[Mayo/2015]

M I A I A.
Modelo Integrado de
Auditoría Interna Auditool

Módulo 8 – Identificación y evaluación de riesgos

a través de indicadores
www.auditool.org
MIAIA

8. IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS A TRAVÉS DE INDICADORES

El verbo indicar, de acuerdo con el diccionario de la Real Academia de la Lengua Española,

significa “dar a entender una cosa con señales, gestos o palabras”. En este sentido, un
indicador puede ser una señal de circulación que nos informe de la distancia que nos separa
de una determinada población, pero también la tensión arterial de una persona que nos
alerte sobre la existencia de algún posible problema en la persona auscultada.

Sin embargo, en el entorno del presente Vademécum solo entenderemos por indicador
cualquier información que nos permita interpretar o diagnosticar anticipadamente una
determinada amenaza, pues lo que nos interesa es detectar la presencia de riesgos por sus
síntomas más primigenios, cuando aún su fase crítica no se haya manifestado, pues
siempre será preferible prevenirlos en lugar de corregir sus efectos.

En resumen, un indicador, desde la interpretación que nos debe servir de aplicación en la

presente guía, es una forma específica de control, al permitirnos adoptar las medidas
necesarias para evitar la materialización de riesgos.

Al respecto recordemos lo que ya hemos visto en el capítulo 6.1 y la Figura 26, cuando nos
referíamos a los conceptos fundamentales que afectan a los Sistemas de Gestión de
Riesgos, y citábamos los tres tipos de controles que podemos emplear para administrar
riesgos: Correctivos, Detectivos y Preventivos.

Los preventivos son aquellos controles que se situaban al inicio del proceso, mientras que
denominábamos detectivos a los que operan a lo largo e interior del mismo, en tanto que
definimos como correctivos a los que se colocan al final del proceso.

La eficiencia de los indicadores, y de los controles en general, se corresponde con el orden

como los hemos expuesto. Los denominados preventivos, al permitir detectar las
irregularidades sin que el proceso se haya iniciado, reducen los costos debidos al daño
emergente o al lucro cesante que pudiera producirse, en comparación con los que se
producirían si detectásemos el problema una vez iniciado o finalizado el proceso. Esto se
representa en la Figura 44.
MIAIA

Figura 44. Relación entre el tipo de indicador y el costo de los riesgos

En lo que continúa podremos aludir indistintamente a uno u otro tipo de indicadores; si bien,
por lo que acabamos de comentar, lo más conveniente sería la implantación de indicadores
preventivos, esto no siempre será posible.

Adicionalmente, dentro las consideraciones de carácter general que estamos aún

exponiendo, debemos decir que, dada la metodología con la que se realizan los trabajos de
auditoría en sentido estricto podríamos también considerar que estaríamos empleando
indicadores, pues sus resultados son extrapolados a todo el proceso auditado. En esta
metodología con frecuencia se trabaja con muestras significativas, pero limitadas en su
dimensión, con las que se puede concluir sobre algunas características del proceso en su
conjunto.

No obstante, aclaremos que a lo largo del módulo no vamos a emplear esta posibilidad,
pues nos referimos siempre al empleo de herramientas que permitan visualizar,
normalmente de forma continuada, la evolución de ciertos parámetros para concluir si el
proceso está discurriendo dentro de la senda de tranquilidad o, por el contrario, se detectan
indicios de que algo “anormal” está sucediendo, en cuyo caso debemos actuar investigando
la causa real que lo origina. Veamos algunas de las formas más usuales empleadas.

8.1. El monitoreo continuo

Por lo que acabamos de ver, los indicadores no son otra cosa que las herramientas o los
elementos en los que nos apoyaremos para monitorear uno o varios parámetros en orden a
detectar posibles anomalías.
MIAIA

Para el IIA, el monitoreo continuo se entiende como: Proceso realizado por los responsables
de la gestión para asegurar que las políticas y los procesos operativos resultan eficaces y
para evaluar la adecuación y la eficacia de los controles. Es, por tanto, un proceso realizado
por los propios responsables de gestión financiera u operativa. Auditoría evalúa la
adecuación de estas actividades de gestión.

Observemos que, de acuerdo con lo señalado por el IIA, el monitoreo continuo es una
actividad que le corresponde a los gestores como responsables de los negocios y en tanto
que son parte fundamental del control interno de las organizaciones (primera línea de
defensa).

No obstante, el propio IIA comparte aquel dicho que señalaba que lo “que no se nos vaya en
lágrimas, se nos puede ir en suspiros“, es decir, si queremos que el control interno tenga
una seguridad razonable para alcanzar los objetivos definidos por COSO, la supervisión que
no realicen los gestores, monitoreando la eficacia de los controles, debe ser complementada
por la segunda y tercera línea de defensa, de forma que si las dos anteriores hacen una
buena labor de verificación, esta no debe ser replicada por los auditores; mientras que, en
sentido inverso, ante una mala o deficiente supervisión de los gestores, esta deberá ser
complementada por Auditoría en forma suficiente para obtener la seguridad razonable sobre
la situación real existente.

