Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO NACIONAL
TITULO:
“Auditoría Interna y la Gestión de Riesgos en una perspectiva de 360º”
Tema 2.2: Ubicación de la Auditoria Interna como una unidad interna de gestión, nuevo
paradigma; la auditoria y la gestión de riesgos
Autor:
Armando Villacorta Cavero
Un enfoque en una perspectiva de 360º implica una nueva visión que debe ir
acompañado de nuevos conocimientos, por tanto, el presente trabjo se desarrolla en
cuatro secciones.
La primera parte del trabajo de investigación revisa los temas claves de riesgos que un
auditor interno debe conocer en la idea de centrar sus actividades en un enfoque
basado en riesgos y con una cobertura amplia.
PALABRAS CLAVES
Auditoría interna
Gestión de riesgos
Normas Internacionales de la profesión de auditoria interna
Apetito de riesgos
Tolerancia al riesgo
Universo de riesgos
Matriz de riesgos
Perspectiva de 360º
INTRODUCCION
En tal sentido, si deseamos tener un auditor interno involucrado con los riesgos en una
perspectiva de 360º, ya no es válido tener a un auditor en una zona de confort con
trabajo de auditoría interna predecible y cíclica; sino por el contrario, tener un auditor
relevante frente a los riesgos, capaz de enfrentar un panorama de negocios incierto y
desafiante.
Riesgo Inherente
Riesgo Residual
Riesgo remanente después de la acción realizada por la administración para alterar su
probabilidad o impacto (COSO ERM, 2004).
Las amenazas deben estar debidamente gestionadas, para lo cual, resultará necesario
estimar la situación real de estos riesgos, a través de la cuantificación de los riesgos
residuales en los procesos empresariales.
Esta forma de proceder es fundamental para la actividad auditora, puesto que permite
posicionar objetivamente al auditor interno, y sin la influencia de la opinión subjetiva de
los gestores respecto de la situación por ellos estimados sobre los procesos. También,
ayuda a direccionar la verificación de que los controles realmente aplicados sitúan a
los riesgos dentro de la zona de tolerancia que se han establecido en la organización.
Matriz de Riesgos
Por tanto, la matriz debe ser una herramienta flexible que documente y evalúe de
manera integral el riesgo de una organización, a partir de lo cual se realiza un
diagnóstico objetivo de la situación global de riesgo de la empresa.
Una vez establecidas todas las actividades, se deben identificar las fuentes o factores
que intervienen en su manifestación e impacto. Con todos estos datos, se puede
responder a las preguntas: ¿Qué áreas son más riesgosas? ¿Cómo priorizamos?
¿Quién es el responsable por su gestión?, etc. Esta es la importancia de la matriz de
riesgos: entregar información para gestionar en forma proactiva los niveles de riesgo
existentes en las actividades de una organización, en función de haber definido niveles
de probabilidad e impacto.
Una vez definidos los parámetros, los mismos permiten absorber la información de las
fuentes definidas, para valorizarla en los respectivos vectores de impactos y
probabilidad.
Cabe aclarar que el nivel de riesgo cero no existe en la naturaleza por definición.
A nivel teórico existe el cálculo del riesgo a partir de los valores agregados de impacto
y probabilidad, y se obtiene multiplicando ambas variables (Cox 2008; UIF de Australia
2006).
5. Los fallos de auditoría interna no solo son incómodos para las actividades de
auditoría interna, sino que también exponen a una organización a un riesgo
significativo. Mientras no haya garantía absoluta de que no van a ocurrir fallos de
auditoría, una actividad de auditoría interna puede implantar las siguientes prácticas
para mitigar dicho riesgo:
· Análisis periódico del plan de auditoría: analizar el plan de auditoría actual para
evaluar qué tareas son las de mayor riesgo. Mediante la identificación de las tareas de
mayor riesgo, la dirección de la actividad de auditoría interna obtiene mejor visibilidad
y puede dedicar más tiempo a la comprensión del enfoque de las tareas críticas.
8. Aunque no existe forma de atenuar los riesgos del falso aseguramiento, una
actividad de auditoría interna puede manejar proactivamente su riesgo en esta área.
