PULSO GLOBAL DE AUDITORÍA INTERNA 2015 - dl.theiia.org · prácticas de auditoría interna, las...

PULSO GLOBAL DE AUDITORÍA INTERNA 2015

Abrazando Oportunidades en un Entorno Dinámico

JULIO 2015

This report is driven by The IIA Research Foundation™

Common Body of Knowledge® (CBOK®)

Embracing Opportunities in a Dynamic Environment

RESPONSABILIDAD

Derechos de reproducción © 2015 de The

Institute of Internal Auditors (IIA) localizado

en 247 Maitland Ave., Altamonte Springs, FL,

32701, U.S.A. Todos los Derechos Reservados.

Publicado en los Estados Unidos de

Norteamérica. Excepto para los fines previstos

por esta publicación, los lectores de este

documento no podrán reproducir, redistribuir,

exhibir, alquilar, prestar, revender, explotar

comercialmente, o adaptar los datos estadísticos

y otros contenidos en este documento sin el

permiso del IIA.

ACERCA DE ESTE DOCUMENTO

La información incluida en este reporte es de

carácter general y no pretende dirigirse a algún

individuo, función de auditoría interna, u

organización en particular. El objetivo de este

documento es compartir información y otras

prácticas de auditoría interna, las tendencias y

los problemas. Sin embargo, ningún individuo,

función de auditoría interna, u organización

deberían actuar sobre la información

proporcionada en este documento sin la consulta

o el examen apropiado. Para el versión digital

de este informe, visite www.theiia.

org/goto/globalpulse.

ACERCA DEL CBOK

El Cuerpo Común de Conocimientos en

Auditoría Interna (CBOK®) es el estudio más

completo de la profesión de auditoría interna.

Con el apoyo de los Institutos de todo el

mundo, el CBOK incluye estudios integrales de

los practicantes de la auditoría interna y sus

partes interesadas. Para mayor información

acerca del CBOK, visite

www.theiia.org/goto/CBOK.

ACERCA DEL CENTRO

EJECUTIVO DE AUDITORÍA

El Centro Ejecutivo de Auditoría de The IIA es un recurso esencial para otorgar a los Directores

de Auditoría y tener más éxito. Es la sala de información, productos y servicios disponibles

para los DEA´s, para responder a los retos y

riesgos emergentes de la profesión. Para mayor información acerca del Centro, visite

www.theiia.org/cae.

TABLA DE CONTENIDO

Introducción..........................................................................................4

Metodología & Demográficas................................................................5

Respondiendo a los Riesgos Emergentes...............................................6

Logrando una Vista Total del Riesgo……….........................................9

Reporte Holístico Amplía las Oportunidades de Auditoría Interna.......13

Administrando la Presión.................................................................... 16

Conclusión.......................................................................................... 21

Apéndice............................................................................................. 22

3

http://www.theiia.org/goto/CBOK

http://www.theiia.org/cae

4 THE INSTITUTE OF INTERNAL AUDITORS

INTRODUCCIÓN

Hoy más que nunca, el desafío de definir el papel de la auditoría interna es complicado en un

entorno empresarial dinámico. Los riesgos emergentes no parecen reducir la velocidad, las partes

interesadas quieren y necesitan una visión global del riesgo, los nuevos modelos de informes están

surgiendo, y los Directores Ejecutivos de Auditoría (DEA´s) están frecuentemente preocupados

por las presiones políticas.

To Para hacer frente a las preocupaciones de este año, el Centro Ejecutivo de Auditoría de The

IIA coordinó con la Fundación para la Investigación de The IIA (IIARFTM) incluir las

preguntas de la encuesta del Pulso de Auditoría Interna en la Encuesta del Practicante el

Cuerpo Común de Conocimientos en Auditoría Interna (CBOK) 2015. De este modo,

llegaremos a un número récord de DEA´s para dar a conocer el reporte Pulso Global de

Auditoría Interna 2015.

En este informe se exponen cuatro grandes temas: • Los riesgos continúan emergiendo rápidamente en las organizaciones. Una evaluación anual

del riesgo ya no es suficiente. Los DEA´s necesitan entender los riesgos emergentes

rápidamente, revisar frecuentemente sus planes de auditoría en respuesta a esta nueva

información, y comunicar de manera efectiva estos cambios con las principales partes

interesadas.

• El riesgo no se puede ver en silos, pero debe ser considerado en términos generales. La

auditoría interna debe tener la misma visión amplia. Esto significa que la auditoría interna

debe trabajar en estrecha colaboración con otras áreas para definir, evaluar y proporcionar

seguridad sobre los riesgos.

• La presentación de informes externos para las organizaciones incluye más información

financiera. El uso del tema de sustentabilidad y la presentación de informes integrados ha

crecido. Ambos tipos de informes se beneficiarán de la experiencia y conocimiento de la

auditoría interna. Los DEA´s pueden aprovechar esta oportunidad para dar mayor valor a

sus organizaciones.

• Las presiones políticas pueden ser abordadas con éxito. Para ello, los DEA´s necesitan,

para optimizar sus líneas de reporte, tomar en cuenta el impacto que sus decisiones tienen,

sobre su objetividad al realizar actividades de auditoría interna, insistir en que tengan el

acceso a toda la información que necesitan, y garantizar que su trabajo es de alta calidad

para resistir el desafío.

Mediante el reporte del Pulso Global de Auditoría Interna, esperamos apoyar sus esfuerzos para

avanzar en sus organizaciones y la profesión.

Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA

President and CEO

The Institute of Internal Auditors

Abrazando Oportunidades en un Entorno Dinámico

5

METODOLOGÍA Y DEMOGRAFÍA

Coordinando esfuerzos con la IIARF, el Centro Ejecutivo de The IIA incorporó las preguntas de la encuesta de Auditoría Interna

en la Encuesta del Practicante del Cuerpo Común de Conocimientos en Auditoría interna CBOK. Esto dió lugar a más de

14.500, de 166 países, respuestas utilizables, para su inclusión en los informes del CBOK. Todas las respuestas fueron

anónimas. La encuesta se llevó a cabo del 2 de febrero, 2015 al 1 de abril, 2015. El link de la encuesta fue distribuido a través de

las listas de correo electrónico, sitios web del instituto de The IIA, boletines y medios sociales. Las encuestas parcialmente

completadas se consideraron útiles, siempre y cuando las preguntas demográficas fueron completadas.

Se analizaron las respuestas de la encuesta de 3,344 DEA´S o equivalentes y 1.630 directores o altos directivos para el reporte de la

Encuesta Pulso Global de Auditoría Interna 2015. Dentro de este informe, estos dos grupos se refirieron a DEA´s y directores. A menos

que se indicara lo contrario, los datos proporcionados en este informe se derivan del análisis de las respuestas de DEA´s y directores.

En algunos casos, se analizaron estrictamente los de DEA´s. Tome en cuenta que los datos reportados en este documento representan

los promedios entre los que respondieron a la encuesta y no pueden ser generalizados a la población de los auditores internos en

ninguna región en particular.

Los DEA´s y directores que respondieron a la encuesta de organizaciones que varían ampliamente en la ubicación, el tipo, el tamaño y el

sector de la industria. La mayoría de los encuestados (28 por ciento) informó que trabaja principalmente en Europa y Asia Central –seguida

de Asia y el Pacífico Medio y América del Norte en un 20 por ciento cada uno. Además, el 14 por ciento respondió de América Latina y el

Caribe, un 8 por ciento desde el Medio Oriente y África del Norte, el 6 por ciento de África Sub-Sahara, y el 3 por ciento desde el sur de Asia.

Ver el apéndice para más detalles sobre cuantos DEA´s y directores de cada país o territorio respondieron a la encuesta.

Los DEA´s y directores que respondieron a la encuesta provenían de diversos tipos de organización: el 35 por ciento identificó su

organización como privada; 33 la identificó como pública que cotiza en bolsa; y 23 por ciento como sector público.

Aunque muchos DEA´s y directores (34 por ciento) informaron un ingreso anual de US $ 1 mil millones o más para sus organizaciones

individuales, la mayoría de los encuestados estiman que los ingresos totales sustancialmente es menor. De hecho, el 34 por ciento reportó

ingresos anuales de US $ 100 millones o menos. Del mismo modo, el tamaño del personal de auditoría también varió ampliamente entre

DEA´s y directores en relación con la mayoría (61 por ciento) el tamaño está entre uno a nueve - aunque un 12 por ciento reportó personal de

50 o más.

De una selección de 20 posibles respuestas, el 29 por ciento de los DEA´s y directores identificaron su industria como de finanzas y seguros.

Otras industrias representaron números más altos; los cuales incluyen manufactura (13 por ciento), y administración pública (8 por ciento).


RESPONDIENDO A LOS RIESGOS EMERGENTES

En el momento, en el que el mundo tiene acceso instantáneo a la información, los riesgos pueden ser

capaces de destruir décadas de valor acumulado, pueden materializarse durante la noche y sin avisar.

Las sorpresas ciber geopolíticas, macroeconómicas y las relacionadas se han convertido en casi una

rutina. Rara vez pasa un día sin hacer referencia a una nueva amenaza global o ciberataque.

Ya sea la inestabilidad política, los terremotos, o una pandemia, cada una tiene un impacto en los

negocios. La volatilidad de estos riesgos emergentes y en desarrollo está poniendo una enorme

presión sobre las funciones de auditoría interna, las cuales deben lidiar con una amplia gama de

temas que van desde la identificación y gestión de los riesgos relacionados con la globalización y la

interdependencia a la proliferación de canales de comunicación interconectados a nivel mundial.

Las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (Normas) del The

IIA exige a los auditores internos tener un plan basado en riesgos. Como tal, nuestra atención debe

centrarse en las áreas de una organización que más probabilidades tienen de verse afectadas por

factores que impidan los objetivos de la organización - las zonas de mayor riesgo. Los riesgos

rutinarios y tradicionales que son fáciles de identificar, son bien conocidos, y son evaluados

fácilmente. Los riesgos emergentes, aquellos que no fueron identificados el mes pasado o en el

presente año, son los riesgos más difíciles de identificar y evaluar. Pero por esta misma razón,

también pueden ser los más críticos en los que la auditoría interna debe centrarse.

Hallazgos Relacionados con los Riesgos Emergentes PLAN DE AUDITORÍA. Los DEA´s que respondieron a la encuesta dieron a conocer que

tienen un mayor enfoque en el riesgo de negocio estratégico (48 por ciento), TI (42 por ciento), y de

gobierno corporativo (32 por ciento) - áreas especialmente sensibles a los riesgos emergentes. Al

mismo tiempo, los DEA´s reportaron la actualización de sus evaluaciones de riesgos, en intervalos

que podrían ser menos frecuentes a los necesarios. Sólo el 23 por ciento informó que llevan a cabo la

evaluación continua del riesgo (ver Anexo 1). Esto puede ser la razón por la que la mayoría de los

DEA´s informaran que actualizan su plan de auditoría en la mayoría, de una o dos veces al año (ver

Anexo 2). Aunque la velocidad a la que corre el riesgo de cambio es rápida, sólo el 16 por ciento de

los DEA´s indicó que su proceso de plan de auditoría es lo suficientemente flexible como para

responder a los riesgos emergentes de inmediato.

