auditoríainterna - auditores internos de españa | home · 2014-03-12 · alberto ferreiro...
TRANSCRIPT
auditoríainternaRevista editada poR el instituto de auditoRes inteRnos de españa
aieneRo 2014 / año XXX
N105
valores compartidos
XVIII JORNADAS
DE AUDITORÍA INTERNA
MADRID 24 Y 25 OCTUBRE 2013
ai 03
josé manuel muries Presidente del instituto de auditores internos
UN ANIVERSARIO PARA el reenCuenTro
Para mí, las Jornadas siempre son especiales: un momento de reencuentro con amigos de la profesión, de ponerme al día en temas emergentes, de pensar en mis siguientes retos profesionales. Pero, además, éstas son muy especiales porque
coinciden con nuestros 30 años de vida como Instituto.
En este cumpleaños, los agradecimientos más efusivos tienen que ser para los fundadores, ellos son los precursores de una asociación que quería, por encima de todo, situar a la profesión en el sitio que le correspondía. Y lo hicieron con dos fines fundamentales:
1/ Crear un punto de encuentro donde compartir mejores prácticas en la auditoría interna.
2/ Hacer bien su trabajo.
La auditoría interna se basa en unas normas internacionales muy claras y, si no se aplican, sencillamente, no se está ejerciendo una verdadera función de auditoría interna.
El auditor interno tiene que trabajar exclusivamente como auditor interno, es miembro de la alta dirección y es imprescindible que esté en el lugar adecuado del organigrama empresarial en una relación de doble dependencia: funcional, del Consejo de Administración en el órgano delegado del Comité de Auditoría, y jerárquica, del máximo ejecutivo de la organización. Sólo así se asegurará nuestra independencia y podremos cumplir nuestra función de aseguramiento.
Pero, además de ser profesionales preparados, tenemos que sumar unos valores éticos: integridad, honestidad, objetividad, confidencialidad y, por supuesto, un compromiso con mantenernos competentes. Porque nuestra misión es generar confianza y confort a nuestros “clientes internos”. Esto implica anticipación a los riesgos a los que se enfrenta el negocio, con tecnologías más sofisticadas y regulaciones que hay que cumplir; flexibilidad para adaptarnos a este contexto, y rigor para fundamentar lo que haya que decir.
valores compartidos
Diseño y realización: CD/ON Comunicación
Impresión: IAG, SL
Depósito Legal:M. 25210-1985
ai04
auditoríainterna
ai
Presidente: José Manuel Muries
Comisión Editorial: José Manuel Muries
Javier Faleato Gabriela González-ValdésJosé Gabriel Lumbreras
Administración: María Jesús Morcillo
Fátima Roldán
Santa Cruz de Marcenado, 33 28015 Madrid
Teléfono: 91 593 23 45 Fax: 91 593 29 32
[email protected] www.auditoresinternos.es
N10503
José Manuel Muries Un aniversario para el reencUentro.
06 Puesta en común de nuestras experiencias más relevantes.
el ambiente qUe vivimos
08 Agradecemos la ayuda de todas las
entidades que nos han apoyado.patrocinadores y expositores
10 Sharon Grant
creación de oportUnidades a través del liderazgo intelectUal de la profesión.
12 Juan Carlos Peña e
Iker Espel aUdit recovery. la experiencia de
campofrío.
14 Beatriz Morilla
citizenship, mUcho más qUe gestionar la repUtación. la experiencia barclays.
16 Ramón Martí
aUditoría interna del área de pUblici-dad, marketing y relaciones públicas.
18 Ramón Abella y Tamer Davut
impacto en el mercado del nUevo marco de control interno coso.
20 Eduardo Medrano
ciberriesgos y hacking ético como actividad de aUditoría interna.
la experiencia de telefónica.
22 Carlota Balet y
Miguel Ángel Berzalimplantación de Un modelo de corpora-te defense. la experiencia de allianz.
XVIII jornADAs AuDItorEs IntErnos
sumario
ai 5
24 Phillipe Peuch-Lestrade el nUevo paradigma:
el informe integrado.
26 José Luis de la Fuente
inteligencia empresarial y económica en Un dominio de internacionalización.
28 José Enrique Díaz y Andy Douglas
aUditando el proceso de gestion de riesgos. Un enfoqUe en bergé y cía.
30 Mary Hardy
el reto de aUditoría interna en los JUegos olímpicos de londres 2012.
32 Luis Carro
prevención, detección y lUcha con-tra el fraUde con técnicas de data
analytics y correlación de eventos.
34 Una tradición en el marco
de las jornadas.la fiesta del aUditor
38 Alberto Ferreiro
aUditoría interna de procesos externa-lizados. la experiencia de ferrovial.
40 Estíbaliz Gallego y Cristina Bausá
aUtoevalUación de control para el cUmplimiento normativo.