Una comunicación frecuente y clara es una estrategia clave para controlar el falso
aseguramiento.
Mantener una “marca” fuerte es primordial para el éxito de las actividades de auditoría
interna y su habilidad para contribuir con la organización. En la mayoría de los casos,
la marca de la actividad de auditoría interna se ha creado durante varios años a través
de trabajo consistente y de alta calidad. Desgraciadamente, esta marca puede
destruirse instantáneamente por un acontecimiento desfavorable de alto nivel.
10. Por ejemplo, una actividad de auditoría interna puede tenerse en gran estima por
haber tenido a los ejecutivos financieros clave realizando tareas rotativas como
auditores internos, lo que se vería como campo de formación para los futuros
ejecutivos.
11. En otro ejemplo, durante una auditoría del departamento de recursos humanos, los
auditores internos pueden descubrir que las verificaciones de antecedentes no se han
revisado adecuadamente. El descubrimiento de que auditores internos recién
contratados no tenían la educación apropiada, mientras que otros han estado
involucrados en actividades criminales, podría impactar gravemente la credibilidad de
la actividad de auditoría interna.
12. Situaciones como estas no solo son embarazosas, sino que también dañan la
efectividad de la actividad de auditoría interna. Proteger la reputación de la “marca” de
la actividad de auditoría interna no tan esencial para la actividad de auditoría interna,
como para la organización en su totalidad. Es importante que las actividades de
auditoría interna consideren a qué tipos de riesgos se enfrentan que podrían impactar
en su reputación y desarrollen estrategias atenuantes para tratar estos riesgos.
Por tanto, el presente trabajo colabora con los profesionales que se desempeñan en el
campo de la auditoría interna brindándoles un enfoque de 360º sobre la base del
Marco para la Práctica Profesional de la Auditoría interna, que implica una análisis de
los hechos internos y externos, y de las noticias más relevantes de la actualidad
mundial y empresarial con especial énfasis en la gestión de riesgos, y que considera
todas las relaciones representativas que tiene la empresa, el auditado y el auditor
interno en esta materia.
Por tanto, el desarrollo de un plan estratégico de auditoría interna permite enfocar los
recursos humanos y financieros al logro de los objetivos determinados en la misión de
la unidad de auditoría interna, los que deben a su vez, contribuyen al logro de los
objetivos de la organización.
El plan estratégico del auditor interno debe desarrollar en su primera parte la misión,
visión y valores fundamentales del departamento, así como su relación con los ejes
estratégicos de la empresa. Por tanto, el Auditor Interno debe comprender los
elementos estratégicos de la organización como son la visión, misión, los objetivos
estratégicos, las metas, las estrategias específicas y el presupuesto. Por otra parte,
también se debe estudiar el modelo para análisis e implementación de la estrategia y
la misión en la organización, por ejemplo; el Análisis FODA (Fortalezas -
Oportunidades - Debilidades - Amenazas). También deben considerarse las
expectativas de otras partes interesadas internas y externas a la organización
La segunda parte incluye detalles relacionados con los objetivos estratégicos del
departamento y sus planes de acción, incluidas las medidas específicas a tomar que
contribuyan a alcanzar el objetivo y una fecha estipulada para cada fecha a tomar.
Los objetivos y planes de acción abarcan de uno a dos años (se recomienda un
horizonte de tres años).
En esta sección, el análisis de los factores críticos de éxito es clave. Estos factores se
pueden definir como; elementos estratégicos internos y externos a la unidad de
auditoría interna, que necesariamente deben tener resultados satisfactorios en la
implantación de la estrategia de auditoría interna, para que esta alcance su misión,
visión y objetivos.
Estos factores proporcionan los elementos esenciales contra los cuales todas las
estrategias de la auditoría interna deben ser revisadas para ayudar a que los recursos
se centren en las actividades más importantes. Por ejemplo, posicionamiento
organizacional, proceso de trabajo, recursos humanos.
Finalmente, Con el fin de asegurarse que el Plan Estratégico de Auditoría Interna
cumpla con los resultados deseados, debe realizarse una supervisión de su ejecución
y su impacto en forma adecuada.
