AUDITORÍA

Hacia una metodología de auditoría interna alineada con riesgos (1)

Revista Nº 68 Oct.-Dic. 2016

Orlando Silva Ruiz 

(Colombia)

Contador Público de la Universidad La Gran Colombia 

Certified Internal Auditor (CIA) 

Docente y Coordinador Académico, Especialización en Aseguramiento y Control Interno, Pontificia Universidad Javeriana Bogotá 

Contralor Interno, Aseguradora Solidaria de Colombia

Resumen

Tanto las normas internacionales de auditoría interna emitidas por The Institute of Internal Auditors, como las normas de auditoría interna emitidas por la Superintendencia Financiera de Colombia mediante circulares externas, establecen la obligación del director ejecutivo de auditoría interna, de elaborar un plan de auditoría interna basado en riesgos, que conforme una base para que al final del período auditado pueda emitir un informe que contenga una opinión global de auditoría interna con destino a la junta directiva y al comité de auditoría, en el que revele la situación del sistema de control interno de la organización. Se requiere para ello, una metodología práctica que logre interpretar las normas, desarrollar trabajos de auditoría, así como consolidar y agrupar resultados.

Palabras clave:

Comité de auditoría; Junta directiva; Plan de auditoría interna; Opinión global; Riesgo; Sistema de control interno.

Contenido

Introducción

1. Contexto

2. Plan de auditoría interna basado en riesgos

2.1. Entendimiento del entorno

2.2. Entendimiento del negocio

2.3. Evaluación del sistema de control interno a nivel de entidad

2.4. Universo de auditoría

2.5. Formulación del plan de auditoría interna

3. Ejecución del plan de auditoría interna

3.1. Comprensión del proceso y su sistema de gestión de riesgos

3.2. Evaluación de la gestión de riesgos del proceso o unidad auditada

3.3. Evaluación del diseño de las actividades de control

3.4. Evaluación de la eficacia operativa de las actividades de control – “controles”

4. Opinión de auditoría interna

Conclusiones

Bibliografía

Introducción

La forma como se debería elaborar un plan de auditoría interna basado en riesgos, la manera como se evalúa la eficacia de los procesos de gestión de riesgo y la aplicación de una metodología que permita de manera razonable emitir una opinión global o final basada en los resultados de los diferentes trabajos de auditoría interna, son cuestiones de especial preocupación en relación con el trabajo que cotidianamente gestionan los directores ejecutivos de auditoría interna. Para abordar las anteriores cuestiones, las normas que regulan la actividad de auditoría interna, tanto en el ámbito internacional como en Colombia han introducido reglamentación, la cual, no llega a ser lo suficientemente comprensible para ser llevada de manera contundente a la práctica profesional.

Con anterioridad, algunos estudios han abordado parte de estas cuestiones. Cabe mencionar que Chambers (1992) propone un modelo para la priorización del plan de auditoría basado en la fórmula: tamaño x control x auditoría. Así mismo, Pickett (2006) propone un conjunto de elementos a partir del gobierno corporativo para determinar el universo de auditoría, y luego asignar unos factores ponderados de riesgo.

Quizás, uno de los estudios más completos se encuentra en Griffiths (2012), que aborda un modelo cuantitativo de factores de riesgo usando la fórmula: tamaño x control x efectividad de la auditoría interna, que es equivalente a la usada por Pickett (2006). Del mismo modo, The Institute of Internal Auditors Research Foundation, IIARF (Volumen 2, 2012) considera algunos factores de riesgo que podrían ser usados en la priorización de las unidades auditables.

Derivado de lo anterior, este documento tiene como propósito poner en manos de los lectores, pero especialmente de los directores ejecutivos de auditoría interna, una propuesta metodológica que les permita una mayor aproximación e interpretación de las normas que regulan la actividad de auditoría interna en relación con las cuestiones inicialmente planteadas. El análisis inicia con las normas internacionales de auditoría interna emitidas por The Institute of Internal Auditors (IIA)(2), contextualizando su aplicación en combinación con las normas establecidas en Colombia, principalmente aquellas emitidas por la Superintendencia Financiera de Colombia, para el caso, la Circular Externa 038 del 2009, incorporada en la Circular Externa 029 del 2014 —nueva Circular Básica Jurídica.

Todo el recorrido presentado en este documento permite reflexionar sobre la obligación que se tiene de elaborar un plan de auditoría interna basado en riesgos, el cual resulta eficiente y eficaz cuando se sigue juiciosamente una serie de etapas tales como: el entendimiento del entorno de la organización; el entendimiento del negocio; la evaluación global del sistema de control interno o evaluación a nivel de entidad. Estas etapas permiten identificar de manera razonable el universo de auditoría. Al respecto, se sugiere un modelo de factores de riesgo que facilita la priorización del universo de auditoría y, por lo tanto, permite establecer las unidades o procesos con mayor oportunidad de ser auditadas.

Una vez elaborado el plan de auditoría, se procede con su ejecución, se sugiere una estructura que inicia con la comprensión del proceso o unidad auditable, la cual contiene un modelo que incorpora no solo el análisis bajo la perspectiva de procesos —entradas, actividades y salidas—, sino también la identificación de riesgos y actividades de control por parte del auditor interno; luego el análisis de la metodología de riesgos usada por la organización para el proceso auditado, determinando lo adecuado de la misma, observando entre otros, si el riesgo residual se encuentra dentro del apetito de riesgo(3) de la organización o tiene previsto un tratamiento en el caso de que se encuentre por fuera.

Se aborda la evaluación del diseño de actividades de control, para enfocar las pruebas de eficacia operativa sobre las actividades de control o comúnmente llamados “controles”, y/o preestablecer preliminarmente los alcances para las pruebas sustantivas en función de la materialización de los eventos de riesgo.

Para finalizar la estructura de ejecución del plan de auditoría, se propone una metodología que permite cuantificar y consolidar los resultados de todas las auditorías ejecutadas, a fin de emitir una conclusión general del trabajo realizado y elaborar el informe que contiene la “opinión” sobre lo razonable y adecuado del sistema de control interno, con destino a la junta directiva de la organización.

1. Contexto

La norma internacional para el ejercicio profesional de la auditoría interna 2010, que en adelante se mencionará como “norma” o “normas”, según sea el caso, emitida por The Institute of Internal Auditors (IIA) (2012), indica que “el director de auditoría interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dicho plan deberá ser consistente con las metas de la organización”. Así mismo, la interpretación de esta norma señala que:

“El director de auditoría interna es responsable de desarrollar un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de gestión de riesgos de la organización incluyendo los niveles de aceptación de riesgos establecidos por la dirección para las diferentes actividades o partes de la organización. Si no existe tal enfoque el director de auditoría interna utilizará su propio juicio sobre los riesgos después de considerar las aportaciones de la alta dirección y el Consejo. El director de auditoría interna debe revisar y ajustar el plan, cuando sea necesario, como respuesta a los cambios en el negocio, los riesgos, las operaciones, los programas, los sistemas y los controles”.

De esta norma se deriva una gran responsabilidad para los directores de auditoría interna, que consiste principalmente en determinar el universo de auditoría de una organización, aplicando el debido cuidado profesional, considerando todas las unidades, procesos, proyectos, actividades o tareas auditables, para luego aplicar una metodología en función de riesgos, que le permita mediante una priorización, asignar recursos de manera óptima.

Lo antes mencionado es coherente con lo reglamentado por la Circular Externa 29 del 2014, emitida por la Superintendencia Financiera de Colombia (SFC), que en su numeral 6.1.4.2.2.1.1 indica que:

“El Auditor Interno debe establecer, por lo menos anualmente, planes basados en los riesgos que afecten el logro de los objetivos de la organización, a fin de determinar las prioridades de la actividad de auditoría interna, incluyendo entre otros, el derivado de las operaciones y relaciones con otras entidades del mismo grupo económico”.

