miércoles, 26 de febrero de 2014

¿Cuándo finalizan las auditorías?

Jesús Aisa Díez
El proceso auditor tiene, como cualquier otro proceso empresarial, varias fases, debiendo ser atendidas y revisadas convenientemente para asegurar que se alcancen los objetivos perseguidos. En el caso de las auditorías internas el objetivo es el garantizar razonablemente el grado de eficiencia del control interno existente  de las Organizaciones en las que trabajemos.

En su inicio, parece claro que las auditorías nacen cuando se decide incluirlas en el Plan Anual de Auditoría, desarrollándose posteriormente con su planificación, programación, trabajo de campo, reuniones con los auditados, etcétera.

En este punto nos surge una primera duda, cómo de amplio es este etcétera, hasta dónde alcanza. Parece evidente que en el extremo del final del proceso auditor esté la fase de preparación y envío del informe en borrador, el análisis de los comentarios recibidos de los auditados, y la confección-distribución del informe final, en el que, necesariamente, debe incluirse el plan de acción asumido por los responsables del ente auditado, conteniendo asimismo la identificación de los encargados de realizar las acciones correctoras estimadas necesarias, y las fechas estimadas de realización.

Si nos atenemos a lo recogido por el Marco Profesional para la Práctica Profesional de la Auditoría Interna, que como sabemos, es el “libro de cabecera” de los auditores internos al encontrarse en él recogidas las pautas de actuación que no son de aplicación, observaremos que en la Norma 2500, Seguimiento del Progreso, se señala que: El director de Auditoría interna debe establecer y mantener un sistema para vigilar la disposición de los resultados comunicados a la dirección. Aclarándose este requerimiento en el sentido de que: el director de auditoría interna debe establecer un proceso de seguimiento para vigilar y asegurar que las acciones de la dirección hayan sido implantadas eficazmente, o que la alta dirección haya aceptado el riesgo de no tomar medidas (N. 2500. A1).

En base a lo cual estimamos que, en principio, un informe de auditoría no estaría acabado hasta que no esté implementada la última de las recomendaciones recogidas en el informe final, y se haya confirmado la eficacia de las recomendaciones sugeridas o, en su defecto, haber sido desestimadas por la alta dirección.

Por estos principios de actuación, los Planes anuales de Auditoría deben contemplar las acciones necesarias para verificar el grado de atención real a las recomendaciones de las auditorías previamente realizadas, actuando de forma selectiva en función del riesgo y de la exposición al mismo, ya que no resultará posible supervisar todas las recomendaciones emitidas con anterioridad.

lunes, 24 de febrero de 2014

30 Preguntas Partes Interesadas Internas Tomadas de Cobit 5.0

Las empresas existen para crear valor para sus accionistas. En consecuencia, cualquier empresa, comercial o no, tendrá la creación de valor como un objetivo de Gobierno. Creación de valor significa conseguir beneficios a un costo óptimo de los recursos mientras se optimiza el riesgo. Para lograr esta meta es fundamental tener presente las necesidades de las partes interesadas

Las necesidades de las partes interesadas deben transformarse en una estrategia corporativa factible. Es por esta razón que en el capítulo 2 principio 1: satisfacer las necesidades de las partes interesadas del Manual de Cobit 5.0 en la Sección de  Cuestiones sobre las TI de Gobierno y Dirección, encontramos 30 Preguntas de las Partes Interesadas Internas, las cuales consideramos que todo auditor interno debería tener presente:

