyendo los
requisitos legales, los códigos de la industria y los estándares de la organización, así como
los estándares de buen gobierno corporativo, las mejores prácticas, la ética y las
expectativas de la comunidad en general.

Campo de aplicación: todo tipo de organizaciones, aunque el alcance de la aplicación de


estas directrices dependerá del tamaño, estructura, naturaleza y complejidad de la
organización.

www.auditool.org 76
De forma esquemática, la aplicación del Sistema de Gestión de compliance está recogida
en el anterior gráfico, en donde podemos observar dos grandes bloques:

 Establecimiento del sistema, que incluye los epígrafes de la Norma 4.1, 4.2, 4.3, 4.4
y 5.2.
 Aplicación del sistema, con base en el círculo de Deming con sus 4 fases,
correspondientes a Desarrollo, Implementación, Evaluación y Mantenimiento.

Como es habitual en cualquier Sistema de Gestión empresarial, dentro de él debe


contemplarse la conveniencia de hacer auditorías internas del funcionamiento del mismo,
que nos permitan concluir respecto a:

a) Si se cumple con: (i) los requisitos propios de la organización para su Sistema de


Gestión de compliance, y (ii) los requisitos de la Norma 19600.
b) Si éste se implementa y mantiene eficazmente.

Asimismo, por nuestra parte, nos atrevemos a indicar que a auditoría interna le
correspondería, con base en el objetivo de ampliar la utilidad que aportamos a las
organizaciones, asumir un papel de asesor en la implementación y diseño del sistema, de
forma que sea un impulsor del mismo, pero guardando respeto a las “líneas rojas” que no
deben traspasarse, como la de asumir responsabilidades gerenciales.

Por último, en este apartado creemos conveniente hacer énfasis en las diferencias que
deben existir entre la forma de desarrollar y formalizar una auditoría tradicional, y las
correspondientes al compliance, ya que éstas suelen tener como destinatarios frecuentes
a los reguladores de la industria en la que actúa la organización, en cuyo caso es
conveniente no evidenciar los fallos observados en los procesos auditados, sino resaltar los
cumplimientos de las normas o protocolos que sean de aplicación, de forma que con base
en ello los reguladores puedan apreciar los fundamentos que permitan concluir sobre la
atención de los requerimientos exigibles. En otros términos, en una auditoría tradicional
debemos justificar las causas que permitan concluir sobre las debilidades observadas,
mientras que en las de compliance con destino a los reguladores, lo que debemos acreditar
son las atenciones a las actividades requeridas.

Para facilitar el ensayo de la puesta en práctica de los consejos y las formas de gestionar
la actividad auditora que hemos ido viendo a lo largo del curso, a continuación
consideramos oportuno compartir la experiencia de una gran multinacional española
respecto de la aplicación práctica de las nuevas formas de desarrollar las auditorías y el
monitoreo continuo con base en el empleo de los KRI, con el fin de conseguir los objetivos
perseguidos, los cuales se pueden resumir en optimizar la supervisión del control interno
de la organización con el menor costo asociado a las actividades desarrolladas en el ámbito
de auditoría interna.

www.auditool.org 77
De esta experiencia esperamos que pueda servir de referencia práctica en la definición de
próximos proyectos de implantación y aplicación de estas metodologías por parte de otras
organizaciones interesadas en conseguir un mayor aporte de valor de la función auditora.

Para un adecuado entendimiento de la forma en que la multinacional referida ha diseñado


su modelo de gestión, consideramos conveniente describir previamente el esquema de
supervisión interna empleado, ya que no todas sus funcionalidades se ajustan a los
estándares clásicos. Esta circunstancia viene justificada por la búsqueda de la máxima
eficiencia del conjunto de actuaciones vinculadas a la auditoría interna, considerada ésta
en su sentido más amplio.

Como bien sabemos, COSO describe el control interno como un proceso que, dirigido e
impulsado por el CEO, debe realizar toda la organización. Esto obliga a los gestores a tener
que asumir la parte proporcional en la realización de las tareas de control que le
correspondan, compatibilizándolas y sincronizándolas con las que le son propias por las
responsabilidades que le han sido asignadas dentro de los procesos de gestión precisos
para alcanzar los objetivos de la compañía.