42 José Ignacio Domínguez, Sonsoles Rubio y
José Luis de los Santoscombined assUrance. sinergias
de los distintos proveedores de asegUramiento.
46 Luis Mesa y Enric Doménech
prevención del fraUde en el proceso de ventas.
48 Andreu Alfonso
aprendiendo del alto rendimiento: tra-baJando con, por, para y desde el eqUipo.
Foros 50
Foro DE EXPErtos
52 Foro sECtor FInAnCIEro
54 Foro sECtor AsEgurADor
Los LunEs 56
PrEsEntACIón DEL PrImEr rIsk mAturIty InDEX
DE Aon
57 guíA “mArCo DE rELACIonEs
DE AuDItoríA IntErnA Con otrAs FunCIonEs DE
AsEgurAmIEnto”
sugErEnCIAs... 58
PArA LEEr, PArA VIAjAr
36 Adela Cortina
la ética en los negocios.
ai6
el ambiente que vivimos
ai 7
La celebración de las XVIII Jornadas de Auditoría Interna sirvieron para poner en común las experiencias más relevantes relacionadas con nuestro sector
ai8
gracias...Los patrocinadores...
ai 9
...a la ayuda de todas las entidades que han contribuido decisivamente a hacer posible la celebración de estas jornadas
...y los expositores
ai10
Esta conferencia expresa varias reflexiones en materia de liderazgo en el pensamiento,
comenzando por la pirámide de nues-tra profesión. Empieza con nuestro posicionamiento, que llamo el cultivo de un mensaje claro y consistente sobre qué es Auditoría Interna.Luego, tratamos nuestro producto, nuestro plan, nuestros procedimien-tos. A esto lo llamo la calibración, la relevancia de nuestros trabajos, asegurando que todo lo que hacemos sea para que nuestros stakeholders puedan alcanzar sus objetivos.Y en la base de la pirámide está lo fundamental, nuestra gente, el capital humano, que son los que tienen que hacer que ocurra. Tenemos que colaborar en mejorar las habilidades intelectuales e interpersonales de nuestra gente para alcanzar lo que nos proponemos.¿Qué tal comunicamos quiénes somos y qué hacemos? ¿Qué signi-fica ser auditor interno? Algo muy profundo: ser el asesor de confianza, la conciencia corporativa, los evalua-dores de riesgos. El alcance sobre lo que se espera de nosotros es muy amplio. Nuestro estatus y cómo nos consi-deran es clave, cómo nos perciben, nos utilizan y a quien reportamos. Es crítico para que nuestro mensaje sea consistente y relevante. Si los stake-holders están en un lado del campo de juego y la función de auditoría interna en otro va a haber problemas. Hay que asegurar que nos encontra-
mos en el medio para comunicar bien nuestro mensaje.En este aspecto, las relaciones son claves. Si vemos lo que está pasando en todo el mundo, la noticia positiva es que son cada vez a más alto nivel. Muchas veces se veía nuestra profe-sión como el departamento centrado en el cumplimiento normativo, y lo que estamos experimentando es que estamos teniendo un movimiento hacia arriba que es fundamental.
NivEl dE iNtErlocucióN
Jerárquicamente, el 40% reporta al nivel más alto de la organización. Después, al director financiero. Un dato interesante es que fuera de EE UU, es más común que la comu-nicación se dé a un nivel más alto. Estamos estudiando por qué sucede y tiene mucho que ver con la cultura y el entorno. El aspecto más impre-sionante es dónde nos encontramos con el reporte funcional. Éste, por naturaleza, debe ser más natural, la independencia casi lo dicta; hemos dado pasos de gigante en los últimos años para conseguirlo y es un hito crítico de la profesión. Para que entendamos si nuestro mensaje es consistente, en el Insti-tuto hemos publicado el Documento de posicionamiento, una herramienta fantástica con el modelo de las Tres Líneas de Defensa. Es uno de los documentos más claros para que co-muniquemos el mensaje, eduquemos a la gente sobre nuestro rol y cuáles
SharoN GraNtPresidenta del institute of internal auditors research foundation (iiarf) ydirectora de auditoría interna de united airlines
CreaCión de oportunidades a través del liderazgo inteleCtual de la profesiónEl liderazgo en el pensamiento de nuestra profesión, dónde nos encontramos hoy y de dónde venimos; pero, más importante, por qué estamos aquí y hacia dónde vamos son cuestiones que contesta esta conferencia.