1.    ¿Cómo consigo valor del uso de TI?
2.    ¿Están los usuarios finales satisfechos con la calidad del servicio de TI?
3.    ¿Cómo gestiono el rendimiento de TI?
4.    ¿Cómo puedo explotar mejor las nuevas tecnologías para nuevas oportunidades de negocio?
5.    ¿Cómo construyo y estructuro mejor mi departamento de TI?
6.    ¿Cuánto dependo de los proveedores externos? ¿Estoy gestionando bien los contratos de externalización de TI?
7.    ¿Cómo obtengo aseguramiento sobre los proveedores externos?
8.    ¿Cuáles son los requisitos (de control) para la información?
9.    ¿Considero todos los riesgos relativos a TI?
10. ¿Estoy realizando una operación de TI eficiente y resiliente?
11. ¿Cómo controlo los costos de TI?
12. ¿Cómo utilizo los recursos de TI de la manera más efectiva y eficiente?
13. ¿Cuáles son las opciones de aprovisionamiento más efectivas y eficientes?
14. ¿Tengo suficiente personal para TI?
15. ¿Cómo puedo desarrollar y mantener sus habilidades y cómo gestiono su rendimiento?
16. ¿Cómo consigo aseguramiento sobre TI?
17. ¿Está bien asegurada la información que se está procesando?
18. ¿Cómo puedo mejorar la capacidad de respuesta del negocio mediante un entorno de TI más flexible?
19. ¿Fracasan los proyectos de TI en proporcionar lo que habían prometido? Si es así, ¿por qué? ¿Está siendo TI un obstáculo para ejecutar la estrategia de negocio?
20. ¿Cuán críticas son las TI para la sostenibilidad de la empresa?
21. ¿Qué haría si las áreas críticas de TI no estuvieran disponibles?
22. ¿Qué procesos de negocio críticos dependen de TI y cuáles son los requerimientos de los procesos de negocio?
23. ¿En cuánto han excedido de la media los presupuestos de operación de TI?
24. ¿Con qué frecuencia y cuánto se salen del presupuesto los proyectos de TI?
25. ¿Qué parte del esfuerzo de TI se dedica a apagar fuegos en lugar de facilitar las mejoras del negocio?
26. ¿Son suficientes los recursos y la infraestructura de TI disponibles para conseguir los objetivos estratégicos de empresa requeridos?
27. ¿Cuánto se tarda en la toma de decisiones importantes de TI?
28. ¿Son transparentes el esfuerzo y las inversiones totales en TI?
29. ¿Respalda TI a la empresa en el cumplimiento de la normativa y los niveles de servicio?
30. ¿Cómo puedo saber si se cumple con todas las normas aplicables?

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

sábado, 22 de febrero de 2014

viernes, 21 de febrero de 2014

Fortalezas y debilidades de las Unidades de Auditorías internas según encuestas a los clientes y a nuestros colaboradores

Jesús Aisa Díez

Uno de los productos obtenidos en las evaluaciones de calidad de las Unidades de Auditoría Internas, realizadas de acuerdo con los protocolos  The Institute of Internal Auditors, son los resultados de las encuestas efectuadas a una muestra representativa de los clientes de la Unidad evaluada, así como también de los propios miembros del Departamento/Gerencia de Auditoría.

Estas encuestas constan, en el apartado correspondiente a los clientes, de 24 preguntas, agrupadas en seis grandes bloques: (i) Relación con la alta dirección, (ii) Personal de Auditoría, (iii) Alcance de los trabajos de Auditoría, (iv) Procesos e informes de Auditoría, (v) Administración de la función de Auditoría y (vi) Valor agregado. En tanto que las preguntas realizadas a los miembros de la Unidad de Auditoría evaluada son 36, agrupadas en tres apartados: (i) Relación con la Gerencia, (ii) Evaluación de la capacitación /experiencia de los auditores y (iii) Evaluación de la práctica de la actividad de Auditoría.

Los resultados de estas encuestas permiten cubrir varios objetivos, en primer lugar, a los evaluadores de la función sometida al proceso de supervisión de la calidad, al conocer cuál es la percepción que existe en la Organización en relación con los servicios prestados por la función auditora, pero desde una doble perspectiva: los clientes y los propios miembros de la función auditora.