Así entendido, parece probable que se pudiera, en determinadas circunstancias, crear


algún posible conflicto de intereses, sobre todo si el cumplimiento de los objetivos de gestión
se vincula con incentivos de índole económica (pensemos en un responsable de un centro
de costo que lleve emparejado con su gestión un bonus por cumplir los presupuestos, y que
su situación sea crítica porque lleva los gastos algo excedidos, pero tiene oportunidad de
conseguir de los proveedores el retraso de sus facturas al año siguiente. En estas
circunstancias ¿se aplicaría el criterio de devengo? Muy probablemente no).

A este tipo de conflictos nos referimos, pero también a las circunstancias en las que,
existiendo un déficit de recursos, los disponibles se focalicen por los gestores hacia la
gestión del proceso de negocio, en detrimento de los controles que le sean exigibles
(pongamos por ejemplo a un comercio cuyo responsable tiene la obligación de hacer
inventarios de sus almacenes, es muy probable que si sus recursos han disminuido y tiene
dificultades para atender adecuadamente a los clientes, los inventarios dejarán de
realizarse hasta que la situación se normalice).

De acuerdo con el planteamiento realizado, resulta bastante probable que, en determinadas


circunstancias, podría existir una priorización de actividades a realizar por los responsables
de los negocios, que situarían en un segundo nivel la ejecución de los controles a acometer
en el desarrollo de sus procesos operativos.

www.auditool.org 78
Adicionalmente, en aquellos departamentos cuya gestión sea específicamente la
supervisión (Control Presupuestario, Seguridad Laboral, Seguridad Física, Compliance,
etc.), deberíamos admitirles una mayor sensibilidad hacia los controles en general, pues
conviven permanentemente con la necesidad y oportunidad de su existencia. Por lo que,
surgen estas preguntas:

 ¿Pueden existir conflictos de intereses? Probablemente la respuesta es SÍ.


 ¿Aparecerían estos en todas las Unidades de la Organización? Cuando se da la
existencia de Departamentos en los que su actividad es exclusivamente de control,
en ellos solo hay una prioridad: el control.

A estas unidades, sin dualidad de responsabilidades, se les debe presuponer una


sensibilidad mayor por el control que a las del resto de la organización, puesto que no hacen
otra cosa.

Ya hemos visto cómo el Instituto de Auditores Internos contempla la complementariedad


que existe en el monitoreo a realizar por los gestores y el que debe realizar la función
auditora, de forma que lo que unos no hagan lo deben desempeñar los auditores.

Asimismo, hemos observado que el monitoreo es una forma de control, ya que permite
detectar incidencias y adoptar soluciones para contrarrestar las amenazas que existan en
el entorno de la actividad empresarial. Por todo ello, y es lo básico del modelo empleado
por la multinacional a la que nos estamos refiriendo, consideran, y nosotros también, que
las actividades de control y de supervisión están relacionadas de forma inversa, de manera
que, a mayores o mejores controles, menor necesidad de vigilancia y, en sentido contrario,
a menor grado de control, mayores requerimientos de supervisión.

Esta hipótesis nos permite considerar que, en igualdad de condiciones de eficacia, los
esfuerzos dedicados al control operativo, más los asignados a su verificación, dan como
resultado una determinada cantidad. Esta cifra, si disminuyésemos los controles, y por tanto
el costo asociado a ellos, obligaría, permaneciendo el resto constante, a aumentar los
esfuerzos de la supervisión hasta que éstos alcancen una cifra similar a la que existía en la
situación de origen. Evidentemente, esta igualdad no es algebraica en sentido estricto, pero
sí conceptualmente.

Por otro lado, COSO II también comenta la necesidad de reducir la probabilidad de


ocurrencia de un riesgo como una de las maneras de reducirlo, circunstancia que se podrá
conseguir de manera directa aumentando el grado de control. Esta probable semejanza de
recursos de control, pero sin olvidar la conveniencia de reducir la probabilidad de
ocurrencia, a través de incrementar la eficacia debida a la mayor sensibilidad y expertise
de determinados empleados con los controles, son la base sobre la que se apalanca el
concepto de la denominada Unidad de Intervención o Contraloría, es decir, la aplicación de
controles asumidos directamente por el Departamento de Auditoría, como a continuación
veremos.

www.auditool.org 79
Los conceptos que acabamos de ver son tres:

 Si un Departamento solo tiene responsabilidades de supervisión, su sensibilidad


hacia el control interno será mayor que si comparte estas actividades con las propias
del negocio.
 Control + supervisión arroja, en igualdad de condiciones de eficacia y en el peor de
los casos, un consumo de recursos similares.
 A mayor control menor probabilidad de ocurrencia de los riesgos, lo que equivale a
una disminución de su importancia.