Estos datos indican que el 77 por ciento de los DEA´s podrían no identificar los riesgos de manera

oportuna y el 84 por ciento, tarde en responder con un plan de auditoría actualizado si se enfrentara a

una crisis, tal como un sistema de planeación de recursos empresariales fallido, un ataque cibernético

a su competidor cercano, o el derrocamiento de un gobierno en un país en el que la organización

hace negocios. El DEA podría estar pensando que estos temas no tendrían un impacto en la

organización, pero la historia de los grandes eventos de riesgo alerta que las organizaciones a

menudo no están preparadas para responder con rapidez, debido a un exceso de confianza en su

capacidad, para evitar este tipo de riesgos.

7


Nota: Q42: Qué tan frecuentemente auditoría interna realiza una evaluación de riesgos?

DEAs sólo. n = 2,941. Debido al redondeo, algunos totales por región puede no ser igual al 100 por ciento.

Nota: Q38: Cómo describiría el desarrollo del plan de auditoría en su organización?

DEAs sólo. n = 3,014. Debido al redondeo, algunos totales por región pueden no ser igual al 100 por ciento.


El aumento de la atención de la auditoría interna en las áreas más susceptibles de los riesgos

emergentes sugiere progresar, pero el progreso es lento. La auditoría interna tiene que auditar a la

velocidad del riesgo, no a la velocidad de sus procesos internos tradicionales.

Mirando hacia el Futuro Ante la amenaza, el alcance y significado de los riesgos emergentes y su evolución, es

imprescindible que las funciones de auditoría interna y de las organizaciones evalúen hábilmente el

riesgo de manera continua y rápidamente respondan a ese riesgo. Auditoría a la velocidad de riesgo

significa que el DEA necesita desarrollar la capacidad de su equipo, para alinear de forma continua o

realinear su cobertura de auditoría, para abordar los riesgos principales y evitar sorpresas

perjudiciales. Las empresas globales, en particular, necesitan recalibrar constantemente sus planes de

auditoría con base en lo que está sucediendo dentro de sus organizaciones, sus industrias, y el

mundo.

Esenciales para el DEA El mandato para hacer frente a los riesgos emergentes y en evolución es claro. Los riesgos están

surgiendo a un ritmo sin precedentes y la impaciencia de sorpresas de las partes interesadas es

evidente. Las siguientes acciones sugeridas son una adaptación de Imperativos para Cambio:

Encuesta Global de Auditoría Interna de The IIA en Acción1:

• DESARROLLAR procesos de auditoría interna para identificar e informar sobre los riesgos

emergentes:

■ Hacer la identificación y evaluación de los asuntos emergentes es una competencia clave de

la auditoría interna.

■ Coordinar con los negocios de la organización y sus funciones para compartir información y

opiniones sobre asuntos emergentes.

■ Utilizar fuentes externas de datos, conocimientos y temas de negocios para ayudar en la

identificación de nuevos asuntos externos.

• EVALUAR el proceso existente para la revisión del plan de auditoría interna; desarrollar un

enfoque para avanzar más rápido y hacer cambios más frecuentes en el plan de auditoría a

medida que cambian los riesgos de la organización.

• COMUNICARSE con los principales interesados (alta dirección y el consejo) sobre el

cambio de los riesgos y la necesidad de revisar de manera oportuna el plan de auditoría.

■ Buscar un acuerdo sobre un equilibrio adecuado entre la necesidad de auditoría interna para

"completar el plan anual" y la necesidad de una auditoría interna para responder a los nuevos

y cambiantes riesgos.

• INFORME para los principales interesados sobre los riesgos de cambios y el link directo de

estos cambios con los cambios en el plan de auditoría.

1. Richard J. Anderson and J. Christopher Svare, “Imperatives for Change: The IIA’s Global Internal

Audit Survey in Action,” (Altamonte Springs, FL: The Institute of Internal Auditors Research Foun-

dation, 2011).

9


LOGRANDO UNA VISTA TOTAL DEL RIESGO

Cuando se trata de la mitigación de riesgos, uno de los objetivos principales del consejo es

tener una vista completa de la amplia gama de riesgos que enfrenta la organización. Aunque

las funciones de auditoría interna están bien posicionadas para ayudar al consejo en su

supervisión de gestión de riesgos y gobernanza, esto puede variar por la naturaleza, tamaño y

tipo de organización; así como, los mercados a los que atiende. En las organizaciones más

pequeñas, por ejemplo, los auditores internos pueden proporcionar al consejo independencia,

objetividad, y puntos de vista con conocimiento necesario para obtener una foto completa de

los riesgos de la organización. Haciendo una comparación, una organización más grande

puede tener un director de riesgos encargado de apoyar al consejo en sus funciones de

supervisión sobre una base regular. En tales casos, el papel de la auditoría interna es más de

colaboración en apoyo a las actividades de identificación de riesgos de la administración.

Las actividades regulatorias derivadas de la legislación del mercado de capitales también

conducen a responsabilidades de supervisión del consejo y contribuyen a la madurez relativa

de las actividades de gestión de riesgos de la empresa. Por ejemplo, de acuerdo con el Código

de Gobierno Corporativo del Reino Unido2 (Código Reino Unido), el cual regula a las

sociedades que cotizan en la Bolsa de Valores de Londres, el consejo de administración tiene

la responsabilidad de "determinar la naturaleza y el alcance de los principales riesgos que está

dispuesto a tomar, para lograr sus objetivos estratégicos " y el mantenimiento "Gestión de

Riesgos y sistemas de control interno." El Código del Reino Unido también contempla la

Responsabilidad de establecer Acuerdos en torno a la Aplicación del informe corporativo,

gestión de Riesgos, y los Principios del control interno.

