Pesimismo, Escepticismo o Prudencia

Oficio Auditor Interno – Pesimismo, Escepticismo o Prudencia

Aunque usted no lo crea, una de mis historias favoritas desde niño es un fragmento muy pesimista del libro El Lazarillo de Tormes:

“A deshora me vino al encuentro un muerto, que por la calle abajo muchos clérigos y gente en unas andas traían. Arriméme a la pared por darles lugar, y desque el cuerpo paso, venían luego a par del lecho una que debía ser mujer del difunto, cargada de luto, y con ella otras muchas mujeres; la cual iba llorando a grandes voces y diciendo: 

“Marido y señor mío, ¿adónde os me llevan? ¡A la casa triste y desdichada, a la casa lóbrega y obscura, a la casa donde nunca comen ni beben!” 

Yo que aquello oí, juntóseme el cielo con la tierra, y dije:

“!Oh desdichado de mí! Para mi casa llevan este muerto.”

Al parecer al igual que en la historia del Lazarillo de Tormes, el pesimismo es parte del ADN de muchos auditores interno, debido a que de forma automática, inmediatamente, escuchamos u observamos algo siempre esperamos lo peor.

A continuación presento un ejemplo de esto: Un buen amigo, auditor interno con muchos años de experiencia, es un pesimista optimista. Su teoría es muy sencilla y al mismo tiempo contundente, siempre que revisa un área, solamente espera que haya sucedido lo peor (un fraude, una irregularidad o una desviación sustancial a las normas establecidas). 

De acuerdo a su opinión: “El pesimismo es un juego seguro. Así no puedes perder nunca, solo puedes ganar y siempre recibir nuevas noticas en el trabajo. Éste es el único punto de vista desde el que nunca te sentirás decepcionado. ¿Qué tipo de sorpresa prefieres recibir? Yo parto de la premisa de que todas las personas pueden ser corruptas, por lo que siempre recibo buenas noticias. Si compruebo que existe alguna irregularidad, estoy feliz porque detecte la situación. Si en cambio verifico que todo está correcto también estoy feliz, debido a que no existe ningún culpable a quien acusar. Esto se llama ganar ganar.” 

Pensar mal no significa ser malo. Ser escéptico no es ser cínico. Implica solamente ejercer el debido cuidado profesional. Desconfiar no es equivalente a ofender ni a maltratar. En resumen afirmaba, mi estimado Nahun, se trata de seguir la premisa del refranero español: “A Dios rogando y con el mazo dando……….”

Para él un pesimista es un optimista bien informado, y como pueden ver de acuerdo con mi apreciado colega esta forma de ver las cosas es fundamental para el éxito de cualquier auditor interno, debido a que es vital que seamos escépticos.

¿Qué es el escepticismo profesional?

El escepticismo profesional es una actitud que incluye cuestionar la validez de la evidencia de auditoria obtenida y estar alerta de la evidencia que contradice o lleva a preguntas acerca de la veracidad de la información revisada. Lo cual, como es obvio es esencial para la realización de un trabajo de auditoría independiente y objetivo.

A lo largo de los años he podido recibir sabias orientaciones de este buen amigo, que luego me han sido singularmente útiles en labores de investigación de fraude, abusos y malversaciones en las que he tenido que participar, por lo que es una persona que goza de mi respeto y admiración. Esta situación me hace pensar si es razonable tener un enfoque tan radical durante la realización del trabajo.

Desde el principio de los tiempos, existe una interrogante sobre la orientación que debe tener la profesión de auditoría interna desde un punto de vista ortodoxo siempre se ha visto al auditor interno como el guardián, custodio o centinela del control interno y de las mejores prácticas de negocio, sin embargo esta forma de ver el trabajo es totalmente contraria al enfoque moderno de la auditoría interna el cual exige que seamos un consultor interno y un asesor confiable a través de contribuir al desarrollo de un adecuado sistema de control y gobierno corporativo, que fortalezca la ética, la integridad y los valores.

¿Qué dicen las Normas para la Práctica Profesional de la

Auditoría Interna sobre el debido cuidado profesional?

La Norma 1220 sobre Cuidado Profesional establece que: Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se esperan de un auditor interno razonablemente prudente y competente.