Finalmente los resultados de estas encuestas son facilitados a los responsables de las Unidades de Auditoría Interna evaluadas, incluyendo una comparativa de las respuestas individuales obtenidas en su Organización versus la media acumulada de las evaluaciones previamente realizadas; lo que permitirá realizar un doble análisis: el individual a través de la interpretación de los resultados obtenidos directamente en la propia empresa, y otro de alcance relativo comparando las respuestas obtenidas  en la empresa con las conseguidas en el resto de Organizaciones evaluadas. Con estos dos análisis se podrán conocer las debilidades, o fortalezas, manifestadas por los encuestados de nuestra empresa, pero también los gaps que pudieran existir entre la situación particular y la media aportada como referencia, lo que posibilitará saber si estamos “mejor” o “peor” que el promedio del conjunto ya evaluado.

miércoles, 19 de febrero de 2014

El triángulo del fraude y la eficiencia en la lucha contra los fraudes

Jesús Aisa Díez
Como sabemos el fraude empresarial es un riesgo que está presente en todo tipo de organizaciones y en cualquier latitud, por lo que se hace preciso concederle la grave importancia que tiene,  administrándole convenientemente. Para ello, y como actuamos con cualquier otro riesgo, hemos de empezar por  concretar cuáles son sus dos atributos, impacto y probabilidad.

Respecto del posible impacto, de acuerdo con las estadísticas elaboradas por  los especialistas, podemos decir que, en términos generales, el fraude tiene unas enormes repercusiones, estimadas, en promedio,  en el equivalente al 5% del importe de las ventas de cada año. Lo que nos da idea del impacto de dicho riesgo.

En cuanto a la probabilidad de ocurrencia, que sería el segundo de los atributos con los que podríamos  estimar la importancia del riesgo, tanto a nivel inherente como residual. Este dato nos lo podría facilitar la dimensión del famoso triángulo de fraude que sea aplicable en cada organización.

Recordemos que fue D. Cressey quien en 1961 expuso su conocida teoría respecto a los condicionantes para que se materialice el fraude, debiendo coexistir para ello tres  situaciones:

1º) Motivación (incentivo, presión). Cuando la Administración u otros empleados tienen un estímulo o presiones que les aportan razones justificativas para cometer fraudes.

2º) Poder (Oportunidad). Serían las circunstancias que facilitan las posibilidades de perpetuar fraudes (por ejemplo la ausencia de controles, controles ineficaces, o la capacidad de la administración para abrogar los controles).

3) Racionalización, actitud. Cuando las personas son capaces de racionalizar un acto fraudulento en total congruencia con su código de ética personal o que poseen una actitud, carácter o conjunto de valores que les permiten, consciente e intencionalmente, cometer un acto deshonesto.

martes, 18 de febrero de 2014

Auditoria Interna 2.0

Visita Auditoria Interna 2.0, este es un blog personal de Jaime García sobre auditoría interna. Ocasionalmente encontrarás entradas sobre otros temas que le interesan. Y un apartado especial de los libros que el lee. Es Licenciado en Economía por la Universidad de Sevilla se inició en el mundo laboral mediante unas prácticas en Control de Gestión en la compañía Steelcase en Estrasburgo, Francia.

Tiene quince años de carrera profesional la mayor parte han sido en la función de auditoría interna, en diversas entidades del sector financiero. Además posee una amplia experiencia en la realización de auditorias a nivel internacional en países como Brasil, Francia, Bélgica, Portugal, Grecia y Reino Unido.

Jaime es CIA y socio del Instituto de Auditores Internos de España y, desde 2012, colaborador de su programa 'La Fábrica de Pensamiento' en diversas Comisiones Técnicas.

Estoy totalmente seguro que este Blog será de gran ayuda para obtener información actualizada sobre temas técnicos y de inspiración para todos los que nos dedicamos a ejercer la profesión de Auditoría Interna. Enhorabuena Jaime por tu aporte a la profesión.