Lo observado en la interpretación de la norma 2010, lleva necesariamente al Director Ejecutivo de Auditoría Interna (DEA), a hacer uso del modelo de administración de riesgos de la organización para la priorización del universo de auditoría, y de otro lado a aplicar su propia metodología en el evento en que la organización no cuente con un modelo de gestión de riesgos. En este último caso debe consultar con la alta dirección y el consejo, pero además enmarcarse dentro del estatuto de la auditoría interna; siendo fundamental el apoyo de los responsables de las unidades auditadas o dueños de proceso.

Pero, ¿para qué se debe priorizar el universo de auditoría?; se dijo antes que para asignar recursos de manera óptima, y ¿para qué asignar recursos de manera óptima?; sencillamente porque el DEA tiene la responsabilidad de llevar a cabo un aseguramiento razonable de cara a emitir una opinión tal como lo establecen las normas 2410.A.1 y 2450 con base en las expectativas de la alta dirección, el consejo y otras partes interesadas. De igual forma lo determina la Circular Externa 29 del 2014, emitida por la SFC, la que indica:

“6.1.4.2.2.5. Comunicación de resultados

Por lo menos al cierre de cada ejercicio, el auditor interno o quien haga sus veces deberá presentar un informe de su gestión y su evaluación sobre la eficacia del sistema de control interno, incluyendo todos sus elementos. Dicho informe debe contener por lo menos lo siguiente:

(…).

6.1.4.2.2.5.4. Los resultados de la evaluación realizada respecto a la existencia, funcionamiento, efectividad, eficacia, confiabilidad y razonabilidad de los sistemas de control interno y de riesgos.

(…)”.

Surge entonces una nueva pregunta: ¿cómo medir y presentar los resultados de las evaluaciones realizadas por el DEA?; la respuesta quizás pueda plantearse a partir de elementos que permitan no solo la medición, sino también la consolidación de las evaluaciones realizadas a fin de concluir con una opinión global que genere tranquilidad o preocupación a la junta directiva. Esto es totalmente opuesto al modelo tradicional, mediante el cual el DEA solo presenta un informe final que contiene actividades, deficiencias y recomendaciones de manera particular por cada tema evaluado, sin lograr brindar seguridad razonable sobre el conjunto de unidades o procesos de la organización.

Se observa en la literatura, particularmente en aquella derivada de las normas internacionales de auditoría interna, como por ejemplo los consejos para la práctica y las guías prácticas publicadas por el IIA, conceptos teóricos o indicaciones sobre diferentes formas o métodos tanto para elaborar el plan de auditoría basado en riesgos, como para examinar si los procesos de gestión de riesgos y controles son eficientes y eficaces, pero ello en la mayoría de los casos carece de una muestra práctica de su contenido.

Los cuestionamientos que surgen de los anteriores planteamientos son abordados en este documento a partir de los siguientes aspectos:

• Tanto las normas del IIA (2012), como la Circular Externa 29 del 2014, mantienen la obligatoriedad para los auditores internos, de elaborar un plan de auditoría basado en riesgos; se cuestiona si el alcance de esta definición es comprensible y por lo tanto, está siendo aplicada por todos los obligados.

• La norma 2120 del IIA (2012), establece que la actividad de auditoría interna debe evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos. Se cuestiona si los auditores internos interpretan el alcance de este concepto y por lo tanto de qué manera le vienen dando cumplimiento.

• La norma 1220.A1 del IIA (2012) considera en relación con el cuidado profesional que:

“El auditor interno debe ejercer el debido cuidado profesional al considerar:

— El alcance necesario para lograr los objetivos del trabajo;

— La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento;

— La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control;

— La probabilidad de errores materiales, fraude o incumplimientos; y

— El coste de aseguramiento en relación con los beneficios potenciales”.

Se cuestiona si el alcance que hoy están considerando los auditores internos es suficiente para soportar ante la junta directiva y/o el comité de auditoría una opinión global sobre los procesos de administración de riesgos y controles.

• Finalmente, es necesario cuestionar la forma como los auditores internos están elaborando su informe que contiene la opinión global, lo cual podría estudiarse a partir del análisis de si aplican una metodología cuantitativa por ejemplo, una cualitativa o una combinación de las dos, o en el peor de los casos, solo están presentando un informe de actividades.

2. Plan de auditoría interna basado en riesgos

Ya se contextualizó antes la importancia de elaborar un plan de auditoría interna basado en riesgos, lo cual permite, no solo cumplir con las normas, sino también obtener el alcance necesario para emitir una opinión razonable con base en las expectativas de la junta directiva y/o comité de auditoría. Al respecto, la base para elaborar el plan de auditoría se encuentra en el universo de auditoría, pero para obtener el mismo, es necesario realizar previamente una serie de evaluaciones que con alguna frecuencia hacen los auditores internos, pero que si se desarrollan de manera juiciosa y ordenada como a continuación se propone, pueden ser muy eficaces para el fin planteado:

2.1.Entendimiento del entorno 

Entender el entorno de la organización auditada es fundamental para construir el universo de auditoría sin correr el riesgo de dejar asuntos importantes por fuera, como ejemplos se pueden citar los siguientes: la regulación aplicable, el sector económico, el comportamiento de la industria, el impacto de las políticas gubernamentales, el impacto de las políticas de comercio exterior, políticas cambiarias, la regulación de precios, principales competidores, entre muchos otros. Este entendimiento permite al auditor tener una visión para comprender el negocio en el cual opera la organización auditada.

2.2.Entendimiento del negocio 

El entendimiento del entorno de la organización, y la forma como éste se relaciona con sus estrategias, se puede documentar para una mayor comprensión, mediante diferentes modelos o metodologías, de las cuales se citan algunas:

2.2.1. Modelo de las cinco fuerzas de Porter

Porter (1982) estableció el análisis estructural de los sectores industriales. Consiste en una metodología que permite la evaluación estratégica del ambiente que rodea una organización, para conocer la industria e identificar factores de riesgo que pueden impactar el desarrollo de las estrategias. Esta metodología considera el análisis de cinco fuerzas: 1. La rivalidad entre empresas competidoras; 2. La entrada potencial de nuevos competidores; 3. Desarrollo potencial de productos sustitutos; 4. Poder de negociación de los proveedores; 5. Poder de negociación de los consumidores.

Para llevar a cabo este análisis, el auditor interno puede documentar información mediante el uso de una plantilla o formato como se muestra en el Cuadro 1.

Pagina 22
 

2.2.2. Modelo de las fuerzas externas de KPMG

Se encuentra en Bell (2007), el modelo utilizado por KPMG para el análisis del negocio, el cual comprende:

• Fuerza externas – Factores, presiones y fuerzas provenientes del exterior de la entidad, de carácter político, económico y tecnológico, que amenazan el logro de los objetivos.

• Mercados – Los dominios en los cuales la entidad puede escoger operar, y el diseño y ubicación de sus instalaciones.

• Procesos de administración estratégica – Aquellos por medio de los cuales se desarrolla la misión de la entidad auditada, se definen sus objetivos de negocio, se identifican los riesgos de negocio, se establecen procesos para la administración de dichos riesgos, y se monitorea el cumplimiento de los objetivos estratégicos.

• Procesos clave del negocio – Aquellos procesos que desarrollan, producen, mercadean y distribuyen los productos y servicios de la entidad auditada.

• Procesos de administración de recursos – Aquellos por medio de los cuales se adquieren, desarrollan y asignan los recursos para las actividades clave del negocio.

• Alianzas – Las relaciones establecidas para lograr los objetivos del negocio, expandir oportunidades y reducir o transferir riesgos.

• Productos y servicios clave – Las mercancías que la entidad auditada ofrece al mercado.

• Clientes – Los individuos y organizaciones que compran el producto de la entidad auditada.

Para llevar a cabo este análisis, el auditor interno podría documentar información mediante el uso de una plantilla estructurada como se muestra en la Figura 1.