La suma de estas tres aseveraciones nos permite concluir en que si se especializa a alguna
Unidad en la realización de determinados controles, habremos conseguido una situación
de máxima eficiencia económica. Esta Unidad es la que denominaremos en adelante
Intervención/Contraloría. Somos conscientes de que su nombre puede malinterpretarse en
países latinoamericanos, pero es de uso muy frecuente en España y así es como se
denomina en la empresa que nos sirve de modelo. Se deriva del verbo intervenir, que
significa participar, lo cual resulta adecuado, ya que sí participa/interviene en el proceso.
Su objetivo es ser garante de la integridad patrimonial de la compañía

De la descripción del modelo, para entenderlo correctamente, nos pueden surgir tres
preguntas:

 ¿El planteamiento es aplicable a todos los riesgos? Evidentemente NO, porque esto
iría en contra del concepto de priorización de control interno defendido por COSO.
 ¿Entonces a cuáles es aplicable? Los más críticos respecto a los objetivos de
cumplimiento e integridad patrimonial. Aquellos de los que se deriven compromisos.
 ¿De qué forma? Realizando el control operativo con carácter previo a la ejecución
final, dentro de los procesos del negocio, pero independientemente de la actuación
de los gestores.

www.auditool.org 80
Debemos aclarar que esta forma de entender las responsabilidades de la auditoría interna
aún no está reconocida por el IAI, pero la consideramos muy necesaria al materializar la
segregación de funciones (separación de poderes, con incidencia en el buen gobierno), así
como por su proactiva forma de entenderla.

Uno de los controles asumido habitualmente por la Intervención/Contraloría es el de los


pagos, proceso en el que participa materializando la segregación de funciones y situándose
en medio entre quien decide el pago y quien lo ejecuta. El Departamento de Intervención
asume la función de verificar la oportunidad de la atención del pago en los términos
solicitados (cantidad, beneficiario, fecha).

Para que el proceso de pago progrese deben realizarse una serie de verificaciones que
permitan concluir sobre la adecuada intervención de la orden de pago. A continuación,
describiremos las comprobaciones que se efectuarían para que la orden de pago surta
efecto, sin olvidar que su objetivo principal es pagar oportunamente en tiempo y forma:

 Compromiso previo debidamente formalizado.


 Niveles de precios ajustados al compromiso en vigor.
 Capacidad suficiente de la persona que inicia el proceso de pago.
 Respeto a los plazos de pago convenidos.
 Adecuación de gastos de viaje a las normas vigentes.

Sobre la intervención de pagos hemos visto que comprueba la existencia del compromiso
que justifique el desembolso que se solicita, pero pudiera suceder que el documento
contractual exista, que lo asuman personas con capacidad suficiente, pero que no responde
estrictamente a la decisión gerencial que lo motivó; en ese caso, existiría un fallo en el
origen que haría que el proceso de pago se viese afectado, pues se estaría validando una
operación que no está alineada, cien por ciento, con los objetivos estratégicos de la
organización.

Dado que Intervención debe visualizar todas las fases del proceso en el que se
comprometan pagos por parte de la organización, en el momento de acceder a las
aplicaciones en las que se recojan estos documentos para darles validez, Intervención
efectúa lo que denominaremos intervención previa de compromisos, cuyo control consiste
en comprobar que el contrato responde a un acuerdo firme de la corporación (plan de
inversiones, plan de Compras, etc.), validado éste por quien corresponde: Consejo,
Gerencia General o determinado nivel gerencial, según la distribución de competencias
existentes.

www.auditool.org 81
Para ello es necesario revisar los compromisos con proveedores y entidades financieras,
de forma que solo se atiendan los que correspondan y cumpliendo lo siguiente:

 Comprobando los acuerdos que dan origen a los compromisos.


 Que existan poderes suficientes de quienes adoptan las decisiones.
 Verificando la separación entre toma de decisión y adjudicación.

De forma que aquéllos solo obliguen a la organización cuando se hayan adquirido por quien
corresponda y en el ejercicio de sus facultades y responsabilidades.

De otra manera, también siguiendo sistemáticamente la evolución de otros aspectos:

 Deuda de distribuidores.
 Deudas intragrupo.
 Conciliaciones bancarias.
 Saldos de obra en curso.
 Descuentos por volumen.
 Aplicación de penalizaciones.
 Subvenciones públicas.
 Beneficios fiscales.
 Redactando la normas de control interno de la empresa.

En resumen, a través de ser el garante de la integridad patrimonial de la compañía.