Figura 45. Monitoreo de los controles por los gestores y Auditoría

Esta situación que es la que pretenden representar los dos triángulos puestos en situación
invertida que refleja la figura anterior, donde las diversas líneas transversales paralelas a la
base del triángulo verde que pudiesen trazarse siempre tendrán la misma magnitud, pero el
segmento que esté en el triángulo azul, el que se corresponde con el monitoreo de los
gestores, determinará la dimensión del segmento del área auditora. Por ello, la actividad de
la auditoría continua será inversamente proporcional a la actividad de los gestores en el
seguimiento continuado de los controles. Cuanto mayor es el papel de los gestores, menor
será la actuación directa de la auditoría interna.
MIAIA

Así, conseguir una seguridad razonable dependerá de una monitorización continuada de la

eficacia de los controles internos y de evaluaciones independientes de auditoría de esa
función. Solo cuando una organización realiza auditoría continua y monitorización continua
se puede lograr la seguridad continua.

8.2. De los datos a la inteligencia

Los cambios que se han producido en las formas de enfocar las auditorías, así como en sus
resultados, pueden ser observables considerando la forma como se pueden analizar los
datos, puesto que partiendo de una situación meramente descriptiva podremos conocer lo
que pasó, cuánto fue el quebranto económico que produjo el fraude, cuánta la pérdida por la
morosidad acumulada no atendida oportunamente, etc. En un estadio posterior podríamos
identificar dónde se producen las situaciones indeseadas: lugar, negocio, etc., lo que nos
permitirá orientarnos en situaciones de posibles amenazas a las que nos enfrentemos; si
seguimos avanzando en nuestra curiosidad pasaríamos a preguntarnos e investigar por qué
pasaban estas cosas, es decir, cuál era el problema o cuáles son los factores de riesgo que
han afectado al proceso, y así intentar anticipar la presencia de estas amenazas a través de
alertas específicas que nos informarán sobre la existencia de riesgos indeseados. Esto se
presenta en la Figura 46.

Figura 46. Niveles de análisis de datos en auditoría

Pero los auditores internos siguieron indagando y se les ocurrió preguntar también por qué
pasaba eso, cuáles eran las causas, adoptando así una postura previsora respecto a lo que
se avecinaba, prediciendo el futuro e identificando las oportunidades que se nos podrían
ofrecer. Tomando los prismáticos a los que aludimos páginas atrás.

Esta evolución ha ido produciéndose en forma paralela a la gestión de riesgos

empresariales, en la que auditoría debe desempeñar un papel determinante no solo en la
supervisión del grado de eficacia del modelo existente, sino también en el desempeño de un
rol significativo en la implantación del propio proceso, cuestionando, cuando ello resulte
MIAIA

necesario, la aceptación de niveles inadecuados respecto a la consecución de los objetivos

estratégicos de la organización. Pero esta idílica situación solo podrá ser real si disponemos
de datos, los tratamos en tiempo real y adoptamos decisiones previas a la materialización de
las amenazas. Es decir, si existen y empleamos indicadores que nos permitan anticiparnos
al futuro.

Esta forma de actuar, que puede apreciarse en principio algo compleja, está incorporada en
nuestra vida diaria, pues permanentemente estamos actuamos analizando los indicadores
de riesgos clave (KRI, por su siglas en inglés) de nuestro entorno.

Veamos un ejemplo cotidiano: en invierno es frecuente que antes de abrir la puerta de

nuestro domicilio para ir a trabajar echemos una mirada al cielo, y si este está encapotado,
amenazando lluvia, tomaremos un paraguas.

En este habitual comportamiento refleja el proceso a seguir con las nuevas herramientas de
auditoría, ya que hemos utilizado indicadores (la situación del cielo), hemos prevenido o
estimado con anticipación el tiempo que a lo largo del día vamos a tener, y nos hemos
asegurado de incluir en el proceso de ir al trabajo un control específico, el paraguas, con el
que minimizaremos el impacto de la lluvia, para entrar en la oficina sin la ropa empapada.

8.3. El reto de las auditorías continuas y a distancia

La prolongada crisis que estamos atravesando en Europa obliga a todos los directivos a
tener que ajustar a mayores restricciones presupuestarias las distintas actividades a realizar,
lo que les condicionará a tener que hacer más con menos recursos, o en el mejor de los
casos más con los mismos recursos. Para lograr este objetivo, en el caso de la función
auditora, se cuenta con un aliado en las auditorías a distancia, pues estas permiten reducir
costos de desplazamientos y tiempos de ejecución de los trabajos de campo, pero también,
en segundo lugar, nos hace más eficientes al permitirnos orientar la actividad hacia aquellos
temas en los que existan indicios reales sobre la posible materialización de riesgos, y ser
más selectivos en la determinación de los entes auditables que conformen nuestros Planes
Anuales de Auditoría, para no incluir determinados entes auditables porque toca este año,
sino porque la situación de riesgos prevista así lo aconseja.