¿Te ha gustado la noticia? ¡Compártela con otro auditor interno!

lunes, 17 de febrero de 2014

Errata

De acuerdo al Diccionario de la lengua española (DRAE) “Errata” es una equivocación material cometida en lo impreso o manuscrito. A continuación presentamos un ejemplo famoso:
Dewey defeats Truman (Dewey derrota a Truman) fue un famoso titular erróneo de la primera plana de la edición del Chicago Tribune del 3 de noviembre del 1948. En la noche de las elecciones, el Tribune decidió mandar su edición a la imprenta antes de que se conocieran muchos de los resultados electorales de la costa del este. El documento se basó en el informe del veterano corresponsal y analista político Arthur Sears Henning, que había predicho los resultados de cuatro de las cinco contiendas presidenciales de los últimos 20 años, la sabiduría popular, apoyada por las encuestas era casi unánime en que la presidencia de Dewey era "inevitable", y que el gobernador de Nueva York ganaría las elecciones cómodamente. La edición del Tribune fue a la imprenta con el titular: "Dewey defeats Truman" ("Dewey derrota a Truman").

Sólo al final de la noche, después de que los despachos de prensa ponían en duda la certeza de la victoria de Dewey, el Tribune decidió cambiar el títular a "Democrats make sweep of state offices" (Demócratas hacen barrido en oficinas del estado.) para la edición de ese día. Unos 150.000 ejemplares del periódico ya se habían publicado con el título erróneo antes de la corrección.

Truman ganó las elecciones por mayoría de 303 a 189 sobre Dewey, gracias a unos pocos miles de votos en Ohio, Illinois y California, sin los cuales se habría producido la victoria de Dewey. Los demócratas no sólo ganaron la Presidencia, también tomaron el control de ambas cámaras del Congreso.

¿Qué podemos aprender los auditores internos de uno de los errores periodísticos más grandes de la historia de los Estados Unidos de América?

sábado, 15 de febrero de 2014

Segundo Lugar

En plenas olimpiadas de invierno de Soshi 2014, compartimos una frase de un ganador:
¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

viernes, 14 de febrero de 2014

Curso Taller: Evaluaciones de Calidad de la Función de Auditoría Interna

Don Jesús Aisa Díez estará desarrollando este formidable entrenamiento en Colombia durante el mes de abril del 2014.
Las evaluaciones de calidad de los distintos procesos empresariales son siempre recomendables, al tratarse de una buena práctica que nos permite avanzar en el deseado camino de la mejora continua.

Esta recomendación, en el supuesto de aplicarse a los procesos seguidos por la actividad de la Unidades de Auditoría Interna, adquiere una mayor dimensión ya que, del nivel de calidad de la función auditora observado, dependerá la garantía real que ésta ofrezca a las “partes interesadas” respecto de la bondad del Sistema de Control Interno existente en las Organizaciones. Pero además, porque el Marco Internacional para la Práctica Profesional de Auditoría Interna, que es el reglamento que contiene la normas de actuación que son de aplicación a las Auditorías Internas, exige que se estime periódicamente el grado de calidad de la función desempeñada, aplicando para ello una metodología predeterminada.

Conocer esta metodología, así como los alcances y detalles de los procesos de evaluación que serán aplicados, es el objeto principal del curso que ponemos a su disposición, con el que podremos prepararnos y organizarnos para la comprobación a la que debemos someternos, corrigiendo previamente los gaps existentes entre la situación observada y la requerida desde la perspectiva de las Normas.

Que aspectos abordaremos:

  • El contenido del Marco Normativo del Instituto de Auditores Internos aplicable.
  • Los protocolos sobre Gobierno Corporativo, Control y Riesgos de referencia y aplicación universal.
  • Contenido de los programas de aseguramiento y mejora de calidad de Auditoría Interna y los tipos de evaluaciones posibles.
  • Cómo prepararnos  para realizar una evaluación y obtener con éxito la Certificación Quality Assessment
  • Identificar los puntos fuertes y débiles que con mayor frecuencia se observan en las organizaciones.
  • Ejercicios de capacitación.

A quién va dirigido: Directores Ejecutivos de Auditoría, Profesionales de Auditoría Interna,  Miembros de los Directorios o Comités de Auditoría que deseen estar preparados para supervisar  un proceso de evaluación de la calidad de la función auditora en sus Organizaciones, responsables jerárquicos de la función de Auditoría Interna que deseen actualizar y profundizar sus conocimientos sobre el Programa de Aseguramiento de la Calidad requerido por el IIA, y cualesquiera otros responsables empresariales con inquietudes en este asunto.