Las técnicas utilizadas por la auditoría interna proporcionan apoyo al consejo para sus

responsabilidades de supervisión del riesgo. Van desde simples hojas de trabajo para la

elaboración de sistemas. El objetivo de estas técnicas es proporcionar una visión de la

Administración del Riesgo Empresarial (ERM) y aseguramiento combinado.

Los Hallazgos Relacionados a la Vista Total del Riesgo Tomando en cuenta que ERM es un método común utilizado para el perfil de riesgo en toda la

organización, la encuesta buscó obtener una foto precisa de las responsabilidades de auditoría

interna en ERM. Como se informó en la encuesta, 47 por ciento de los DEA´s y directores

encuestados proporcionan aseguramiento sobre la gestión de riesgos como un todo, y 56 por

ciento proporciona consultoría en las actividades de administración de riesgos. Cuando se les

pidió describir la madurez relativa del proceso de gestión de riesgos de la organización, el 37 por

ciento de estas respuestas describieron su proceso de gestión de riesgos como informal o

simplemente

2. The U.K. Corporate Governance Code, (London: Financial Reporting Council, 2014), 17.


Nota: Q58: Cuál es el nivel de desarrollo de sus procesos de gestión de riesgos de su organización?

DEA´s sólo. n = 2,675. Debido al redondeo, algunos totales por región pueden no ser igual al 100 por ciento.

en desarrollo, el 29 por ciento informó que tenían procesos de gestión de riesgos formales y

procedimientos establecidos, y el 24 por ciento dijo que su organización tiene un proceso de

ERM formal con un jefe de riesgos o el equivalente (ver el Anexo 3).

AUDITORÍA INTERNA Y ERM. Los encuestados también informaron sobre la

relación entre la auditoría interna y el ERM de su organización. El doce por ciento de los

encuestados DEA´s y directores informaron que auditoría interna y ERM son funciones

separadas, sin interacción. Otro 66 por ciento informó que a pesar de que son funciones

separadas, auditoría interna y ERM son más de colaboración de coordinación e intercambio de

conocimientos entre los dos staffs. Un porcentaje significativamente mayor (72 por ciento) en

Europa y Asia Central ha indicado que este acuerdo de colaboración describe la relación entre

las dos funciones en sus organizaciones. Mientras tanto, 15 por ciento de los DEA´s y

directores encuestados indicaron que la auditoría interna es responsable de la función de ERM

de la organización, y otro 7 por ciento estableció que auditoría interna es actualmente

responsable de ERM, pero la organización tiene previsto cambiar la responsabilidad de ERM a

otra área. Independencia y objetividad son consideraciones clave para el 22 por ciento que

actualmente es responsable de ERM. La auditoría interna no puede auditar los procesos para

los cuales tiene responsabilidad.

11


Nota: Q61: Su organización ha implementado un modelo formal de aseguramiento combinado? Sólo se informan las respuestas de los DEA´s y directores. "Si o planea implementar aseguramiento combinado en el futuro" incluidos los que respondieron "sí, implementado ahora", "sí,

pero aún no ha sido aprobado por el comité de auditoría o consejo", y "no, pero planea adoptarlo en los próximos 2 a 3 años." n = 3795. Debido al redondeo, algunos totales por región no son igual al 100 por ciento.

AUDITORÍA INTERNA Y ASEGURAMIENTO COMBINADO. La encuesta también

midió las actividades de los encuestados en el área de aseguramiento combinado, que como lo

señala el Rey III3 “tiene como objetivo optimizar la cobertura obtenida de la administración,

proveedores de aseguramiento interno y proveedores de aseguramiento externo sobre las áreas de

riesgo que afectan a la compañía.” En específico, se les preguntó a DEA´s y directores si sus

organizaciones habían implementado un modelo formal de aseguramiento combinado: el 49 por

ciento informó que ya habían implementado un modelo o tienen previsto hacerlo en el futuro; 26

por ciento informó que no tiene planes de adoptar un modelo de este tipo; y otro 25 por ciento

indicó que no estaban familiarizados en absoluto con el modelo (ver Anexo 4). Cabe destacar que el

57 por ciento de DEA´s y directores también informaron que sus funciones de auditoría interna

emiten un reporte escrito de la evaluación de aseguramiento combinado.

Aunque el aseguramiento combinado proporcionado por la auditoría interna ofrece una serie de

beneficios, Ernesto Martinez Gómez, subdirector corporativo de auditoría interna del Banco

Santander y director de The IIA Global en general, señaló que "podría poner en peligro la

independencia de la actividad de auditoría interna y afectar su posicionamiento como un verdadero

proveedor de aseguramiento global. El aseguramiento proporcionado por la dirección no es igual al

3. King Code of Governance Principles, (Parklands, South Africa: Institute of Directors in Southern

Africa, 2009).


aseguramiento proporcionado por los auditores internos o externos; los cuales tienen diferentes

niveles de independencia y objetividad".

Esenciales para el DEA El aumento de la colaboración multifuncional y la promoción de un enfoque coordinado sobre el

riesgo con funciones adyacentes son las formas principales de la auditoría interna que pueden

servir a la organización, para optimizar las oportunidades en el campo de la gestión de riesgos:

• COLABORAR con las funciones adyacentes para alcanzar un enfoque eficaz de la gestión

de riesgos de toda la empresa. En la práctica, la auditoría interna puede centrarse en los

riesgos mitigados a través de los controles internos, mientras que otras funciones pueden ver

más allá de estos riesgos para proporcionar una perspectiva adicional. Reuniendo todas las

funciones que se dedican a la identificación, administración y presentación de informes sobre

los resultados de riesgos como una fotografía de la gestión de riesgos, para la organización

como un todo.