Como resultado de este análisis auditoria interna puede añadir nuevos objetivos y
medidas a tomar según sea necesario y modificar el cronograma.
El Documento Técnico N° 83 Versión 0.1 del Consejo de auditoria Interna del Gobierno
de Chile de junio 2015 nos ilustra una estructura que mostramos a continuación (figura
No 2).
Figura No2 – Formato de plan Estratégico
Fuente: Documento Técnico N° 83 Versión 0.1 del Consejo de auditoria Interna del
Gobierno de Chile de junio 2015
En la formulación del Plan Anual de Auditoría Interna, como primer paso, se debe
determinar el Universo de Auditoría, a través de la consulta de diversas fuentes de
riesgos para obtener información de todos los elementos y temas relevantes para la
empresa, tanto de nivel estratégico, legal, entorno, organizacional, sistemas de
información, recursos humanos y financieros.
Por último, el avance de la ejecución del Plan Anual de Auditoría, debe ser evaluado y
controlado por el Jefe de Auditoría Interna con la finalidad de tomar las medidas
necesarias cuando se produzcan demoras u obstáculos que pongan en riesgo la
ejecución total o parcial de dicho Plan.
Mientras que el ECA es una lista de vigilancia de los riesgos críticos y emergentes que
tienen implicancia en las labores de auditoría interna programadas, y/o son sensibles a
los objetivos de la organización. Estos se incluyen generalmente en los encargos de
auditoría específicos o permiten ajustar el plan anual de auditoria.
Es por ello que las compañías en esta época de cambio deberán encaminar esfuerzos
en la obtención o el desarrollo de tecnología que permitan el logro de la
automatización de los procesos de la auditoría interna y convierta a este
departamento, en una “consola” donde los tableros de control monitoreen
continuamente las operaciones y transacciones realizadas con el fin de prevenir el
error, el fraude y la desviación de indicadores en la ejecución de las actividades que
contribuyen a la generación de bienes o servicios
– Uso y acceso a los datos. Contar con las herramientas de análisis que permitan
desarrollar capacidad de acceso y análisis en tiempo real de los procesos y
transacciones de la compañía previa la verificación de la integralidad y fiabilidad de los
datos.
– Evaluación continua del riesgos y del control. La auditoría deberá identificar los
puntos de control crítico con el propósito de encaminar sus esfuerzos a identificar
deficiencias o ineficiencias y operaciones inusuales.
En tal sentido, para potenciar las competencias del auditor interno no solo tenemos
que hacer un mejor uso de las tecnologías, mejorar las habilidades de comunicación o
ser capaces de responder a las expectativas de nuestros grupos de interés; sino
también, desarrollar la cualidad del auditor de la que apenas se habla, la habilidad
para emplear el pensamiento crítico (en el sentido positivo del término).
Uno de los pasajes más curiosos del último libro de Daniel Lacalle, que tenéis
referenciado en la página de 'Lecturas obligadas' del blog, es aquél en el que cuenta
cómo fue contratado por uno de los mayores fondos de inversión de la City, a pesar de
ser algo mayor para el puesto. Este empleador le contrató por su capacidad de
proponer ideas diferentes, ya que exactamente buscaban a alguien capaz de pensar
en contra de las ideas establecidas.
Kenichi Omahe, también conocido como Mister Strategy, es autor de más de 200
libros, algunos tan interesantes como La Mente del Estratega o El próximo escenario
global. Pues bien, según Omahe el método del estratega consiste en enfrentarse a las
ideas predominantes con una simple pregunta: ¿por qué?
Los auditores internos contamos con unas condiciones ambientales e inherentes que
son claves para el ejercicio del pensamiento crítico. Me refiero a la independencia de
la organización y a la objetividad individual. A esto hay que añadirle nuestra
propensión natural a actuar con el debido cuidado y escepticismo profesional. Por
tanto la capacidad de observación y de plantearnos el porqué de las ideas
predominantes, parafraseando a Omahe, deberían estar muy presentes a la hora de
realizar cualquier trabajo. Creo que así podremos aportar respuestas más valiosas a
nuestros grupos de interés y contribuir a nuestra misión, como protectores del valor de
las organizaciones.