Conferencista - Jesús Aisa Díez de España. Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA., ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Evaluador certificado de Quality Assurance y director de múltiples evaluaciones de calidad de Unidades de Auditoría Interna realizadas en el ámbito iberoamericano, tanto en España, Portugal, como en diversos países latinoamericanos (Chile, Perú y Colombia). Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Colaborador de www.auditool.org 

Lugar y Fecha:

Bogotá, Colombia - Hotel Capital. 31 de Marzo y 1 de Abril de 2014 (16 horas)

Medellín, Colombia: Hotel Poblado Alejandría. 3 y 4 de Abril de 2014 (16 horas)

Para mayor información visite: http://bit.ly/1jcyCqM

¿Te ha gustado la noticia? ¡Compártela con otro auditor interno!

jueves, 13 de febrero de 2014

Calidad Comunicación

Información tomada de la publicación Tone at the Top del IIA Global de Febrero del 2014.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

miércoles, 12 de febrero de 2014

La cultura organizacional como un objetivo de control y administración de riesgos

Por Pablo G. Fudim (CPA; CIA; CRMA; QAS)*

En la actualidad y a partir de los análisis de las principales metodologías internacionales de Administración de Riesgos (COSO-ERM; BASILEA 2 Y 3, ISO 31.000), así como en los modelos de diseño de estructuras de Control Interno (COSO 2013), incluso al considerar los objetivos de los modelos en general, y la función del alineamiento organizacional que forma parte de la actividad de Auditoria Interna, existe una ausencia de discusión de cuál es el rol de la cultura organizacional en la administración de riesgos y estructuras de control interno.

Esta falencia en principio podría ser causada por un conocimiento limitado por parte de los profesionales de ciencias económicas de los factores blandos que gobiernan las organizaciones. Por ello, debemos considerar una perspectiva diferente y multidisciplinaria, y asumir que la cultura está constituida por las creencias y tradiciones que rigen la conducta de las personas. Es la síntesis de todas las variables del liderazgo y, de esta manera, genera una acción en función de un canon cultural.

En las metodologías antes mencionadas, la cultura es uno de los componentes, es decir, está subordinada a diferentes objetivos. En mi experiencia, sin embargo, considero que es una variable esencial para la consecución de los objetivos organizacionales, derribando los paradigmas vigentes.

Si la estrategia es el primer objetivo de un modelo de administración de riesgos (COSO-ERM) y la estrategia es el todo o el objetivo más importante de las actividades organizacionales, entonces, ¿cuál de las dos es más importante? Peter Drucker afirmó: "La cultura se come a la estrategia para el desayuno". Si esta es tan importante, ¿por qué no se encuentra incluida en la Matriz de Estrategia Competitiva de Michael Porter? Efectivamente, en ninguna de las metodologías analizadas se incluye este objetivo. No consideramos la cultura en el análisis estratégico o el Modelo de cinco Fuerzas de Porter, tampoco en el modelo COSO 2013, BASILEA 2 y 3, etc.  No obstante, la consideramos en los análisis de riesgo externo o interno (ISO 31.000; COSO-ERM; entre otros). ¡Qué paradoja!

Considero entonces oportuno señalar que es necesario un nuevo marco de referencia. Como ejemplo, en la General Electric (GE) gestionada por J. Welch, la estrategia consistió en "ser el número 1 o 2 en cualquier negocio que operaran".

lunes, 10 de febrero de 2014

In fraganti



Sorprender a alguien in fraganti viene a ser lo mismo que atraparlo con las manos en la masa, o sea, mientras está haciendo algo indebido. No hay necesidad de escribir in fraganti en cursiva ni entre comillas porque es castellano puro y duro, aunque pueda parecer latín. En realidad es la deformación del latinismo in flagranti (delicto), es decir, ‘en flagrante delito’.