• DETERMINAR como la auditoría interna y sus funciones adyacentes pueden apoyar la

supervisión del consejo en la gestión de riesgos y actividades de gobierno. Tomando en

cuenta la madurez de las operaciones de gestión de riesgos y la capacidad de auditoría

interna de las funciones relacionadas con el riesgo, para coordinar la conducción del ERM.

• ESFUERZOS DE EVALUACIÓN DE ENLACE. Para una función de auditoría interna,

el objetivo final es proporcionar una evaluación independiente y objetiva sobre la gestión de

riesgos, incluyendo las actividades de la primera y segunda líneas de defensa del Modelo de

las Tres Líneas de defensa . Si una organización tiene una serie de funciones separadas en la

segunda línea de defensa las que llevan a cabo las evaluaciones de riesgos y la prestación de

algún tipo de aseguramiento - como TI y gestión de riesgos, además de auditoría interna - la

organización debe desarrollar una visión integral de todas las actividades del consejo.

• DESAFIAR el proceso de evaluación de riesgos para garantizar que todos los riesgos

significativos están debidamente identificados y evaluados por el Consejo. Considere los

métodos utilizados para definir y medir el riesgo.

• SER CREATIVO. No hay un modelo único del ERM que funcione para todas las

organizaciones. Identifique, explore y critique diferentes enfoques para el ERM y determine

el mejor para la organización.

4. The IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control,

(Altamonte Springs, FL: The Institute of Internal Auditors, 2013).

13


REPORTE HOLÍSTICO AMPLÍA LAS

OPORTUNIDADES DE AUDITORÍA INTERNA

Bancos y otras crisis han originado que las partes interesadas cuestionen las decisiones

estratégicas y el verdadero valor de una organización. El valor de una organización va más allá

del análisis financiero y la presentación de informes en la asignación de recursos y toma de

decisiones. La capacidad de las organizaciones para comunicar una visión integral y holística de

la creación de valor se ha vuelto más importante. Históricamente, algunas compañías liberan

informes financieros, de sustentabilidad y otros informes internos o externos. El movimiento

actual es hacia la presentación de informes que incorporan resultados de varios informes para

crear una historia integral sobre el valor de una organización. Este método se conoce como la

presentación de informes integrados, el cual es simplemente un documento conciso que describe

cómo una organización planea crear valor en el corto, mediano y largo plazo, enfocándose sobre

los seis capitales organizacionales5.

Aunque es relativamente nuevo, se espera que el uso de informes integrados crezca

significativamente. Al mismo tiempo, el uso reportes de sustentabilidad, que ha sido utilizado

durante años para mejorar las estrategias de mercadotecnia y la toma de decisiones, también está

creciendo. Para ambos tipos de informes, hay una fuerte necesidad de experiencia y conocimiento

de la auditoría interna.

Hallazgos Relacionados con el Reporte Holístico INFORME INTEGRADO. Se pidió a DEA´s y directores que respondieran en la encuesta si

sus organizaciones estaban planeando crear un informe anual integrado basado en el Marco de

Informe Internacional Integrado <IR>, el cual fue liberado a finales de 2013. Cuando se les

preguntó, el 30 por ciento de los DEA´s y directores comentaron que planean emitir un informe

integrado este año o en el futuro inmediato - con el 63 por ciento de los que respondieron de

África Sub-Sahara6 indicaron que están adoptando el marco (ver Anexo 5).

INFORME SUSTENTABLE. Mientras tanto, casi la mitad (48 por ciento) de los DEA´s

y directores que respondieron a la encuesta dijeron que sus organizaciones tienen planeado

emitir un informe de sustentabilidad este año o en el futuro (ver Anexo 5). De acuerdo con

estas respuestas, América del Norte7 va a la zaga con sólo el 28 por ciento de la planeación

para emitir un informe de sustentabilidad.

5. The International <IR> Framework, (London: The International Integrated Reporting Council,

2013).

6. Treinta y tres por ciento de los DEA´s y directores de África Sub-Sahara que respondieron a la encuesta indicaron que están basados en Sudáfrica. En 2010 , la Bolsa de Valores de Johannesburgo adoptó los principios de Rey III, que recomiendan el uso de informes integrados.

6. Las siete regiones utilizadas en este reporte son las regiones definidas por el Banco Mundial,

colocando a México en América Latina.


14%

Nota: Q69: Su organización planea crear un informe anual integrado basado en el Marco de Información Integrada Internacional (<IR>)? Q70: Su

organización planea liberar un informe sobre sustentabilidad? El cual incluye a aquellos que respondieron "sí, este año", "sí, en algún momento de los

próximos 2 a 3 años", y "sí, en un punto no especificado en el futuro." Sólo las respuestas de DEA´s y directores son reportadas. n = 3746; 3346.

La Auditoría Interna está bien Posicionada para Apoyar el Informe Integral y Sustentable La auditoría interna es la única calificada para apoyar la implementación de informes

integrados. Como se señala en un documento reciente emitido por los Institutos Europeos de

los Auditores Internos, los DEA´s interactúan rutinariamente con los principales jugadores

centrales del proceso de información integrada de una organización8. Con independencia

organizacional adecuada y un buen entendimiento de la empresa, la auditoría interna puede

proporcionar el aseguramiento necesario para incrementar la credibilidad de la información

integrada y puede ayudar a reforzar la coherencia de la comunicación a través de las unidades

de negocio. Lo mismo se puede aplicar a los informes de sustentabilidad. Aunque

históricamente la auditoría interna no ha participado en la presentación de informes

sustentables, la auditoría interna puede aportar valor al comunicar el impacto en los procesos

de negocio. "Nadie puede proporcionar informes integrados significativos sin una sólida

comprensión de sus impactos sobre la sustentabilidad y cómo los procesos de negocio

incorporan los datos de dicha sustentabilidad", señaló Eric Hespenheide, presidente del

Comité Asesor Técnico del Global Reporting Initiative y ex socio de Deloitte.

