Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia MIAIA Parte X
Guia MIAIA Parte X
M I A I A.
Modelo Integrado de
Auditoría Interna Auditool
Para empezar nos gustaría que fuéramos muy realistas respecto del alcance actual de la
aplicación de estas formas de desarrollar la actividad auditora, situación que entendemos
vendrá reflejada por el porcentaje de organizaciones que incluyen trabajos de Auditoría a
Distancia en su Plan de Auditoría, para lo cual nos basaremos en la encuesta Audit Director
Roundtable, correspondiente al plan 2011. Sus resultados al respecto los podemos ver en la
Figura 56, en donde se observa que más de un 70% no las incluían en ese momento. Al
haber pasado varios años desde la realización del análisis, la situación habrá mejorado,
pero no creemos que de forma muy apreciable.
En nuestra opinión, salvo en el sistema bancario, las auditorías a distancia son un tema que
está más en la intención que en el quehacer ordinario. En cualquier caso, las entidades que
han progresado en esta modalidad lo han hecho una vez homogeneizados sus procesos y
sistemas.
MIAIA
Este tipo de proyectos se suele abordar normalmente con el objetivo de liberar recursos,
para aumentar el alcance y cobertura de riesgos (p. e. estratégicos y emergentes),
mejorando en eficiencia. Sin embargo, la crisis financiera en la que aún estamos inmersos
algunos países no ayuda al desarrollo de esta materia, con presupuestos de auditoría en
descenso; pero sí a su demanda de que seamos cada vez más eficientes. Para cumplir este
objetivo las auditorías continuas y/o a distancia se manifiestan como una alternativa muy
válida, debido a las siguientes ventajas:
Priorización de las actividades del Plan Anual, orientándolas a los puntos de riesgo.
Aumento del control efectivo y su percepción por la organización.
Adelanto del momento de conocimiento de los hechos (oportunidad de las
actuaciones).
Especialización y normalización de actuaciones (best practices).
Reducción del costo de las actuaciones y liberación de recursos para aportarlos a la
mejora de los procesos de las empresas y la cobertura por auditoría de nuevos riesgos
(estratégicos, emergentes, etc.).
La indudable importancia que los KRI tienen en el monitoreo de los datos ha sido analizada
por COSO, llegando a la conclusión de que “el diseño y la puesta en marcha de un conjunto
de KRI es un elemento importante de las organizaciones en el proceso de gestión de los
riesgos empresariales”.
En opinión de COSO, para identificar los indicadores apropiados habrá que hacer un análisis
en detalle del proceso en cuestión, como sucede en el ejemplo que seguidamente incluimos.
En la Figura 58 se asocian los riesgos de los objetivos estratégicos a los KRI.
En este ejemplo, la organización tiene como objetivo lograr la mayor rentabilidad mediante el
aumento de los ingresos y disminuyendo los costos. Se han identificado cuatro iniciativas
estratégicas que son críticas para el cumplimiento de los objetivos. Al mismo tiempo, se ha
identificado que varios riesgos potenciales pueden tener un impacto en uno o más de las
cuatro iniciativas estratégicas clave.
La interrelación de los principales riesgos con las principales iniciativas estratégicas pone a
la gestión en condiciones de comenzar a identificar los indicadores críticos que pueden
servir como indicadores clave de riesgo para ayudarles a supervisar la ejecución del núcleo
estratégico.
Obsérvese que los KRI se han definido para cada riesgo crítico. La asignación de KRI a los
riesgos críticos y básicos con influencia en las estrategias reduce la probabilidad de que la
gestión se distraiga con otra información que puede ser menos relevante para el logro de los
objetivos de la empresa.
Un método eficaz para el desarrollo de KRI comienza por analizar los eventos de riesgo que
han afectado en la organización en el pasado (o que lo afectan en el presente) y luego
trabajar hacia atrás para identificar los eventos intermedios y conocer la causa raíz que llevó
finalmente a la pérdida material o pérdida de oportunidades.
