Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guía MIAIA Parte VIII
Guía MIAIA Parte VIII
M I A I A.
Modelo Integrado de
Auditoría Interna Auditool
Sin embargo, en el entorno del presente Vademécum solo entenderemos por indicador
cualquier información que nos permita interpretar o diagnosticar anticipadamente una
determinada amenaza, pues lo que nos interesa es detectar la presencia de riesgos por sus
síntomas más primigenios, cuando aún su fase crítica no se haya manifestado, pues
siempre será preferible prevenirlos en lugar de corregir sus efectos.
Al respecto recordemos lo que ya hemos visto en el capítulo 6.1 y la Figura 26, cuando nos
referíamos a los conceptos fundamentales que afectan a los Sistemas de Gestión de
Riesgos, y citábamos los tres tipos de controles que podemos emplear para administrar
riesgos: Correctivos, Detectivos y Preventivos.
Los preventivos son aquellos controles que se situaban al inicio del proceso, mientras que
denominábamos detectivos a los que operan a lo largo e interior del mismo, en tanto que
definimos como correctivos a los que se colocan al final del proceso.
En lo que continúa podremos aludir indistintamente a uno u otro tipo de indicadores; si bien,
por lo que acabamos de comentar, lo más conveniente sería la implantación de indicadores
preventivos, esto no siempre será posible.
No obstante, aclaremos que a lo largo del módulo no vamos a emplear esta posibilidad,
pues nos referimos siempre al empleo de herramientas que permitan visualizar,
normalmente de forma continuada, la evolución de ciertos parámetros para concluir si el
proceso está discurriendo dentro de la senda de tranquilidad o, por el contrario, se detectan
indicios de que algo “anormal” está sucediendo, en cuyo caso debemos actuar investigando
la causa real que lo origina. Veamos algunas de las formas más usuales empleadas.
Por lo que acabamos de ver, los indicadores no son otra cosa que las herramientas o los
elementos en los que nos apoyaremos para monitorear uno o varios parámetros en orden a
detectar posibles anomalías.
MIAIA
Para el IIA, el monitoreo continuo se entiende como: Proceso realizado por los responsables
de la gestión para asegurar que las políticas y los procesos operativos resultan eficaces y
para evaluar la adecuación y la eficacia de los controles. Es, por tanto, un proceso realizado
por los propios responsables de gestión financiera u operativa. Auditoría evalúa la
adecuación de estas actividades de gestión.
Observemos que, de acuerdo con lo señalado por el IIA, el monitoreo continuo es una
actividad que le corresponde a los gestores como responsables de los negocios y en tanto
que son parte fundamental del control interno de las organizaciones (primera línea de
defensa).
No obstante, el propio IIA comparte aquel dicho que señalaba que lo “que no se nos vaya en
lágrimas, se nos puede ir en suspiros“, es decir, si queremos que el control interno tenga
una seguridad razonable para alcanzar los objetivos definidos por COSO, la supervisión que
no realicen los gestores, monitoreando la eficacia de los controles, debe ser complementada
por la segunda y tercera línea de defensa, de forma que si las dos anteriores hacen una
buena labor de verificación, esta no debe ser replicada por los auditores; mientras que, en
sentido inverso, ante una mala o deficiente supervisión de los gestores, esta deberá ser
complementada por Auditoría en forma suficiente para obtener la seguridad razonable sobre
la situación real existente.
Esta situación que es la que pretenden representar los dos triángulos puestos en situación
invertida que refleja la figura anterior, donde las diversas líneas transversales paralelas a la
base del triángulo verde que pudiesen trazarse siempre tendrán la misma magnitud, pero el
segmento que esté en el triángulo azul, el que se corresponde con el monitoreo de los
gestores, determinará la dimensión del segmento del área auditora. Por ello, la actividad de
la auditoría continua será inversamente proporcional a la actividad de los gestores en el
seguimiento continuado de los controles. Cuanto mayor es el papel de los gestores, menor
será la actuación directa de la auditoría interna.
MIAIA
Los cambios que se han producido en las formas de enfocar las auditorías, así como en sus
resultados, pueden ser observables considerando la forma como se pueden analizar los
datos, puesto que partiendo de una situación meramente descriptiva podremos conocer lo
que pasó, cuánto fue el quebranto económico que produjo el fraude, cuánta la pérdida por la
morosidad acumulada no atendida oportunamente, etc. En un estadio posterior podríamos
identificar dónde se producen las situaciones indeseadas: lugar, negocio, etc., lo que nos
permitirá orientarnos en situaciones de posibles amenazas a las que nos enfrentemos; si
seguimos avanzando en nuestra curiosidad pasaríamos a preguntarnos e investigar por qué
pasaban estas cosas, es decir, cuál era el problema o cuáles son los factores de riesgo que
han afectado al proceso, y así intentar anticipar la presencia de estas amenazas a través de
alertas específicas que nos informarán sobre la existencia de riesgos indeseados. Esto se
presenta en la Figura 46.