8. “Enhancing Integrated Reporting — Internal Audit Value Proposition,” (IIA–France, IIA–Nether-

lands, IIA–Norway, IIA–Spain, IIA–UK and Ireland, 2015).

15


El creciente interés en estos informes crea la oportunidad para que los DEA´s participen más

con su organización, para ofrecer una visión sobre el impacto de los riesgos de sustentabilidad,

y para proporcionar seguridad sobre la fiabilidad de los datos de sustentabilidad. Por otra parte,

la popularidad de los informes integrados y sustentables ofrece a la auditoría interna la

oportunidad de "permitir una mejor toma de decisiones", como se estableció en la misión de

una empresa dedicada a la fabricación de tecnología de punta.

Esenciales para el DEA Como los requerimientos de sustentabilidad e integración crecen en todo el mundo, el

DEA puede mostrar su liderazgo a través de las siguientes medidas:

• DESARROLLA un entendimiento sólido de los informes integrados y sustentables

mediante la evaluación de la cultura de la organización y la conexión con los interesados

para entender el impacto de la sustentabilidad en el negocio.

• IDENTIFICA datos relevantes no financieros, los procesos y procedimientos para el

manejo de estos datos, y las oportunidades para la auditoría interna, para proporcionar

servicios de asesoramiento de mejora.

• COLABORA con las principales partes interesadas para determinar dónde la auditoría

interna puede proporcionar aseguramiento en cuanto a la calidad de los datos y sistemas de

administración existentes, por ejemplo, auditorías de la cadena de suministro.

• CREA una estrategia de auditoría integral para el aseguramiento y servicios de

asesoramiento, para los procesos y los sistemas que soportan informes integrados y

sustentables – incluye un mecanismo de retroalimentación para ayudar a asegurar la

alineación de las partes interesadas.


ADMINISTRACIÓN DE LA PRESIÓN

Para tener éxito, el DEA necesita el coraje para tratar eficazmente las presiones políticas y de

esta manera poder hacer frente a una amplia gama de temas delicados; a los cuales se enfrentan

sus organizaciones. En un reciente informe de la Fundación de Investigaciones de The IIA8

señala que, algunos DEA´s muestran la valentía y diplomacia necesaria para navegar

eficientemente en los minados campos políticos. Los reportes evidencian otros responsables de

auditoría interna que parecen haber fallado en este esfuerzo. Múltiples factores contribuyen al

éxito en este campo: líneas de responsabilidad, los objetivos personales y organizacionales, y el

apoyo del consejo - así como la conformidad con las Normas.

Las respuestas de la encuesta ponen de relieve ciertas áreas en las que los DEA´s

deberían poner atención para manejar eficazmente la presión política.

Hallazgos Relacionados a la Presión sobre el DEA LINEAS DE REPORTE. El posicionamiento de una función de auditoría interna dentro de su

organización de la casa matriz tiene mucho que ver con su capacidad para llevar a cabo

efectivamente su misión. Cuando se le preguntó acerca de la línea de reporte funcional primaria

para el DEA o equivalente en su organización, el 72 por ciento de las respuestas de DEA´s

dijeron que ellos informa al comité de auditoría (o su equivalente) o al consejo de administración

(ver Anexo 6). Tal estructura de información es ideal, ya que le permite al DEA buscar

asesoramiento, consejo y el apoyo de las principales partes interesadas; las cuales son poco

probable que sean una fuente de presión indebida en el proceso de auditoría. Al mismo tiempo,

sin embargo, el 19 por ciento de los encuestados dijeron que reportan funcionalmente al CEO,

presidente o director del organismo gubernamental y otro 4 por ciento, dijo que al director de

finanzas.

Para auditar con éxito, los DEA´s deben estas libre del control de aquellos que necesitan

auditar. Con este fin, las líneas de responsabilidad son fundamentales, pero no son suficientes,

por sí mismas, para garantizar la libertad de control. Para el 72 por ciento de los DEA´s que

reportan a un grupo de supervisión, reportan necesidades para ser robustos, abiertos,

colaborativos, y honestos - todos los factores sirven para reforzar un enfoque fuerte a la

auditoría. El logro de tales caracterizaciones positivas requiere construir y mantener cerca las

relaciones profesionales con los supervisores clave. Además, el 29 por ciento de los DEA´s

indicó que informan tanto funcional y administrativamente a la alta dirección. Estos DEA´s

puede encontrar más difíci tratar la presión política.

PLAN DE CARRERA. Según los resultados de la encuesta, el 29 por ciento del informe de

los DEA´s están sujetos a presiones políticas para cambiar un hallazgo de auditoría o el informe.

Obviamente, estas presiones pueden tener consecuencias significativas, que van desde la

9. Dr. Larry Rittenberg and Patricia K. Miller, The Politics of Internal Auditing, (Altamonte Springs, FL:

The Institute of Internal Auditors Research Foundation, 2015).

17


Nota: Q74: ¿Cuál es la línea de reporte funcional primaria para el director ejecutivo de auditoría (DEA) o el equivalente en su org anización? DEA´s solamente. La

encuesta indicó que "los informes funcionales se refieren a la supervisión de las responsabilidades de la función de auditoría inte rna, incluyendo la aprobación

del estatuto de auditoría interna, el plan de auditoría, la evaluación del DEA, la compensación para el DEA." n = 2599. Debido al redondeo, algunos totales por

región pueden no ser igual al 100 por ciento.

degradación del trabajo o la pérdida del empleo. Cuando se les preguntó acerca del plan de

carrera, el 72 por ciento de los DEA dijeron que planean permanecer en la profesión de

auditoría interna para los próximos cinco años, el 9 por ciento dijo que planea retirarse, y el

resto respondió no estar seguro o piensa tomar diferentes roles (ver Anexo 7 ).