Siguiendo con la Norma 1220, el auditor debe ejercer el debido cuidado profesional al considerar:

·         El alcance necesario para lograr los objetivos del trabajo;

·         La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento;

·         La adecuación y eficacia de los procesos de gobierno corporativo, gestión de riesgos y control;

·         La probabilidad de errores materiales, fraude o incumplimiento; y

·         El costo del aseguramiento en relación con los beneficios potenciales.

Para finalizar, me gustaría preguntarte:

¿Cómo eres en tu trabajo: pesimista, escéptico o prudente y competente?

Tomado del Blod de Nahun Frett

7 tips para Gobernar los medios sociales

El uso efectivo de los medios sociales puede fortalecer la imagen de una compañía y hacerla más receptiva para los clientes. Por otro lado, la publicación descuidada de un empleado puede rebotar alrededor del mundo, borrando años de posicionamiento de marca más rápido de lo que puedas decir “uh-oh”.

¿Qué esperanza tiene una compañía de supervisar a sus empleados que acceden a las redes sociales para uso personal e improductivo durante horas laborables, cuando muchos de ellos tienen dispositivos móviles con acceso a internet en sus carteras o bolsillos? y ¿puede una compañía legalmente restringir a sus empleados el uso de las redes sociales fuera de las horas de trabajo? Después de todo, los canales de medios sociales funcionan 24 horas al día, 7 días a la semana, con una exposición al riesgo que no se toma descansos.

¿Qué hay del daño a la reputación que puede resultar de equivocaciones en una campaña de marketing o del mal manejo de una crisis en los medios sociales? Y ¿se puede hacer algo para erradicar el riesgo de páginas no oficiales, generadas por bromas de empleados en los medios sociales?

Una búsqueda en Google arroja un número creciente de publicaciones y encuestas realizadas por consultores respetados internacionalmente, incluyendo a Protiviti, Deloitte, Ernst & Young, KPMG, entre otros; que están empezando a intervenir en el tema. Peter Scott, profesional en marketing, y Mike Jacka, auditor consultor, han arremetido con el tema en el libro Auditando los Medios Sociales: Una guía de Gobierno y Riesgo (Auditing Social Media: A Governance and Risk Guide), publicado por la Fundación de Investigaciones del IIA. Aquí encontrará algunos puntos clave para llevarse consigo de este creciente cuerpo de conocimientos.

1. Evaluación del riesgo en medios sociales.

De acuerdo con la encuesta “Capacidades y Necesidades de la Auditoría Interna” (“Internal Audit Capabilities and Needs Survey”) de Protiviti del 2013, los peores riesgos reportados en los medios sociales son el daño a la marca o a la reputación, violaciones regulatorias o de cumplimiento, filtros de información, virus y programas malignos. Por el otro lado, el manejo efectivo de los riesgos en medios sociales puede llevar a un fuerte cumplimiento regulatorio, mejoras en la estrategia del negocio, identificación temprana de problemas y monitoreo de la reputación y su riesgo.

2. Identificar qué empleados están usando los medios sociales.

“No asuma que eso está limitado a los departamentos de comunicación y marketing” recomienda Scott. “Los medios sociales pueden ser usados en desarrollo de productos, servicio al cliente, recursos humanos y cualquier otra área”.

3. Desarrolle una política de medios sociales.

De acuerdo con Protiviti, solo el 57% de las compañías tienen una política de medios sociales. KPMG recomienda reglas claras, concisas y prácticas para la conducta en internet, con límites y consecuencias para quienes fallen al cumplirlas. Involucre a auditoría interna, cumplimiento, el consejo general, y recursos humanos como punto de partida para la gestión de riesgos y derecho laboral. Luego revise y actualice su política cada seis meses recomienda Scott, porque el mundo de medios sociales evoluciona rápidamente.

4. Entrenar empleados, ejecutivos y directores.

¿Por qué pasar por el problema de tener una política si los empleados no conocen las reglas o cómo cumplirlas? Recuerde entrenar a altos ejecutivos y miembros de directorio también - probablemente como parte de un plan anual de actualización regulatoria. Han existido casos en los que altos ejecutivos exponen a sus compañías a riesgos de multas o acciones legales por publicaciones indiscretas que han afectado el mercado. Los auditores internos pueden ayudar a asegurar que los líderes de la compañía entiendan los riesgos en los medios sociales. Para el presidente o un miembro de directorio, no hay tal uso personal de medios sociales, todo lo que ellos hagan en las redes sociales puede afectar potencialmente la imagen de la compañía.