CONT 68 P23
 

2.2.3. Modelo “canvas” (lienzos)

Osterwalder y Pigneur (2010) describen un modelo de negocio denominado ‘lienzo’ (en inglés canvas), mediante el cual se puede realizar el análisis del negocio a partir de los siguientes elementos, estructurados mediante una plantilla de nueve módulos:

• Segmentos de mercado – En este módulo se definen los diferentes grupos de personas o entidades a los que se dirige una empresa.

• Propuestas de valor – En este módulo se describe el conjunto de productos y servicios que crean valor para un segmento de mercado específico.

• Canales – En este módulo se explica el modo en que una empresa se comunica con los diferentes segmentos de mercado para llegar a ellos y proporcionales una propuesta de valor.

• Relaciones con clientes – En este módulo se describen los diferentes tipos de relaciones que establece una empresa con determinados segmentos de mercado.

• Fuentes de ingresos – Se refiere al flujo de caja que genera una empresa en los diferentes segmentos de mercado.

• Recursos clave – Se describen los activos más importantes para que un modelo de negocio funcione.

• Actividades clave – Se describen las acciones más importantes que debe emprender una empresa para que su modelo de negocio funcione.

• Asociaciones clave – Se describe la red de proveedores y socios que contribuyen al funcionamiento de un modelo de negocio.

• Estructura de costes – En este último módulo se describen todos los costes que implica la puesta en marcha de un modelo de negocio.

Para llevar a cabo este análisis, el auditor interno podría documentar información mediante el uso de una plantilla o formato como se muestra en el Cuadro 2.

CONT 68 P25
 

2.3. Evaluación del sistema de control interno a nivel de entidad 

Realizar una evaluación del sistema de control a nivel de entidad es muy importante en esta etapa de la auditoría, para que el auditor interno pueda construir un juicio en relación con aquellas situaciones que merecen atención prioritaria, y por lo tanto deben ser incluidas en el plan de auditoría con un alcance determinado.

Al respecto, el modelo de control interno más generalizado para llevar a cabo esta evaluación es aquel emitido por The Committee of Sponsoring Organizations of the Treadway, denominado comúnmente COSO por sus siglas en inglés. Con base en COSO (2013), se establece que la evaluación a nivel de entidad se puede realizar sobre los siguientes componentes, los cuales se basan en principios, y pueden ser evaluados como se muestra a continuación:

• Ambiente de control – Evaluando por ejemplo: el compromiso con la integridad y los valores éticos mediante el establecimiento de un código de conducta y su cumplimiento por parte de los empleados de la organización; la independencia de la junta directiva o consejo de administración y/o comité de auditoría en relación con la gerencia y su nivel de supervisión sobre el control interno, mediante la revisión de las funciones de los mencionados cuerpos colegiados; el compromiso para desarrollar y retener personal competente, revisando las políticas de recursos humanos; entre otros.

• Evaluación de riesgos – Evaluando por ejemplo: si la organización cuenta con objetivos adecuados, revisando el plan estratégico y los objetivos relacionados de los procesos de negocios; si se identifican y analizan los riesgos, verificando la existencia de un proceso formal de gestión de riesgos; si la organización cuenta con un sistema de gestión del riesgos de fraude; si se evalúan los cambios que impactan de manera significativa el sistema de control interno.

• Actividades de control - Evaluando por ejemplo: si la organización selecciona y desarrolla actividades de control en función de los riesgos y el apetito de riesgo, analizando si las mismas se encuentran documentadas e incluyen los controles de aplicación en tecnología; si se cuenta con actividades de controles generales en tecnología.

• Información y comunicación - Evaluando si la organización obtiene y genera información relevante de alta calidad para el funcionamiento del control interno, por ejemplo si se cuenta con información clasificada, cuyo uso está determinado y/o restringido; si la organización comunica información interna y externa, y la forma como lo hace.

• Actividades de monitoreo – Evaluando si la organización realiza evaluaciones periódicas y continuas sobre el funcionamiento de los componentes del sistema de control interno; si la organización comunica las deficiencias de control interno de manera adecuada tanto hacia la alta dirección como hacia la junta directiva y/o el comité de auditoría, y si se toman acciones correctivas en relación con tales deficiencias.

La forma de llevar a cabo esta evaluación, es mediante el uso de formatos con preguntas, como el modelo que se aprecia en el Cuadro 3.

CONT 68 P27
CONT 68 P27
 

2.4. Universo de auditoría 

De acuerdo con IIARF (Volumen 2, 2012), la actividad de auditoría interna debe decidir la prioridad de su trabajo en un período determinado para todas las unidades de negocios de una organización. La clave para tomar esta decisión es el riesgo; y el primer paso para ello consiste en dividir a la organización en partes, cada una de las cuales podría ser objeto de un trabajo de aseguramiento interno. Una vez realizado esto, los riesgos de cada parte de la organización pueden ser identificados y evaluados para conformar una base o lista de unidades priorizada a partir de los riesgos más significativos, que asegure la distribución y la cobertura adecuada del trabajo de auditoría.

Igualmente, se encuentra con base en IIARF (Volumen 2, 2012), que el universo de riesgos —o de auditoría— se puede organizar de varias formas; y que la auditoría interna debe usar el método que más se alinee con la estructura que tanto la junta directiva, como la administración tengan en la organización. Esto significa que si por ejemplo, la organización se basa en áreas funcionales, el universo de riesgos puede estar soportado en el organigrama o por centros de costo. Pero si la organización tiene definidas sus actividades por procesos de negocios, así mismo deberá ser el universo de riesgos. Igualmente si la organización tiene un proceso de administración de riesgo empresarial efectivo, su universo podrá estar definido por categorías de riesgo, por ejemplo: financieros, operativos, tecnológicos, etc. Finalmente, es importante considerar que un universo de riesgos o de auditoría podrá estar conformado por una combinación de todas estas y otras categorías.

Hasta este punto, es necesario enfatizar en la importancia para el DEA y su equipo de auditores, de ejecutar de manera juiciosa el entendimiento del negocio y la evaluación del sistema de control interno a nivel de entidad, como se mencionó antes, toda vez que esto conforma la base para identificar y poner a todas las partes de una organización dentro del universo de auditoría; por ejemplo, sin dejar fuera unidades, partes o procesos relacionados con los riesgos externos tales como: la competencia, los riesgos políticos y económicos, de mercado; los servicios tercerizados, las alianzas estratégicas, los proveedores, los intermediarios, las redes sociales, los requerimientos legales de aseguramiento, los proyectos, etc.

Finalmente, es necesario incluir también trabajos de consultoría según lo considere el estatuto de la auditoría interna, y aquellos requeridos por la junta directiva o el comité de auditoría.

Con base en las normas del IIA (2012), el director de auditoría interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dicho plan deberá ser consistente con las metas de la organización.

Se derivan dos elementos a partir de esta norma y su interpretación, como se menciona en el contexto; el primero de ellos es la alineación que debe tener el plan con los objetivos estratégicos de la organización; y el segundo de ellos, considerar el enfoque de gestión de riesgos de la organización. En este estadio, se puede partir de la hipótesis según la cual el primer elemento siempre podrá ser aplicado, en el entendido que no se concibe una organización sin algún rumbo, cualquiera que este sea. Para el segundo elemento, es necesario preguntarse, si la organización cuenta con un sistema de gestión de riesgos; si es así, entonces se podrá usar como base para la priorización del universo de auditoría; en caso contrario, el auditor tendrá que usar un modelo propio de riesgos, pero además tomará esta decisión basado en las expectativas acordadas en el estatuto de la auditoría interna.

2.4.1. Usando el enfoque de gestión de riesgos de la organización

El Consejo para la práctica 2010-2 emitido por el IIA (2009) establece que “un plan de la actividad de auditoría interna se centra en:

• Riesgos existentes inaceptables para los que se requiere intervención de la dirección. Se trataría de áreas con controles clave o factores de mitigación mínimos que la alta dirección desea auditar de inmediato.