Capítulo 4 – Los números y estadísticas alrededor de una auditoria de riesgos de
360º
También menciona el estudio que, estos datos sacan a la luz la necesidad de que
auditoría interna siga mejorando sus capacidades y su aportación de valor en las
áreas de riesgo más críticas para las organizaciones. Si no se prepara un plan y se
tratan de alcanzar nuevas metas, auditoría interna corre el riesgo de convertirse en
una función menos relevante de lo que le corresponde, lo que le puede llevar a no
jugar el papel decisivo que debe tener en las organizaciones.
Fuente: Estudio sobre el estado de la profesión de auditoría interna de 2013 –
PWC
Tal y como se ilustra en la (Figura 5), las empresas del estudio parecen reconocer la
importancia del análisis masivo de datos. Sin embargo, las conclusiones muestran
también que las empresas parecen estar muy lejos de aprovechar plenamente estas
herramientas. Solo el 31% utiliza el análisis masivo de datos de manera habitual, y de
entre las que tienen intención de ampliar el uso de estos análisis, el 71% carece de un
plan convenientemente desarrollado al respecto. Los responsables de auditoría interna
han afirmado que las principales barreras para la integración de estos análisis son la
ineficiencia de los procesos de recopilación de datos (48%) y la obtención de perfiles y
recursos que respalden su visión y les permitan alcanzar el estatus deseado (46%).
Fuente: Estudio sobre el estado de la profesión de auditoría interna de 2013 –
PWC
Las bajas puntuaciones obtenidas en el ámbito de la gestión del talento indican que lo
primero que ha de solucionarse es la obtención de recursos, ya que las funciones no
pueden sentar sus bases y asumir mayores retos si no cuentan con las personas
adecuadas. Solo un tercio de los encuestados afirma que la función de auditoría
interna obtiene buenos resultados en la contratación y formación del talento. Además,
los stakeholders han mencionado la falta de experiencia, la falta de talento suficiente y
la carencia del nivel adecuado de competencias entre las principales barreras para la
mejora de resultados por parte de la función de auditoría interna. Los responsables de
esta función son conscientes de la necesidad de incorporar talento y muchos (la
mayoría) tienen previsto hacerlo (Figura 6).
CONCLUSIONES
1.3 Proponer una mejora en las técnicas de auditoría interna en el país, que tiene por
finalidad incorporar nuevas herramientas que mejoren el desempeño en las
actividades de evaluación del sistema de control interno y gestión de riesgos.
1.5 Los usuarios de la auditoría interna esperan una mayor interacción con sus
auditores de manera proactiva e interactiva.
GUIAS DE DISCUSION
¿Qué conocimientos de riesgos deben ser consolidados por un auditor interno para
aplicar un enfoque basado en riesgos?
¿Qué herramientas puede un auditor interno usar para abarcar sus labores en una
Perspectiva de 360º?
¿Qué reflexiones podemos obtener de las estadísticas que las firmas profesionales
han obtenido del mercado mundial?
¿Qué implica ser un auditor interno en una perspectiva de 360º para los stakeholders?
¿Qué implica generar valor agregado en una auditoría interna con una perspectiva de
360º?
BIBLIOGRAFIA
Deloitte LLP. Coso Enhances Its Internal Control — Integrated Framework (2013)
Volume 20 Issue 17. 10 de Junio 2013
Reding, K., Sobel P., Anderson U., Head, M., Ramamoorti S., Salamasick M. (2009).
Auditoria Interna: Servicios de aseguramiento y consultoría. 2009. Fundación de
investigaciones del IIA.
Alcanzando cotas más altas: ¿Listo para emprender el viaje? – Informe de Estado de
la Profesión – PwC (2013) https://www.pwc.es/es/.../assets/informe-estado-profesion-
auditoria-interna-2013.pdf, (consultado el 1 de julio de 2017).
SEUDONIMO
Correo de contacto:
avillacorta@esan.edu.pe
511-998704856