Esta mejora en la eficacia y la eficiencia de la función de auditoría interna es el objetivo final

de los departamentos de Auditoría Interna, por lo que el reto a asumir es el de ser capaces
de interpretar los datos disponibles para conseguir alcanzar los objetivos empresariales
estratégicos. Una auditoría avanzada, dinámica y colaborativa, que aporte valor a las
decisiones empresariales o que se sitúe en un contexto de consultor y asesor de la
dirección, solo será posible si nos centramos en los aspectos relevantes del negocio, y nos
anticipamos en el diagnóstico de las situaciones que nos acechan. Estos aspectos son
perfectamente identificables con la aplicación de las auditorías a distancia y, sobre todo, con
las continuas.

Para ello, debemos tener presentes los siguientes aspectos:

 Priorizar las actividades en el Plan Anual, orientándolas a los puntos de mayor riesgo
(impacto y probabilidad).
 Aumentar el control efectivo y su percepción por la organización.
MIAIA

 Adelantar el momento de conocimiento de los hechos (oportunidad de las

actuaciones).
 Especialización y normalización de actuaciones (best practices).
 Aumento de la productividad, reduciendo el costo de las actuaciones y liberando
recursos para aportarlos a la mejora de los procesos de las empresas y la cobertura
por auditoría de nuevos riesgos (estratégicos, emergentes, etc.).

Si este es el camino a seguir surge una inquietud acerca de cómo está desarrollada esta
modalidad de auditoría en el ámbito empresarial. Sobre esto debemos reconocer que,
exceptuando la actividad bancaria y la del sector seguros, que están bastante influidas por
sus respectivas regulaciones como sucede con Basilea y Solvencia, en el resto de las
actividades empresariales estas herramientas aún no están en una situación de uso
generalizado, puesto que, por varios motivos, no son técnicas de uso común sino más bien
bastante restringido. A este diagnóstico no lo favorece la crisis actual, con las restricciones
presupuestarias de todo tipo que le son propias, pero no por ello deberíamos renunciar a
perseguirlo, dado que, de acuerdo con los estudios que anualmente realiza PWC sobre el
estado de la profesión de auditoría interna, para dotar de la máxima eficacia al equipo de
auditoría interna, con independencia de su tamaño o del alcance de sus actividades, haría
falta atender los siguientes aspectos:

1. Centrarse en cuestiones y riesgos críticos.

2. Alinear la propuesta de valor con las expectativas de los stakeholders.
3. Ajustar el modelo de talento a la propuesta de valor.
4. Gestionar las relaciones con los stakeholders.
5. Implantar una cultura de servicio al cliente.
6. Proporcionar servicios eficientes.
7. Aprovechar las tecnologías con efectividad.
8. Promover la innovación y mejora de la calidad.

En estos aspectos la aplicación de modelos de gestión con base en auditorías continuas y/o
a distancia tendría una gran incidencia, pues no hay que olvidar que: Hoy “no son los
grandes quienes se comen a los pequeños… son los veloces los que se comen a los
lentos”. En esta línea de pensamiento, el control interno es un gran escudo para las
organizaciones que está pidiendo mayor frecuencia y velocidad de uso, pues son los
jóvenes profesionales de auditoría quienes están más capacitados y aptos para la
introducción de nuevas y mejores tecnologías. Debemos confiar en ellos.

Las auditorías a distancia y continuas aprovechan las capacidades que ofrecen los sistemas
de información para plantear la automatización de las pruebas, lo que permite incrementar la
función de supervisión de auditoría interna, mejorando su alcance, profundidad, efectividad y
periodicidad a la vez que, normalmente, se reduce su costo y se incrementa su eficiencia.

Si bien es cierto que desde hace más de veinte años existen herramientas para esta labor,
su utilización ha sido más bien esporádica, según surgía alguna necesidad específica que
atender, y sin un plan de acción -ni, incluso, metodología de trabajo- definido. Esto lo
debemos superar estableciendo un plan de acción y una metodología de trabajo
preestablecidos, en los que la identificación de los indicadores, como veremos en el
siguiente epígrafe, es un aspecto básico.
MIAIA

El uso de estas técnicas implica numerosos beneficios. Entre estos cabría destacar los
siguientes:

 Se puede llegar a revisar el 100% del universo auditable de la organización.

 Se posibilita el análisis del 100% de las operaciones en vez de auditar muestras.
 La revisión se puede realizar con una periodicidad predeterminada.
 El plan de auditoría se puede adecuar según los resultados obtenidos.
 Se incrementa la sensación de "vigilancia" en las áreas auditadas.
 Posibilita la detección de fraudes u operaciones erróneas de forma inmediata
(auditoría preventiva).