• Sistemas de control de los que depende la organización.

• Áreas con una gran diferencia entre riesgo inherente y riesgo residual.

• Áreas con un riesgo inherente muy alto”.

Además considera que debe incluirse periódicamente una selección de auditorías de sucursales o unidades de negocio con bajo nivel de riesgo para ofrecerles cobertura y confirmar que sus riesgos no han cambiado.

Un modelo básico a manera de ejemplo, para lograr la aplicación de los anteriores conceptos, y priorizar el plan, puede apreciarse en el Cuadro 4, usando una escala clásica de alto, medio y bajo, donde alto tiene una asignación de 10 puntos, medio de 5 puntos y bajo de 1 punto.

CONT 68 P31
CONT 68 P31
 

(1) Corresponde al mayor número de riesgos del proceso o unidad en una categoría, por ejemplo: el proceso “Facturación” podría tener 6 riesgos: 3 riesgos altos, 2 medios y 1 bajo; por consiguiente se asigna la categoría Alto.

(2) Una forma de asignar una categoría, puede ser asignando la más alta para mayores diferencias, media para diferencias menores y baja cuando no hay diferencia. Por ejemplo: Un riesgo inherente alto, que luego de aplicar controles queda en bajo, tiene una gran diferencia, por lo tanto se asigna la categoría alto.

(3) Para aquellos controles que sean relevantes y estén directamente relacionados con el core del negocio, se asigna alto, de lo contrario a juicio puede ser medio o bajo si se trata de controles no relevantes o no relacionados con el core.

(4) Se puede asignar la categoría alto, cuando el proceso contenga riesgos residuales que estén por fuera del apetito de riesgo.

(5) Se puede asignar la categoría alto, para aquellas sucursales que aunque su nivel de riesgo sea bajo, el auditor considera importante auditar, para lograr una cobertura óptima.

(6) Corresponde al promedio ponderado, conforma la base para ordenar los procesos o unidades en orden de prioridad.

2.4.2. Utilizando el juicio del director de auditoría interna sobre los riesgos

Si no existe un enfoque de gestión de riesgos en la organización, con base en las normas del IIA (2012), el director de auditoría interna utilizará su propio juicio sobre los riesgos después de considerar las aportaciones de la alta dirección y el consejo. En este sentido, el auditor puede usar una metodología que contenga un número de factores de riesgo, y asignar un peso a cada factor.

Al respecto, Griffiths (2012) propone un modelo cuantitativo de tres grandes factores de riesgo para priorizar el universo de auditoría: tamaño x control x efectividad de la auditoría.

Por un lado, el factor “tamaño” se compone de otros factores o subfactores como: valor anual de los ingresos, gastos presupuestados, número de empleados, impacto del riesgo según la matriz de riesgo, número de transacciones.

El factor “control” se compone de los siguientes subfactores: evaluación de la calidad de la gerencia y el personal, sensibilidad hacia terceros, norma de control interno, probabilidad de ocurrencia del riesgo según la matriz de riesgos.

El factor “efectividad de la auditoría” se compone de los siguientes subfactores: efectividad probable de la auditoría interna, duración del trabajo de auditoría, tiempo desde la última auditoría, efectividad de otros proveedores de aseguramiento.

Cada tema del universo de auditoría es evaluado para crear un score por cada uno de los subfactores mencionados.

Para este caso, se propone trabajar con algunos de los factores usados por Griffiths (2012), junto con otros como: complejidad de las operaciones, importancia estratégica, susceptibilidad al fraude; destacando que no son únicos y que por lo tanto el DEA puede considerar otros.

La valoración que el auditor le asigne a cada factor, depende de un juicio que se forma a partir del conocimiento general de la organización, del conocimiento particular preliminar de los procesos o unidades del universo de auditoría, de las entrevistas o encuestas con los dueños de procesos o unidades, y de la consulta con la alta dirección y la junta directiva o el comité de auditoría.

Un modelo básico, a manera de ejemplo, es presentado en el Cuadro 5, usando una escala clásica de alto, medio y bajo, donde alto tiene una asignación de 10 puntos, medio de 5 puntos y bajo de 1 punto.

CONT 68 P34
CONT 68 P34
 

(1) Se asigna el mayor puntaje, si el proceso contribuye en mayor medida a los objetivos estratégicos; si por ejemplo solo es apoyo, se puede asignar medio o bajo.

(2) Un proceso que contenga actividades de cálculos matemáticos, que requiera el uso de software, un gran número de operaciones, puede calificarse como alto.

(3) Algunos procesos o unidades de negocios, tales como aquellos que involucran pagos, recaudos, manejo de inventarios, pueden estar más expuestos al fraude que otros.

(4) Un método común puede ser, asignar una calificación de alto cuando la última auditoría del proceso se realizó hace tres o más años; medio, cuando la última auditoría tuvo lugar hace dos años y bajo, cuando la misma se ejecutó el año anterior.

(5) El auditor debe homologar su escala de calificación a la escala: alto, medio, bajo. Unos resultados inaceptables de la última auditoría la pondrán en un rango alto, mientras que unos buenos resultados la pondrán en un rango bajo.

(6) Corresponde al promedio ponderado, conforma la base para ordenar los procesos o unidades en orden de prioridad.

Se debe considerar que cuando la organización efectivamente cuenta con un enfoque de gestión de riesgos implementado, una propuesta de una buena práctica de auditoría es combinar algunos factores del modelo analizado en el numeral anterior, con factores del modelo aquí estudiado y obtener un tercer modelo de priorización del universo de auditoría a juicio del DEA, particularmente cuando la metodología de gestión de riesgos de la organización no ha logrado un buen nivel de madurez. En este caso, todos o algunos de los factores del Cuadro 4 se podrán combinar con todos o algunos de los factores del Cuadro 5.

2.5. Formulación del plan de auditoría interna 

Una vez priorizado el universo de auditoría, el director ejecutivo de auditoría debe tomar decisiones y determinar, tanto las unidades y/o procesos de mayor riesgo, como aquellas(os) que, a su juicio, considere necesarias para formular el plan de auditoría interna. Al respecto, la norma internacional de auditoría interna 2200 (2013) sobre la planificación del trabajo, establece que los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignación de recursos. Una forma de aplicar esta norma, consiste en incluir de manera preliminar estos elementos, en el plan que ha formulado el director de auditoría.

El Cuadro 6 muestra un ejemplo del plan, una vez formulado. En el mismo se presentan sus diferentes componentes para el proceso de Facturación, el cual se muestra priorizado en primer lugar en el ejemplo del mencionado cuadro.

CONT 68 P37
CONT 68 P37
 

3. Ejecución del plan de auditoría interna

3.1. Comprensión del proceso y su sistema de gestión de riesgos 

La norma internacional de auditoría interna 2201 emitida por el IIA (2012) establece que:

“Al planificar el trabajo, los auditores internos deben considerar:

• Los objetivos de la actividad que está siendo revisada y los medios con los cuales la actividad controla su desempeño;

• Los riesgos significativos de la actividad, sus objetivos, recursos y operaciones, y los medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable;

• La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de la actividad comparados con un enfoque o modelo de control relevante; y

• Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestión de riesgos y control de la actividad”.

Se colige de la norma mencionada anteriormente, que para planificar un enfoque de pruebas de auditoría, es necesario partir del conocimiento tanto de los objetivos, como de aquellas actividades que comprenden el desempeño del proceso, si es que la organización mantiene esta estructura; por lo tanto, una primera etapa que deberían trabajar los auditores internos sería un entendimiento del proceso, mediante un recorrido previo al estudio de las políticas y los procedimientos institucionalizados. Este recorrido y estudio comprende, por ejemplo: identificar información de entrada, todos y cada uno de los pasos que permiten su desempeño, las actividades involucradas en sistemas de información, la seguridad de la información manejada por el proceso, información que sale del proceso, entre otros posibles elementos. De igual manera, es necesario que los auditores internos, identifiquen durante el recorrido, los riesgos, sus causas y las actividades de control.