5. Determine quién podrá y quién no podrá hablar en nombre de la compañía.

A pesar de que un empleado feliz puede ser para la compañía el mejor activo en medios sociales, Jacka advierte que las empresas deben mantener clara diferencia entre una comunicación oficial de la compañía en línea y un comentario personal de un empleado, especialmente durante tiempos de crisis.

6. Monitoreo de conversaciones en línea.

Una gran parte de la comunicación en línea con una voz unificada está en escuchar

— eso es, monitorear las conversaciones en línea — saber qué está diciendo la gente dentro y fuera de la empresa, y qué está ofreciendo al mundo bajo el nombre de la compañía

7. Fije un buen ejemplo.

Los canales de medios sociales ofrecen plataformas para conversaciones continuas, y las compañías serán juzgadas por su autenticidad. Los empleados tienden a seguir a sus líderes, así la imagen de la gerencia es crítica. Desde un punto de vista de cumplimiento, los reguladores, más que nunca, están pendientes de información confidencial o cualquier desliz pre-condicionado que afecte el mercado.

Máximo Riesgo

No hay garantías para gobernar en las redes sociales — que es lo que llama la atención — pero investigaciones demuestran que compañías con políticas de medios sociales, entrenamiento continuo de empleados y programas regulares de monitoreo tienden a ir mejor en internet que aquellos que entierran sus cabezas en la arena o quienes van por el lado extremista y tratan de gobernar en las redes sociales con mano dura.

Preguntas que los directivos deberían hacer:

¿Los líderes de la compañía tienen un buen entendimiento de los medios sociales, de sus riesgos y recompensas?

¿Tiene la compañía una política comprensiva de medios sociales, están entrenados los empleados?

¿El plan de auditoría interna incluye los medios sociales?

¿La compañía monitorea los medios sociales que sus empleados usan? Si es así, ¿las prácticas de monitoreo cumplen los estándares establecidos de ética, confidencialidad, cumplimiento regulatorio y de no acoso?

¿El plan de crisis de comunicación especifica quién puede y quién no puede hablar en nombre de la compañía?

Artículo del Blog Nahum Frett, tomado de la Publicación Tone at the Top del IIA Global de Octubre del 2013.

Los Entes Auditables en el Ámbito de Gobierno Corporativo

Los Entes Auditables en el Ámbito de Gobierno Corporativo

Jesús Aisa Díez

Atendiendo a la definición que de la función de auditoría interna se cita en el Marco Internacional para la Práctica profesional de la Auditoría Interna, esta tiene como finalidad la de ayudar a las Organizaciones a evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. Describiéndose en las Normas serie 2.100, Naturaleza del trabajo, los objetivos a conseguir en cada uno de estos tres procesos.

Para los correspondientes a la gestión de riesgos y al control, el énfasis de la función auditora debe centrarse en los siguientes cuatro aspectos:

• Fiabilidad de integridad de la información financiera y operativa.
• Eficacia y eficiencia de las operaciones y programas.
• Protección de activos, y
• Cumplimiento  de leyes, regulaciones, políticas, procedimientos y contratos.

En tanto que en el ámbito del gobierno corporativo, los objetivos se centrarían en:

Promover la ética y los valores apropiados dentro de la empresa.

• Asegurar la gestión y responsabilidades eficaces en el desempeño de la actividad de la organización.
• Comunicar las opiniones sobre gestión de riesgos y control a las áreas adecuadas.
• Coordinar las actividades y la información de comunicación entre el Consejo, los auditores internos y externos, y la dirección.

Si bien para la supervisión de la adecuada gestión de los procesos de control y riesgos podemos apoyarnos, como protocolos de mayor aceptación y reconocimiento internacional en los denominados COSO I y II, e incluso recientemente en el COSO III, en lo que se refiere al Gobierno Corporativo, en mi opinión, aparte de las regulaciones que localmente sean de aplicación, entiendo que lo señalado por la OCDE (Organización para la Cooperación y Desarrollo Económico), puede ser de máxima utilidad. Por ello creo conveniente que recordemos sus seis principios:

I. Garantizar la Base de un Marco Eficaz para el Gobierno Corporativo.

El marco para el gobierno corporativo deberá promover la transparencia y eficacia de los mercados, ser coherente con el régimen legal y articular de forma clara el reparto de responsabilidades entre las distintas autoridades supervisoras, reguladoras y ejecutivas.

