Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Módulo 1: Cómo superar las Evaluaciones de Calidad de las Unidades de Auditoría Interna
www.auditool.org
Evaluaciones de Calidad
Módulo 1: Cómo superar las Evaluaciones de Calidad de las Unidades de
Auditoría Interna
Uno de los objetivos que todas las Organizaciones deben perseguir, es el de actuar
de forma eficiente, es decir, conseguir los resultados que se hayan establecido con
el empleo de los recursos estrictamente necesarios para ello, dicho de otra manera,
actuando con calidad.
Hoy en día, por múltiples motivos, la función auditora está muy extendida en los
ámbitos empresariales, recayendo en ella, entre otras, la responsabilidad de la
supervisión del control interno aplicado en las Organizaciones, por lo que resulta
imprescindible garantizar que la actuación realizada se ajuste a las mejores
prácticas conocidas. Para ello resultará imprescindible que su actividad sea
evaluada de forma continuada, detectando las oportunidades de mejora que
pudieran existir, y verificando que las mismas posteriormente se aplican.
Siendo esta la causa por la que en el propio Marco Internacional para la Práctica
Profesional de Auditoría Interna (MIPPAI) se recoge la siguiente manifestación:
Aunque entendemos que ya será conocida por los participantes del presente curso,
permítasenos que recordemos la definición que de la función auditora se recoge en
el MIPPAI, según el cual Auditoría Interna:
Por lo que creemos oportuno que deberíamos empezar por profundizar en dichos
procesos, ya que entendemos, sería imposible desarrollar adecuadamente nuestra
actividad si no estuviésemos manejando adecuadamente el alcance de cada uno
de ellos.
Trabajar con calidad requiere que empleemos las mejores prácticas conocidas de
estos tres procesos.
Aspectos que, de una u otra manera son atendidos por diversos protocolos, entre
ellos el denominado COSO, que es sobre el que nos apoyaremos básicamente en
el desarrollo del curso.
El enfoque COSO constituye la concepción de control interno que actualmente
cuenta con mayor aceptación mundial; no obstante, como acabamos de señalar, no
es el único. Por ello, tras la emisión del Informe COSO original, en 1992, la
normativa internacional fue adaptándose y ajustándose poco a poco a sus
definiciones. Teniendo en cuenta la dinámica mundial, en 2013 se emitió una nueva
versión actualizada.
Ambiente de control.
Principio 1: Demostrar compromiso con la integridad y los valores éticos
Principio 2: El Consejo de Administración debe demostrar su independencia
respecto de la administración y ejercer la supervisión y la eficacia de los controles
internos.
Principio 3: Establecer la estructura, líneas de reporte, autoridad, y
responsabilidades apropiadas.
Principio 4: Demostrar compromiso para la competencia de los recursos
empleados.
Principio 5: Retener a los individuos comprometidos con sus responsabilidades en
el control interno.
Evaluación de riesgos.
Principio 6: Especifica objetivos con suficiente claridad para permitir la
identificación y valoración de los riesgos.
Principio 7: Identifica y analiza los riesgos.
Principio 8: Evalúa el riesgo de fraude.
Principio 9: Identifica y analiza cambios importantes.
Actividades de control.
Principio 10: Selecciona y desarrolla actividades de control.
Principio 11: Selecciona y desarrolla controles generales sobre tecnología.
Principio 12: Desplegar actividades de control a través de políticas y
procedimientos
Información y comunicación.
Principio 13: Obtener y usar información relevante y de calidad para apoyar el
funcionamiento del control interno.
Principio 14: Comunicar y compartir información internamente.
Principio 15. Comunicarse con los grupos de interés externos con respecto a
situaciones que puedan afectar al control interno.
Monitoreo.
Principio 16: Seleccionar, desarrollar y realizar evaluaciones continuas y/o
independientes con las cuales comprobar la aplicación del control interno.
Principio 17: Evalúa y comunica las deficiencias que pudieran observarse.
Como bien sabemos, la actividad económica está desarrollada por dos sectores: el
público y el privado, pudiendo indicar que en el período posterior a la Segunda
Guerra Mundial, muchos países fomentaron la participación del sector público en
detrimento del sector privado. Sin embargo, a partir de 1980 el peso del sector
público dentro de la actividad económica ha ido decayendo en favor del sector
privado, incluyendo un conjunto de privatizaciones que ha persistido durante los
años noventa y los primeros del presente siglo.