En este sentido, en una organización con un sistema de administración de riesgos altamente maduro, este trabajo será la base de comparación con los riesgos y las actividades de control identificados por el dueño del proceso, y permitirá un análisis y una discusión sobre las diferencias encontradas.

Un modelo aproximado que puede ayudar a los auditores internos a llevar a cabo este trabajo se presenta en el Cuadro 7.

CONT 68 P39
 

3.2. Evaluación de la gestión de riesgos del proceso o unidad auditada 

Griffiths (2012) establece que obtener una lista de prioridades es un paso importante en el desarrollo de un efectivo plan de auditoría, que, como la mayoría de los riesgos deben haber sido identificados por la gerencia, el registro de riesgos y la matriz de riesgos serán invaluables para el traslado de los mismos a un programa de auditoría. Igualmente indica Griffiths (2012), que la mayoría de los riesgos inherentes —no los residuales— deben formar el enfoque primario de atención para la auditoría interna, que el riesgo inherente debe ser usado, por cuanto la auditoría evaluará la efectividad de los controles y por lo tanto podrá o no confirmar el riesgo residual.

A su vez, el documento de posición emitido en el año 2003 por el Instituto de Auditores Internos del Reino Unido e Irlanda, denominado “UK - Position Statement - Risk Based Internal Auditing” establece, entre otros, que el objetivo de RBIA que corresponde a un enfoque de Auditoría Interna Basada en Riesgos (Risk Based Internal Auditing), es proveer aseguramiento independiente a la junta directiva, que los procesos de administración de riesgos implementados por la gerencia operen como se espera, y que los mismos estén adecuadamente diseñados. Igualmente, determina que el enfoque del trabajo de auditoría interna depende del nivel de madurez del ambiente de administración de riesgos.

De otra parte, la norma internacional de auditoría interna 2201, emitida por el IIA (2012), establece la obligación del auditor interno, de considerar la adecuación y la eficacia de los procesos de gobierno, gestión de riesgos y control de la actividad comparados con un enfoque o modelo relevante.

Determinar un enfoque de pruebas tal como lo sugiere Griffihts (2012) es posible en un ambiente de gestión de riesgos maduro, en el que se observa un trabajo coordinado entre el gestor de riesgos y la gerencia, donde esta es consciente y conocedora de la metodología de gestión de riesgos de la organización y por lo mismo los riesgos se encuentran identificados de manera adecuada.

El documento UK - Position Statement - Risk Based Internal Auditing (2003) deja claro el enfoque del trabajo de auditoría interna, cuando la administración de riesgos carece de madurez, por lo tanto se debería revisar lo pertinente del proceso de administración de riesgos, dentro de cada una de las unidades o procesos auditables de manera individual.

Con base en lo mencionado en los párrafos precedentes de este numeral, y considerando que en Colombia a pesar de los esfuerzos legislativos no se percibe la madurez y la cultura de riesgos necesaria para una sólida administración de riesgos, se propone que durante la planificación individual de trabajos, y antes de proceder de manera directa con un enfoque de pruebas, se evalúe en primera instancia si el modelo o metodología de administración de riesgos es sólido o maduro, de manera individual para cada proceso del plan de auditoría, lo cual puede hacerse mediante unas pruebas a la matriz de riesgo que ha sido previamente elaborada por el dueño del proceso.

Estas pruebas se pueden enfocar dependiendo del modelo o metodología usada por la organización, hacia elementos tales como los siguientes:

• Evaluar si los eventos de riesgo están relacionados con alguna o algunas de las actividades del proceso auditado.

• Analizar si las causas de los riesgos realmente dan origen a los eventos.

• Determinar si las actividades de control tienen una contribución directa hacia la mitigación de las causas —probabilidad— o las consecuencias —impacto— de los riesgos evaluados.

• Identificar y soportar las razones por las cuales el dueño del proceso asignó un valor o una calificación —valoración— a la probabilidad inherente y al impacto inherente.

• Establecer para aquellas actividades de control con bajo nivel de rendimiento, la existencia de un plan de tratamientos por parte del dueño del proceso con base en el apetito de riesgo aprobado por la junta directiva y el nivel de riesgo residual.

• Identificar riesgos que no hayan sido seleccionados por el dueño del proceso y que por lo mismo no consten en la matriz de riesgo suministrada por la gerencia de riesgos.

• Finalmente, tomar una decisión sobre las actividades de control que posiblemente el auditor interno evaluará bajo la perspectiva de diseño; por ejemplo, para actividades de control que aparecen con una baja calificación en la matriz de riesgo del dueño del proceso, seguramente el auditor interno evaluará la existencia de un plan de tratamiento, pero además podrá proponer una prueba de tipo sustantivo en función del riesgo, que probará el nivel en que el riesgo ya se ha materializado. Pero para actividades de control que aparecen con una alta calificación en la matriz de riesgo del dueño del proceso, seguramente el auditor interno programará una prueba al diseño del control y dependiendo de los resultados de esta prueba, programará una prueba de eficacia operativa de controles para determinar si la actividad de control funciona tal como fue diseñada.

Una herramienta que puede servir de modelo para esta evaluación se presenta en el Cuadro 8.

CONT 68 P43
CONT 68 P43
 

CONT 68 P44
CONT 68 P44
 

3.3. Evaluación del diseño de las actividades de control 

La norma internacional de auditoría interna 2130.A1 emitida por el IIA (2012) establece que la actividad de auditoría interna debe evaluar la adecuación y eficacia de los controles en respuesta a los riesgos del gobierno, operaciones y sistemas de información de la organización. En tal sentido, una vez que los auditores internos han evaluado la solidez de la gestión de riesgos, en los términos mencionados en el numeral anterior, se considera que ya existen bases para enfocar las pruebas de auditoría.

Un primer enfoque tiene lugar hacia la “adecuación” como se menciona en la norma internacional de auditoría interna 2130.A1. En este enfoque evaluamos el diseño de las actividades de control.

El Consejo para la práctica 2200-2 numeral 10, emitido por el IIA (2010) establece que:

“Antes de dar una opinión sobre la gestión efectiva de los riesgos cubiertos por el alcance de la auditoría interna, es necesario evaluar la combinación de todos los controles clave. Incluso si se realizan múltiples trabajos de auditoría interna, cada uno tratando algunos controles clave, el auditor interno necesita incluir en el alcance de al menos un trabajo de auditoría interna una evaluación del diseño de los controles clave en su totalidad (esto es, a través de todos los trabajos de auditoría interna relacionados) y si este es suficiente para gestionar riesgos dentro de la tolerancia al riesgo de la organización”.

Al respecto, una evaluación del diseño de controles clave puede incluir el análisis de atributos como los siguientes, entre muchos otros, lo cual depende del modelo de riesgos adoptado por la organización:

• La determinación de la importancia de ser una actividad de control preventiva, detectiva y/o correctiva. Al respecto, puede ser más apreciada la que previene que aquella que solamente detecta, pero esta última puede ser muy útil para mitigar un número importante de causas del evento de riesgo.

• La valoración de las actividades de control automatizadas frente a aquellas eminentemente manuales. Estas últimas se pueden dejar de ejecutar fácilmente, pues dependen, en gran medida, de los estados anímicos de las personas, están sujetas al olvido, y podrían requerir de una segunda actividad de control o de una adecuada segregación de funciones para mitigar las causas del evento de riesgo. En todo caso, para estas actividades de control, se requiere un fuerte ambiente de control.

• Evaluar la frecuencia de la actividad de control, puede llegar a ser crítico y se requiere de mucho juicio del auditor interno. Es importante anteponer la eficiencia de la actividad de control y la relación costo beneficio, frente a su eficacia. Puede ser más eficaz ejecutar una actividad de control por cada operación que se realice, pero en un volumen muy grande de operaciones, puede ser más eficiente ejecutar la actividad de control cada cierto tiempo, por ejemplo, para una muestra, de manera semanal o mensual.