II. Los Derechos de los Accionistas y Funciones Clave en el Ámbito de la Propiedad.

El marco para el gobierno corporativo deberá amparar y facilitar el ejercicio de los derechos de los accionistas.

III. Tratamiento Equitativo de los Accionistas.

El marco para el gobierno corporativo deberá garantizar un trato equitativo a todos los accionistas, incluidos los minoritarios y los extranjeros. Todos los accionistas deben tener la oportunidad de realizar un recurso efectivo en caso de violación de sus derechos.

IV. El Papel de las Partes Interesadas en el Ámbito del Gobierno Corporativo.

El marco para el gobierno corporativo deberá reconocer los derechos de las partes interesadas establecidas por ley o a través de acuerdos mutuos, y fomentar la cooperación activa entre sociedades y las partes interesadas con vistas a la creación de riqueza y empleo, y a facilitar la sostenibilidad de empresas sanas desde el punto de vista financiero.

V. Divulgación de Datos y Transparencia.

El marco para el gobierno corporativo deberá garantizar la revelación oportuna y precisa de todas las cuestiones materiales relativas a la sociedad, incluida la situación financiera, los resultados, la titularidad y el gobierno de la empresa.

VI. Las Responsabilidades del Consejo.

El marco para el gobierno corporativo deberá garantizar la orientación estratégica de la empresa, el control efectivo de la dirección ejecutiva por parte del Consejo y la responsabilidad de este frente a la empresa y los accionistas.

Aunque en todos estos principios la labor de Auditoría Interna puede resultar significativa, es en este último, el que se refiere a las responsabilidades del Consejo, en el que nuestra actuación puede ser determinante, máxime porque de cumplirse o no estas exigencias, dependerá, en gran medida, la consecución de los otros cinco principios, ya que se estará influenciando en el entorno de control realmente existente en la Organización, resultando básico verificar que el Consejo de Administración demuestra independencia en la gestión. Motivo por el que supervisar su grado de cumplimiento real debería ser un ente auditable a incluir en los Planes de Auditoría.

De aceptarse esta sugerencia, en la planificación y determinación del alcance de la auditoría correspondiente deberíamos considerar, en primera instancia, las siguientes buenas prácticas, ya que, de no cumplirse, la situación debería concluirse que no es óptima, debiendo reconsiderarse, corrigiendo las carencias que se hubiesen detectado, comunicando las mismas a fin de que actúe convenientemente.

• Los Comités de Auditoría deberían estar compuestos solo por consejeros externos.
• La Presidencia del Comité de Auditoría recayendo en un consejero independiente y con formación financiero-contable adecuada.
• El Comité de Auditoría  responsable de aprobar las políticas  de gestión de riesgos.
• Implantación de un canal de denuncias anónimo/confidencial.
• Sustituir al socio de auditoría externa cada cierto número de años.
• Excluir al auditor externo de realizar actuaciones que puedan suponer conflictos de intereses con su labor de aseguramiento de la calidad de la información financiera.
• Aprobación del Programa de Auditoría Interna por el Comité de Auditoría.
• Nombramiento/cese y  fijación de la retribución Director de Auditoría Interna por el Comité Auditoría.
• Ponderación en la Junta de Directores/Consejo entre consejeros internos y externos.
• Rechazar la presencia del Presidente Ejecutivo en los debates del Comité de Auditoría.
• Capacidad del responsable de Auditoría Interna para acceder directamente a los miembros del Comité de Auditoría.
• Posibilidad de auditar, cumpliendo los procedimientos establecidos,  cualquier aspecto gerencial que afecte a cualesquiera miembros del Consejo.

De esta forma podremos concluir si al menos se están cumpliendo las condiciones sine qua non que posibilitarían disponer de un Gobierno Corporativo adecuado que pueda ejercer eficazmente su labor de supervisión de las decisiones y actuaciones de  línea ejecutiva.

Artículo Publicado en el Blog: Auditoría Interna del Siglo XXI

http://auditoriainternasiglo21.blogspot.com.es/

Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.

Tomado del Blog de Nahun Frett: http://nahunfrett.blogspot.com/