Para una muestra solo falta un botón, recuerdan el Caso Paul Wolfowitz y el drama ético del Banco Mundial.  El 28 de enero del 2007, el entonces Presidente del Banco Mundial, Paul Wolfowitz fue atrapado in fraganti al ingresar a una mezquita en un viaje que hizo a Turquía, debido a que se vio obligado a develar un secreto íntimo, al tener que quitarse los zapatos, toda la humanidad pudo observar sus medias rotas, todos vimos en vivo y directo dos grandes agujeros en sus calcetines. 

Pero lo más sorprendente aun, es que el Sr. Wolfowitz no será recordado por la fotografía de sus dedos gordos asomándose, impúdicamente, a través de los agujeros de sus calcetines, sino por sus amores lucrativos con Shasha Riza, empleada del Banco Mundial, a quien le asignó un salario extraordinariamente alto.

Más adelante fue sorprendido de nuevo con las manos en la masa, debido a que entre marzo y abril de 2007, Wolfowitz estuvo envuelto en un escándalo de corrupción, al descubrirse que su novia (Shaha Riza), también empleada del Banco Mundial, había recibido importantes aumentos de sueldo (incluso por encima de lo que dictan las reglas de la organización) tras llegar Wolfowitz a la presidencia de la misma. El primero, de 47.300 dólares, supuso un incremento del 35,5%. El segundo, de 13.590 dólares, supuso un 7,5%. Estos aumentos violaban claramente las normas del banco, que permitían aumentos menores, del 12% y del 3,7% respectivamente. El salario de Shaha Riza alcanzó en 2007 los 193.590 dólares libres de impuestos.

viernes, 7 de febrero de 2014

Definiciones de Apetito, Tolerancia y Capacidad de Riesgo

El apetito es el nivel de riesgo que la empresa quiere aceptar y su tolerancia es la desviación respecto a este nivel. La capacidad es el máximo de riesgo que una organización puede soportar en la persecución de sus objetivo.
Información tomada de la Guía de Buenas Prácticas de Gestión de Riesgos: Definición e Implementación de Apetito de Riesgos publicada por La Fabrica de Pensamiento del Instituto de Auditores Internos de España.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

miércoles, 5 de febrero de 2014

lunes, 3 de febrero de 2014

Los Servicios de Aseguramiento y la Gestión de Riesgos

 ¿Cuál es la responsabilidad de auditoría interna y de otros proveedores de aseguramiento respecto a la gestión de riesgos?

El Glosario de las Normas para la Práctica Profesional de la auditoría interna define:

Servicios de Aseguramiento: Es un examen objetivo de evidencias con el propósito de proporcionar una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización.

Gestión de Riesgos: Es un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos organizacionales.

La gestión de riesgos es un proceso gerencial que promueve la efectividad y eficiencia en el logro de los objetivos organizacionales. El aseguramiento y la gestión de riesgos son procesos complementarios. Como apoyo a la gestión de riesgos, el rol principal de auditoría interna y otros proveedores independientes de aseguramiento es proveer aseguramiento de que:

·         El proceso de gestión de riesgos ha sido aplicado apropiadamente y que los elementos del proceso son adecuados y suficientes.

·         El proceso de gestión de riesgos mantiene las necesidades estratégicas y los objetivos organizacionales.

·         Los procesos y sistemas ha sido establecidos para asegurarse que todos los riesgos materiales son identificados y tratados.

·         Todos los riesgos priorizados como intolerables tienen planes costo-efectivos implementados.
·         Los controles han sido correctamente implementados y se mantienen actualizados con los resultados del proceso de gestión de riesgos.

·         Los controles claves son adecuados y efectivos.

·         Los riesgo no están sobre controlados o infectivamente manejados.

·         La gerencia de línea revisa los controles y otras actividades de aseguramiento que no sea auditoría están manteniendo y mejorando el sistema de control interno.

·         Los planes de tratamiento de riesgos están siendo ejecutados.

·         Existe un proceso de reporte apropiado en el plan de gestión de riesgos.