• La documentación de la actividad de control. Se prefiere que se encuentren documentadas junto con las actividades del proceso, en manuales de políticas y procedimientos. No obstante, no siempre es así. Esto se presenta entre otras razones, porque la gestión de riesgos tiende a ser más dinámica que la gestión de mejora de procesos, por lo tanto la ocurrencia o la identificación de un riesgo para ser tratado mediante una actividad de control es inmediata y en muchos casos, no da espera a un burocrático sistema de aprobación y desarrollo de la mejora del proceso en el que tuvo lugar el riesgo. En este sentido, las actividades de control pueden estar documentadas no solo en manuales de políticas y procedimientos, sino también en el cuerpo de una matriz de riesgos, en un documento o acta de análisis de riesgos o en un memorando interno de instrucciones.

Corresponde al auditor interno, mediante el uso del juicio profesional, valorar la efectividad de este diseño, lo cual es mejor que nada, y proponer la incorporación de la actividad en los manuales del proceso.

• La asignación formal a una persona responsable de su ejecución. Esta formalidad implica además de fijar a un responsable, que su fijación se encuentre documentada como se mencionó antes. Pero adicionalmente, que la persona responsable sea la más apropiada para ejecutar la actividad de control. Por ejemplo, si le corresponde a un gerente realizar un análisis y aprobar una operación, que esta labor no sea delegada sino que se realice de manera personal.

• La evidencia que genera la actividad de control. Como un atributo de su trazabilidad, que le permite al auditor interno verificar la eficacia operativa de la actividad de control, y debe arrojar una señal que permita validar su ejecución, así como quién la ejecutó. Esto a su vez, constituye un factor crítico del monitoreo.

El cuadro 9 ilustra, solo a manera de ejemplo, una aproximación de la valoración del diseño de actividades de control que puede ser ejecutada por un auditor interno:

CONT 68 P48
CONT 68 P48
 

3.4. Evaluación de la eficacia operativa de las actividades de control – “controles” 

Un segundo enfoque de las pruebas de auditoría en función de los controles tiene lugar hacia la “eficacia”, como se menciona en la norma internacional de auditoría interna 2130.A1. En este enfoque evaluamos la eficacia operativa de las actividades de control.

De acuerdo con IIARF (Volumen 2, 2012), si los auditores identifican debilidades significativas en el diseño, normalmente no necesitan probar el control.

La mención anterior podría llegar a constituir una regla básica; no obstante, el auditor debe considerar su juicio profesional al momento de tomar esa decisión, y por ejemplo seguir adelante con las pruebas de eficacia operativa para determinar que el control funciona como se espera y que por lo tanto es una buena alternativa, que se puede seguir ejecutando, pero que en definitiva se requiere mejorar los atributos débiles de su diseño.

El juicio del auditor también le podría ayudar a concluir que el control es bastante débil, que no funciona como se esperaba y que en consecuencia, es necesario implementar nuevos controles y que no sería suficiente con subsanar su diseño.

En la mayoría de los casos, los resultados de la evaluación del diseño deben ser combinados con los resultados de la evaluación de la eficacia operativa para obtener la efectividad del control, esto es:

Diseño x Eficacia operativa = Efectividad del control

Cuando la efectividad del control es débil, o cuando el auditor a juicio lo considere necesario, se debe hacer trabajo de auditoría adicional en función del riesgo, para identificar si el riesgo se ha materializado, por ejemplo si se han presentado pérdidas y cuál puede ser su impacto frente al apetito de riesgo aprobado por la junta directiva de la organización.

Este trabajo adicional constituye en sí, una especie de prueba sustantiva en función del riesgo, mediante la cual y con el uso de técnicas manuales como el análisis de documentos, y automatizadas como el recálculo de datos, se podría determinar el nivel de materialización del riesgo.

Al respecto, la norma internacional de auditoría interna 2300 emitida por el IIA (2012) establece que:

“Los auditores internos deben identificar, analizar, evaluar y documentar suficiente información de manera tal que les permita cumplir con los objetivos del trabajo”.

A su vez, la norma internacional de auditoría interna 2310 emitida por el IIA (2012) determina que:

“Los auditores internos deben identificar información suficiente, fiable, relevante y útil de manera tal que les permita alcanzar los objetivos del trabajo”.

La identificación de información, se refiere básicamente a la obtención de evidencia de auditoría, que de manera testimonial, documentaria, física y/o analítica, permita realizar un examen o análisis de cara a emitir un juicio o una valoración sobre el trabajo de auditoría ejecutado.

La evidencia de auditoría se obtiene mediante una serie de técnicas que tienen origen en las normas internacionales de auditoría externa, las cuales son presentadas por IIARF (Volumen 2, 2012) con un enfoque hacia el trabajo de la auditoría interna, y se describen a continuación:

“Entrevistas: Es la técnica frecuentemente usada para planeación, evaluación de diseño de controles e informes de resultados. Debido a que las entrevistas solamente proveen una evidencia testimonial, lo que los auditores aprenden en ellas debe ser corroborado con evidencia fuerte antes de poder ser usado como soporte de las conclusiones.

Encuestas: Son una forma eficiente de obtener evidencia testimonial de una gran muestra de personas dispersas geográficamente. Las encuestas con preguntas abiertas son el equivalente a las entrevistas pero más fuertes, debido a que un gran número de personas que dicen las mismas cosas constituye evidencia fuerte. También la gente puede luego negar lo que dijeron en una entrevista pero no lo que dijeron en una encuesta.

Cuestionarios de control interno: Son una herramienta eficiente para determinar si algunos procedimientos de control específicos funcionan. Los clientes son motivados a contestar “sí”, debido a que las respuestas “no” se refieren a debilidades de control, esto para evitar que malinterpreten la pregunta. Por esta razón, las actividades de la auditoría interna que envían cuestionarios de control interno para ser completados por los clientes, deben enfocarse hacia el seguimiento sobre una muestra de las respuestas “sí”, para obtener evidencia corroborativa, igualmente para todas las respuestas “no” se debe investigar las aparentes debilidades de control.

Observación: Como prueba de auditoría significa simplemente observar algo que está siendo realizado. Lo que los auditores ven con sus propios ojos constituye una evidencia fuerte, más que lo que otros les pueden contar.

Inspección: Significa ver cosas con los propios ojos de los auditores. Cuando los auditores inspeccionan un activo físico, ellos tienen evidencia fuerte de que el activo existe. Cuando ellos inspeccionan registros contables o actas de juntas, conocen exactamente lo que dice en dichos documentos. Sin más pruebas, por supuesto, ellos no conocen que los registros contables son exactos o que las actas contienen el registro exacto y completo de lo que se dijo en las reuniones.

Confirmaciones: Son enviadas a terceros, con preguntas que permitan verificar la exactitud de la información de un cliente. Por ejemplo, se puede preguntar a una muestra de clientes o compradores para confirmar las cuentas por cobrar que ellos tienen.

Las confirmaciones enviadas directamente por los auditores proveen evidencia fuerte, pero con otras pruebas de auditoría, algunas confirmaciones proveen mayor evidencia que otras:

Confirmaciones positivas: Se espera una respuesta para evaluar si la información es exacta o no. Ellas proveen evidencia más fuerte que las confirmaciones negativas, de las cuales solo se espera una respuesta si la información no es exacta.

Confirmaciones en blanco: Se espera que el tercero complete una línea en blanco con la información requerida, proveen fuerte evidencia.

Rastreo: Consiste en tomar información de un documento, registro o activo físico y hacerle seguimiento hacia adelante, hasta un documento o registro preparado posteriormente. Por ejemplo, si los auditores cuentan un inventario, ellos podrían hacer seguimiento a este conteo hasta el registro oficial de inventarios para verificar la totalidad o integridad de dichos registros.