En este diagrama se puede observar cómo con el paso del tiempo un acontecimiento inicial,
que denominemos “acontecimiento origen”, causa otros eventos intermedios que finalmente
conducen a una situación de riesgo. En el desarrollo de un KRI que sirva como un indicador
básico para advertir posibles casos futuros de este riesgo, puede ser útil pensar a través de
la cadena de acontecimientos que condujo a la pérdida para que la administración pueda
descubrir el factor del riesgo que produjo el evento.
Si hacemos una visión retrospectiva y analizamos los eventos inmediatos nos encontramos
con una situación de bonanza económica, consecuencia del boom inmobiliario, que hizo que
el país tuviera que ampliar su población activa, ya que la baja tasa de natalidad de años
precedentes no había aportado suficiente mano de obra para atender las necesidades de la
actividad. Efectivamente, la estructura de la población sí evidenciaba un riesgo, pero este se
eliminó a través de las inmigraciones, llegándose a alcanzar una situación de 4 trabajadores
activos por cada jubilado; la causa del problema es que la población activa empieza a
disminuir como consecuencia de la desaceleración económica y de que los parados dejan
de cotizar, pasando actualmente a menos de 2 trabajadores activos por jubilado. Este es el
indicador que realmente nos da idea del riesgo al que se enfrenta el país, pues contradice el
esquema sobre el que descansan las prestaciones de la Seguridad Social.
Pero volvamos a las auditorías a distancia. La primera cuestión sería cómo desarrollarlas
una vez seleccionado el proceso a supervisar, a lo que podemos responder que se hace
eligiendo determinados parámetros representativos de las actividades recogidas en él (los
KRI), de forma que, con la información histórica disponible en la organización o. si no se
MIAIA
Esta forma de operar no presupone, como ya hemos señalado, auditar necesariamente los
datos manejados, puesto que en principio únicamente se pretende que revelen “incidencias
potenciales” respecto de los márgenes de normalidad preestablecidos, que han ser
comentadas y/o aclaradas por los propios responsables de los procesos. Lo que sí permiten
es orientar convenientemente el contenido del Plan Anual de Auditoría, centrando nuestra
atención en aquellos trabajos específicos, al igual que sucedía con los CSA ya comentados,
en los que se aprecien indicios de alguna duda sobre la coherencia con respecto a la
normalidad del desarrollo del proceso, que debidamente analizada, y siempre que las
razones aportadas por los responsables de su gestión no ofrezcan una aclaración suficiente,
dé origen a una auditoría específica y convencional con la que determinar la exactitud de lo
informado.
Aunque pueden ser aplicadas a la totalidad de las actividades desarrolladas por las
organizaciones, destacamos su frecuente utilización en la supervisión de la actividad
financiera, dada la preocupación actualmente vigente respecto de la bondad del Sistema de
Control Interno y respecto de la información financiera. Sus orígenes son:
Al centrar la atención en la verificación de los estados financieros (EEFF), los KRI permiten
el análisis de las variaciones surgidas en los principales epígrafes contables:
Magnitudes Básicas
Fondos de Comercio
Cartera de Valores
Provisiones
Gastos
Ingresos
Insolvencias
Amortización y otras depreciaciones
Préstamos a filiales y asociadas
Operaciones intragrupales
Avales y Garantía
Derivados
Litigios y otras contingencias
Créditos fiscales
Gastos e Ingresos extraordinarios
Una vez decididos los datos a solicitar, y las vías para obtenerlos (directamente de las
aplicaciones contables y/o a través de reportes específicos para magnitudes fuera de
balance), se deben concretar las variaciones interperiódicas que se consideren aceptables,
como vemos en el siguiente ejemplo.