Aparte de los DEA´s que planean retirarse de la profesión, la mayoría de los responsables de

auditoría se enfrentan a retos derivados de las presiones políticas. El 72 por ciento de los

DEA´s planea, para permanecer dentro de la auditoría interna, explorar movimientos de

carrera; las opciones externas, si su organización no está dispuesta a respetar su resistencia a la

presión política. Los DEA´s planean dejar la auditoría interna, incluyendo aquellos temporales,

para los cuales la auditoría interna es un obstáculo, deberá decidir si el cumplimiento de sus

responsabilidades como DEA superan sus opciones de carrera a largo plazo dentro de la

organización.

APOYO Y ACCESO. Los resultados de la encuesta relacionados con el apoyo del consejo

para las sugerencias de auditoría interna deberían ser un motivo de preocupación. Mientras

que más de la mitad (57 por ciento) de los DEA´s reportaron tener un apoyo total del

consejo, para revisar las políticas y procedimientos de gobierno de la organización, un

significativo 43 por ciento reportó algún o ningún apoyo. Las políticas y procedimientos de

gobierno a menudo las consideran los auditores internos en las áreas con un impacto directo

en la administración de personal, tal como la remuneración de los ejecutivos, la ética

relacionada con programas, información fluida entre la alta dirección y el consejo,


Anexo 7 El DEA Planea Permanecer en Auditoría Interna

63%

75%

85%

74%

67%

74% 77%

72%

Asia

Oriental

Europa y

América Latina

Medio Oriente

North

Asia

África

Global

y el Pacífico Asia Central y Caribbean África America del Sur Sub-Sahara Average

Nota: Q36: En los próximos cinco años, ¿cuáles son sus planes profesionales relacionados con la auditoría interna? Sólo se informa de las respuestas de los CAE. n = 3.108.

Anexo 8 DEA´s Informes Acceso Sin Restricciones

34%

60% 57%

48%

65%

38%

58%

54%

Asia Oriental

Europa y

América Latina

Medio Oriente

North

Asia

África

Global

y el Pacífico Asia Central y Caribbean África America del Sur Sub-Sahara Average

Nota: Q53: En su opinión, ¿en qué medida el departamento de auditoría interna en su organización tiene acceso completo y sin restricciones a los bienes y los registros de los empleados, en su caso, para el desempeño de las actividades de auditoría?

Sólo se informan las respuestas de los DEA´s. n = 2.765.

19


administración de políticas de la organización, etc. El apoyo del consejo es crítico y un DEA

debería encontrar hallazgos sensibles que requieren el valor para abordarlos.

También se preguntó a los encuestados sobre el acceso a los registros de auditoría interna y a los

bienes cuando se realizan auditorías internas. Una ligera mayoría (54 por ciento) de los DEA´s

informó que la auditoría interna tiene acceso completo y sin restricciones a los registros de

empleados y a los bienes cuando se realizan auditorías internas (ver Anexo 8). Básicamente, esto

significa que en poco menos de la mitad de las organizaciones, los DEA´s pueden evitar la

obtención de documentación de empleados acerca de asuntos relacionados con el trabajo - el

acceso sin restricciones es esencial para los auditores internos.

DE CONFORMIDAD CON LAS NORMAS. Los DEA´s que toman posiciones

políticamente impopulares son desafiados por la administración, y por lo tanto, tienen que

documentar su trabajo con eficacia. La mejor defensa contra el trabajo de auditoría incompleto,

insuficiente y mal construido es una fuerte adhesión a las Normas. Un cumplimiento efectivo de

las Normas requiere un sólido Programa de Aseguramiento y Mejora de la Calidad (PAMC).

Cuando se les preguntó, sólo el 34 por ciento de los DEA´s que respondieron a la encuesta

reportaron tener un PAMC bien definido (ver Anexo 9). Otro tercio de los DEA´s dijo que su

PAMC estaba en desarrollo y el tercio restante indicó que su programa era ad hoc o inexistente. Si

los procesos de auditoría no pueden resistir el escrutinio de las partes interesadas, el DEA tendrá

dificultades para tomar una postura valiente.

Nota: Q47: Cómo se desarrolla el Programa de Aseguramiento y Mejora de la Calidad (PAMC) en su organización? Sólo DEA´s. "Bien definido" incluye

a aquellos que respondieron "bien definido, incluyendo la revisión externa de calidad" o "bien definido, incluyendo la revisión externa de la calidad y un

vínculo formal de las actividades de mejora y formación continua del personal." n = 2,833.


Esenciales para el DEA Aunque cada organización es distinta, los DEA´s de cualquier lugar, necesitan

fortalecer su capacidad para hacer frente eficazmente a temas sensibles. Para este

fin, el DEA debe:

• DESARROLLAR líneas de reporte y relaciones, informando que la posición de

auditoría interna cuenta con la independencia necesaria para abordar temas

delicados directamente con los miembros de supervisión de la organización (por

ejemplo, el consejo). Evitar confiar demasiado en los organigramas o relaciones

formales.

• CONTEMPLAR el impacto que los temas sensibles pueden tener sobre el papel o

carrera del DEA. En particular, esto se aplica para los DEA´s que planean mudarse

a un área fuera de la auditoría interna dentro de la misma organización

• OBTENER el apoyo de las partes interesadas y el acceso necesario para auditar

los riesgos altos de toda la organización.