Revisión de comprobantes: Consiste en tomar información de un documento o un registro y hacerle seguimiento hacia atrás, hasta un documento o registro preparado anteriormente, o hasta un activo físico.

Por ejemplo, los auditores pueden revisar la información de un reporte de sistemas a partir de los documentos fuente, para verificar la validez de la información que fue ingresada al sistema.

Reejecución: Significa ejecutar independientemente un control para verificar los resultados del cliente. Por ejemplo, los auditores pueden adicionar una columna de números para verificar la exactitud de un total del cliente, o podrían reconciliar una cuenta y comparar los resultados con la reconciliación del cliente para verificar si fue realizada correctamente.

Procedimientos analíticos: Involucra comparar información del cliente con expectativas para esa información, obtenidas de una fuente independiente, identificando variaciones e investigando la causa de las variaciones significativas”(4).

Respecto de esta última técnica, el Consejo para la práctica 2320-1, emitido por el IIA (2010) la aborda de manera amplia.

De otra parte, es importante considerar el uso del muestreo para la ejecución de las pruebas de eficacia operativa de controles. Al respecto, podrá aplicarse preferentemente el muestreo estadístico de atributos, el cual permite, basado en un nivel de confianza por ejemplo del 95%, en una tasa de error esperado y un nivel de error aceptable, determinar el tamaño adecuado de la muestra y arribar a conclusiones derivadas del cumplimiento de unos atributos de la actividad de control. No obstante, el auditor interno debe usar su juicio profesional para determinar la racionalidad en la aplicación del muestreo estadístico, de tal forma que también puede aplicar el muestreo no estadístico aleatorio o el muestreo a juicio. Al respecto, el Consejo para la práctica 2320-3, emitido por The Institute of Internal Auditors (IIA) en mayo de 2013, aborda las diferentes técnicas de muestreo.

3.4.1. Controles de aplicación

El Consejo para la práctica 2200-2 emitido por el IIA (2010) establece, entre otros, que los controles clave pueden ser controles totalmente automáticos dentro de un proceso de negocio. Igualmente, la guía de auditoría de tecnología global Nº 8 conocida como GTAG 8, por sus siglas en inglés, emitida por el IIA (2007), aborda la definición y los tipos de controles de aplicación. De manera textual encontramos en ella lo siguiente:

“Los controles de aplicación son aquellos controles que corresponden al alcance de los procesos de negocio o sistemas de aplicaciones individuales, incluidos las ediciones de datos, la separación de funciones de negocio, el balanceo de totales de procesamiento, el registro de transacciones y la generación de informes de errores. Por lo tanto, el objetivo de los controles de aplicación es asegurar que:

• Los datos de ingreso sean precisos, completos, autorizados y correctos.

• Los datos se procesen según lo planeado en un período de tiempo aceptable.

• Los datos almacenados sean precisos y completos.

• Las salidas sean precisas y completas.

• Se mantenga un registro para realizar el seguimiento del proceso de datos desde el ingreso hasta el almacenamiento y la eventual salida.

Existen varios tipos de controles de aplicación. Estos incluyen:

• Controles de ingreso de datos: Estos controles se utilizan principalmente para verificar la integridad de los datos ingresados en una aplicación comercial, ya sea que los datos hayan sido ingresados directamente por el personal, remotamente por un socio comercial o a través de una aplicación o interfaz basada en la Web. El ingreso de datos es verificado para asegurar que se mantenga dentro de los parámetros especificados.

• Controles de procesamiento: Estos controles proporcionan un medio automatizado para garantizar que el procesamiento sea completo, preciso y autorizado.

• Controles de salida: Estos controles se ocupan de lo que se ha hecho con los datos y deben comparar los resultados de salida con el resultado planeado, cotejando la salida contra el ingreso.

• Controles de integridad: Estos controles supervisan los datos que están en proceso y en almacenamiento para garantizar que sigan siendo coherentes y correctos.

• Pistas para la dirección: Los controles de historial de procesamiento, muchas veces denominados pista de auditoría, le permiten a la dirección identificar las transacciones y los eventos que registran mediante un seguimiento de las transacciones desde la fuente hasta la salida y mediante un seguimiento inverso.

Estos controles también supervisan la eficacia de otros controles e identifican errores tan cerca como sea posible de sus fuentes”.

Desde luego, el auditor interno debe ejecutar pruebas de eficacia operativa, tanto para aquellos controles manuales, automáticos o de aplicación y los parcialmente automáticos. Por ejemplo, un auditor encuentra que la aprobación de órdenes de despacho de un pedido solo se ha cumplido en un 85%, lo cual equivale a un nivel de incumplimiento del 15%. Este resultado, combinado con los resultados de la prueba de diseño, se puede apreciar en el cuadro 10:

CONT 68 P55
 

4. Opinión de auditoría interna

El trabajo que ejecuta un auditor interno o un equipo de auditores internos, debe ser organizado de tal forma que al cierre del período auditado, el DEA se pueda formar una opinión general o global, para ser presentada a la junta directiva o al comité de auditoría. Al respecto, la norma internacional de auditoría interna 2450, emitida por el IIA (2012), establece:

“– Opiniones globales: Cuando se emite una opinión global, debe considerar las expectativas de la alta dirección, el Consejo, y otras partes interesadas y debe ser soportada por información suficiente, fiable, relevante y útil.

Interpretación: La comunicación identificará:

— El alcance, incluyendo el periodo de tiempo al que se refiere la opinión;

— Las limitaciones al alcance;

— La consideración de todos los proyectos relacionados incluyendo cuando se confíe en otros proveedores de aseguramiento;

— El riesgo, marco de control u otros criterios utilizados como base para la opinión global; y

— La opinión global, juicio o conclusión alcanzada.

Cuando existe una opinión global que no es favorable, deben exponerse las causas de esta opinión”.

Un documento que puede ser consultado por el auditor interno es “Formulating and expressing internal audit opinions – Practice guide”, emitido por el IIA (2009). Este documento conforma una guía para elaborar diferentes tipos de opinión tanto a nivel macro —global—, como a nivel micro —unidades auditables—, aborda temas como: el alcance de las opiniones, los criterios a considerar para las opiniones, el alcance del trabajo y la evaluación de los resultados, el uso de opiniones negativas o limitadas, un modelo de opinión global, entre otros aspectos considerados.

A su vez, la Superintendencia Financiera de Colombia, mediante la Circular Externa 29 del 2014, estableció que:

“Por lo menos al cierre de cada ejercicio, el auditor interno o quien haga sus veces deberá presentar un informe de su gestión y su evaluación sobre la eficacia del sistema de control interno, incluyendo todos sus elementos. Dicho informe debe contener por lo menos lo siguiente:

6.1.4.2.2.5.1. Título.

6.1.4.2.2.5.2. Identificación de los temas, procesos, áreas o materias objeto del examen, el periodo y criterios de evaluación y la responsabilidad sobre la información utilizada, precisando que la responsabilidad del auditor interno es señalar los hallazgos y recomendaciones sobre los sistemas de control interno y de administración de riesgos.

6.1.4.2.2.5.3. Especificación respecto a que las siguientes evaluaciones se realizaron de acuerdo con la regulación, las políticas definidas por la junta directiva u órgano equivalente y mejores prácticas de auditoría sobre el particular:

6.1.4.2.2.5.3.1. Evaluación de la confiabilidad de los sistemas de información contable, financiera y administrativa.

6.1.4.2.2.5.3.2. Evaluación sobre el funcionamiento y confiabilidad del sistema de control interno.

6.1.4.2.2.5.3.3. Evaluación de la calidad y adecuación de los sistemas establecidos para garantizar el cumplimiento con las leyes, regulaciones, políticas y procedimientos.

6.1.4.2.2.5.3.4. Evaluación de la calidad y adecuación de otros sistemas y procedimientos, análisis crítico de la estructura organizacional y evaluación de la adecuación de los métodos y recursos en relación con su distribución.