Si recordamos los graves problemas que ha producido la crisis de desconfianza en la que


aún estamos inmersos, creo que compartiremos la opinión de que en ellos siempre hay en
el fondo un problema de comportamientos personales, que, de una u otra manera,
conducían a la materialización de fraudes, bien financieros, como en el tan mentado caso
ENRON, como en el de las titulaciones de las hipotecas subprime, que utilizando una
elevadas calificaciones crediticias lo que realmente nos estaban vendiendo era basura.

Por tanto, el fraude, bien sea financiero, operativo, legal, fiscal, etc., existe y debe
combatirse, es decir, detectarlo y erradicarlo. Este es el campo de actuación de la
Inspección, es decir, el de los comportamientos personales.

El nombre inspección se deriva del latín inspicere, que significa “mirar adentro, reconocer
atentamente una cosa”. Conceptualmente, auditoría interna e Inspección son dos
perspectivas complementarias y retroalimentadas (análisis del uso y del abuso,
respectivamente). Los riesgos que analiza giran en torno a Integridad (fraude externo e
interno) y a Dirección (RR.HH., incentivos, límites de autoridad). Las inspecciones pueden
ser de dos tipos: correctivas, a partir de posibles denuncias; y preventivas, a partir de
posibles indicadores de los procesos.

www.auditool.org 82
En el logro de la eficiencia de los procesos no necesariamente se precisa de herramientas
sofisticadas para alcanzar los objetivos; pensemos, por ejemplo, en la palanca de primer
grado que recoge la pantalla, es todo lo eficiente que queramos con solo ampliar el brazo
de palanca y 100 kg los elevaremos con 5, con uno, o menos kilos. Recordemos que, como
decía Arquímedes en la antigua Grecia: “dadme un punto de apoyo y moveré la tierra”.

Respetando las diferencias, nosotros queremos encontrar el punto de apoyo del control
interno que lo haga eficiente. La presencia de riesgos y la imposibilidad de eliminarlos
totalmente nos permite concluir que, hagamos lo que hagamos, siempre existe la
eventualidad de que algún riesgo se materialice, es decir, que afecte de forma real los
objetivos; cuando esto sucede se debe realizar un proceso analítico y determinar qué es lo
que ha ocurrido para que el daño se produzca, es decir, qué es lo que no habíamos cubierto
adecuadamente.

Por otro lado, según COSO, debemos buscar la seguridad razonable, nunca la seguridad
absoluta (porque no existe).

Un modelo eficaz es el que combina los enfoques preventivos y correctivos de forma


equilibrada y lógica:

 Enfoque preventivo- cautelar (ex-ante)


 Enfoque correctivo- de normalización (ex-post).

Para aplicar un modelo de estas características, la experiencia a la que nos estamos


refiriendo es tridimensional, puesto que existen especialistas para cubrir los ámbitos de
Intervención, Inspección y de Auditoría.

www.auditool.org 83
Supongamos un proceso de compras cualquiera:

Auditoría supervisará el diseño del proceso y cómo está siendo ejecutado (plicas cerradas,
un mínimo de tres/cuatro ofertas por licitación, que los oferentes estén en el catálogo de
proveedores de la empresa, que los pliegos de condiciones se envíen con una anticipación
suficiente a todos los licitantes, etc.), sacando sus conclusiones sobre la bondad, o no, del
proceso globalmente considerado.

Inspección analizaría en detalle una adjudicación determinada, concluyendo sobre las


anomalías o irregularidades existentes en el proceso seguido en ella, identificando las
trasgresiones a la normativa aplicable, las irregularidades realizadas y sus responsables.

Por su parte, Intervención analizará que las adjudicaciones tengan el desarrollo económico
que se recoge en el contrato o pedido que lo formaliza, y que éste se ajusta a lo que se
aprobó por el órgano competente de la Sociedad.

Como vemos, se han barrido todas las operaciones que pueden afectar el proceso de
compras, validando la eficiencia del proceso, la igualdad de oportunidades de los distintos
posible oferentes, tanto en la invitación al concurso, como en la elección, que la revisaremos
vía Inspección, evitando actuaciones discrecionales injustificadas, es decir, evitando que se
cometan fraudes hacía la organización adjudicando a quien no corresponde, y protegiendo
a nuestros socios, los contratistas que se hayan visto perjudicados. Por último,
garantizamos la integridad patrimonial de la compañía pagando solo lo que sea preceptivo.