• ASEGURAR que la auditoría interna tiene un PAMC robusto que permita

verificar que el trabajo de auditoría se realiza con calidad suficiente para resistir el

escrutinio de las partes interesadas.

21


CONCLUSIÓN

En el entorno empresarial actual, con sus riesgos emergentes y el cambio continuo, la

auditoría interna tiene que ser más sensible y capaz. Los DEA´s que tomen la

responsabilidad para ayudar al consejo a cumplir con sus deberes de supervisión de

riesgos, los posicionan en este entorno dinámico, para desempeñarse con éxito. Por lo

tanto, el reporte Pulso Global de Auditoría Interna 2015 aboga por amplias visiones de

riesgos y la planeación de auditorías flexibles -, así como, por la libertad para ampliar

el dominio de la auditoría interna y el coraje para manejar las presiones políticas.

Evaluando los riesgos emergentes a través de las evaluaciones de riesgo formales o

conversaciones informales, el DEA debería utilizar esta información para realizar

ajustes al plan de auditoría. Cuanto más volátil es el perfil de riesgo de una

organización, el plan de auditoría debería ser más flexible y sensible. Entre más amplíe

su visión de auditoría interna para incluir los riesgos empresariales, el DEA debería

enfocarse en ofrecer aseguramiento en las evaluaciones de riesgos de la empresa -

independientemente de quién administre esos riesgos. Por otra parte, la auditoría

interna necesita asegurar que nunca estará en amenaza su independencia y objetividad

cuando sea involucrado en el ERM o aseguramiento combinado.

Las preocupaciones de la empresa para la toma de decisiones incluyen la utilización de

datos financieros y no financieros. Específicamente, las partes interesadas están

prestando más atención a la presentación de informes no financieros, tales como

informes integrados y de sustentabilidad. Esto presenta oportunidades para la auditoría

interna, para expandir su dominio y ofrecer aseguramiento en áreas sin una dirección.

El primer paso es entender el impacto de la sustentabilidad en la organización y que la

auditoría interna puede apoyar para evaluar los riesgos relacionados.

Para satisfacer las demandas de la profesión, los DEA´S también tienen que soportar

las presiones políticas de su rol. La auditoría interna requiere mecanismos adecuados

de defensa ‒ la independencia, apoyo al consejo, y una función de auditoría interna

con calidad ‒ con el fin de combatir estas presiones. En la medida en la que el DEA

puede influir en estas áreas, también podrá influir en el nivel de acceso que tiene

auditoría interna en una organización y proteger su propia toma de decisiones objetiva.

En definitiva, como señaló Douglas Anderson, ex DEA y líder de pensamiento actual

en la profesión, "Ahora no es el momento de que los DEA´s sean complacientes. El

mundo está cambiando rápidamente a nuestro alrededor y no debemos simplemente

reaccionar, sino estar preparado. Enfocarse en el riesgo, el alcance de su trabajo, y

cómo va a asegurarse de que puede manejar las presiones políticas."


APÉNDICE

Asia y el Pacifico

Medio

DEA´s y Directores

Europa y

Asia Central

DEA´s y Directores

América Latina

y el Caribe

DEA´s y Directores

Medio Oriente y

África del Norte

DEA´s y Directores

América del Norte

DEA´s y Directores

Sur de Asia

DEA´s y Directores

África Sub-Sahara

DEA´s y Directores

n = 977 n = 1,355 n = 675 n = 394 n = 999 n = 166 n = 317

Australia ............62 Austria ................37 Argentina ...........61 Israel .................58 Canadá ..............119 Bangladesh..........24 Sudáfrica……...106

China................290 Croacia ...............21 Brasil .................92 Omán .................24 Estados Unidos....880 India ................128 Tanzania, República

Unida de........55

Indonesia...........52 República Chile ..................70 Arabia Saudita...119 Otros .................14 Uganda...............20

Checa .................24

Japón ..............176 Dinamarca...........30 Colombia ...........55 Emiratos Árabes Unidos...120

Zimbabue.............36

Malasia …...........81 Estonia................25 Costa Rica .........56 Other .................73 Otros ...............100

Nueva Zelanda...22 Francia .............124 Ecuador .............38

Filipinas…..........23 Alemania...........126 El Salvador.........33

Singapur …........49 Greecia...............57 México...............77

Taiwán .............179 Italia ..................82 Nicaragua ..........20

Otros .................43 Letonia................22 Panamá .............32

Polania ...............41 Perú ..................45

Rumania .............23 Uruguay..............25

Rusia .................27 Otrosr ................71

Serbia ................22

Eslovenia ............31

España .............128

Suecia….............35

Suiza ……….......166

Turquía ...............69

Ucrania..............21

Reino Unido........47

Otros ...............197

Nota: Q6: ¿En qué región está basado usted o trabaja principalmente? Los encuestados identificaron su región y luego seleccionaron el país o territorio

específico. Las respuestas fueron redistribuidas dentro de las siete regiones definidas por el Banco Mundial. Sólo se reportan las respuestas de los

DEA´s y directores. "Otros" incluyen los países o territorios de regiónes con menos de 20 respuestas. n = 4,883. Excluye los encuestados que no

identificaron una región global.

GLOBAL HEADQUARTERS

247 Maitland Avenue

Altamonte Springs, FL 3270 1-420I

www.globaliia.org

201$.0718

http://www.globaliia.org/

PULSO GLOBAL DE AUDITORÍA INTERNA 2015 - dl.theiia.org · prácticas de auditoría interna, las...

Documents

Transcript of PULSO GLOBAL DE AUDITORÍA INTERNA 2015 - dl.theiia.org · prácticas de auditoría interna, las...