6.1.4.2.2.5.4. Los resultados de la evaluación realizada respecto a la existencia, funcionamiento, efectividad, eficacia, confiabilidad y razonabilidad de los sistemas de control interno y de riesgos.

6.1.4.2.2.5.5. Una declaración de la forma en que fueron obtenidas sus evidencias, indicando cuál fue el soporte técnico de sus conclusiones.

6.1.4.2.2.5.6. Mencionar las limitaciones que encontraron para realizar sus evaluaciones, para tener acceso a información u otros eventos que puedan afectar el resultado de las pruebas realizadas y las conclusiones.

6.1.4.2.2.5.7. Relación de las recomendaciones formuladas sobre deficiencias materiales detectadas, mencionando los criterios generales que se tuvieron en cuenta para determinar la importancia de las mismas.

6.1.4.2.2.5.8. Resultados del seguimiento a la implementación de las recomendaciones formuladas en informes anteriores.

6.1.4.2.2.5.9. Identificación, nombre y firma, ciudad y fecha de elaboración”.

Para lograr un ensamble armónico, coherente y lógico del informe que contenga la opinión del DEA, es necesario seguir unos criterios o metodología de calificación homogénea de las diferentes auditorías realizadas en el año, que permita al final hacer una consolidación, si es pertinente además agregar una ponderación o peso a cada auditoría.

A continuación se presenta un modelo básico de informe que contiene esta metodología, que sigue lineamientos requeridos por la Circular Externa 029 del 2014 de la Superintendencia Financiera de Colombia:

CONT 68 P58
 

CONT 68 P59
 

CONT 68 P60
 

Conclusiones

La responsabilidad que tienen los directores ejecutivos de auditoría interna de emitir una opinión global sobre sus trabajos de auditoría, conlleva a evaluar cada vez más y mejores prácticas no solo para ejecutar el trabajo, sino también para lograr una interpretación idónea de las normas, tanto locales como internacionales, que regulan la actividad de auditoría interna, y a partir de dicha interpretación, desarrollar metodologías que soporten ampliamente las conclusiones u opiniones sobre la ejecución de las auditorías.

El presente escrito pone en contexto la importancia de conocer y comprender muy bien el entorno externo e interno de la organización, de manera que sea posible elaborar un juicio sobre los procesos, unidades y actividades sujetas a un trabajo de auditoría, para asignar los mayores esfuerzos y recursos a aquellos que revistan mayor criticidad, con un enfoque basado en la metodología de riesgos de la organización o una metodología propia del auditor, si la anterior no existe. Así mismo, examina el proceso de gestión de riesgos para cada proceso o unidad auditada, seleccionando las actividades de control que serán probadas o testeadas bajo la perspectiva del diseño y la eficacia operativa, pero ampliando las pruebas hacia un enfoque sustantivo en función de la materialización de los eventos de riesgo, lo que puede implicar una orientación más completa que el modelo tradicional.

El uso de criterios cuantitativos porcentuales permite que el esquema propuesto tenga bases homogéneas de medición, consolidación y lectura de resultados.

La inserción de modelos o ejemplos básicos de formatos de evaluación en cada etapa facilita al lector la aplicación de los conceptos teóricos.

Se espera comprensión para aquellos casos en los cuales sea útil contar con mayor amplitud conceptual y práctica, lo que seguramente podrá ser objeto de un escrito de mayor extensión, con más detalle y mayor alcance interpretativo. No obstante, llegar hasta aquí puede ser un buen punto de partida para el camino hacia la mejora continua en la práctica de la auditoría interna.

Bibliografía

BELL, TIMOTHY y otros (2007) “El proceso de medición de negocios de KPMG”, en Auditoría basada en riesgos – Perspectiva estratégica de sistemas. Bogotá: Ecoe Ediciones Ltda., 47-72.

CHAMBERS, A. (1994) Auditoría interna eficaz. Folio.

Committee of Sponsoring organizations of the Treadway Commission, COSO (2013). Internal Control Integrated Framework – Framework and Appendices. New York. American Institute of Certified Public Accountants.

GRIFFITHS, M. P. (2012) Risk-based auditing. Gower Publishing, Ltd. England.

INTERNATIONAL FEDERATION OF ACCOUNTANTS, (2009) International Standard on Auditing 500 - Audit Evidence. New York. International Federation of Accountants.

KURT F. REDING y otros - Fundación de Investigaciones del IIA (2009) Auditoría Interna Servicios de Aseguramiento y Consultoría. Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation.

OSTERWALDER, ALEXANDER y PIGNEUR YVES (2010) Generación de modelos de negocio. Barcelona. Deusto.

PORTER, MICHAEL. (1982) “Análisis Estructural de los Sectores Industriales”, en Estrategia competitiva. México D.F.: Compañía Editorial Continental S.A. 23-53.

PICKETT, K. S. (2006) Audit planning: A risk-based approach. John Wiley & Sons.

SUPERINTENDENCIA FINANCIERA DE COLOMBIA (SFC), (2009) Circular Externa 38, incorporada a la Circular Externa 29 del 2014.

The Institute of Internal Auditors Research Foundation, IIARF (2012) “Defining the Audit Risk Universe”, en Sawyer’s Guide for Internal Auditors, 6th Edition, Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation. 2, 5-14.

— “Testing Effectiveness of control and Other Risk Management Techniques” en Sawyer’s Guide for Internal Auditors, 6th Edition, 2, 5. Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation.

— “Testing Effectiveness of control and Other Risk Management Techniques” en Sawyer’s Guide for Internal Auditors, 6th Edition, 2, 118-124. Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation.

The Institute of Internal Auditors, IIA (2012) Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. Altamonte Springs, FL. The Institute of Internal Auditors.

The Institute of Internal Auditors, IIA (2009) Consejo para la práctica 2010-2, Altamonte Springs, FL. The Institute of Internal Auditors.

The Institute of Internal Auditors, IIA (2010) Consejo para la práctica 2200-2, Altamonte Springs, FL. The Institute of Internal Auditors.

The Institute of Internal Auditors, IIA (2009) Consejo para la práctica 2320-1, Altamonte Springs, FL. The Institute of Internal Auditors.

The Institute of Internal Auditors, IIA (2009) Consejo para la práctica 2320-2, Altamonte Springs, FL. The Institute of Internal Auditors.

The Institute of Internal Auditors, IIA (2009) Consejo para la práctica 2320-3, Altamonte Springs, FL. The Institute of Internal Auditors.

The Institute of Internal Auditors, IIA (2009) Formulating and Expressing Internal Audit Opinions – Practice Guide. Altamonte Springs, FL. The Institute of Internal Auditors.

The Institute of Internal Auditors, IIA (2007) Guía de auditoría de tecnología global- GTAG 8 - Auditar controles de aplicaciones. Altamonte Springs, FL. The Institute of Internal Auditors.

Institute of Internal Auditors UK and Ireland (2003) Draft position Statement on Risk based Internal Auditing (RBIA). Recuperado el 4 de abril de 2015:

http://www.cqs.co.za/content/IIA%20UK%20-%20Position%20Statement%20-%20RIsk%20Based%20Internal%20Auditing~2.pdf 

(1) Los conceptos y opiniones expresados en este artículo son responsabilidad del autor y no comprometen a la Aseguradora Solidaria de Colombia ni a la Pontificia Universidad Javeriana.

(2) The Institute of Internal Auditors (IIA) es una asociación profesional internacional, establecida en 1941, con sede global en Altamonte Springs, Florida, USA. Es la voz global de la profesión de auditoría interna, autoridad reconocida, líder y principal educador. Generalmente sus miembros trabajan en auditoría interna, administración de riesgos, gobierno, control interno, auditoría de sistemas, educación y seguridad.

(3) El apetito de riesgo, es definido por el Marco Integrado de Control Interno COSO, como el riesgo que se está dispuesto a aceptar en la búsqueda de la misión / visión de la entidad.

(4) El anterior texto corresponde a la traducción realizada por el autor del texto original en idioma inglés.