Con independencia de esta distribución de actividades entre ambos sectores,
podemos señalar que, aparte de las actividades en las que habitualmente puedan
participar cada uno de ellos, como por ejemplo sucede en el sector público en el
ámbito de la sanidad, la educación, la creación de infraestructuras, etcétera, lo que
también podemos señalar es que cualitativamente existen otras diferencias entre
ambos sectores: como es la propiedad del patrimonio vinculado a las actividades a
desarrollar, que la pública no debe buscar la maximización de sus beneficios, ya
que su objetivo debe ser el interés general de la colectividad a la que pertenece, el
que los empleados de la pública son funcionarios, la presencia de posibles actos de
corrupción, entre otras diferencias, por lo que la forma de entender el control interno
entre ambas puede diferir.
Motivos por los cuales los protocolos sobre control interno empleados por ambas
pueden no ser unitarios y diferir en algunos aspectos.
En el gráfico se puede observar que existen tres círculos correspondientes a los tres
módulos que lo integran: (i) Módulo de control de planeación y gestión; (ii) Módulo
de control de evaluación y seguimiento y (iii) Modulo transversal de información y
comunicación. Adicionalmente, en los Módulos de control se encuentran los 6
elementos o componentes básicos a supervisar:
• Talento Humano.
• Direccionamiento estratégico.
• Administración del riesgo.
• Autoevaluación institucional.
• Auditoría Interna.
• Planes de mejoramiento.
Componentes a los que se adscriben 13 elementos de control que se pueden
visualizar, a continuación:
En este sentido, creemos adecuado hacer referencia explícita, como mínimo, a las
Normas establecidas por la Superintendencia Financiera Colombiana. Por lo que
hemos de referirnos a la Circular 029-2014 con la que se actualizó la 014-2009,
dado que esta es la que de forma específica trata de este tema, recogiéndose en
su articulado las “Instrucciones relativas a la revisión y adecuación del Sistema
de Control Interno”, de acuerdo con la siguiente resolución:
Los principios sobre los que se basa este Sistema de Control Interno son:
Autocontrol, Autorregulación y Autogestión. Debiendo entender por:
Aspectos que entendemos como una mejor práctica y que deberían considerarse
también en cualquier otro entorno empresarial, no solo en el colombiano.
• Ambiente de control.
• Gestión de riesgos.
• Actividades de control.
• Información y comunicación.
• Monitoreo.
• Evaluación independiente, ya que se considera necesario realizar
adicionalmente evaluaciones independientes que se centren directamente
sobre la efectividad del SCI, las cuales deben ser realizadas por personas
totalmente independientes del proceso como requisito indispensable para
garantizar su imparcialidad y objetividad. Por ejemplo, a través de auditores
internos, externos o el revisor fiscal.
Como vemos, aunque el Sistema de Control Interno debe abordar todas las áreas
de la organización, debido a la gran trascendencia del área contable y tecnológica,
se debe establecer internamente:
(i) un Sistema de Control de la Información Financiera que garantice que los estados
financieros que se presenten interna y externamente reflejen la imagen fiel de la
realidad económica de la entidad, y (ii) que el diseño del Sistema de Control Interno
para la tecnología de la información empleado responda a las políticas, necesidades
y expectativas de la entidad.
Centrándonos en los roles que deben desempeñar los distintos actores que
participan de forma destacada en el Gobierno Corporativo de las entidades
reguladas por la Superintendencia Financiera Colombiana, podemos indicar que a
estos se les reserva, en forma totalmente similar a la que se establece en los demás
protocolos que inciden en este Proceso, las siguientes actuaciones:
Junta Directiva:
1. Participar en la planeación estratégica de la entidad, aprobarla y efectuar
seguimiento para determinar las necesidades de re direccionamiento.
2. Definir y aprobar las estrategias y políticas generales relacionadas con el Sistema
de Control Interno, con fundamento en las recomendaciones del Comité de
Auditoría.
3. Definir líneas claras de responsabilidad y rendición de cuentas a través de la
organización.
4. Analizar el proceso de gestión de riesgo existente y adoptar las medidas
necesarias para fortalecerlo en aquellos aspectos que así lo requieran.
5. Designar a los directivos de las áreas encargadas del Sistema de Control Interno
y de la gestión de riesgos.
6. Adoptar las medidas necesarias para garantizar la independencia del auditor
interno y hacer seguimiento a su cumplimiento.