MIAIA
HIPOTESIS
VARIABLE ANALIZADA INDICADOR DE AUDITORÍA
VARIACIONES
Posteriormente, procede la confección y actualización de las tablas en las que estos datos
se reportan, recogiendo en ellas tanto los del periodo analizado como los de periodos
anteriores, así como también los indicadores de auditoría propuestos. Esta es una de las
fases más significativas del proceso, ya que el acierto del resultado, y las pistas sobre las
que se trabaje, dependerán de la bondad de las cifras resultantes.
Al llegar a este punto tenemos que recordar que nuestro objetivo es tratar de identificar
riesgos clave, por lo que debemos establecer el grado de relevancia de la incidencia
potencial detectada (BAJA/MEDIA/ALTA), a fin de poder seleccionar las de mayor
significación y ocuparnos prioritariamente de esas incidencias importantes.
Para cada variable, se determina su trascendencia en función del saldo del epígrafe de
balance asociado a la misma (por ejemplo, para amortizaciones y otras depreciaciones se
utiliza el saldo del inmovilizado material e inmaterial amortizable).
Con el objetivo de medir dicha relevancia se pueden emplear varios métodos. Uno de ellos
puede ser el que describimos a continuación, aplicable en corporaciones tipo holding.
MIAIA
Relevancia dentro del holding, medida por la relación tanto por mil entre el saldo del
epígrafe de balance analizado y el Activo total del Grupo. Por ejemplo, en el caso de
amortizaciones y otras depreciaciones se calcularía así: Saldo del inmovilizado
material e inmaterial amortizable / Activo total del Grupo.
% Saldo
Variable/Total
Activo Grupo
Por último, restaría por efectuar el análisis de las causas de las desviaciones no “típicas”,
fase en la que se han de analizar los motivos de las desviaciones que den lugar a las
incidencias potenciales según los parámetros del modelo empleado, determinando si se
trata de incidencias reales, que requieran un plan de acción específico, o se deban a
cuestiones coyunturales debidamente justificadas.
MIAIA
Las técnicas KRI aplicables a “auditorías a distancia” también son muy usadas en la
supervisión de la actividad bancaria en las oficinas urbanas, ya que en estas, al estar muy
informatizadas y con sus actuaciones y funciones debidamente jerarquizadas, es posible
introducir diversas pistas de auditoría (alertas) en las aplicaciones utilizadas, de forma que
se identifiquen operaciones que se aparten de lo preestablecido, investigando las causas de
esa “anormalidad”. Por ejemplo, operaciones autorizadas por un nivel decisorio no
reconocido en los protocolos aplicables.
Para los que no estén en las aplicaciones, definir cuestionarios y fechas de recepción,
así como establecer métodos de comprobación.
Proponer recomendaciones.
B. Evaluación de resultados, y
Esta primera etapa se inicia con la selección de los procesos más significativos, pasando
después a identificar y evaluar los riesgos existentes en los procesos, identificando para
esto los KRI que se ajusten a los factores de riesgo que hayamos identificado para las
amenazas de que existan en los procesos, finalizando con el establecimiento de los Límites
de Control, inferior y superior para cada uno de los KRI definidos.
MIAIA
B. Evaluación de resultados
En esta fase lo que procede es analizar los datos que hayamos ido obteniendo, así como los
motivos que se nos aporten para justificar los cambios de variaciones, y concluir sobre la
razonabilidad de las causas que nos hayan sido aportadas, actuando en consecuencia y
auditando, llegado el caso, el proceso en detalle a fin de poder concluir sobre los motivos
que realmente hayan producido la situación anómala observada.
Con base en el control de los riesgos que deseamos evitar, seleccionamos los indicadores
que entendamos oportuno aplicar.
Uno de los riesgos a controlar puede ser el que representan aquellas adjudicaciones que no
se ajusten a lo que resulte habitual y, por consiguiente, sean síntoma de alguna posible
irregularidad (concentración de pedidos o contratos en determinados proveedores,
fraccionamiento de pedidos para saltar los límites de las capacidades, pedidos abiertos
durante plazos no habituales, etc.). Estas podrán ser detectadas empleando los KRI que se
incluyen en los cuadros de color amarillo de la siguiente figura.