Pero los auditores internos siguieron indagando y se les ocurrió preguntar también por qué
pasaba eso, cuáles eran las causas, adoptando así una postura previsora respecto a lo que
se avecinaba, prediciendo el futuro e identificando las oportunidades que se nos podrían
ofrecer. Tomando los prismáticos a los que aludimos páginas atrás.
Esta forma de actuar, que puede apreciarse en principio algo compleja, está incorporada en
nuestra vida diaria, pues permanentemente estamos actuamos analizando los indicadores
de riesgos clave (KRI, por su siglas en inglés) de nuestro entorno.
En este habitual comportamiento refleja el proceso a seguir con las nuevas herramientas de
auditoría, ya que hemos utilizado indicadores (la situación del cielo), hemos prevenido o
estimado con anticipación el tiempo que a lo largo del día vamos a tener, y nos hemos
asegurado de incluir en el proceso de ir al trabajo un control específico, el paraguas, con el
que minimizaremos el impacto de la lluvia, para entrar en la oficina sin la ropa empapada.
La prolongada crisis que estamos atravesando en Europa obliga a todos los directivos a
tener que ajustar a mayores restricciones presupuestarias las distintas actividades a realizar,
lo que les condicionará a tener que hacer más con menos recursos, o en el mejor de los
casos más con los mismos recursos. Para lograr este objetivo, en el caso de la función
auditora, se cuenta con un aliado en las auditorías a distancia, pues estas permiten reducir
costos de desplazamientos y tiempos de ejecución de los trabajos de campo, pero también,
en segundo lugar, nos hace más eficientes al permitirnos orientar la actividad hacia aquellos
temas en los que existan indicios reales sobre la posible materialización de riesgos, y ser
más selectivos en la determinación de los entes auditables que conformen nuestros Planes
Anuales de Auditoría, para no incluir determinados entes auditables porque toca este año,
sino porque la situación de riesgos prevista así lo aconseja.
Priorizar las actividades en el Plan Anual, orientándolas a los puntos de mayor riesgo
(impacto y probabilidad).
Aumentar el control efectivo y su percepción por la organización.
MIAIA
Si este es el camino a seguir surge una inquietud acerca de cómo está desarrollada esta
modalidad de auditoría en el ámbito empresarial. Sobre esto debemos reconocer que,
exceptuando la actividad bancaria y la del sector seguros, que están bastante influidas por
sus respectivas regulaciones como sucede con Basilea y Solvencia, en el resto de las
actividades empresariales estas herramientas aún no están en una situación de uso
generalizado, puesto que, por varios motivos, no son técnicas de uso común sino más bien
bastante restringido. A este diagnóstico no lo favorece la crisis actual, con las restricciones
presupuestarias de todo tipo que le son propias, pero no por ello deberíamos renunciar a
perseguirlo, dado que, de acuerdo con los estudios que anualmente realiza PWC sobre el
estado de la profesión de auditoría interna, para dotar de la máxima eficacia al equipo de
auditoría interna, con independencia de su tamaño o del alcance de sus actividades, haría
falta atender los siguientes aspectos:
En estos aspectos la aplicación de modelos de gestión con base en auditorías continuas y/o
a distancia tendría una gran incidencia, pues no hay que olvidar que: Hoy “no son los
grandes quienes se comen a los pequeños… son los veloces los que se comen a los
lentos”. En esta línea de pensamiento, el control interno es un gran escudo para las
organizaciones que está pidiendo mayor frecuencia y velocidad de uso, pues son los
jóvenes profesionales de auditoría quienes están más capacitados y aptos para la
introducción de nuevas y mejores tecnologías. Debemos confiar en ellos.
Las auditorías a distancia y continuas aprovechan las capacidades que ofrecen los sistemas
de información para plantear la automatización de las pruebas, lo que permite incrementar la
función de supervisión de auditoría interna, mejorando su alcance, profundidad, efectividad y
periodicidad a la vez que, normalmente, se reduce su costo y se incrementa su eficiencia.
Si bien es cierto que desde hace más de veinte años existen herramientas para esta labor,
su utilización ha sido más bien esporádica, según surgía alguna necesidad específica que
atender, y sin un plan de acción -ni, incluso, metodología de trabajo- definido. Esto lo
debemos superar estableciendo un plan de acción y una metodología de trabajo
preestablecidos, en los que la identificación de los indicadores, como veremos en el
siguiente epígrafe, es un aspecto básico.
MIAIA
El uso de estas técnicas implica numerosos beneficios. Entre estos cabría destacar los
siguientes: