Revista IAI. Presentación Riesgos

1

AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna

En este número especial sobre las 17 Jornadas de Auditoría Interna

resumimos y hacemos balance de las diferentes ponencias que ofre-

cieron los líderes de auditoría interna y de otras disciplinas, a los casi

400 asistentes que acudieron de organizaciones de toda España los

días 21 y 22 del pasado mes de noviembre.

Podemos señalar que los títulos de las ponencias y sus ponentes

cuanto menos despertaron la inspiración y las ganas de superar las

posibles barreras y limitaciones a que nos enfrentamos en nuestras

entidades hoy en día.

Por ello, el Instituto de Auditores Internos de España a lo largo de

2013 seguirá ofreciendo, a través de sus múltiples actividades, las

fórmulas, herramientas y buenas prácticas para promover la innova-

ción y nuevas ideas que enriquezcan nuestro trabajo diario. Entre es-

tas actividades, está el Plan de Formación 2013 con la novedad de la

oferta de cursos e-learning que lanzará el Instituto en el primer cua-

trimestre del año. Un nuevo proyecto para que la formación se en-

cuentre accesible a todos nuestros socios.

En enero de 2013, ha entrado en vigor la nueva edición del Marco

Internacional para la Práctica de Auditoría Interna, el libro de cabece-

ra de todo auditor interno y la referencia de la profesión de auditoría

interna. Además a lo largo de este año publicaremos el Marco

Integrado de Control Interno actualizado (COSO III) del Committee of

Sponsoring Organizations of the Treadway Commission con cambios

sustanciales, adaptados a la realidad actual y mucho más práctico.

Por último, os dejo que disfrutéis, sobre todo a aquellos que no pu-

disteis asistir a las Jornadas, de esta visión resumida de lo que suce-

dió en las 17 Jornadas de Auditoría Interna.

José Manuel MuriesPRESIDENTE

7

Publicación del Instituto de Auditores Internos de EspañaPresidente: José Manuel Muries

Comisión Editorial:

Eduardo Hevia

Gabriela González-Valdés

Javier Faleato

José Manuel Muries

Coordinación: Teresa Jiménez

Administración: Mª Jesús MorcilloFátima Roldán

Santa Cruz de Marcenado, 3328015 Madrid

Teléfono: +34 91 593 23 45Fax: +34 91 593 29 32

[email protected] · www.auditoresinternos.es

BIENVENIDATiempo de inspiración, deja volar tus ideasJosé Manuel Muries

8SESIÓN DE APERTURALa anticipación como clave en un entornocada vez más exigenteÁngel Cano

10SESIÓN PARALELA 1.1El valor de la reputación y el impacto delos riesgos sobre la marcaAdolfo Carpena · Enric Doménech

12SESIÓN PARALELA 1.2Riesgos en el área de Recursos HumanosFrancisco Fernández

14SESIÓN PARALELA 2.1Las 7 virtudes de un auditor interno de éxitoGünter Meggeneder

16SESIÓN PARALELA 2.2Implantación de un Cuadro de Mando delFraude. Caso Práctico de Auditoría Continua yherramienta integral de Gestión de RiesgosJordi Otero · Cristina Bausá

22SESIÓN GENERAL 2Entusiasmo y superaciónCarlos Soria

24SESIÓN PARALELA 4.1COSO 3: principales novedades en el marcode control interno actualizadoRamón Abella · Tamer Davut

26SESIÓN PARALELA 4.2Marketing de Auditoría Interna. La experiencia de Mahou-San MiguelÁngel Etreros · Javier Guerrero

28

32

48

SESIÓN PARALELA 5.1Generando eficiencia desde la función de Auditoría InternaDiego Rodríguez · Patricia Méndez

30SESIÓN PARALELA 5.2La función de Auditoría Interna y losProgramas de Integridad Corporativa en GasNatural FenosaCarlos Ayuso

34SESIÓN GENERAL 3Perspectivas macroeconómicas en elentorno actualJuan Iranzo

44SESIÓN DE CLAUSURACómo ser una gran auditor internosPhilip Ratcliffe

51REUNIONES52NOTICIAS DEL IAI

36SESIÓN PARALELA 6.1El liderazgo del auditor internoJuan Díaz Carmona

38SESIÓN PARALELA 6.2El papel de la auditoría interna en losprocesos de integración de las entidadesfinancieras. La experiencia de Banco SabadellNuria Lázaro

40SESIÓN PARALELA 7.1El Comité de Auditoría: una relación clavepara la función de Auditoría InternaJosé Díaz Morales

42SESIÓN PARALELA 7.2Internacionalización de la función deAuditoría Interna. La experiencia de EDPAzucena Viñuelas

18SESIÓN PARALELA 3.1Prevención del riesgo de TI, cibercrimen yotras amenazasCésar Lorenzana

20SESIÓN PARALELA 3.2La definición de Key Risk Indicators. La experiencia de FCCJosé Ignacio Domínguez

Diseño: desdecero, estudio gráfico Impresión: IAG, SLDepósito Legal: M. 25210-1985

deja volar tus ideas

3


El evento más importante del año para los auditores internos, las 17 Jornadas de

Auditoria Interna, contó con 18 ponencias presentadas por líderes de Auditoría

Interna nacionales e internacionales, stakeholders y expertos en otras discipli-

nas.

En esta ocasión, reunimos en Madrid a casi 400 auditores internos bajo el lema

“Tiempo de inspiración, deja volar tus ideas”, para ayudarles a potenciar la crea-

tividad, la innovación y, en definitiva, a inspirarles a través de las experiencias y

buenas prácticas de nuestros ponentes. Además de proporcionar una oportuni-

dad única para el encuentro entre colegas de la profesión.

Ernesto Martínez, José Manuel Muries, Ángel Cano, José Luisde los Santos y Juan Ignacio Ruiz Zorrilla

José Manuel Muries en el acto de bienvenida

Philip Ratcliffe en la sesión de clausura

Ángel Cano durante la sesión de apertura

4


Agustín Rodríguez, Reyes Fuentes, María Meléndez y Juan Carlos Peña

Fernando del Pozo, Juan Ignacio Ruiz Zorrilla,Carlos Crespo y José Manuel Muries

Rafael del Río, Jesús Aisa y Eloy Paredes

Gregorio Hernández, Beatriz Cordero y Miguel Ángel Gutiérrez

Miguel Ángel Matiacci y Jesús Alberto González

Iker Spell

Enrique Summers, Juan Carlos Chávez yLuis Lafuente

Patricia Méndez

Azucena Viñuelas

Enric Doménech, Adolfo Carpena y Ángel Juárez

5


Patrocinadoresy expositores

Patrocinador Oro

Patrocinador Plata

Patrocinadores

��

��

7


José Manuel MuriesPRESIDENTE. INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

Tiempo de inspiración, deja volar tus ideas

En este contexto, los auditores internos están obligados a aumentar al máximo su profesionalidad. Tienen que mejorar lo que

mejor saben hacer: proporcionar aseguramiento y consulta; anticiparse a los riesgos; coordinar las líneas de control o su visión

de largo plazo. Por otro lado, a los empresarios les corresponde, “aplicar una transparencia radical”. Y por último, los legisla-

dores europeos y españoles deberán “proporcionar marcos regulatorios que generen la seguridad jurídica necesaria y hagan

de Europa y de España un zona donde invertir con confianza”.

En su discurso de bienvenida, José Manuel Muries –Presidente del Instituto

de Auditores Internos de España– repasó las responsabilidades

de los legisladores, los empresarios y los auditores internos para salir

de la crisis.

BIENVENIDA

8


SESIÓN DE

APERTURA

Ángel CanoCONSEJERO DELEGADO. BBVA

Ángel Cano, resaltó en su exposición la relevancia que tie-

ne la labor del auditor interno para el buen funcionamiento

de las entidades. Subrayó que el papel del auditor interno

es “fundamental” porque identifica las áreas que necesitan

mejoras, propone soluciones y ayuda a las empresas a que

sean más fuertes y más seguras, antes de que dichas áreas

se conviertan en amenazas que puedan desestabilizar la

actividad de la compañía. Además, señaló que es bueno

que haya controles y análisis a la banca, y abogó por que

este tipo de controles también se realicen en otros países.

Respecto a la situación económica actual, Ángel Cano des-

tacó que el futuro de Europa “pasa por más Europa” y que

se están dando pasos en la dirección correcta. Sobre Espa -

ña, el Consejero Delegado de BBVA resaltó que en los últi-

mos años se han emprendido muchas reformas y sigue

siendo necesario mantener el “espíritu reformador” para

SESIÓN DE

APERTURA

El papel del auditor interno

es “fundamental” porque

identifica las áreas que

necesitan mejoras, propone

soluciones y ayuda a las

empresas a que sean más

fuertes y más seguras.

Ángel CanoCONSEJERO DELEGADO. BBVA

La anticipación como clave en un entorno cada vez más exigente

9


El futuro de Europa

“pasa por más Europa”

y se están dando pasos

en la dirección correcta.

salir de la crisis con un potencial cre-

cimiento por encima del resto de los

competidores.

Por último describió los cuatro ele-

mentos irrenunciables para un nuevo

modelo de éxito:

· La diversificación, imprescindible

para lograr la resistencia en cual-

quier entorno.

· La orientación a cliente. Es decir,

centrar el negocio en generar rela-

ciones estables y a largo plazo con

los clientes.

· Prudencia y anticipación, imprescin-

dibles en un entorno tan cambiante

· Principios y personas.

En definitiva, una industria financiera

diferente con grandes retos y grandes

oportunidades.

Resumen: Instituto de Auditores Internos de España

10


El valor de la reputación y el impacto de los riesgos sobre la marca

En la valoración y percepción de la reputación cada vez son

más importantes la integridad y el cumplimiento de los

compromisos y de las expectativas. “La reputación funciona

como círculos de confianza y se construye desde dentro ha-

cia fuera. El éxito radica en gestionar las expectativas de

los stakeholders” (Corporate Excellence 2012).

Una Buena Reputación:

· Consigue mejores valoraciones y cotizaciones de la em-

presa.

· Incentiva la permanencia de los inversores.

· Apoya e impulsa la expansión en el mercado.

· Impulsa las recomendaciones positivas y el incremento

de las ventas.

Una Mala Reputación:

· Pérdida de confianza en los productos y servicios.

· Pérdida de confianza y lealtad de los empleados.

· Descapitaliza la empresa / Incrementa coste de capital.

· Genera rechazo y recomendaciones negativas.

· Impacta negativamente en los objetivos y en la marca.

Gestión del riesgo reputacional

Existen dos tipos, acelerador de otros riesgos –operacional–

y riesgo puro derivado de terceros. El riesgo reputacional es

muy transversal y sin propietario.

Pasos importantes a realizar en la gestión de riesgo reputa-

cional:

1. Establecimiento de la situación: identificar cuáles son

las fuentes de valor de la reputación de la compañía;

identificar quienes son los verdaderos stakeholders y

sus expectativas; establecer priorización entre los stake-

holders en función del nivel de influencia en los objeti-

vos y estrategia; analizar posibles desfases entre la re-

putación percibida por los stakeholders y la realidad.

SESIÓN PARALELA

1.1

Adolfo Carpena DIRECTOR GENERAL DE AUDITORÍA INTERNA. GRUPO CODERE

Enric DoménechSOCIO. BDO

La reputación es algo que cuesta décadas construir y que se puede destruir en

un momento, quizá porque se basa en la confianza.

Análisis de la reputación

Fuente: Reputation Institute, 2011

Percepción

Real

idad

+-

+ -

-+

++

--

+-

Alto riesgo

2. Análisis de riesgos: identificación de eventos y/o acon-

tecimientos que pueden dañar la reputación de la com-

pañía; identificar los cambios de expectativas de los sta-

keholders y la falta de alineación entre objetivos y ex-

pectativas; evaluar la probabilidad de ocurrencia y su po-

11


sible impacto sobre la reputación y la confianza; estable-

cer una priorización sobre su control, mitigación, infor-

mación e implantación de acciones.

Hay que considerar tanto riesgos internos (éticos y de

conducta como fraudes o malversaciones, directivos co-

mo incompetencia e incumplimiento de objetivos, ope-

rativos y de comportamiento) como riesgos externos

(derivados del sector y derivados de competidores o

empresas relacionadas

En resumen, hay que considerar la importancia de la cultura

corporativa, los sistemas de información para la priorización

de expectativas y el contraste con cumplimiento, poner én-

fasis en códigos de conducta, la importancia de los canales

de denuncia, la función de cumplimiento para asesorar, im-

plantar y supervisar, la transmisión de valores a través de la

formación y de la cultura de empresa.

El Grupo Codere, multinacional española referente del juego

privado, opera en 8 países en Europa y América. Gestiona

cinco áreas de negocio: terminales, salas de juego, puntos

de apuestas, hipódromos y juego on line. Además, es la

primera y única empresa que cotiza en bolsa desde 2007.

Para el Grupo Codere, la marca consigue una unidad de

imagen visual de la compañía, permite identificar correcta-

mente al Grupo por parte de su público de interés y contri-

buye a una mayor penetración comercial de la Empresa y la

posiciona.

Los riesgos identificados en Codere sobre la marca son: re-

clamaciones, noticias, seguridad, resultados, fraudes y las

redes sociales.

¿Qué hacen en la dirección de auditoría internadel Grupo Codere para proteger la Marca y la Reputación?

Encaminados a la cultura de la organización:

Revisar el cumplimiento de procedimientos.

Sesiones Informativas/formativas.

Comités de mejora y seguimiento.

Apoyo a proyectos de interés (código ético, gobierno cor-

porativo, etc.)

Evaluación constante del riesgo.

Encaminados al cumplimiento Regulatorio y Normativo:

Vigilancia de operaciones legítimas.

Documentación legal (Licencias, producto, etc.)

Marco contractual.

Marco fiscal, etc.

Los riesgos identificados sobre

la marca son: reclamaciones,

noticias, seguridad, resultados,

fraudes y las redes sociales.


12


Riesgos en el área de Recursos Humanos

Hoy más que nunca las organizaciones necesitan que di-

chos departamentos les ayuden en el proceso de transfor-

mación de los negocios, revisando valores y cultura, fomen-

tando el enfoque a resultados y asegurando unos niveles

de flexibilidad imprescindibles para hacer frente a una de-

manda cambiante potenciando la medición del desempeño

y gestión en base a evidencias que permita identificar a

nuestros mejores profesionales, teniendo muy presente que

la forma en que gestionemos hoy marcará el futuro de las

organizaciones.

En el informe “Creating People Advantage”, elaborado por

Boston Consulting Group, se recogen algunos de los retos a

los que ha de hacer frente la función de Recursos Humanos

en los próximos años. Destacan:

La escasez de talento y liderazgo por la que, a pesar de la

situación de desempleo que vivimos en España actualmen-

te, tendremos que competir por los mejores profesionales

con los denominados países emergentes y con aquellos

países que tradicionalmente han sido países con un potente

branding como empleadores (países anglosajones, Alema -

nia, etc).

La población activa es cada vez más mayor y la natalidad

en los países desarrollados es cada vez más baja. Lo que

en un futuro cercano provocará la convivencia de hasta seis

generaciones en las organizaciones con las implicaciones

que esto tendrá en las relaciones laborales y en la forma

de gestionar personas.

Las empresas son cada vez más globales y la gestión de

personas se debe plantear como una responsabilidad global

a la que ésta hace frente con un doble objetivo: por un la-

do, dotarse de los mecanismos capaces de gestionar la

complejidad resultante en términos de capacidad y eficien-

cia; por otro lado, definir políticas de gestión de personas

que sean capaces de abordar la diversidad y al mismo

tiempo mantener la conexión e identidad corporativa de las

organizaciones

El bienestar emocional de los empleados es ahora más

importante, teniendo muy presente que el salario es im-

portante pero hay mucho más... Compensación y benefi-

cios, conciliación, reconocimiento, desarrollo y oportunida-

des de carrera.

Dichos retos entre otros, solo se podrán gestionar si se

consigue establecer un nexo entre la estrategia de negocio

a largo plazo y la estrategia de gestión de personas.

Múltiples análisis muestran que se debe potenciar la rela-

ción entre estrategia, métricas y Recursos Humanos, y la

vía para ello pasa por la elaboración de un Plan Estratégico

SESIÓN PARALELA

1.2

Francisco Fernández, CIADIRECTOR DE RECURSOS HUMANOS. CLÍNICA BAVIERA

Ante un entorno empresarial de cambios vertiginosos, los departamentos de

gestión de personas tienen más retos y a la vez más oportunidades que nunca.

13


de Gestión de Personas, cuya formulación exige compren-

der el impacto de la estrategia en la demanda de profesio-

nales, cuántos, cuándo y con qué competencias y, poste-

riormente, establecer acciones para tender los cuatro puen-

tes con la estrategia de negocio y ser capaz de medir su

evolución:

· Estrategia de captación: reclutamiento, selección, incorpo-

ración, branding y posicionamiento en el mercado labo-

ral.

· Estrategia de implantación de métricas: medición del ren-

dimiento individual y colectivo, y sistemas de recompen-

sas e incentivos.

· Estrategia de desarrollo de carrera profesional.

· Estrategia de afiliación: retención, conciliación de vida la-

boral, compromiso, motivación y responsabilidad social

corporativa.

Tal y como se mencionó al principio, son muchos los retos y

oportunidades que tienen los Departamentos de Gestión de

Personas para lograr ser los verdaderos “asesores” de las

organizaciones para los que trabajan, teniendo muy presen-

te que éste no es un camino que puedan realizar en solita-

rio dichos departamentos, necesitan de la colaboración de

los gestores de personas y equipos que, a la postre, son los

verdaderos responsables de personas.

El gran desafío de las empresas es alinear sus

procesos y sistemas de gestión de personas, con

la estrategia de la empresa, su cultura

y su misión. (Dave Ulrich, “Human Resources

Champions”).

El talento

y liderazgo se

están convirtiendo

en recursos cada

vez más escasos.

Resumen del ponente

14


Las 7 virtudes de un auditor interno de éxito

La función de Auditoría Interna tiene también que buscar nue-

vas direcciones. Ya no es sólo un instrumento del Director

General o del Director Financiero, sino que se está convirtiendo

en la función de aseguramiento para toda la organización.

Hoy en día, es clave que todas las actividades de auditoría in-

terna estén orientadas al riesgo y en coordinación y coopera-

ción con otras funciones como gestión de riesgos, cumplimien-

to y gestión de calidad. Para trasladar este nuevo papel a un

gráfico, el modelo de las tres líneas de defensa es la mejor

manera de describir el lugar que ocupa la auditoría interna en

la actualidad.

La actividad de Auditoría Interna no sólo tiene que trabajar de

una manera diferente; también tiene que demostrar su papel,

su propósito y su éxito de una forma más activa. El papel de la

Auditoría Interna como función de aseguramiento debe ser vi-

sible y bien aceptado en toda la organización. También las re-

gulaciones que piden la implementación de las funciones de

auditoría interna han contribuido a aumentar la visibilidad y la

importancia de la profesión.

Pero queda la tarea de todos los departamentos de auditoría

interna de cumplir con las expectativas de sus stakeholders de

forma permanente. De acuerdo con estudios recientes, una

gran mayoría de nuestros stakeholders todavía piensan que la

actividad de auditoría interna debe mejorar para poder ayudar

a alcanzar los objetivos del negocio.

Además, los auditores internos necesitan conocer exactamente

estos objetivos y su papel esperado. Todas las direcciones de

auditoría interna necesitan estar completamente alineadas con

los objetivos de negocio de su organización.

SESIÓN PARALELA

2.1

Günther Meggeneder, CIA, CRMADIRECTOR DE AUDITORIA INTERNA DE ISTA INTERNACIONAL.

PRESIDENTE DEL INSTITUTO GLOBAL 2010-2011

Durante la última década, los

modelos de gobierno corporativo

de casi todas las organizaciones

han sufrido un cambio radical.

No sólo debido a los fallos en el

gobierno corporativo ocurridos a

principios del siglo XXI y a la

implementación de regulaciones

para reducir el riesgo de tales

asuntos, sino también debido

a la existencia de directivos más

activos, de los miembros del

Consejo y Comités de Auditoría y,

por último, por un incremento del

interés público en el gobierno

corporativo.

15


Existen Cinco Imperativos que deberían guiar a todas

las funciones de auditoría interna:

1. Mejora y aprovechamiento de un enfoque continuo de

los riesgos.

La expectativa más importante es que la auditoría inter-

na ayuda a prevenir sorpresas que no estaban la mente

de la dirección y el Consejo. Es fundamental una visión

innovadora hacia los riesgos futuros.

2. Aseguramiento sobre la efectividad de la gestión de

riesgos.

Es obvio que la gestión de riesgos no funcionaba co-

rrectamente cuando estalló la crisis financiera. Los ges-

tores de riesgos no vieron sus propias deficiencias, por

lo que definitivamente hay una necesidad de asegura-

miento de la gestión de riesgos. Y auditoría interna es

el recurso natural para ello.

3. Mejorar la habilidad en la recogida y análisis de datos.

La cantidad de datos en nuestras organizaciones está

creciendo rápidamente. Sin las herramientas adecuadas

de auditoria interna no es posible analizar tal cantidad

de datos. No importa si usamos las revisiones perma-

nentes de datos o si analizamos los datos cada vez que

se realice una auditoria interna, el análisis de datos de-

be ser una parte importante del trabajo de asegura-

miento.

4. Asegurarse un “asiento en la mesa”.

Sin saber qué está pasando en nuestra organización, no

podemos añadir valor y contribuir al alcance de nues-

tros objetivos. Por tanto, es un deber que formemos

parte del proceso de toma de decisiones. No desde un

papel operativo, sino desde una posición de asesores y

de fuente de información.

5. Solidificar nuestra experiencia para abordar los ries-

gos.

La función de auditoría Interna tiene que ser capaz de

trabajar con todos los departamentos de la organiza-

ción, no solo con el área financiera. Por tanto, los audi-

tores internos tenemos que adquirir experiencia en el

negocio y emplearla para crear recomendaciones para

mejorar la eficacia y eficiencia de las operaciones de

nuestra organización.

Para cumplir con las expectativas de nuestros stakeholders

con éxito, tenemos que:

• Estar totalmente integrados en el “C-Suite” como aseso-

res de confianza.

• Ser un recurso respetado de supervisión y previsión.

• Usar la tecnología más avanzada.

• Ser un imán para el talento con una profunda experiencia

en el negocio.

• Ser la “tercera línea de defensa”.

El futuro de la profesión de auditoría interna está en nues-

tras manos para definir nuestro papel dentro de las estruc-

turas de gobierno corporativo. Si fallamos en esto, nuestro

papel será definido por otros y esto constituiría una des-

ventaja para los auditores internos.

El futuro de la profesión de auditoria interna

está en nuestras manos para definir nuestro

papel dentro de las estructuras de gobierno

corporativo.

Resumen del ponente

16


Implantación de un Cuadro de Mando del FraudeCaso Práctico de Auditoría Continua y herramienta integral de Gestión de Riesgos.

Las Áreas de Auditoría Interna se plantean en estos mo-mentos diferentes inquietudes:

- Mapa de Riesgos: Disponer de un mapa de riesgos inte-gral para la organización, que se pueda consultar y man-tener permanentemente actualizado.

- Indicadores de detección del fraude: Ya no es suficientecon hacer “instantáneas” de las diferentes sucursales/áre-as de la organización, que no son representativas de loque sucede en el día a día, sino que es necesario implan-tar una auditoría continua e indicadores que permitan ladetección de irregularidades, especialmente en cuestiónde fraude.

- Eficiencia y aportar un valor diferencial a la organiza-ción: Hay que hacer muchas tareas con muy poca gente,y además, aportar valor añadido, que no es siempre fácil.

- Formación y puesta al día del departamento. El auditorinterno tiene que estar al día, en todos los nuevos proce-sos/sistemas de la organización, evolución tecnológica, eincluso nuevas técnicas de fraude. Puede contar para ellocon expertos externos en co-auditoría para aprovechar elconocimiento externo y poder continuar después interna-mente con las técnicas implantadas.

Control Interno y FraudeLa sustracción de activos es uno de los fraudes más habi-tuales cometidos por los propios empleados en las empre-sas. Un empleado comete fraude impulsado por (1) el sen-timiento de que la empresa le debe algo, (2) la presióneconómica del entorno y (3) la oportunidad que proporcio-

SESIÓN PARALELA

2.2

Jordi Otero · HEAD OF INTERNAL AUDIT CONTINENTAL EUROPE. CINESA

Cristina Bausá, CIA, CRMA, CISA, CISM, CGEIT, CRISC ·SENIOR MANAGER GRC. MAZARS

Uno de los valores añadidos que la Dirección de Auditoría Interna puede

aportar a la organización, es su colaboración en la gestión de riesgos

y detección del fraude, a través de técnicas de auditoría continua.

na el conocimiento de la existencia de un control internodébil en la organización.

No todos los empleados están dispuestos a cometer fraude:Una parte de ellos, atendiendo sus valores éticos nunca co-meterían un fraude, por lo que pueden desempeñar fiel-mente puestos de supervisión del control interno y de audi-toría interna entre otros. Otra parte desafortunadamentesiempre lo están intentando, y estas personas mejor que noformen parte de la organización, por lo que técnicas caligrá-ficas como las vistas en “Los lunes del Instituto” nos podrí-an ayudar a detectarlo. Y finalmente el resto, dependeráotra vez del nivel de control interno que tengamos implan-tado en la organización.

El fraude en CINESACINESA es actualmente la cadena de cine nº 1 en Europa y4ª a nivel mundial. Es propiedad de Terra Firma, y es pro-pietaria de 230 cines en España, Portugal, Italia, Alemania,Austria, Irlanda y UK. Su actividad gira alrededor de 2.144pantallas, y en 2011 llegaron a vender 79,2 MM de tickets.Sólo en España tienen más de 1.400 empleados.

Él Área de Auditoría Interna de CINESA utiliza técnicas comoson los confidentes, la auditoría presencial convencional yparticipa internamente de forma activa en la detección delfraude, la gestión de los riesgos e implantación de una au-ditoría continua que aporte eficiencia y efectividad a travésde la herramienta de MAZARS.

Problemas a los que se enfrentan:- Cines repartidos por toda la geografía nacional.

17

- Personal joven y muchos estudiantes que después van aquerer cambiar de trabajo.

- Alto porcentaje de fijos, pero con salario que no llega amileurista.

- Cobros principalmente en efectivo, y mucha tentación dellevarse un billete al bolsillo.

- La pérdida de empleo por la comisión de un fraude, nollega a disuadir.

Algunos ejemplos de indicadores de fraude en TAQUILLA (si-milares al BAR):- Comparativas del número de entradas a precio entero, re-

ducido y cero, en un periodo de tiempo determinado.- Número de entradas y precio medio por transacción res-

pecto al de sus compañeros.- Analizar en detalle el impacto de las promociones por ci-

ne y empleado, detalle de fiestas de cumpleaños realiza-das en cada cine, etc.

- Análisis del sistema de pago: efectivo, tarjeta, voucher,etc, entradas devueltas por taquillero/a, entradas reim-presas, etc.

Metodología para implantar un Cuadro de Mando de Gestión del FraudeLa metodología aplicada para ir obteniendo los indicadoresde fraude, puede aplicarse a cualquier sector de actividad,y abarcaría las siguientes fases:

1. LISTA DE INDICADORES- Lista de fraudes posibles. Sacamos la lista en función

de cada cargo/puesto en la organización, valorandola probabilidad de que se produzca según la oportu-nidad y los controles.

- Definimos el número de indicadores que se van amonitorizar y priorizamos su implementación por tipode fraude, cargo, y nivel de riesgo que cubre.

2. ANÁLISIS DEL DICCIONARIO DE DATOS- Conocer o solicitar al Área Informática el Diccionario

de Datos en diferentes Sistemas y su significado.- Se debe analizar la viabilidad de extraer los datos

necesarios, de una forma periódica.- Contar con herramientas de análisis de datos o simi-

lar, para realizar el análisis de forma repetitiva y ágil.

- Definiremos cada indicador: frecuencia, quién lo ana-liza y asociación con el diccionario de datos, etc.

3. ANÁLISIS PREVIO E IMPLEMENTACIÓN DEL INDICADOR

Haremos una última verificación de que la informaciónque nos aporta el indicador es significativa, y nos reve-la posibles irregularidades respecto al fraude asociado.

Implementaremos el indicador para que se ejecute pe-riódicamente y se integre dentro del Cuadro de Mandode Gestión de Fraudes, consultable por la Dirección através de la herramienta informática.

En muchas ocasiones nos encontraremos con problemasde calidad de los datos, que derivarán en un plan deacción en los Sistemas de Información. Este no es unpunto negativo, al contrario, aunque sí puede retrasar laimplantación del indicador.

4. MEJORA CONTINUA Y RETROALIMENTACIÓN

No sólo hay que analizar los indicios detectados, dese-char los falsos positivos y documentar los resultados, si-no que habrá que detectar cuándo un indicador deja deser útil y por lo tanto hay que promover otro indicador.

El futuro: la Autoevaluación del Control InternoLa autoevaluación de control es un método para ayudar ala organización a lograr sus objetivos de negocio. Losauditores internos pueden utilizar el CSA para obtenerinformación relevante acerca de riesgos y control, alfocalizar el plan de auditoría en áreas de alto riesgo ymotivando una mayor colaboración por parte de gerentesoperativos y el equipo de trabajo. Resultado: MEJORAREFICIENCIA. Este será el siguiente paso para CINESA yprobablemente para muchos de los lectores de estarevista.

CINESA y MAZARS han tenido la oportunidad de

trasladar su experiencia conjunta en la elabora-

ción del Mapa de Riesgos de la compañía, (…) y

a futuro la implantación de una Autoevaluación

del Control Interno.

Resumen de los ponentes

18


Prevención del Riesgo de TI, Cibercrimen y otras amenazas

Las redes facilitan acceso ilegal a la información, ataques a

sistemas informáticos públicos y privados, distribución de

contenidos ilícitos y otros delitos como blanqueo de capita-

les mediante el uso de Internet, o el ciberterrorismo. Este

fenómeno es lo que se conoce como cibercrimen o delin-

cuencia informática.

Al objeto de hacer frente a estas amenazas, la Guardia

Civil, además de otras Unidades, dispone del Grupo de

Delitos Telemáticos (en adelante GDT); cuyos cometidos se

centran en investigaciones sobre los llamados delitos infor-

máticos y los fraudes en el sector de las telecomunicacio-

nes.

El Cibercrimen como tal abarca un amplio espectro de con-

ductas relacionadas con la informática y las comunicacio-

nes. Así pues, y tal y como se recoge en el Convenio sobre

Ciberdelincuencia del Consejo de Europa (Budapest, 2001),

es posible agrupar todas ellas en cuatro grandes áreas: di-

fusión de pornografía infantil, delitos relacionados con la

propiedad intelectual, y fraudes y estafas; denominando a

estas tres categorías como los delitos informáticos en sí.

Adicionalmente, reconoce una cuarta categoría a la que de-

nomina como delitos relacionados con la intrusión en sis-

temas informáticos y el robo o destrucción de datos, en-

tendiendo como tales lo que comúnmente se denomina

“hacking”, siendo esta última la que resulta de mayor inte-

rés desde el punto de vista de las auditorías internas/ex-

ternas de seguridad.

El concepto romántico de “hacking”, perseguidor de ideales

por medio de llamadas de atención efectuadas en sistemas

informáticos ajenos, ha evolucionado a su lado más perver-

so. Las ventajas lucrativas que permite el dominio de las

nuevas tecnologías no escapan a nadie, y menos a aquellos

que ven un mercado laboral plagado de “cerebros” que

impedirá, posiblemente, su acceso a un puesto de trabajo

digno.

Por supuesto, las redes criminales organizadas no son aje-

nas a ello, y tratan de buscar autores mediales a sus fecho-

rías cada vez más meditadas y provechosas.

Inherente a este desarrollo criminológico, existe una proble-

mática que afecta a la obtención de información y eviden-

cias electrónicas. En este orden de cosas, respecto a la ad-

quisición y preservación de las evidencias, la problemática

reside en garantizar la integridad del dispositivo original.

Este procedimiento puede realizarse mediante el uso de

herramientas (hardware) o aplicaciones (software) que pro-

SESIÓN PARALELA

3.1

César LorenzanaGUARDIA CIVIL. GRUPO DE DELITOS TELEMÁTICOS

La Sociedad en general confía en las tecnologías de la información y

la comunicación. Sin embargo, la creciente dependencia en dichas tecnologías,

está acompañada de una también creciente vulnerabilidad a la intrusión

criminal y otras malas prácticas.

19


porcionan sistemas de integridad, y permiten mantener las

evidencias originales completas e inalteradas.

Mayor complejidad presentan los casos en los que dicho

soporte original no puede permanecer intacto, debido, por

ejemplo, a que el dispositivo afectado no se puede apagar.

En estos casos se hace necesario establecer una cadena de

custodia documentada de manera apropiada, sobre la ima-

gen forense, tanto como haya sido creada, en la mayoría

de los casos será asimilada a la evidencia tradicional, y así

se asumirá que no ha sido manipulada. Pero esto también

se puede poner en duda en algunas situaciones, cuando

una cadena de custodia regular mantenida por un investi-

gador forense privado se pueda considerar como demasia-

do débil. En estas situaciones, un tercero de confianza

(usualmente gubernamental) debería encargarse de mante-

ner los soportes originales.

Por otro lado, es necesario señalar la incipiente necesidad

de cooperación entre los investigadores y los analistas y/o

auditores forenses. El aumento en la capacidad de almace-

namiento de los dispositivos ha provocado la imposibilidad

de obtener la totalidad de la información en un plazo acep-

table de tiempo. Por ello, resulta vital la participación de

los investigadores, para que sean éstos los que dirijan al

analista/auditor hacia la información que resultaría de inte-

rés para la investigación. De esta manera, sería posible re-

ducir los plazos de procesamiento de los datos, logrando

una mayor eficacia y eficiencia en el análisis forense de los

dispositivos.

Además de lo anterior, destaca sobremanera la complejidad

de adaptar el lenguaje técnico a términos fácilmente enten-

dibles por profanos en la materia. En este mismo sentido

es relevante la dificultad de interpretar las evidencias elec-

trónicas, ya que éstas no son fácilmente reconocibles como

sucede con las evidencias tradicionales. En este caso, se

trata de datos en formato binario (1´s y 0´s) almacenados

en un soporte mediante el uso de corrientes electromagné-

ticas y/o impulsos eléctricos o luminosos, que deben ser

interpretados por aplicaciones concretas o por usuarios con

conocimientos técnicos.

Por último, una de las principales armas para la luchar con-

tra las ciberamenazas es la “inteligencia colectiva”, enten-

diendo como tal el intercambio de información, conoci-

miento, experiencias, y buenas prácticas en lo que se refie-

re a la seguridad de la información. Esta premisa, por todos

conocida y compartida, entra en conflicto con las políticas

de confidencialidad y competitividad actuales. Al objeto de

aunar estos dos aspectos, se hace necesaria la existencia

de una tercera entidad confiable, que se convierta en la de-

positaria de la inteligencia “individual”, y la convierta en

“colectiva”; y que al mismo tiempo ejerza una labor de

coordinación entre los actores implicados en la gestión de

los incidentes de seguridad. De esta manera se permitiría el

flujo multilateral de información, evitando la duplicidad de

esfuerzos, y potenciando el profundo conocimiento de las

amenazas actuales y la forma en que éstas se materializan.

Además, mediante la notificación y denuncia de estos inci-

dentes se logrará acabar con la “sensación de impunidad”

que se ha generado en torno a los mismos ante la ausencia

de acciones legales contra los responsables; acciones que,

por otro lado, únicamente son posibles a instancia de los

afectados. Igualmente, de esta manera, se pondría fin a las

estrategias actuales consistentes en mitigar, corregir y silen-

ciar; estrategias que se han mostrado ineficaces hasta la fe-

cha.

Una de las principales armas para la luchar contra

las ciberamenazas es la “inteligencia colectiva”.

Resumen del ponente

20


La definición de Key Risk Indicators. La experiencia de FCC

Para ello, es importante la implantación de un modelo de

Gestión Integral de Riesgos, donde el uso de los indicado-

res de riesgo (KRI), es una herramienta muy útil para la

detección temprana de los riesgos y por tanto, una buena

alarma para poder analizar la eficacia de los controles que

los mitiguen.

La gestión de los riesgos, varía dependiendo de la comple-

jidad de la organización. En un Grupo multinacional como el

de Fomento de Construcciones y Contratas (FCC), con pre-

sencia en 54 países, con más de 90.000 personas trabajan-

do, con una cartera portfolio de clientes y proyectos muy

diversificada en Infraestructuras, energía, servicios, etc. se

complica notablemente la gestión de los potenciales ries-

gos que se pueden identificar en las distintas compañías

del Grupo.

COSO define Riesgo como “la posibilidad de que ocurra un

hecho que afecte de modo adverso o negativo a la conse-

cución de los objetivos de la Sociedad”, por tanto, un buen

Modelo de Gestión de Riesgos, tiene que tener entre sus

principales objetivos: identificar dichos hechos potenciales

negativos, definir el nivel de tolerancia al riesgo que se es-

tá dispuesto a aceptar, y proporcionar una seguridad razo-

nable a los Órganos de Gobierno de la Organización, para

que el riesgo se mantenga dentro de los niveles tolerables

definidos. En otras palabras, el Modelo va a ayudar a la

gestión del efecto de la incertidumbre sobre los objetivos,

minimizando las perdidas, optimizando recursos y aprove-

chando las oportunidades, convirtiéndose así en una herra-

mienta útil para la toma de decisiones.

Como todos sabemos, en la estrategia de gestión del riesgo

tenemos diversas opciones: evitar el riesgo, mitigar el ries-

go, compartir el riesgo, o asumirlo plenamente.

En este Modelo de Gestión, los Indicadores de riesgo (KRI)

cobran especial relevancia para poder identificar señales de

alerta temprana sobre la posible materialización de unos

hechos negativos que puedan afectar a la consecución de

mis objetivos, y además definiendo los niveles de toleran-

cia, por encima de los cuales, es necesaria la realización de

un plan de acción con acciones concretas para mitigar el

riesgo.

En el Grupo FCC, están implantando un Modelo de Gestión

Integral de Riesgos, donde los Indicadores se encuentran

imbricados en el mismo a través de diversos componentes:

1. Elaboración de los Mapas de Riesgos de todas Áreas de

Negocio/Corporativas del Grupo y actualizarlos anual-

mente. Al menos contendrán: la descripción de los ries-

gos, su valoración en términos de probabilidad e im-

pacto, controles/ procedimientos que los mitigue, valo-

ración de la eficiencia de los controles y propietario del

riesgo.

SESIÓN PARALELA

3.2

José Ignacio Domínguez Hernández, CRMADIRECTOR DE GESTIÓN DE RIESGOS. GRUPO FCC

En los momentos de inestabilidad y complejidad económica, se hace cada vez

más necesaria una correcta gestión del riesgo en las organizaciones, que ayude

en la toma de decisiones estratégicas y también en las de los procesos

operativos.

21


2. Elaboración de un Plan de Acción para cada uno de los

riesgos considerados Críticos, definidos por la Curva de

Criticidad, con objeto de mitigarlos. Incluirá, para cada

uno de los riesgos críticos, uno o varios indicadores de

seguimiento de riesgo (KRI), así como el umbral o tole-

rancia al riesgo, por encima del cual, entendemos que

se ha materializado el efecto negativo.

3. Nombramiento de un Coordinador de Gestión de Ries -

gos en cada Área, que se encargará de canalizar toda

la información relativa a la gestión de riesgos de las

distintas Áreas y será el enlace con la Dirección de Ges -

tión de Riesgos Corporativa.

4. Realización de un Procedimiento específico de Gestión

de Riesgos en cada Área de Negocio/Corporativa del

Gru po, como herramienta para la toma de decisiones.

Dicho procedimiento de Gestión, debe también incluir

herramientas de evaluación del riesgo, a la hora de la

toma de decisiones operativas de esa Área. Para ello,

se utilizarán parámetros e indicadores de riesgo que

ayuden a evaluarlos.

5. Información periódica a los Órganos de Gobierno del

Grupo sobre la materialización de los riesgos más sig-

nificativos. Es decir, cuando los indicadores de riesgo

han informado que se han sobrepasado los umbrales

de tolerancia para un determinado riesgo.

6. Creación de un Comité de Riesgos en cada Área del

Grupo, para la correcta gestión, supervisión y segui-

miento de sus riesgos. Entre sus funciones estarán velar

por el adecuado cumplimiento de los procedimientos

de Gestión de riesgos y realizar el seguimiento de los

Indicadores de Riesgo para aquellos riesgos materiali-

zados o que pudieran serlo en un futuro.

7. Aplicación informática para la gestión de Riesgos,adaptada a la complejidad de la organización

8. Supervisión de toda la política de control y gestión deriesgos por la Comisión de Auditoría y Control. Entre susfunciones estarán fijar los umbrales o tolerancia al ries-go y realizar el seguimiento de los Indicadores deRiesgos para comprobar que no superen la toleranciadefinida.

A la hora de diseñar un buen conjunto de indicadores deriesgo, es necesario identificar los parámetros relevantesque proporcionen una visión clara de los objetivos que tie-ne la organización. Por tanto, hay que relacionar indicado-res de riesgo críticos con objetivos y con eventos que pue-dan afectar de manera negativa a la consecución de losmismos. Con ello se consigue focalizar a la Alta Direcciónen la dirección realmente relevante para la toma de deci-siones.

Si se analizan las causas primarias e intermedias que hanconducido a que se de un riesgo, también se pueden iden-tificar indicadores en cada una de esas etapas del evento, yproporcionar información temprana, que explique lo queacaba de ocurrir, y que sirva de experiencia para prevenirloen un futuro.

Los elementos esenciales que deberían tener unos buenosindicadores de riesgos (KRI) serían: deben basarse en prác-ticas o pruebas comparativas establecidas sólidamente, de-ben desarrollarse consistentemente en toda la organización,deben proporcionar una perspectiva no ambigua e intuitivadel riesgo señalado, deben permitir hacer comparacionesmedibles a lo largo del tiempo y entre unidades de nego-cio, deben dar la oportunidad de evaluar puntualmente elrendimiento de los titulares de los riesgos y deben consu-mir recursos de manera eficiente.

Los indicadores de riesgo tienen una interrelación clara conel cuadro de mando, pero hay que distinguir entre indica-dores de situación (KPI) y de Riesgo (KRI). Los primeros in-forman de hechos ocurridos y los segundos alertan de for-ma temprana y anticipan problemas potenciales.

Los indicadores de riesgo son una buena herramienta parala toma de decisiones en las Organizaciones. Al ser indica-dores de alerta pueden mejorar los procesos, el entorno detrabajo, y por tanto los resultados de las Compañías. Ade -más deben estar imbricados en el Modelo de Gestión deRiesgos y ser consistentes para toda la organización.

Los indicadores de riesgo son una buena

herramienta para la toma de decisiones en

las Organizaciones.

Resumen del ponente

22

Entusiasmo y superación

Además de ser la primera persona en el mundo en hacer cumbre en el

Dome Khang (7.260 metros), ha ascendido a las siete cumbres más altas

de los 7 continentes: Elbruz (Europa-1968), MacKinley (America del

Norte-1971), Aconcagua (América del Sur – 1986), Everest (Asia-2001),

Mont Vinson (Antártida – 2007), Carstensz (Oceanía – 2010) y Kilimanjaro

(Africa – 2010).

Es la persona de más edad que ha hecho cumbre en el K2 (8.611 me-

tros), Broad Peak (8.047 metros), Makalu (8.463 metros), Manaslu (8.163

metros) y Lhotse (8.516 metros).

La ascensión al K2 (8611m) con 65 años, algo que solo Diemberger ha-

bía intentado con 54 años y, más recientemente, una ascensión solo y

sin oxígeno al Makalu (8463m), han supuesto una revolución en la forma

de pensar sobre el “himalayismo”.

Sin embargo, la gran aportación potencial de Carlos es el ejemplo prácti-

co de que a una edad avanzada, en el siglo XXI, se tiene una vida plena

física, mental y espiritualmente.

SESIÓN GENERAL 2

Carlos SoriaALPINISTA

Carlos Soria es el único alpinista en el mundo

que ha escalado nueve montañas de más de

8.000 metros después de cumplir los 60 años.

La ponencia estuvo orientada a

trasmitir el ánimo de superación,

el trabajo en equipo, el espíritu de

supervivencia, afrontar las

dificultades, admitir los cambios y

afrontarlos con valentía.

Los consejos lanzados para tener

entusiasmo y superarnos en los

momentos actuales son no perder

ilusión en tu trabajo, hacer bien las

cosas y actuar con sentido común.


24


COSO 3: principales novedades en el marco de control interno actualizado

En Noviembre de 2010, COSO anunció su intención de ac-

tualizar el Marco de Control Interno. La actualización persi-

gue dar respuesta a las nuevas expectativas sobre la res-

ponsabilidad y competencias de los gestores de las organi-

zaciones, y adaptar el Marco original a los cambios que se

han producido en los modelos de negocio, derivados de la

globalización, de la utilización de nuevas tecnologías, del

aumento de las exigencias que parten de la regulación apli-

cable y del incremento de las demandas de los grupos de

interés sobre la prevención y detección del fraude.

La actualización pretende ampliar el alcance del Marco de

Control Interno original, para centrarse no sólo en el repor-

ting financiero externo, sino también en el reporting de ín-

dole no financiero y en el reporting interno, respondiendo

así a las necesidades de los distintos Grupos de Interés.

Adicionalmente, tiene como objetivo facilitar el uso y la

aplicación del Marco, definiendo principios para cada uno

de los componentes de Control Interno, que faciliten la im-

plantación, mantenimiento y supervisión de un Sistema de

Control Interno efectivo.

En Diciembre de 2011 se sometió a consulta pública el pri-

mer borrador del Marco de Control Interno. A raíz de los co-

mentarios recibidos, la Comisión Treadway decidió adaptar

el borrador original. En Septiembre de 2012 se sometió el

documento “Compendium” a consulta pública, junto con la

nueva versión del borrador del Marco. Tras la última recep-

ción de comentarios y la posterior adaptación del Marco a

partir de los mismos, se espera que COSO publique la ver-

sión definitiva en el primer trimestre de 2013.

Los cinco componentes de Control Interno no varían con

respecto al Marco original de 1992. No obstante, en el

Marco actualizado se introducen cambios clave, como el de-

sarrollo de los componentes en 17 principios y de estos

principios en puntos de enfoque, que pretenden ayudar a

las organizaciones a comprender y aplicar el Marco actuali-

zado, abarcando todos los aspectos relevantes de un Siste -

ma de Control Interno.

En el Marco actualizado se enfatiza la relevancia de la inte-

gridad y los valores éticos. Una organización que establece

y mantiene un adecuado entorno de control es más fuerte

a la hora de afrontar riesgos y conseguir sus objetivos. La

cultura y los valores de cada organización deben ser pro-

mulgadas en primer lugar por el Consejo de Administración,

por lo que se destaca la necesidad de establecer líneas de

comunicación y reporting claras de las Comisiones al Con -

sejo y viceversa.

En cuanto a la evaluación de riesgos, el Marco actualizado

aclara que la gestión de riesgos abarca la identificación, el

análisis y la respuesta a los mismos, incluyendo nuevos cri-

terios de análisis, tales como “velocidad” y “persistencia”.

La velocidad se refiere a la rapidez con la que un riesgo im-

pacta en la organización una vez se ha materializado, mien-

tras que la persistencia hace referencia a la duración del

impacto después de que el riesgo se haya materializado. La

SESIÓN PARALELA

4.1

Ramón Abella Rubio Æ SOCIO ASSURANCE MADRID. PWC

Tamer Davut, CIA, CRMA Æ DIRECTOR. PWC

25


Dirección debe entender la tolerancia al riesgo de la organi-

zación y evaluar si existen mecanismos adecuados para la

identificación y el análisis de riesgos.

El Marco de 1992 ya recogía el concepto de fraude, pero la

versión actualizada incrementa de manera considerable el

análisis del fraude y lo incluye además como uno de los

diecisiete principios de Control Interno, ampliándolo de ma-

nera explícita, añadiendo al fraude relacionado con el re-

porting, aquel que puede darse en relación con la custodia

de activos y con la corrupción.

En relación con las actividades de control, se entienden las

mismas como acciones establecidas por políticas y procedi-

mientos y se considera la evolución de la tecnología, dife-

renciando entre controles automáticos y Controles Gene -

rales de Tecnología. Además, se enfatiza la importancia de

la calidad de la información y el impacto que la tecnología

tiene en la misma.

El Marco actualizado incluye también una clarificación en

cuanto a las actividades de monitorización (evaluaciones

continuas e independientes). Asimismo, concede relevancia

a la consideración del uso de proveedores externos y el im-

pacto de las externalizaciones en los Sistemas de Control

Interno.

COSO ha mantenido también los tres objetivos del Marco

original (operaciones, reporting y cumplimiento), ampliando

el alcance que inicialmente se había establecido para el ob-

jetivo de reporting, para contemplar el reporting tanto de

carácter financiero como no financiero y el reporting a nivel

externo e interno.

La actualización del Marco profundiza además en el esta-

blecimiento de objetivos a nivel de operaciones, cumpli-

miento y reporting, y considera que se deben definir los

objetivos de negocio, como condición previa a los objetivos

de Control Interno.

En definitiva, los cambios introducidos en el Marco de Con -

trol Interno lo adaptan a las circunstancias actuales de las

compañías, facilitando la implantación de Sistemas de Con -

trol Interno adecuados y aplicados a todos los niveles de

las organizaciones y dando respuesta a las cada vez mayo-

res exigencias de los grupos de interés.

En el Marco actualizado se

enfatiza la relevancia de la

integridad y los valores éticos.

Una organización que establece

y mantiene un adecuado

entorno de control es más

fuerte a la hora de afrontar

riesgos y conseguir sus

objetivos.


26


Marketing de Auditoría Interna. La experiencia de Mahou-San Miguel

Todo eso y más está dispuesto a hacer el equipo de Audi -

toría Interna del Grupo Mahou-San Miguel para mejorar la

percepción de la imagen del auditor interno.

En 2007, cuando nació la función de Auditoría Interna en el

Grupo Mahou-San Miguel, se planteaban el reto de cómo

reducir la carga negativa de la imagen que lleva impresa la

profesión. De hecho. muchos departamentos que no habían

estado expuestos a ningún tipo de auditoría externa o in-

terna hasta entonces, no alcanzaban a entender para qué

hacía falta la función de Auditoria Interna en el Grupo, con

lo bien que habían ido las cosas siempre sin ella.

Algo tenían que hacer para conseguir que se viera a los au-

ditores internos como profesionales competentes. Para que

confiasen en ellos y apreciaran su trabajo, contaban con

dos ventajas, la primera era el equipo –ya que el 75% pro-

venía de la casa– y la segunda era el apoyo de la Presi -

dencia del Consejo y de la Dirección General.

Esto les dio tranquilidad y confianza, y les permitió lanzarse

a crear su propio estilo, adaptando informes, recomendacio-

nes, planes, etc., a las características de las personas que

forman el Grupo con el objetivo de que les escucharan y

les entendieran mejor. En algún caso supuso una mayor im-

plicación y asumir roles por encima de los propios, pero

merecía la pena.

No podían perderse los conciertos de “Estrategia”, “Ries -

gos”, “Nuevos Negocios”, “Gobierno Corporativo”, “Cum -

pli miento”, etc. Para ello debían dar a conocer sólo sus

mejores creaciones, que causaran impacto de verdad y con

sonidos pegadizos como Riesgos, Control, Buenas Prácticas.

El proceso de creación de marca Auditoría Internadel Grupo Mahou- San Miguel partió del “Cómo nos ven” y el “Qué queremos destacar”, y fueron improvisando y haciendo camino.

Lo primero que hicieron fue pedirle ayuda a su colega de

Marketing del Grupo, quien les indicó que lo suyo no tenía

arreglo. Ante esa respuesta se tiraron a la piscina y afronta-

ron su primera Campaña, que fue la propia presentación del

Departamento al resto de la Organización.

De la mano de Dirección General se recorrieron todos los

centros de trabajo del Grupo, mostrando qué era Auditoría

Interna. Apoyándose en dos pilares: su filosofía de trabajo y

el equipo humano. Ya les conocían… el siguiente paso era

asentar los cimientos del Control Interno en la Compañía.

Seguramente ésta fue una de las campañas más duras, ya

SESIÓN PARALELA

4.2

Ángel EtrerosDIRECTOR DE AUDITORÍA INTERNA. GRUPO MAHOU-SAN MIGUEL

Javier Guerrero, CIAGERENTE DE AUDITORIA INTERNA. GRUPO MAHOU-SAN MIGUEL

Los ponentes decidieron utilizar la imagen de KISS para iniciar la presentación

sobre Marketing de Auditoría Interna. La razón es simple, pretendían captar la

atención de la audiencia desde el primer momento, con el atuendo, la música

de rock y la letra de la canción (se presta más atención a un grupo musical

que a un auditor interno).

27


que cambiar de mentalidad, hacer reflexionar, y aceptar

nuevas responsabilidades es algo que siempre cuesta mu-

cho en cualquier compañía.

Auditoría Interna presentó el Control Interno en todos los

Comités de Departamentos, utilizando el símil de la Fór -

mula 1 e insistiendo en que sólo trabajando juntos y con un

objetivo común se puede alcanzar la gloria. El lema de la

campaña fue “El Control Interno lo hacemos todos”.

La constitución del Comité Ético en el Grupo, que se realizó

en 2009, sirvió para actualizar el Código de Conducta y lan-

zar una nueva campaña de comunicación, que fueron pre-

sentando en cada centro de trabajo –junto con RRHH y apo-

yados, nuevamente, por Dirección General.

Para el equipo de Auditoría Interna del Grupo Mahou-San

Miguel, presentar temas tan delicados con humor les gusta,

aunque sin restar importancia o seriedad al tema que tra-

tan, puesto que también se vieron obligados a realizar ac-

ciones que en ocasiones dañaban su popularidad.

En 2011 revisaron el cumplimiento del Código de Conducta

respecto a “Confidencialidad, Orden y Limpieza”, entre

otros puntos. Cuando presentaron los resultados, algunos se

sintieron ultrajados. “Craso error”, ya que dieron excesiva

publicidad a los malos resultados, y eso a nadie le agrada

que se haga público.

La siguiente campaña fue presentar a cada Comité de De -

partamento su Mapa de Riesgos. Para ello, podían hablar

de una forma técnica, explicando el método teórico de

construcción de un mapa o poner un ejemplo contando una

historia personal. El método del ejemplo fue el elegido.

Auditoría Interna insistió que aunque no los veas, o creas

que los tienes controlados, los riesgos siempre están ahí,

como los fantasmas. Además sólo te acuerdas de ellos

cuando aparecen y te llevas un susto de muerte. Los mayo-

res riesgos suelen producirse por la propia estupidez de la

condición humana.

La última campaña que han abordado ha sido la del SCIIF. A

Auditoría Interna del Grupo Mahou-San Miguel les ha costa-

do hasta que se ha arrancado, pero no podían estar sin re-

visarlo y por ello han perseguido al Departamento Finan -

ciero día y noche sin tregua. Han insistido por activa y por

pasiva, incluso se colaron en la comida de Navidad de 2011

de dicho departamento para recordárselo en forma de vi-

llancico.

En su opinión, después de cuatro años, todo lo realizado ha

merecido la pena. La confirmación de ello la tuvieron me-

diante una encuesta realizada por RRHH, para valorar el

Arraigo de Valores y el Estilo de Liderazgo dentro de los

distintos departamentos del Grupo, los cuales se valoraban

unos a otros. De dicha encuesta les sorprendieron dos co-

sas: la primera, que en el apartado de valores, en todos

ellos estaban en la franja del notable, y la segunda, que su

propia valoración del departamento estaba sólo un poco

por encima de la percepción externa del mismo.

Pero lo que más les llamó la atención fue que en el aparta-

do de “desarrollo personal y de equipos” valoraban los

otros departamentos la función de auditoría interna por en-

cima de su percepción, haciendo del departamento un lu-

gar muy atractivo para trabajar y desarrollarse.

El balance de todo lo conseguido es muy positivo, si se tie-

ne en cuenta que son una empresa familiar, que no cotiza

en bolsa, pero que tiene como principales objetivos cumplir

con todas las obligaciones legales y formales exigidas para

cualquier empresa cotizada.

Es importante plantearse en todo momento: ¿Qué estás dis-

puesto a hacer para mejorar la imagen de Auditoría inter-

na?

De la mano de Dirección General se recorrieron to-

dos los centros de trabajo del Grupo, mostrando

qué era Auditoría Interna. Apoyándose en dos

pilares: su filosofía de trabajo y el equipo humano.


28


Generando eficiencia desde la Función de Auditoría Interna

Todavía a muchas organizaciones les cuesta percibir el valorque la función de Auditoría Interna puede aportarles. Lo pri-mero que debemos preguntarnos como auditores internoses si nosotros mismos estamos convencidos de que pode-mos generar valor y si es así, nos toca ser motores delcambio cultural, venciendo las barreras a las que nos en-frentamos.

La eficiencia es eficacia con el mínimo consumo de recur-sos, no tiene sentido ahorrar costes si dejamos de cumplircon los objetivos. Lo que posiciona especialmente a la fun-ción de auditoría interna para generar eficiencia es su inde-pendencia y su visión global del negocio. Ambos atributosle facultan para poder conocer mejor que ningún otro en laorganización: Detectar qué procesos pueden ser mejoradosen este sentido, qué sinergias pueden aprovecharse y quéahorros pueden abordarse sin que otras áreas o procesossean perjudicados.

La clave es, por un lado cambiar la forma de mirar en lostrabajos de siempre y por otro, abordar proyectos nuevoscon el objetivo específico de aprovechar oportunidades paramejorar la eficiencia.

Por ejemplo, en una revisión tradicional de contratos, verifi-caríamos su vigencia, su aprobación y firma, si procede, mi-raríamos si ha sido revisado en tiempo y forma por aseso-

ría jurídica, comprobaríamos la adecuada descripción deservicios y, en general, si es acorde con las políticas de lafirma. Es decir, nos centraríamos en el cumplimiento. Conun enfoque dirigido a la generación de eficiencia, además,tendríamos en cuenta, por ejemplo, si se están ejecutandolas penalizaciones correspondientes conforme a los acuer-dos de nivel de servicio (ANS) establecidos y analizaríamossi estas penalizaciones y ANS son adecuados o podrían en-durecerse en futuras contrataciones. Adicionalmente consi-deraríamos si el seguimiento de los servicios es adecuado,si se emplea para la evaluación de los proveedores estraté-gicos y si el resultado de estas evaluaciones es tenido encuenta para la renegociación de los contratos.

Pero… ¿esto es realista? Existen ciertas limitaciones quepodrían dificultar la materialización de este tipo de proyec-tos o la modificación parcial del enfoque que estamos plan-teando.

• No nos podemos permitir apuntar en la dirección equivo-cada, hacia revisiones tradicionales de procesos en losque no hay mucho margen de mejora. Debemos asegu-rarnos de que los proyectos que queremos acometer sonrealmente aquellos en los que podemos tener un mayorpotencial de ahorro o mejora operativa. Tendremos querevisar, y ser muy críticos con nuestro plan de auditoría

SESIÓN PARALELA

5.1

Diego Rodriguez Roldán, CISM, CGEI, CRISCSOCIO DE AUDITORIA INTERNA, RIESGOS Y CUMPLIMIENTO. KPMG

Patricia Méndez, CIASENIOR MANAGER DE AUDITORIA INTERNA, RIESGOS Y CUMPLIMIENTO DE KPMG

El entorno económico actual, el crecimiento de los requisitos regulatorios, la

internacionalización de las operaciones o la necesidad de diversificación de la

oferta son, hoy en día, algunas de las grandes oportunidades y de los grandes

riesgos de las organizaciones. En este entorno, surge la preocupación

generalizada de cómo mejorar las operaciones para generar más valor.

Una manera de generar valor es ganar en eficiencia.

29


interna; mirarlo con los ojos de nuestros principales“clientes”, el Comité de Auditoria y de la Dirección, te-niendo en consideración la estrategia establecida porellos. Debemos enfocarnos hacia la realización de pro-yectos que, en nuestra organización, verdaderamenteaprovechen la oportunidad de mejorar los procesos o deahorrar costes, y que nos permitan mejorar nuestra ima-gen y afianzar el posicionamiento de la organización.

• Debemos analizar si contamos con las habilidades nece-sarias:

- Nivel: El equipo debe ser capaz de interactuar ‘pun-tualmente’ con los profesionales de la compañía a to-dos los niveles. Dirección, Administración, Producción,Etcétera. Además debe ser capaz de realizar entrevis-tas con estos profesionales y revisar documentación entodos los idiomas, y desde las diferentes culturas, enlos que opera la compañía.

- Especialización: El equipo debe tener la especializaciónnecesaria para entender y evaluar ‘puntualmente’ to-das las áreas clave de la compañía. Finanzas, CostesTecnología, Legal, Regulación, Fiscal, ..etcétera.

- Tamaño: El equipo debe ser capaz de abarcar ‘puntual-mente’ todas las áreas y geografías clave de la compa-ñía.

- Actualización y Adaptación al Cambio: El equipo debeestar ‘puntualmente’ al día sobre las nuevas regulacio-nes, estrategia, y procesos de la compañía.

Si no se cuenta con las habilidades necesarias el retosurge sobre cómo conseguirlos y al evaluar las distintasfórmulas de “sourcing”.

El “internal sourcing”, emplear recursos de las áreas denegocio de la compañía para ejecutar determinados tra-bajos que requieren especialización nos garantiza el co-nocimiento del negocio y de la cultura de la organiza-ción, pero en ocasiones podría limitar nuestra indepen-dencia.

El “outsourcing” completo de determinados proyectos,garantiza la independencia y nos aporta la especializa-ción necesaria, pero puede salirse de nuestros presu-puestos y perdemos el conocimiento de la cultura de laorganización que tendrían los recursos internos, además,podría decirse que perdemos el control directo sobre eltrabajo y los resultados.

El “co-sourcing” nos permite mantener el control sobreel trabajo y el empleo de equipos mixtos, con recursosinternos y externos nos permite contar con la especializa-ción requerida sin perder el conocimiento del negocio yla cultura de la organización. Por otro lado, también pue-de resultar costoso y puede requerir un esfuerzo de“venta interna” para justificar la utilidad de cada proyec-to y conseguir presupuesto.

Por último, el “Skillsourcing”, es una fórmula de co-sour-cing más flexible y de menor coste, que puede permitir acontar con el recurso ideal para cada ocasión, sin necesi-dad de realizar un esfuerzo de venta interna para cadauno de los proyectos especiales que se quieran realizar.

• Para conseguir que la comisión de auditoría apruebe unproyecto específico es necesario contar con argumentosconvincentes, el hablar de generar eficiencia puede serpor sí mismo un buen reclamo, pero en ocasiones las co-misiones pueden requerir pruebas tangibles y estimacio-nes realistas de ahorros. Para ello puede optarse por rea-lizar proyectos piloto de pequeño presupuesto que ayu-den a la auditoria interna a contar con argumentos sóli-dos frente a la comisión.

• Una mala percepción de la auditoria interna por la expe-riencia pasada de los clientes auditados, podría influirnegativamente en la decisión de la organización sobre siconfiarnos o no la realización de proyectos de eficiencia.

• Un mal posicionamiento de Auditoria Interna o una pobrerelación con el Comité no propiciará el encargo de revi-siones de eficiencia a la Auditoria Interna en estos casosla organización tenderá a pensar en cómo hacerlo consus propios medios, o buscará consultorías que apoyendirectamente a las áreas de negocio afectadas.

En resumen, debemos revisar nuestro Plan de auditoría, pa-ra enfocarnos hacia proyectos que aporten valor generandoeficiencia, debemos hacer lo que le interesa a nuestros“clientes”. Debemos abordar estos proyectos al menor cos-te y con la mejor calidad, contando con los mejores recur-sos disponibles. Debemos también trabajar sobre la maneraen que comunicamos los resultados obtenidos para mejo-rar nuestro posicionamiento en la organización.

Lo que posicionaespecialmente a lafunción de auditoríainterna para generareficiencia es su independencia y suvisión global delnegocio. Resumen de los ponentes

30


La función de Auditoría Interna y los Programas de Integridad Corporativa en Gas Natural Fenosa

La formulación de estas políticas y planes por parte del pri-mer Órgano de Gobierno de la Compañía no es gratuita nifacial, sino que responde a la importancia que se le da ennuestra Compañía a la aplicación de la Ética en los negociosy en nuestra interacción diaria con nuestros grupos de inte-rés.

Existe una máxima irrefutable en la gestión empresarialque dice que todo lo que es importante debe medirse, parapoderlo después gestionar, controlar, supervisar y cambiarsi fuera necesario. En Gas Natural Fenosa se han estableci-do los Programas de Integridad Corporativa con el objetivode medir, gestionar y asegurar el cumplimiento del compro-miso de ÉTICA e INTEGRIDAD, compromiso importante queestá en la propia estrategia de la Compañía.

En una reflexión previa de cómo puede medirse el compor-tamiento ético de las organizaciones, hay que incidir que alser la ética un intangible es muy difícil poderla cuantificaren función de su aportación anual a los resultados o al pa-trimonio de las compañías, por lo que hay que ir haciaotras formas de medición, como pueden ser los Índices deResponsabilidad Social (Dow Jones Sustanabiliy Index, o elFtse4good, p.e.) o las propias memorias de ResponsabilidadCorporativa elaboradas en base a Norma GRI con indicado-res sociales, medioambientales y de gobierno corporativocomunes a todas las empresas y algunos sectores, que per-miten la comparación homogénea entre organizaciones.

Otras formas de medición podrían ser las sanciones por co-rrupción derivadas de la normativa legal internacional (cadavez más dura como son los casos del Foreign CorruptPractices Act, en USA o el Brivery Act en Reino Unido) o dela propia legislación nacional a raíz de la entrada en vigorde la Reforma del nuevo Código Penal en España. Ademáshay que considerar la demanda cada vez mayor de la so-ciedad y de los diferentes grupos de interés exigiendo quelas organizaciones compatibilicen la rentabilidad de los ne-gocios con la ética empresarial, siendo ya muchos los inver-sores que a la hora de decidir sus carteras tienen cada vezmás en cuenta la responsabilidad social y la calidad delmanagment de las empresas, utilizando para ello los indica-dores de medición comentados anteriormente.

Los principales Programas de Integridad Corporativa en GasNatural Fenosa son:

• Modelo de Prevención de Delitos

• Políticas anti-fraude y anti-corrupción.

• Políticas de Derechos Humanos.

• Modelo de Gestión del Código Ético

El Modelo de Prevención de Delitos (implantado como con-secuencia de la entrada en vigor de la nueva Reforma delCódigo Penal en España) y las Políticas anti fraude y corrup-ción, están basados en el modelo de control interno defini-do por el Committee of Sponsoring Organizations of the

SESIÓN PARALELA

5.2

Carlos AyusoDIRECTOR DE AUDITORÍA INTERNA. GAS NATURAL FENOSA

En Gas Natural Fenosa el compromiso con la ÉTICA e INTEGRIDAD está presente

en la declaración de Misión, Visión y Valores, los Planes Estratégicos y la

Política de Responsabilidad Corporativa del Grupo, todos ellos formulados o

aprobados por su Consejo de Administración.

31


Treadway Commission (COSO), siendo el máximo responsa-ble de su supervisión la Comisión de Auditoría y Control.Para ello, la Comisión dispone de la función de auditoría in-terna, que realiza una supervisión alineada con las mejoresprácticas de gobierno corporativo y basada principalmenteen el análisis del diseño de los modelos y en la evaluaciónde los riesgos y controles, y de la supervisión externa reali-zada por experto independiente. En ambos modelos, losresponsables de los controles certifican anualmente el fun-cionamiento razonable de los mismos.

La Política de Derechos Humanos se ha formulado para darrespuesta a los compromisos de “INTERÉS POR LAS PERSO-NAS” y “ÉTICA e INTEGRIDAD” que aparecen en nuestraPolítica de Responsabilidad Corporativa. En concreto se hanestablecido 10 compromisos con los derechos humanos,“medidos” a través de indicadores con objetivos anualesque son seguidos por el Área de Recursos Humanos y elComité de Reputación Corporativa, con reporte a la AltaDirección de la Compañía. En este caso, la función de audi-toria interna supervisa la fiabilidad de la información sopor-te de los citados indicadores, que forman parte a su vez delos indicadores GRI de nuestro Informe de ResponsabilidadCorporativa, supervisado también en su totalidad por exper-to independiente.

La función de auditoría interna en Gas Natural Fenosa liderael Modelo de gestión del Código Ético, lo cual supone anuestro entender un hecho diferenciador y novedoso res-pecto otras organizaciones.

El Modelo tiene los siguientes componentes:

• Código Ético: Formulado por el Consejo de Administraciónen el que se establecen las pautas de comportamientoque deben regir el desempeño profesional de todos losempleados del Grupo, incluido Presidente, Consejero De -le gado y Alta Dirección.

• Comisión del Código Ético: Responsable de la divulgacióny de velar por el cumplimiento del Código. Para ello ges-tiona y supervisa los sistemas de salvaguarda del Códigoque se describen a continuación. Esta Comisión está pre-sidida y dirigida por el Director de Auditoría Interna conel objeto de asegurar su objetividad e independencia.Ello es posible en Gas Natural Fenosa, ya que la funciónde Auditoría Interna tiene dependencia y reporte aPresidente, Consejero Delegado y Comisión de Auditoríay Control.

Con las únicas funciones de divulgación se han constituidoComisiones locales en aquellos países con un volumen deactividad y empleados significativos.

La Comisión del Código Ético reporta sus actividades a laComisión de Auditoría y Control que es la máxima respon-sable de la supervisión del compromiso “ÉTICA e INTEGRI-DAD”. Para ello se han definido una serie de indicadoresque “miden” la actividad de la Comisión así como el cum-plimiento del citado compromiso. Dichos indicadores estánalienados con los establecidos en el Informe de Responsa -bilidad Corporativa bajo la Norma GRI, que como se ha co-mentado con anterioridad está supervisado en su totalidadpor experto independiente.

• Sistemas de salvaguarda:

• Canal de denuncias: Canal a través del cual, empleados yproveedores pueden realizar consultas o notificar incum-plimientos del Código, de buena fe, de forma confiden-cial y sin temor a represalias. Para asegurar la confiden-cialidad, el canal tiene medidas de seguridad adecuadasy el único receptor de las comunicaciones en primera ins-tancia es el Presidente de la Comisión del Código Ético. Elcanal es único para todos los países en los que laCompañía desarrolla sus negocios.

• Procedimiento de declaración anual por parte de todoslos empleados del Grupo, conforme han leído, compren-den y cumplen el Código Ético.

• Curso on-line sobre el Código Ético de obligado cumpli-miento para todos los empleados, en el que se estable-cen casos prácticos vinculados con nuestra actividad.

Como conclusión podemos decir que si la Ética es importan-te en vuestras compañías, ésta debería forma parte de laestrategia, debería ser un compromiso formal del primerÓrgano de Gobierno de la Compañía, y como todo lo impor-tante debería medirse, para luego poderlo gestionar, con-trolar y supervisar. Si a lo anterior añadimos las demandascada vez mayores de los diferentes grupos de interés paraque las organizaciones compatibilicen la rentabilidad con laética empresarial y que el riesgo de comportamientos noéticos se incrementa en momentos como los actuales, mar-cados por la crisis económica, una mayor competencia ymás exigencia en el cumplimiento de objetivos, se puedeconcluir que las funciones de auditoría interna debemosestar muy atentas e incluir en nuestros planes de auditoríala revisión del comportamiento ético en sus organizaciones,y que al ser la ética un intangible de medición compleja,deberemos aplicar procedimientos de auditoria o supervi-sión creativos o alternativos a los tradicionales, como es elcaso de Gas Natural Fenosa, que vayan más allá de la ges-tión de un canal de denuncias y de la evaluación del riesgode fraude.

Resumen del ponente

32

AuditoríaInterna

deja volar tus ideas

El miércoles 21 de Noviembre tuvo lugar laFiesta del Auditor Interno en una emblemá-tica sala madrileña “El cielo de PachaMadrid”.

Después del cóctel, los asistentes disfruta-ron bailando al ritmo de la mejor músicadel momento.

33

Especial 17 Jornadas de Auditoría Interna

34


Perspectivas macroeconómicas en el entorno actual La globalización es una gran oportunidad y la única salida

de la crisis que tiene la economía española es a través de

la exportación. Dado el alto nivel de sobreendeudamiento

que tenemos las empresas, las familias y el sector público

en España, lo que no podemos es endeudarnos más. El cre-

cimiento del PIB se tiene que producir a través de la expor-

tación –afortunadamente ya está ocurriendo– y no a través

de un crecimiento intenso del consumo y la inversión.

La globalización es una oportunidad: hay nuevos clientes y

nuevos productos. Sobre todo teniendo en cuenta que se

está produciendo un gran cambio de modelo en el creci-

miento chino que también empieza aplicarse en el indio.

Ambos países se están desarrollando y, por tanto, consu-

men más. ¿Qué es lo que importan? Los bienes y servicios

de mayor valor que proceden de Estados Unidos, Japón,

Alemania, Francia… y ahí es donde España tiene que ir pe-

netrando cada vez con más intensidad.

La globalización es consecuencia de las Tecnologías de In for -

mación y Comunicación, que representan una revolución

económica y fundamental, que no sólo ha permitido globali-

zar el mercado de bienes, sino que también se pueden

prestar servicios a miles de kilómetros de distancia en tiem-

po real, lo que permite una mejora enorme de eficiencia.

En un entorno globalizado es necesario ser competititvo. Si

hubiéramos respondido a la globalización adecuadamente,

no estaríamos pasando por la crisis actual. Los grandes fa-

llos que nos han llevado a esta situación son:

· Fallos de mercado. Ha fallado la información que no ha

sido ni transparente ni simétrica.

· Fallo en los Bancos Centrales que han aplicado políticas

monetarias muy expansivas. Los tipos de interés nunca

deben ser negativos en términos reales y menos que es-

ta situación se mantenga en el tiempo porque genera in-

centivos perversos al sobreendeudamiento. Además, ha

habido problemas de supervisión bancaria.

· Fallo de la razón o el sentido común. No es consistente

ningún modelo que se base en la revalorización de los

activos.

Por tanto, la crisis no se debe a la globalización. A corto

plazo se pueden ver oportunidades a nivel mundial, la eco-

nomía va a seguir creciendo, según el FMI, pero con una

cierta desaceleración.

El primer objetivo de las empresas españolas es pensar ca-

da vez más en los mercados asiáticos e iberoamericanos.

El problema fundamental está en Europa, que se está las-

trando en su competitividad, no está llevando a cabo políti-

cas para ser más competitiva en un mundo global, ha ac-

tuado de una manera neonacionalista y no ha respondido

correctamente a la crisis.

En el caso de España, es necesario recortar el gasto público;

ser más competitivos; realizar una reforma financiera que

agilice el crédito; restaurar la unidad de mercado; adecuar

las infraestructuras a nuestras necesidades; mejorar nuestra

innovación; adecuar la formación al mercado laboral y tener

cuidado con el valor inmobiliario.

En definitiva, el perfil de crecimiento español a corto plazo

es que en verano de 2013, la economía española dejará de

caer en términos intertrimestrales y en ese momento se

puede empezar a generar, si se ha producido el ajuste del

sector público de empleo antes, algo de crecimiento de em-

pleo vinculado al turismo. En ese punto se vería un creci-

miento moderado de la economía española.

SESIÓN GENERAL 3

Juan IranzoDECANO. COLEGIO DE ECONOMISTAS DE MADRIDVICEPRESIDENTE. INSTITUTO DE ESTUDIOS ECONÓMICOS


36


El liderazgo del auditor interno

Sin embargo, no es frecuente encontrar espacios que traten

acerca de la formación y características que requiere el per-

fil humano y personal de un auditor interno adaptado a un

entorno global. Esta circunstancia seguramente no es fruto

del desconocimiento ni de la desconsideración, sino que, es

un aspecto que se da por supuesto como base de las cues-

tiones técnicas.

Si nos detenemos a pensar en el perfil humano que requie-

re un auditor interno, rápidamente vendrán a nuestra men-

te los valores que son propios de la profesión. Es fácil que,

en un momento u otro, consideremos el concepto de lide-

razgo. El liderazgo es un concepto basado en valores, ase-

veración que, en el caso de un auditor interno, es especial-

mente evidente.

Si repasamos el concepto de liderazgo, concluiremos sin di-

ficultad que, para dirigir con éxito una organización, los co-

nocimientos técnicos de sus responsables pueden ser nece-

sarios pero, en ningún caso, son suficientes. Por eso no es

difícil encontrar en la historia empresarial múltiples ejem-

plos en los que el liderazgo efectivo –o su ausencia- ha si-

do la clave determinante del éxito -o fracaso- de negocios

de todo tipo y tamaños.

En el caso de la auditoría interna no es distinto. Las unida-

des de auditoría interna deben ser un referente en las or-

ganizaciones, algo que será absolutamente imposible sin elejercicio de un liderazgo adecuado.

En general, la verdadera medida del líder de una organiza-ción viene dada por la capacidad de influir positivamenteen los demás, hasta el punto que las posibilidades de éxitoy la eficiencia, de personas y organizaciones, vienen deter-minados por la capacidad de liderazgo, que no convieneconfundir con el concepto gerencial, pues el liderazgo no lodan ni la posición ni el poder.

Al hablar de liderazgo estamos hablando de verbos comoinspirar, delegar, motivar, transmitir, respetar, escuchar, co-municar, observar; estamos tratando conceptos como con-fianza, ejemplaridad, trabajo en equipo, formación, espíritude servicio, visión, autoconocimiento, propósito de vida, va-lores, barreras, estrategias.

Todos esos verbos y conceptos están presentes en un líderde auditoría interna. Desde un punto de vista personal, va-lores como la humildad, la prudencia o la discreción son in-herentes al líder generador de confianza.

La confianza es la esperanza positiva de que otra personano se comportará de forma oportunista. Una comunicaciónefectiva puede sembrar una relación de confianza que con-venza al auditado del valor y la ayuda que el auditor apor-tará a su gestión. El auditor habrá conseguido el respeto asu persona y a su función.

SESIÓN PARALELA

6.1

Juan Díaz CarmonaDIRECTOR DE AUDITORÍA INTERNA. TELEFÓNICA PERÚ

Cuando asistimos a congresos que abordan las distintas disciplinas de la AuditoríaInterna, es frecuente asistir a presentaciones sobre aspectos técnicos, presenciarponencias sobre desarrollos o herramientas que contribuyen a mejorar la eficienciaen la utilización de los recursos para mejorar las metodologías y resultados delejercicio de una auditoría interna moderna; todo ello en foros que comparten sumejor conocimiento en búsqueda de compartir las mejores prácticas de la profesión.

37


En un enfoque profesional o social, no habría liderazgo en

ausencia de una comunicación efectiva que facilite la con-

fianza necesaria para sembrar el respeto a la función y a

las personas, básico para conseguir la colaboración de toda

la organización, elemento motor de la agilidad como factor

innovador de una auditoría moderna y multicultural.

Es interesante comparar, con una sencilla consulta en inter-

net, la imagen que se tiene de un auditor interno con la vi-

sión del líder de auditoría interna que aquí se defiende.

La visión del líder de auditoría interna que aquí se presenta

es la de una gran persona, con espíritu de servicio y consi-

derado con los demás, con su cultura y con su labor; un re-

ferente en la organización, posición que se consigue a tra-

vés del respeto, del ejemplo, del conocimiento, del rigor y

de la experiencia; un observador, con gran capacidad de es-

cucha; un profesional con vocación y con pasión; un comu-

nicador, empático, generador y merecedor de confianza,

multicultural, con capacidad de adaptación a los distintos

ámbitos organizacionales y culturales; un colaborador con

su equipo y con sus pares y, al tiempo, inspirador de cola-

boración interna y externa; un legítimo transmisor de valo-

res, mentor y formador de sólidos e íntegros equipos de

trabajo; un profesional ágil y dinámico, para poder respon-

der a la velocidad de los cambios de la tecnología y de los

mercados; un innovador, generador de nuevos conceptos y

procedimientos de auditoría, que se adapten a las necesi-

dades de una realidad tan cambiante, impulsor de nuevos

modelos de auditoría preventiva; un garante de controles

internos eficientes que catalicen los procesos. En definitiva,

un generador de valor para las personas y para las organi-

zaciones.

Alcanzar esta visión de la auditoría interna no es fácil, y no

está exenta de barreras que dificultan su materialización.

Entre las principales barreras, están las relacionadas con lasconsecuencias de la burocracia innecesaria o los controlesineficientes en los procesos de las empresas.

La resistencia al cambio es otra de las principales barreras,en personas y organizaciones, que impide la adaptación,auna velocidad adecuada, al entorno y a las circunstancias.

Un líder de auditoría interna se relaciona constantementecon el resto de la organización, con sus clientes, con lascorporaciones, con comités de auditoría, con la alta direc-ción de las empresas, con el auditor externo, con su equipode trabajo…, la falta de cooperación será una barrera queimpedirá el éxito y conducirá a la deriva.

Cuando las personas y, por ende, las organizaciones confun-den conceptos como la gerencia y el liderazgo, constituyenuna importante barrera que desaprovecha el talento exis-tente generando jefes que no son líderes.

Los gerentes ejercen la autoridad derivada del poder queles confiere su rango en la organización. El poder de los lí-deres deriva de la legitimidad que se les reconoce, de sucapacidad para ver más allá que los demás y de sus posibi-lidades de influir positivamente en las personas y en las or-ganizaciones.

Cuando una organización no tiene un liderazgo adecuado,pondrá al frente de un equipo al que posiblemente sea unbuen técnico sin dotes de líder; de esta forma perderá a unbuen profesional y nombrará a un mal jefe.

Desde un punto de vista personal, la arrogancia, la prepo-tencia y la soberbia son las principales barreras que impi-den alcanzar la visión descrita de un verdadero líder de au-ditoría interna.

Otra barrera es la falta de equilibrio en las personas, entresu estado físico, familiar, laboral, afectivo y espiritual. Lafalta de este balance agota las posibilidades y el potencialde los recursos humanos de una empresa.

La realidad se transforma a una velocidad de vértigo.Laadaptación exige el cambio.No hay cambio sin innovación.No hay innovación sin colaboración y, cuando todos colabo-ran, todos forman parte de Auditoría Interna.

Resumen del ponente

Las posibilidadesde éxito y la eficiencia, depersonas y organizaciones,vienen determinados porla capacidad de liderazgo.

Una comunicación efectiva puede sembrar unarelación de confianza que convenza al auditadodel valor y la ayuda que el auditor aportará a sugestión.

38


El papel de la auditoría interna en losprocesos de integración de las entidadesfinancieras. La experiencia de Banco SabadellIntroducción

Banco Sabadell tiene una clara metodología de integraciónelaborada como resultado de los diferentes procesos de in-tegración de entidades financieras que se han realizado du-rante los últimos años, y que plantea la conveniencia deestructurar adecuadamente el proceso de integración, me-diante la involucración de los distintos órganos de gobiernoy participantes destacando principalmente:

- El Comité de Integración, compuesto por las principalesDirecciones Generales del Banco. Realiza la coordinacióny ejecución unificada del programa de integración, vali-dación de objetivos y recursos, aprobación de iniciativasa desarrollar, reporte y propuestas a la Comisión Ejecutivadel Banco.

- La Oficina Técnica de Integraciones y Fusiones (OTIF),formada por un equipo mixto de profesionales de ambasentidades (especializados en procesos de transformacióny proyectos de integración tecnológica y operativa). Rea -liza tareas de coordinación y seguimiento.

La Dirección de Auditoría Interna, por su parte, tiene laresponsabilidad de supervisar la razonabilidad en la asun-ción de riesgos durante todo el proceso y efectuar assu-rance sobre el sistema de control del proyecto y su ade-cuada ejecución.

Auditoría Interna en un proyecto de integración

Para abordar con éxito la auditoría de un proceso de inte-gración hay que realizar en primer lugar un buen análisisde riesgos del proyecto.

Los principales factores a considerar durante el análisis pre-liminar de riesgos que soportará el Plan de Auditoría sonlos que se derivan de:

• Condicionantes estratégicos del negocio con impacto enla estrategia de integración de sistemas: políticas demarcas, productos, filiales, operativas, fusión/cierre deoficinas, etc.

• Recursos Humanos: convivencia de los procesos de rees-tructuración con el proceso de integración, diferencias demetodologías de trabajo y cultura de empresa.

• Diferencias en las metodologías, equipos e infraestructu-ras logísticas y operativas.

• Movimientos significativos de migración y transformaciónde datos.

• Entorno de presión por el cumplimiento de los plazos definalización del proyecto.

El siguiente paso consiste en definir con claridad el alcancey enfoque del proyecto de auditoría, mediante la combina-ción de dos enfoques complementarios:

1. Revisión del sistema de Control Interno del proyecto

Este enfoque implica la revisión de los siguientes aparta-dos:

• Requerimientos funcionales. Revisión del proceso deanálisis por comparación realizado por los diferentes res-ponsables funcionales entre las entidades que se van aintegrar (Entidades Objetivo), de procesos y aplicacionesde similar naturaleza con el objetivo de identificar y ana-lizar las diferencias funcionales entre el catálogo de pro-ductos y servicios de las Entidades a integrar.

SESIÓN PARALELA

6.2

Nuria LázaroDIRECTORA DE AUDITORÍA INTERNA. BANCO SABADELL

39


En esta fase el objetivo de auditoría es determinar si sehan considerado adecuadamente todos los impactos co-merciales, operativos, técnicos y organizativos, así comola suficiencia de las alternativas propuestas para cubrirestas diferencias funcionales.

• Procesos de migración, contabilidad y cuadre. Asegurarque el diseño de los procesos de migración garantiza queno se pierden ni alteran datos operativos ni contablesmediante la verificación de la suficiencia de los cuadresde migración.

• Plan de aceptación. El proceso de aceptación es crítico yconsiste en la definición y ejecución del plan de pruebasque debe garantizar que los desarrollos realizados tienenla calidad suficiente para que sean implantados con éxito.

La Auditoría Interna en este apartado debe valorar lacompletitud y formalización de los planes de pruebaelaborados por los usuarios para validar el correcto fun-cionamiento de las aplicaciones: · Existencia de un plan de pruebas con fechas, objetivos

y resultados esperados. · Calidad, completitud y grado de formalización del plan

de pruebas. · Resultados de las pruebas tras su ejecución. · Correcto registro y categorización de las incidencias de-

tectadas. · Plan de acción establecido para su subsanación.

• Plataformas tecnológicas. En este punto es necesario uti-lizar procedimientos de auditoría informática que permi-tan validar, entre otros, los siguientes aspectos: · La escalabilidad de las plataformas y de las conexiones

y comunicaciones para asegurar que soportan el tráficoestimado.

· Las políticas de acceso a datos. · La existencia de entornos de pruebas suficientemente

dimensionados, replicando el entorno real. · Medidas de seguridad en el tratamiento y envío de la

información a migrar. · Los niveles de autorización y documentación asociados

a la gestión de cambios. · La existencia de entornos de contingencia para cubrir

posibles eventualidades durante el proceso de migra-ción.

• Planes de Comunicación y Formación. Revisar que se rea-liza correctamente la comunicación del proceso a emple-ados y clientes de las entidades y se proporciona la for-mación necesaria sobre productos y aplicaciones.

En este apartado resulta especialmente relevante asegu-rar que se realiza un adecuado proceso de gestión delcambio durante todo el proceso. Las integraciones son

procesos complejos debido a las diferencias culturales yde metodología de trabajo. Para realizar una buena inte-gración es fundamental asegurar la cohesión del equipoy la integración cultural.

Aquí la auditoría puede jugar un papel relevante comoagente dinamizador del cambio, constituyendo un vehí-culo transmisor de la cultura de control del Banco a lolargo del proceso de integración.

2. Ejecución de validaciones independientes

La revisión del sistema de control del proyecto se comple-menta con otro tipo de validaciones de auditoría basadasen el tratamiento masivo de datos que proporciona seguri-dad a la dirección del proyecto acerca de que los riesgosmás significativos del mismo están adecuadamente contro-lados.

Adicionalmente, este tipo de validaciones contribuyen deforma decisiva a cubrir otros riesgos residuales derivadosde la identificación de potenciales errores en la migraciónde datos que no han sido identificados durante las pruebasde cuadre, al tratarse en su mayoría de datos extra-conta-bles (fechas de alta/renovación de productos, tipo de tribu-tación, límites de tarjetas, idioma cuentas, etc.) pero que,de no detectarse a tiempo, podrían comportar riesgos repu-tacionales/legales para la entidad.

Conclusiones

Resumidamente las principales claves para abordar con éxi-to una auditoría de un proyecto de integración serían las si-guientes:

• Enfoque a los riesgos relevantes del proyecto de inte-gración.

• Combinación de diversas técnicas de auditoría que per-mitan asegurar el adecuado control de los riesgos delproyecto.

• Definición del ámbito temporal de la auditoría que debecoincidir con el propio del proceso de la integración, des-de su diseño hasta las etapas posteriores al día de la in-tegración.

• Juego de Equipo: equipo multidisciplinar de auditoría conrecursos de las dos entidades para asegurar la bondad detodo el proceso (origen-destino).

• Auditoría como agente dinamizador del cambio constitu-yendo un vehículo transmisor de la cultura de control delBanco a lo largo del proceso de integración.

Resumen de la ponente

40


El Comité de Auditoría: una relación clave parala función de Auditoría Interna

La agenda actual de temas de los Comités de Auditoría in-cluye multitud de asuntos en los encontramos, como puntoen común, la necesidad de dar la mayor confianza, a efec-tos internos y externos, a la información generada por lascompañías. El Comité de Auditoría tiene un papel funda-mental en la existencia de Sistemas adecuados de ControlInterno y Gestión de Riesgos.

El Mapa de las principales relaciones del Comité de Audi to -ría, de forma resumida, es el siguiente:

de tipo financiero, operativo, de cumplimiento y estratégi-cos).

Las responsabilidades del Comité de Auditoria han ido am-pliándose y actualmente incluyen, de forma general, las si-guientes:• Supervisar la elaboración e integridad de la información

financiera, requisitos normativos, perímetro de consolida-ción y principios contables.

• Revisar periódicamente los sistemas de control interno ygestión de riesgos.

• Velar por independencia y eficacia de auditoría interna.• Establecer y supervisar un canal de comunicación de irre-

gularidades, especialmente financieras y contables.• Propuestas de selección, nombramiento, contratación y

sustitución del auditor externo. Recibir del auditor externoinformación sobre el plan de auditoría y sus resultados.Verificar que la Dirección considera sus recomendaciones

• Asegurar la independencia del auditor externo.• Favorecer la integración de la auditoría externa en los

Grupos.

Los Comités de Auditoría se apoyan en las funciones de Au -di toría Interna. Auditoría Interna ha encontrado en esta si-tuación una oportunidad para elevar su papel dentro de lasorganizaciones y actuar, de forma efectiva, reportando di-rectamente a los consejeros de los Comités de Auditoría.

Entender las diferentes funciones del Comité de Auditoría ybuenas prácticas en cada una de esas funciones es una

SESIÓN PARALELA

7.1

José Díaz MoralesSOCIO DE AUDITORIA INTERNA, GESTIÓN DE RIESGOS Y GOBIERNOCORPORATIVO. ERNST & YOUNG.

Comité de Auditoría

Consejo

Direcciones Ejecutivas

Auditoría Interna Auditoría Externa

El Comité de Auditoría ha sufrido una gran transformación en los últimos años.

Esta situación se ha producido dentro de los cambios experimentados en las

prácticas de Gobierno Corporativo que, en muchos casos, han derivado en la

asignación de nuevas tareas y responsabilidades a este Comité.

El Comité de Auditoría, como órgano de apoyo del Consejo,informa al mismo de los resultados de sus actividades. Paraello recurre a las Direcciones de las áreas analizadas y seapoya en la Auditoría Externa (para obtener confianza en lacalidad de la información financiera) y la Auditoría Interna(para supervisar los sistemas de control interno y gestiónde riesgos en un sentido amplio, incluyendo los objetivos

41


obligación para los auditores internos. El Comité de Audi -toría es el “cliente final” de Auditoría Interna. Su trabajo sedesarrolla con las diferentes direcciones ejecutivas de la or-ganización frente a las que debe mantener su independen-cia pero, del mismo modo, aportarles cada vez mayor valorañadido y recomendaciones. Mantener ese equilibrio es laclave para una función de auditoría interna efectiva.

Apoyándonos en las reflexiones de los miembros de Comi -tés de Auditoría líderes en Europa y Norteamérica (a travésde la red de miembros de Comités de Auditoría con los quecolaboramos desde Ernst & Young con Tapestry) hemos pre-sentado, de forma breve, algunas buenas prácticas a consi-derar en sus áreas de actuación:

Composición y Funcionamiento: Equilibrado: independencia,experiencia y conocimientos / Agendas preparadas y condocumentación previa / Rotación periódica de sus miem-bros / Límites al número de Consejos o Comités.

Supervisión de Riesgos: Entender la Evaluación de Riesgos,las políticas y procedimientos aplicables / Capacidad paraidentificar nuevos riesgos / Supervisar la información en-viada al mercado / Reunirse periódicamente con los res-ponsables de los riesgos clave / Entender y seguir los ries-gos emergentes.

Supervisión de la Información Financiera: Asegurar que lainformación financiera es transparente, fiable y comprensi-ble / Entender los temas complejos de regulación, repor-ting y principios contables / Evaluar los principios aplicadosy las alternativas existentes / Apoyarse en Auditoría Exter -na e Interna.

Supervisión de los Controles Internos: Entender la valora-ción de los auditores externos / Entender y orientar el pa-pel de Auditoría Interna en esta área / Entender aspectoscomplejos como los Impuestos Corporativos / Dar ejemplodesde la Alta Dirección / Entender asignación de autoridady responsabilidades / Reunirse periódicamente con el Di -rec tor de Auditoría.

Relaciones con el Auditor Externo: Dirigir la relación / Reu -niones periódicas con el auditor y sus especialistas / Segui -miento de la independencia / Entender ajustes propuestos/ Comunicación continua.

Relaciones con la Dirección Ejecutiva: Énfasis en Control,Cul tura, Ética y Seguimiento de los Canales de Denuncia /Co municación periódica / Entender criterios de objetivos yplanes de sucesión / Valorar y cuestionar la información re-cibida.

Relaciones con otros comités: Entender bien los esquemasretributivos y su efecto sobre las actuaciones de los directi-vos.

Reuniones ejecutivas: Mayor frecuencia / Intercalar reunio-nes con directivos de unas y otras funciones (conjuntas opor separado) / Agenda previa y seguimiento de temasabiertos.

Auto-evaluación / Evaluaciones: Herramienta de ayuda sise hace con rigor: valorar hacerla de forma conjunta o paracada uno de los miembros / Comentar los resultados y elPlan de Acción con el Consejo.

Formación y Orientación: Incluir los aspectos de GobiernoCorporativo / Contar con los Directivos y con los AuditoresIn ternos y Externos / Programas específicos y adaptados.

Relaciones con los Auditores Internos: Evaluar la dependen-cia formal y efectiva de Auditoría Interna / Participar yapro bar la evaluación de riesgos y el plan anual de audito-ría / Evaluar periódicamente la competencia y efectividadde la Función / Entender los planes de sucesión del área /Entender la valoración de los directivos y del auditor exter-no / Entender cómo se relaciona Auditoría Interna con otrasfunciones de Control de Riesgos como Legal, Seguridad,Cumplimiento, etc.

El modelo de relación del Comité de Auditoría y Auditoría Interna

Las múltiples exigencias y responsabilidades del Comité deAuditoría hacen necesario el apoyo de Funciones de Audi -toría Interna eficientes. Auditoría Interna se enfrenta a unnivel elevado de expectativas al que si responde de formaefectiva llevará asociado un mayor nivel de reconocimiento.

Auditoría Interna debe identificar, anticipar y ayudar al Co -mité en las responsabilidades que se incluyen en su alcan-ce: actividades de Regulación, Control Interno (en sentidoamplio), Gestión de Riesgos, Gobierno Corporativo, etc.

La relación debe ser clara y transparente. Auditoría Internadebe mantener su independencia frente a la Dirección perosin perder su capacidad de dar recomendaciones de valor alnegocio.

Auditoría Interna está trabajando de forma intensa y con re-sultados satisfactorios en este sentido. Para Auditoría Inter -na “conocer bien a su cliente” pasa por entender muy biencómo funciona el Comité de Auditoría y por ganarse su res-peto y confianza, al igual que el de todas las direccionesauditadas. Un reto, una oportunidad.

Resumen del ponente

42


Internacionalización de la función de auditoríainterna. La experiencia de EDP

La estrategia de crecimiento externo del Grupo EDP en losúltimos años y la visión que desde los Órganos de Gobiernoy lo más alto de la línea ejecutiva se tiene de la actividadde Auditoría Interna, eran las piezas básicas necesarias parallevar a cabo un proceso de modernización global de la fun-ción de Auditoría Interna cuyo reto era pasar de una visiónlocal a una cobertura internacional.

Consolidación del Grupo EDP como MultinacionalEDP fue creada en 1976, mediante la fusión de 13 empre-sas del sector eléctrico en Portugal. Como empresa estatal,estaba encargada de la electrificación de todo Portugal, lamodernización y ampliación de las redes de distribucióneléctrica y la planificación y construcción del parque pro-ductor eléctrico nacional.

Del conjunto de empresas nacionalizadas, apenas las gran-des empresas tenían núcleos de auditoría interna. Estos re-alizaban trabajos de apoyo a la gestión así como activida-des de soporte al auditor externo con tareas atribuidas con-tractualmente.

En 1996 EDP tomó una participación importante en Energíasde Brasil, S.A, cabecera de un grupo, de la que es el accio-nista mayoritario. Energías de Brasil, S.A disponía ya de unareciente Dirección de Auditoría Interna.

Tras privatizarse el 70% del capital de EDP entre 1997 y elaño 2000, en el año 2001 inició un proceso de expansiónpor la península Ibérica tomando una participación mayori-

taria en Hidroléctrica del Cantábrico, S.A de cuyo Grupo deempresas forman parte Naturgás Energía, S.A y un subgru-po de empresas que operaba en el área de renovables enEspaña.

En el año 2007, EDP entra en el mercado norteamericanode las energías renovables con la adquisición y posteriorexpansión de Horizon Wind Energy. En paralelo, continuacon un fuerte proyecto de expansión en el área de renova-bles en Europa.

En el año 2011 se lleva a cabo la última fase del procesode privatización que alcanza el 95,7% de su capital social yse amplía el abanico de accionistas.

La estrategia del Grupo EDP, basada en una política de cre-cimiento orientado, transformó al Grupo en la mayor em-presa portuguesa cotizada en bolsa, el mayor inversor enPortugal y el mayor inversor portugués en el mundo. Pasóa ser la mayor Multinacional Portuguesa con presencia en13 países y con el 60% de su resultado procedente de fue-ra de Portugal.

Los objetivos de la Dirección de Auditoría Interna En este contexto, marcado por la pertenencia a un Grupode más de 450 empresas, con accionistas de 4 continentes,con subgrupos cotizando en tres mercados de valores y dis-tintos Modelos de Gobierno, la Dirección de Auditoría Inter -na del Grupo inició en el ejercicio 2006 un proceso de mo-dernización con los siguientes objetivos:

SESIÓN PARALELA

7.2

Azucena ViñuelasDIRECTORA DE AUDITORÍA INTERNA. EDP

Hablar del proceso de Internacionalización de la función de Auditoría Interna en

el Grupo Energías de Portugal (EDP) va necesariamente ligado a recordar el

proceso de internacionalización del propio Grupo EDP.

43


• Implantar un modelo de Auditoría Interna pasando deuna visión local a un ámbito de actuación internacional;

• Alinear la actividad de Auditoría Interna con la organiza-ción y con los objetivos estratégicos del Grupo;

• Modernización de la función;• Completar el proceso de implantación del SCIRF;• Reforzar las actividades en materia de auditoría operacio-

nal y de cumplimiento; y• Reforzar la cultura de control en la organización.

La estrategia de la Dirección de AuditoríaInterna de EDPPara la consecución de estos objetivos se trabajó en tresgrandes líneas estratégicas:• El posicionamiento de la función de Auditoría Interna en

la Organización;• El desarrollo e implementación de metodología, herra-

mientas y procesos; y• La consolidación de un equipo humano con cobertura in-

ternacional.

Fue fundamental, el alineamiento y el apoyo de los máxi-mos responsables de la línea ejecutiva y de la Comisión pa-ra las Materias Financieras / Comisión de Auditoría con losobjetivos de la Dirección de Auditoría Interna.

El acercamiento entre ambos mundos, fue fundamental.Conseguirlo pasó por “culturizar” a ambas partes. Es impor-tante que la organización entienda el rol y los objetivos dela función de Auditoría Interna y que los equipos de Audi -toría Interna, sean muy conscientes de los verdaderos ries-gos, las necesidades y las preocupaciones de la línea ejecu-tiva.

La “Visión”, los “Valores” y los “Pilares Básicos” sobre losque descansa la ejecución de la estrategia del Grupo (creci-miento orientado, riesgo controlado, y eficiencia superior),están muy alineados con los objetivos básicos para la con-

cepción de una Auditoría Interna con visión global y moder-na.

Pilares Básicos sobre los que descansa la estrategia de EDP

El desarrollo de planes de trabajo orientados a estos pilaresestratégicos supusieron un instrumento importante para ali-near la cultura de Auditoría Interna a las necesidades delGrupo y un entendimiento por parte de la línea ejecutivade la capacidad de aportación de valor por parte de la Di -rección de Auditoría Interna.

La ejecución de la estrategia de la Dirección deAuditoría Interna de EDPLa ejecución de esta estrategia fue un proceso en el que sefueron combinando muchas actividades:• Definición e implementación del Objetivo de la función y

las normas básicas de funcionamiento;• Definir e implementar una estructura organizativa que in-

cluye la creación de una Unidad de Auditoria Interna detecnologías de información (TI) y la creación de unaDirección de Auditoria Interna en el área de Renovables;

• Implementar un modelo de funcionamiento entre lasDirecciones de Auditoria Interna Locales y la Dirección deAuditoria Interna Corporativa;

• Sistematizar y unificar la metodología de trabajo en todassus fases;

• Desarrollar metodologías propias e implantar herramien-tas de soporte;

• Trabajar en alguna especialización, en innovación y reali-zar outsourcing interno cuando se justifica;

• Alinear los planes anuales de trabajo de Auditoría Internacon los Pilares Estratégicos del Grupo;

• Reforzar el equipo de trabajo, posicionarle en la organiza-ción, trabajar las competencias técnicas y de comporta-miento;

• Gestión muy activa del planning;• Evaluaciones de calidad internas y externas; y• Fijación de KPI´s alineados con los objetivos de Auditoría

Interna y del Grupo.

Todo ello unido a asegurar la calidad, rigor y creación devalor en cada uno de los trabajos realizados, fomentandouna visión de auditado/ cliente y un mecanismo de retroa-limentación de todos estos instrumentos.

Un aspecto fundamental en este camino es que estas me-didas no se quedan en la definición de normas, o en el de-sarrollo de manuales. Es importante su materialización enla práctica con el espíritu con el que fueron concebidas, enla consecución de los objetivos con un proceso de mejoracontinua. Una especie de “Rápida Revolución Tranquila”.

Fue fundamental, el alineamiento y el apoyo delos máximos responsables de la línea ejecutiva yde la Comisión para las Materias Financieras /Comisión de Auditoría con los objetivos de laDirección de Auditoría Interna.

Resumen de la ponente

44


Cómo ser un gran auditor internoEl aseguramiento es el núcleo de la auditoría inter-

na, y sólo puede ser proporcionado por “Grandes

auditores internos”. Muchos de los aspectos princi-

pales que se necesitan para ser un Gran Auditor

Interno han sido incluidos en certificaciones como

el CIA. Sin embargo, no todo lo que es necesario

para ser un Gran Auditor Interno está abierto a es-

tudio y examen.

SESIÓN DE

CLAUSURA

Philip RatcliffeMIEMBRO DEL COMITÉ DIRECTIVO. ECIIA

Los mensajes de esta ponencia versan

sobre las verdades oportunas y

permanentes para la profesión de

auditoría interna y las implicaciones de la

crisis económica actual para los auditores

internos.

45


La importancia de conocer tu organización

Para ser un Gran Auditor Interno, necesitas tener un conoci-

miento completo de la organización para la cual trabajas,

incluyendo su modelo de negocio y su propósito; su ges-

tión; sus procesos, cultura y gente, con el objetivo de iden-

tificar los riesgos adecuadamente y diseñar el programa de

aseguramiento apropiado.

Servir a la Dirección así como a los Comités de Auditoría

Los Consejos y Comités de Auditoría tienen impacto a tra-

vés de la Dirección. Y la Dirección es la que más necesita

los resultados del trabajo del auditor interno. Si no recono-

cemos correctamente las necesidades de la Dirección, ellos

buscarán otra función dentro de la organización que les ha-

ga el trabajo que necesitan. Los auditores internos debe-

mos ser receptivos a la Dirección así como a la jerarquía de

gobierno.

La importancia de llevarse bien con la gente

Mantener tu independencia no significa que tengas que ser

frío y distante. Tienes que ser independiente, profesional y

sincero. Pero mantener una buena relación con los audita-

dos puede ser de gran ayuda para extender el conocimien-

to de auditoría interna dentro de la organización.

Sé modesto, los auditores internos noimplementan recomendaciones, lo hacen los auditados

Como auditor interno, ves los errores y la incompetencia de

los demás y también ves cómo la gente hace las cosas

bien; sin embargo, las cosas malas son las que tienen más

impacto. No permitas que esto te haga una persona arro-

gante.

Trata de reconocer que es más fácil auditar que implemen-

tar, intenta tener empatía con la gente de las áreas que es-

tás auditando y ser humilde con ellos.

La importancia de la tenacidad

Cuando un auditor interno realiza una pregunta, éste debe-

ría insistir para obtener la respuesta. Los auditores internos

tienen que ser tenaces y necesitan insistir para obtener las

respuestas a sus preguntas.

El juicio del auditor interno

El juicio es el núcleo de la actividad de auditoría interna.

Mucha gente, cuando discute el tema de “aseguramiento”,

señala que lo que realmente significa es dar una opinión,

es decir, hacer un juicio.

Como auditores internos, hacemos juicios todo el tiempo.

Nuestro proceso normal de hacer juicios es tomar un mode-

lo de un proceso o sistema “ideal” y compararlo con el

que se está llevando a cabo realmente. Analizamos las di-

ferencias y realizamos nuestras conclusiones de auditoría

interna. Aquí es donde nuestras habilidades como auditores

internos pasan a ocupar un primer plano, tenemos que sa-

ber o ser capaces de desarrollar el modelo correcto del pro-

Para ser un Gran Auditor Interno necesitas tener un conocimiento completo de la organización

para la cual trabajas.

ceso ideal. Entonces tenemos que ser capaces también de

interpretar exactamente lo que vemos.

Los buenos juicios necesitan tiempo, los que se hacen de-

masiado rápido normalmente se hacen mal. Los buenos jui-

cios necesitan una revisión cuidadosa de todos los hechos,

de las desviaciones entre lo ideal y lo real y de lo que es

práctico. En última instancia, nuestro juicio es bueno si otras

personas están de acuerdo con nosotros –incluso si nuestro

mensaje es duro.

Nuestras opiniones necesitan estar respaldadas por hechos,

ser equilibradas y prácticas.

Los auditores internos deben tener coraje

En las ocasiones en que todo va mal, el auditor interno es

el que comunica las malas noticias. A nadie le gustan las

sorpresas malas. En estos casos, los auditores internos ne-

cesitan ser valientes. Y se van a encontrar con barreras de

políticas internas y el miedo a los demás. Cuando esto pa-

se, es necesario ser profesional, verificar los hechos, ser ra-

zonable y práctico. Es necesario tener el coraje de tus con-

vicciones, sean cuales sean las consecuencias.

La auditoría interna y la crisis económica

¿Cómo reacciona un Gran Auditor Interno cuando se enfren-

ta a la crisis actual? Algunos de los aspectos clave son dife-

rentes cuando hay crisis; por ejemplo, la rentabilidad del

negocio pasa a ocupar un segundo lugar dejando paso a la

supervivencia, donde la clave es la caja o efectivo. Por tan-

to, el control clave es la previsión del flujo de efectivo. Y

los auditores internos deben auditar el flujo de efectivo.

¿Existe alguna previsión de los flujos de efectivo que se ac-

tualice regularmente?, ¿Es realista?, ¿La alta dirección la mi-

ra?, ¿Los factores que afectan al flujo de caja –capital hu-

mano, gastos de capital, tesorería– están gestionados acti-

vamente?

Además se debería prestar atención a los programas de re-

corte de costes, ¿han sido planificados adecuadamente?,

¿se controlan de manera adecuada las indemnizaciones por

despido?

Un Gran Auditor Interno debería doblar sus esfuerzos en las

áreas de fraude y robo.

Como conclusión, los Grandes Auditores Internos deben ser

conocedores profesionales de las técnicas de auditoría in-

terna y de sus organizaciones. Tienen que ser capaces de

llevarse bien con la gente de la organización y recordar que

la alta dirección es su principal cliente. Hay que ser modes-

to, profesional, tenaz, tener juicio y tener coraje. Si alcanza-

mos todas estas cosas, entonces podemos catalizar nuestras

organizaciones hacia la mejora continua.

Confía en lo que haces, siéntete orgulloso de tu profesión,

y siéntete orgulloso de ser un auditor interno.

46


Confía en lo que haces,

siéntete orgulloso de tu

profesión y siéntete

orgulloso de ser un

auditor interno.

Resumen del ponente

las que participamos todos como ac-

cionistas– están ejerciendo mucha

pre sión sobre las compañías y buscan

empresas responsables.

Los modelos de negocio de lo que es-

te experto, generador de los informes

de buen gobierno corporativo referen-

cia en el mundo, definió como “nue-

vo capitalismo” tienen que tener claro

cuánto dinero ganamos, pero también

cómo lo ganamos y cómo vamos a

seguir ganándolo de manera sosteni-

ble. Por eso, reclamó que las políticas

de remuneración de los directivos se

equiparen con los factores financieros,

medioambientales y sociales.

Mervyng King, presidente del Interna -

tional Integrated Reporting Commi -

ttee, defendió una nueva manera de

dar cuenta de la actividad empresarial

en lo que denomina “informes inte-

grados”. En su opinión, es el momen-

to de contar a los stakeholders lo que

48


En esta edición tuvimos el privilegio

de contar con Mervyn King, referente

mundial en gobierno corporativo, Pre -

si dente del Comité sobre Gobierno

Cor porativo King de Sudáfrica.

En el marco del XXIV Foro de Expertos

de Auditoría Interna, King subrayó

que sólo después de la crisis financie-

ra de 2008 las empresas se han en-

contrado de bruces con una realidad:

es imprescindible tener en cuenta sus

resultados financieros, pero también

su impacto social y medioambiental

porque eso repercutirá en su reputa-

ción y, por tanto, en su cuenta de re-

sultados.

En este sentido, King puso de ejemplo

a multinacionales como Coca Cola,

que tienen en cuenta el proceso de

tratamiento de aguas en todo su ciclo

de producción; o Procter & Gamble,

que ya sólo vende sus productos en

envases reciclados. Según el ponente

invitado, las fuerzas del mercado –en

Reuniones

El pasado 26 de septiembre, el Hotel

Intercontinental albergó el XXIV Foro de

Expertos de Auditoría Interna que reunió a

los Directores de Auditoria Interna de los

Socios Corporativos del Instituto de

Auditores Internos de España.

Hemos de entrar en la era delcapitalismo sostenible.

49


haces, de hacer lo que dices que vas

a hacer y de ponerlo todo por escrito

en informes claros y concisos. En sus

palabras, “transparencia radical”.

Añadió que el auditor interno es una

pieza clave en el sistema de gobierno

corporativo, y en este contexto, los

auditores interno cumplen un papel

fundamental: “La calidad y la confian-

za es la diferencia que marca tus in-

formes para eso necesitas el asegura-

miento combinado que te da el audi-

tor interno”.

Auditoría Interna y Redes Sociales

Tras su intervención, se dió paso al

debate de las mesas de trabajo en las

que se reflexionó sobre la Audi toría

Interna de las Redes Sociales.

De forma generalizada, las organiza-

ciones no incluyen en su plan de au-

ditoría interna el riesgo de uso de las

redes sociales, en algunos casos se

tiene en cuenta dentro de la gestión

del riesgo reputacional.

Normalmente es el departamento de

comunicación quien realiza un segui-

miento de toda la información que se

publica en la red. Las organizaciones

representadas en el Foro señalaron

que Auditoría Interna no ha analizado

todavía las implicaciones legales del

uso inapropiado de las redes sociales

y consideran que los responsables de

ello son las áreas de cumplimiento o

asesoría jurídica.

Algunos de los riesgos reconocidos

por los asistentes el evento fueron:

• Reputacional.

• Seguridad/conectividad.

• Detrimento de la productividad.

• Uso inapropiado.

Las direcciones de auditoría interna

deberían tomar un papel proactivo en

la identificación de riesgos y la super-

visión de medidas de control interno.

Algunas medidas identificadas para

mitigar los riesgos asociados a las re-

des sociales son:

• Formalización de políticas y procedi-

mientos específicos de uso de re-

des sociales por parte de los em-

pleados de la organización.

• En el caso de que se cuente con

una agencia externa de comunica-

ción, verificar que también realiza

una gestión adecuada de riesgos.

• Referencia en el código de conducta

corporativo a los comportamientos

esperados o prohibidos en el ámbi-

to de las redes sociales.

Las empresas deben introducir

la sostenibilidad en su

estrategia a largo plazo si no

quieren poner en peligro

su supervivencia.

50


Certificaciones

• Identificación y formalización de la

propiedad de las cuentas corporati-

vas de la sociedad.

• Identificación y designación de por-

tavoces oficiales para redes sociales.

• Programas de formación y concien-

ciación sobre el uso de redes socia-

les.

• Existencia de un plan de contingen-

cia que defina la respuesta ante

eventos adversos.

Tras el almuerzo del Foro de Expertos, se entregaron las

cer tificaciones a profesionales de auditoría interna del Ins -

tituto de Auditores Internos de España.

El Presidente y el Vicepresidente del Instituto hicieron en-

trega de los Certificados de Evaluación de Calidad de las

unidades de auditoría interna (QA) a: Enagás, Mapfre

Perú, Telefónica Venezuela, Telefónica Perú y Telefónica

Ecuador.

Se otorgó la Certificación CIA a los siguientes miembros:

Rafael Alemán (LOGISTA), Daniel Chozas (BBVA), Juan

Carlos Díaz (HOLCIM), Natalia Fernández (INDRA) y Yolanda

Ivars (ZURICH).

José Manuel Castro del Real. Auditoría Interna de Enagás Óscar Pinedo Irazola. Auditoría Interna de Mapfre Perú

Eloy Paredes Menchén. Auditoría Interna de Telefónica Rafael Alemán, CIA

51


Margarita Prat Rodrigo, Vicepresi den -te independiente de la Comisión deAuditoría de Bolsas y Mercados Espa -ñoles, explicó lo que, a su juicio, nece-sita plantearse el profesional de audi-toría interna cuando se le presenta unconflicto de intereses: la auditoría in-terna no tiene una ética diferenciada,sus principios básicos han de ser losmismos que para cualquier otra profe-sión. Pero deben actuar bajo estrictosprincipios morales: confidencialidad,veracidad y fidelidad a lo prometido.

Esta experta en ética empresarial abo-ga por la redacción de códigos de con-ducta en el seno de las organizacionescomo una “traslación de los valores ycomportamientos aceptables para susprofesionales”.

En general, el nivel ético de los profe-sionales de auditoría interna en Espa -ña es bueno: “Las empresas españo-las aprueban en la calidad ética de susauditores internos” y es que, asegura,“el 99% de los principios éticos secumplen si uno quiere trabajar bien”.

Los problemas surgidos en la recientecrisis no sólo han sido éticos sino “desupervisión”. En su opinión, no es de-seable que el mismo organismo queregula sea el que juzgue.

Reuniones

La ética en la profesiónde auditoría interna

17 de Septiembre

Margarita Prat

Flora Rúe, experta grafóloga y socia-directora de Orienta 2 Profiles, partici-pó en esta reunión para desvelar lasclaves del estudio científico de la escri-tura y sus posibles aplicaciones en elámbito de la empresa. Según FloraRúe nuestros textos son la manera co-mo nos mostramos ante la sociedad yla firma, en tanto que proyección denuestra parte más íntima, revelan có-mo nos vemos a nosotros mismos.

Estudiar escritura y firma significa portanto, conocer rasgos fundamentalesde la personalidad de los individuos.La evaluación se lleva a cabo en basea seis rasgos fundamentales: el tama-ño, la presión, la velocidad, la cohe-sión, la forma o el orden. Por ejemplo,si el firmante pone énfasis en la partealta de su escritura podemos advertircierta tendencia a la rebeldía; si lo ha-ce en el centro la tendencia será másbien hacia el realismo; por el contrario,si sus rasgos penden hacia abajo nosencontraremos con una persona conun interés por lo material más que porlo espiritual.

Este análisis puede ayudar a los servi-cios de recursos humanos de las em-presas a conocer rasgos que los candi-datos no desvelan en una entrevistade trabajo.

Análisis grafológico y sus aplicaciones en laempresa

29 de Septiembre

Flora Rúe El 3 de diciembre tuvo lugar el últimolunes del IAI del 2012. El tema pre-sentado fue la Gestión de Riesgos y elCuadro de Mando, que corrió a cargode Enrique Stampa, socio de PMPartners.

Según el ponente, la gestión del riesgodebe ser una de las prioridades ennuestras organizaciones, la globaliza-ción y extensión a otros mercados yservicios junto a la debilidad de lasprácticas de gestión del riesgo han au-mentado los efectos de la crisis. En -rique Stampa se basó en la metodolo-gía de “Kaplan-Norton” para explicar eldiseño del cuadro de mando y añadióque dicho diseño debe responder alas necesidades de la dirección, identi-ficando los indicadores principales yrelacionando los mismos con los obje-tivos estratégicos de la organización.

Se trata de soluciones que facilitan laobtención del reporting y el análisis dela información.

El cuadro de mando es una herra-mienta de gestión cuyo diseño estruc-tura y relaciona la información relevan-te del negocio para su análisis y adop-ción de decisiones por los directivos.

La gestión de Riesgos y elCuadro de Mando

3 de Diciembre

Enrique Stampa

52


Premio Korazza al Mejor Ejecutivo de Asociaciones 2012Javier Faleato, Director General delIAI de España, recibió el pasado 29de octubre el V Pre mio Korazza alMejor Ejecutivo de Asocia ciones2012, coincidiendo con el V Con gre -so Korazza de Ejecutivos de Asocia -ciones celebrado en San Lorenzo deEl Escorial.

Este Premio reconoce el dinamismoy la efectividad del ejecutivo al fren-te de la asociación, la creatividad ennuevos servicios, la capacidad de co-municar a través de las nuevas tec-nologías, en especial la Web de laasociación y la notoriedad.

Encuentro Sectorial El Instituto de Auditores Internos deEspaña organizó el 23 de octubre, elencuentro de directores de auditoríainterna del Sector Energía.

En la reunión, los asistentes compar-tieron sus buenas prácticas y expe-riencias sobre temas relacionadoscon el universo a auditar, la expan-sión internacional de las empresasdel sector energía y la reforma delcódigo penal entre otros.

Nuevos SociosALPHABET ESPAÑA FLEET MANAGEMENT, S.A. GRUPO BMW

MUTUA MONTAÑESA

REIG PATRIMONIA S.A

Noticias del IAI

El 12 de septiembre, tras la Conferencia Europea de Au di -toría Interna celebrada en Amsterdam, se convocó unamesa redonda exclusiva que reunió a los Directores deAuditoría Interna de organizaciones de toda Europa. Los te-mas expuestos fueron: la plantilla de auditoría interna enorganizaciones globales, el papel del comité de auditoría ylas últimas regulaciones y directivas europeas. Los repre-sentantes españoles fueron Telefónica y Banesto-GrupoSantander que, a su vez, son miembros de los ServiciosPremium del Instituto de Auditores Internos de España.

La intención es continuar con esta iniciativa promovida poralgunos Institutos de Auditores Internos de Europa, entreellos España, con el objetivo de incluirlo como servicio ex-clusivo de los Servicios Premium.

Reunión de Evaluadoresde CalidadLos evaluadores de calidad del Ins -tituto de Auditores Internos de Espa -ña se reunieron el pasado octubrecon el objetivo de estar actualizados,alineados y compartir mejores prác-ticas en el ámbito de las evaluacio-nes de calidad que han realizadohasta el momento y que van a efec-tuar a lo largo de este año 2013.

Servicios Premium: Mesa Redonda de Directores de Auditoría Interna Europeos

Revista IAI. Presentación Riesgos

Documents

Transcript of Revista IAI. Presentación Riesgos