Estas tres Unidades interactúan con total independencia ejerciendo las funciones que le
son propias. Esto es, Inspección comprobará si existen irregularidades en los
comportamientos de las personas que ejercen la actividad de Auditoría e Intervención, e
incluso, llegado el caso, los de su propia Unidad, por ejemplo, revisando la utilización de
insumos por sus respectivos miembros (gasto de teléfono a cargo de la empresa,
combustibles, etc.); la de Intervención revisará y autorizará los gastos de los empleados de
las otras dos Unidades y los de la propia Intervención, pero también Auditoría revisará los
procesos seguidos por Intervención e Inspección a la hora de ejercer sus funciones.

www.auditool.org 84
Para lograr esto, las Unidades tienen adscritos un número determinado de empleados que
se especializan en el ejercicio de sus funciones, que utilizan para ello métodos específicos
que permiten optimizar los resultados de sus actividades y minimizar la demanda de
recursos.

La diferente ubicación que puede existir para estas tres Unidades, tal y como muestra el
siguiente cuadro, debe entenderse aplicable en entornos de corporaciones en las que exista
un holding y diversas filiales, como sucede en el caso en que nos basamos, cuyo perímetro
societario lo componen implantaciones supranacionales en diversos países, en donde se
desarrollan diferentes actividades o negocios en cada uno de ellos, posibilitando la
existencia de un Centro Corporativo País (CCP) en diversas latitudes.

De no existir esta amplia implantación, si nos referimos a un caso en donde exista una sola
empresa, el cuadro sigue teniendo plena vigencia, excepto en el apartado Ubicación, que
pasaría a ser idéntico para las tres funciones.

www.auditool.org 85
En todo caso, lo que debemos señalar es que la dependencia funcional de estas Unidades
a nivel empresa es del Centro Corporativo, lo cual aporta un importante complemento a su
independencia de actuación, ya que no estarán condicionadas a las directrices de las
gerencias locales.

Una vez conocidas las peculiaridades del modelo de supervisión y control con el que opera
la organización que nos sirve de referencia, podremos pasar a describir su forma de
gestionar las auditorías a distancia/continuas.

Sin embargo, previamente debemos destacar que el modelo aplicado no es el resultado de


una actuación puntual, sino consecuencia de la mejora continua que se ha ido produciendo
en su entorno, fundamentalmente, respecto a las herramientas informáticas empleadas y a
la progresiva mecanización de las distintas actividades que constituyen los procesos de la
entidad, todo ello buscando como fin último la mejora del valor aportado por auditoría, a
través de la optimización de su eficiencia y de estas acciones:

 Priorización del plan anual, orientado a los puntos de riesgo.


 Aumentar el control efectivo y su percepción por la organización.
 Adelantar el momento de conocimiento de los hechos (oportunidad de las
actuaciones).
 Mayor productividad, reduciendo costos y liberando recursos para aportarlos a la
mejora de los procesos de las empresas y la cobertura por auditoría de nuevos
riesgos (estratégicos, emergentes, etc.).

A lo largo de todo lo que hemos visto del curso nos hemos familiarizado con el concepto de
indicadores, entendidos como aquella información que permite a las organizaciones
detectar (alertar) de forma temprana la posibilidad de existencia de una situación
inicialmente anómala y que debe ser analizada para tomar las decisiones que
correspondan.

En este contexto, el concepto de indicador que se aplica en el modelo es el convencional,


en tanto que se denomina alertas a determinado tipo de controles incorporados a los
procesos, de forma que se activan cuando el factor de riesgo que queremos evitar se ha
producido, y es probable que se produzca el riesgo que queremos evitar. Una vez activadas
las alertas, como consecuencia de la aparición de un hecho aislado previamente
diagnosticado, se impedirá el progreso de la operación hasta que se aclare la procedencia
de la actuación, evitando así que se materialice la amenaza.

El proyecto incluye tres técnicas combinadas:

 Alertas. Construidas en los propios procesos operativos, sirven para detectar


situaciones incidentales antes de su ocurrencia, y evitar problemas potenciales. Se
aplican, por ejemplo, en control de pagos.

www.auditool.org 86
 Ratios e indicadores. Su utilización se extiende a toda información relevante,
periódica y fiable que, con independencia de la forma como sea obtenida, señale con
alta probabilidad la existencia de deterioro en algún control básico
 Acceso remoto a la información. Permite optimizar las tareas de preparación de los
trabajos, al incorporar herramientas que permiten el testeo de nuevas alertas, ratios
y/o indicadores.