MIAIA
El proceso de migrar de una auditoría a distancia a una auditoría continua depende solo de
la frecuencia con la que se analicen los datos, de forma que si no existe solución de
continuidad estaremos ante una auditoría continua en el tiempo, si bien la frecuencia puede
ser, desde el punto de vista conceptual, diaria, semanal, mensual, etc. Es decir, estaremos
frente a una auditoría continua cuando analicemos los valores de los KRI con una
periodicidad preestablecida, por lo que este planteamiento no da cabida a una revisión
circunstancial. Esta dinámica exige disponer de una infraestructura informática adecuada,
que permita desarrollar un proceso como el que se refleja en la Figura 63.
MIAIA
En cualquier caso, entendemos oportuno comentar algunas situaciones en las que esta
supervisión puede ser también consustancial a la propia labor auditora, como sucede por
ejemplo en la labor interventora desarrolla en el ámbito de las entidades financieras, en cuyo
caso determinados controles, aquellos que tienen una gran trascendencia en la integridad
patrimonial de la entidad, son asumidos directamente por los departamentos de Auditoría
Interna, como sucede con los arqueos de caja, firmas mancomunadas para liberar pagos,
etc. Esta situación también se reproduce en el caso del modelo que previamente hemos
comentado, cuyo esquema de supervisión incluye tres unidades.
Esta estructura organizativa, aunque pueda ser calificada como no demasiado ortoxa, ya
que el Director de Auditoría Interna en este modelo asume ciertas responsabilidades
gerenciales, produce resultados positivos que posiblemente permitan considerarla como una
buena práctica, al menos digna de tener en consideración.
Todo ello con base en una monitorización continua que tiene como principal elemento de
control la utilización de alertas, de carácter preventivo y de capacidad suspensiva. Estas
alertas se parametrizan en los sistemas de información para que discriminen aquellas
operaciones que no cumplan determinados requisitos con anterioridad a su ocurrencia, por
lo que se evitan problemas potenciales. Por último, también se facilita su seguimiento y el
estado de su resolución. Veamos la definición presentada a continuación.
Al llegar a este punto debemos hacer mención de la diferencia que existe entre indicador y
alerta, pues un indicador, en el entorno en el que estamos desenvolviéndonos, será
cualquier información que nos permita interpretar, anticipar o diagnosticar una determinada
amenaza; en tanto que alerta es la manifestación previa al impacto de un evento adverso
sobre un sistema determinado.
El término alerta, como adverbio, significa "con atención", en tanto que como adjetivo
significa "atento, vigilante". Las alertas son consecuencias de la interpretación de un
indicador, cuando la materialización del riesgo se prevé inminente. En la Figura 65, a título
de ejemplo, se describen las distintas fases por las que puede atravesar la evolución de una
pandemia según la OMS, correspondiendo a cada una de ella unas medidas de control
específicas, según el nivel de alerta decidido en cada una de las fases por las que atraviesa
la enfermedad.
MIAIA
El modelo al que nos referimos anteriormente tiene definidas 73 alertas, con el siguiente
detalle:
Modificación manual de la fecha de pago, que tiene como objetivo de control evitar
pagos antes de vencimiento.
Facturas registradas sin pedido de Compras, que tiene como objetivo de control
evitar el incumplimiento del proceso de aprovisionamiento corporativo.
Para finalizar, creemos oportuno resaltar algunos comentarios leídos en una reseña del
XVIII Congreso Latinoamericano de Auditoría Interna y Evaluación de Riesgos, en el sentido
de que “estamos cambiando el paradigma, ya no interesa saber que en un 99,95% del
universo los procedimientos se cumplen, sino que interesa identificar y neutralizar el 0,05%
restante. Por ello, en el futuro, la mayoría de las evaluaciones de auditoría deberán estar
automatizadas, efectuándose por el método de auditoría tradicional sólo las evaluaciones
que, por sus características, no sean susceptibles de monitoreo continuo”.