7. Presentar al final de cada ejercicio a la Asamblea General de Accionistas, a la
junta de socios o al máximo órgano social, un informe sobre el resultado de la
evaluación del Sistema de Control Interno y sus actuaciones sobre el particular.
Contralor Normativo: Deben contar con la figura del contralor normativo las
sociedades comisionistas de bolsa, según lo dispuesto en el artículo 21 de la Ley
964 de 2005, y las sociedades administradoras de carteras colectivas, de
conformidad con el Decreto 2175 de 2007 y demás normas que lo modifiquen.
La ausencia y/o incumplimiento de las anteriores figuras, afectaría la calificación de
la evaluación de calidad en aquellas compañías que lo requieran.
+ SGIR
Nuevo Componente
Componente Ampliado
Nuevo Componente
Nuevo Componente
a las dos
r to
s ide de la
n s e
Co ade les d ión
id ive ac
tiv
ac los n aniz
org
Se incluyeron:
v Los Objetivos Estratégicos, que son aquellos que fijan la estrategia de la
compañía, debiendo señalar que de los Objetivos Estratégicos se derivará la
estrategia a desarrollar, y de esta, los otros objetivos de la empresa: los
operativos, informativos y los de cumplimiento.
v La Identificación de eventos. Es decir, los fenómenos que afectan a la
empresa, ya sea favorable o desfavorablemente en el camino de conseguir los
objetivos marcados.
v La Respuesta a los riesgos. Previo análisis del coste-beneficio, lo que se
trataría de conseguir es saber cómo responder a ellos, por cualquiera de estas
cuatro alternativas: (i) evitándolos, (ii) reduciéndolos, (iii) compartiéndolos o (iv)
aceptándolos.
Por lo que, en nuestra opinión, COSO II, está constituido por el modelo de
Control Interno (COSO I), más un Sistema de Gestión de Riesgos. Pero incluso
podríamos señalar que estamos hablando de dos aspectos íntimamente
relacionados, ya que el uno, el Control Interno, no puede existir sin el otro, la Gestión
de Riesgos, y viceversa.
Igualmente, dentro del entorno local que nos desenvolvemos se encuentra Norma
Técnica Colombiana 5254, del año 2004.
Destacando, con carácter general, que todos ellos obedecen a dos hitos
fundamentales: (i) Establecer una base sólida sobre la cual se sustente el proceso
de gestión de riesgos, y (ii) contar con un modelo operacional basado en una
metodología robusta y adecuadamente implementada.
“La gestión del riesgo es un proceso iterativo que consta de pasos bien
definidos que, tomados en secuencia, apoyan una mejor toma de decisiones
mediante su contribución a una mayor profundización en los riesgos y sus
impactos.
- Para que sea lo más efectiva posible, la Gestión de Riesgos debe volverse
parte de la cultura de una organización.
- La alta dirección debe definir y documentar su política para Gestión de
Riesgos, incluidos sus objetivos y su compromiso con ella.
- La política de Gestión de Riesgos debe ser pertinente para el contexto
estratégico de la organización y sus metas, objetivos y la naturaleza del
negocio.
- La dirección debe asegurarse que su política sea entendida, implementada y
mantenida en todos los niveles de la organización.
Pudiendo señalarse que el significado que debe asignarse a estos elementos es:
Por último, si del análisis de los riesgos residuales aún existentes se concluye que
la situación no es compatible con las metas deseadas, se haría preciso marcar la
estrategia para reconducir la situación.
Dicha Teoría (Jensen y Meckling, 1976) constata que en general existe una falta de
concordancia de intereses entre la propiedad y los empleados, debido a que la
propiedad está interesada en que sea máximo el producto, utilidad o beneficios de
la empresa -la maximización de sus ingresos-, mientras que los empleados, sean
directivos o no, estarán interesados en maximizar su renta personal -monetaria y no
monetaria.
Hay que señalar que en los ámbitos empresariales es habitual que nos encontremos
con:
Por el primero, el príncipe o el magistrado hace las leyes para cierto tiempo o para
siempre, y corrige o deroga las que están hechas. Por el segundo poder se hace la
paz o la guerra, se envían o reciben embajadores, se establece la seguridad y se
previenen las invasiones; y por el tercero, se castiga los crímenes o decide respecto
de las contiendas de los particulares.
Cuando los poderes legislativo y ejecutivo se hallan reunidos en una misma persona
o corporación, entonces no hay libertad, porque es de temer que el monarca o el
senado hagan leyes tiránicas para ejecutarlas del mismo modo.