La utilización de cada técnica dependerá de los riesgos a cubrir y de la disponibilidad de la


información suficiente para diseñar y explotar estas herramientas.

Las alertas son de uso bastante generalizado por la Unidad de Intervención en su actividad
de supervisión continua y en su rol de ejecutor de determinados controles. Tienen la
virtualidad de impedir el progreso del proceso; identifican situaciones concretas de riesgo
derivadas de aplicar técnicas de control avanzadas (principalmente forenses) sobre las
bases de datos.

Los sistemas actuales permiten establecer los puntos de riesgo, segregar las operaciones
con alto riesgo potencial y centrar la dedicación en situaciones incidentales.

 Su empleo por Intervención permite detectar operaciones y/o descubrir tendencias


antes de que constituyan un riesgo para la organización.
 Estas alertas se parametrizan en los sistemas de información, para que discriminen
aquellas operaciones que no cumplan determinados requisitos, con anterioridad a su
evento, por lo que se evitan problemas potenciales.
 También se facilita su seguimiento y el estado de su resolución.

Como vemos en los procesos elegidos para aplicar alertas, éstos se corresponden con
aquellos en los que Intervención tiene una participación activa en la aplicación de controles,
ya que, por su naturaleza, es una herramienta de supervisión continua de los procesos.

La mecanización de los procesos de gestión ha conducido a las siguientes conclusiones:

 Los sistemas actuales permiten establecer los puntos de riesgo, segregar las
operaciones con alto riesgo potencial y centrar la dedicación a situaciones
incidentales.
 El acceso remoto a la información permite hacer un seguimiento a distancia de la
evolución de las operaciones.
 Esto ha posibilitado la supervisión global, de efecto casi inmediato por parte de
Intervención Corporativa.
 Esto también permitirá la especialización por tipos de riesgos de las unidades de la
empresa.

www.auditool.org 87
El modelo implementado inicialmente constaba de esta cantidad de alertas, situadas en los
siguientes procesos:

A título de ejemplo a continuación mostramos las 19 alertas del proceso de Cuentas a


pagar.

En el desarrollo de los indicadores, denominados KRI, la situación es la que consideramos


convencional, que incide en la evolución de determinadas métricas usadas para observar
su comportamiento real, identificando aquel que se considere fuera de normalidad, y
procediendo a su posterior investigación para aclarar la/s causa/s que lo justifiquen:

• Se dispone de diversos indicadores, unos basados en el análisis de ratios y


variaciones, y otros en el seguimiento de controles, transacciones y riesgos, utilizados
por las Unidades de Auditoría Interna e Intervención.
• Suponen una supervisión de mayor nivel que las alertas, por lo que precisan de
confirmación, pues no todas las variaciones de indicadores son constituyentes de
problemas y/o riesgos para la organización.

www.auditool.org 88
Podemos señalar que el elevado grado de mecanización existente en esa organización, así
como su amplia extensión geográfica, y la forma en que se fue ampliando el perímetro
societario a base de progresivas incorporaciones, supuso una complicación adicional a la
implementación del modelo, pues los datos existentes en las aplicaciones tenían formatos
no homogéneos, y este es uno de los problemas principales a resolver. Esta circunstancia
podría evitarse, o al menos atenuarse, si la complejidad de la estructura societaria no fuese
tan alta.

El proyecto de monitoreo, supervisión continua y auditoría a distancia se aborda con una


definición amplia que incluye tres niveles:

 Monitoreo continuo preventivo con capacidad suspensiva. Las situaciones


incidentales se identifican antes del evento mediante alarmas, para evitar los
problemas potenciales.

 La utilización de ratios, indicadores u otras alarmas. Se define como parte de la


supervisión continua a toda información relevante y periódica que señale con alta
probabilidad la existencia de un deterioro en alguno de los controles básicos. Los
eventuales problemas no se evitan, pero se detectan de forma más rápida.

 Las técnicas de acceso remoto a la información permiten optimizar las tareas


de preparación de los trabajos. Es especialmente útil por el ahorro de tiempo de
ejecución, al mismo tiempo que reduce sus efectos sobre el desarrollo de la actividad
de las unidades auditadas.

www.auditool.org 89
La estandarización o normalización de la información es condición sine qua non para
desarrollar el modelo, ya que ello nos permitirá actuar de forma homogénea con
aplicaciones informáticas adecuadas.

Bueno, llegamos casi el final, pues aún queda diligenciar los cuestionarios para acreditar el
aprovechamiento del curso, que espero sea generalizado.

Gracias por su atención.

www.auditool.org 90