Así sucede también cuando el poder judicial no está separado del poder legislativo
y del ejecutivo.
Estando unido al primero, el imperio sobre la vida y la libertad de los ciudadanos
sería arbitrario, por ser uno mismo el juez y el legislador y, estando unido al
segundo, sería tiránico, por cuanto gozaría el juez de la fuerza misma que un
agresor.
Pero ya que en todos los países existe una Constitución, al igual que en las
empresas unos Estatutos, la pregunta que nos surge es: ¿Son adecuadas, se
respetan?
Definición que posteriormente, año 2004, fue modificada por “El Gobierno
Corporativo es un elemento clave en la mejora del crecimiento y la eficiencia
de la economía, así como, en el incremento de la confianza de los inversores.
Asamblea de
accionistas
Consejo de
Comités de apoyo al Comités delegados
Administración
Consejo
Dirección General
(Gerencia General)
Dirección
Dirección Comercial Dirección Operativa
Administrativa
Principios que deben ser establecidos en base a las mejores prácticas corporativas
conocidas.
Consejo de
Administración
(Directorio)
Comités
Operación del negocio,
Resultados, transparencia,
control interno y Estrategia
administración
Políticas
de riesgos Objetivos
directivas Elección Comunicación y
oTransparencia
Plan de con accionistas representación
largo plazo o Fortalecimiento de
Seguimiento la administración
y control o Crear confianza
o Evitar riesgos
o Planeación y seguimiento
estratégico
Administración
Accionistas
Inversión
Dividendos y crecimiento
Entrega de información
Aunque son múltiples los protocolos sobre Gobierno Corporativo que existen en la
actualidad, podemos señalar que, con carácter general, todos ellos se desarrollan
en base a determinados principios, tales como:
• Generar una cultura y visión global para el tratamiento equitativo de todos los
grupos de interés de la empresa, en términos de transparencia y confiabilidad.
• Crear confianza en la Organización, consolidando las relaciones estables y
armónicas entre la empresa y todos los demás actores de su cadena productiva.
• Contribuir al prestigio y a la buena imagen corporativa como resultado del
ejercicio de una ética empresarial colectiva.
Entidades de
Comunidad
Vigilancia y Control
Accionistas Proveedores
GOBIERNO
Inversionistas CORPORATIVO
Empleados
Acreedores
Clientes
Entidades
Municipales Entidades
Estatales
Señalar los sistemas de control y de medición de los logros del mismo control.
De igual forma que hicimos con los protocolos que guían los procesos relativos a
los Sistemas de Control Interno y el de Gestión de Riesgos, consideramos
conveniente hacer una breve referencia a la normativa colombiana que atiende los
aspectos relacionados con el Gobierno Corporativo.
Como puede observarse, el Gobierno Corporativo en Colombia tiene acumulada
bastante experiencia. Inició en el año 2001 y a través del tiempo ha introducido
diversos cambios.
Dentro de los aspectos que están recogidos en estos Códigos de Buen Gobierno de
las organizaciones, destacamos en esta fase del curso los roles a desempeñar por
los Comités/Comisiones de Auditoría, así como también las de las Unidades de
Auditoría Interna.
Para acabar con este apartado, no deberíamos dejar, al menos, de enunciar dos de
los Códigos de Buen Gobierno de gran importancia en el ámbito empresarial
internacional como son: Sarbanes-Oxley Act. (SOA) y los Comités de Basilea.
Parece claro que hoy convivimos con un protagonismo de las regulaciones con las
cuales evitar los excesos que se han producido en las últimas décadas, así como
también una mayor exigencia del Control Interno de las Organizaciones, en cuyo
proceso deben participar, como hemos señalado, todos los niveles de las mismas,
ya que es un objetivo colectivo que requiere aunar esfuerzos; pero sin olvidar que
puede haber diversos caminos críticos para conseguir optimizarlo.
4ª: Disponer de una Auditoría Interna que aporte valor requiere que ésta se
desenvuelva con calidad. No todas las auditorías son válidas, solo lo serán las
que realicen eficaz y eficientemente su trabajo.
No nos valen las auditorías que cumplen un mero papel estético, deben actuar como
supervisores independientes y confiables.
5º: Una Unidad de Auditoría Interna de calidad es aquella que actúa según las
Normas del Institute of Internal Auditors. Puesto que es el protocolo que nos
señala cómo debemos actuar.