ai 11
son las fronteras de nuestro trabajo. Somos, en efecto, la tercera línea de defensa.En muchas organizaciones quieren que Auditoría Interna sea la primera o la única línea de defensa. Si piden eso, tienen un problema. Es una clara bandera roja, porque la primera línea de defensa empieza en el corazón del negocio. Los controles internos y los que ejerce la dirección, aquellas cosas cuya importancia intentamos enfatizar, y que ayudamos a mejorar y desarrollar es dónde tienen que esforzarse. Hay que asegurar que cada individuo de la organización sea dueño de una parte de la primera línea de defensa. La segunda línea de defensa incluye cumplimiento, inspección, gestión de riesgos, control de gestión, seguridad. Hay una capa entera de evaluadores y funciones de aseguramiento que supervisa la primera línea de defensa. Ese perímetro tiene que existir.Después pasamos a la función de auditoría interna, independiente del resto, un punto crítico, porque podre-mos supervisar con y para nuestro órgano de gobierno cuan eficientes y eficaces son las líneas de defensa para la alta dirección. Después, en el exterior, tenemos al auditor externo, a los reguladores, etcétera.
FuNcióN dE lidEraZGo
Algo que siempre comento en mi organización es que yo no ficho a au-ditores, ficho a líderes. Lo que busco es que tengan las aptitudes de nego-cio y que pueda desplegar ese talento en cualquier área. La profesión de auditoría tiene la capacidad y el rigor; pero el liderazgo es la siguiente pieza, porque somos una fuente de talento. Pero, ¿a dónde podemos hacer llegar la profesión? Cuando hablamos sobre el posicionamiento de la auditoría interna, vemos que nuestras posibili-dades dependen de que nuestras acti-vidades sean capitales para cualquier operación o área de negocio. Es ser crítico, ser clave, ganarse el derecho de sentarnos en la mesa. Tenemos que ser el evaluador principal de ries-
gos y eventos en la organización.Necesitamos calibrar cuáles deben ser las evaluaciones a hacer. Incluire-mos nuevas tecnologías, ajustando el plan para hacerlo relevante, no solo para la organización, sino conside-rando toda la industria y los aconteci-mientos globales.El posicionamiento clave para Audito-ría Interna es que no debemos espe-rar a que nos avisen, sino ser capaces de contemplar el futuro adaptando lo que vamos a hacer hoy. Debemos estar acostumbrados a cambiar y a recalibrar nuestros planes. El cambio en nuestros planes se debe en gran parte a los cambios regulato-rios. Hemos experimentado una carga enorme en materia de cumplimiento normativo. Me refiero a la Ley Sarba-nes Oxley, un buen marco para que lo adopten todas las organizaciones.
aprovEchar la tEcNoloGía
Entramos en el nivel tres: cómo aprovechamos la tecnología disponi-ble. La tecnología puede ser amiga o enemiga, es poderosa por permitirnos cubrir muchísimas cosas, pero es tan buena como las personas que la po-nen en marcha. Y eso requiere que los auditores internos tengan unas ha-bilidades distintas. Necesitan nuevas competencias y capacidad analítica para analizar ese montón de datos. Tenemos que invertir en formación para fomentar esas capacidades. ¿Cómo llegamos hasta allí? Primero, debemos asegurar que tenemos el presupuesto para llegar. La tendencia es que, en general, los presupuestos están creciendo. Es una señal de que es un buen momento para Auditoría Interna y debemos invertir con inteli-gencia estos presupuestos.Pero ¿cómo aseguramos que no ha-cemos lo mismo que el año pasado? Es todo un reto, ser muy radical en nuestro pensamiento para asegurar que llegamos a ser relevantes. Hemos hablado del posicionamiento, del producto, y el último punto clave, las personas. Tenemos que juntar los talentos de nuestros profesio-nales, y si no invertimos en eso y no
pensamos en cómo estimularles, los cimientos fallarán.En el estudio antes mencionado, los datos indican un mensaje muy claro de cuáles son las habilidades necesarias para que evolucione la profesión. En primer lugar, pensa-miento analítico y crítico (un 70%). Para asegurarnos de que lo tenemos, debemos acudir a eventos como éste, de networking. Después, vienen las habilidades de comunicación escrita, verbal, la capacidad de articular los asuntos clave en el tono adecuado, a tiempo, y la capacidad de decirlo con garantías.
Para concluir, hay cinco claves para lo que queda de década:● Nos tenemos que centrar en los perfiles de riesgo de nuestras organi-zaciones y en la gestión de riesgos.● Tendremos que reforzar nuestra eficiencia con análisis de datos, como una competencia clave.● Asegurar la presencia en las dis-cusiones estratégicas que se llevan a cabo. Auditoria es independiente, tiene que serlo; pero también tiene que ser un catalizador del cambio, aportando su punto de vista a la alta dirección.Estos puntos nos permitirán seguir elevando el listón de excelencia de la profesión: cómo pasamos por las áreas, el posicionamiento, el produc-to, las personas, cuando miramos al futuro, vemos y nos anticipamos a loscambios. La clave para nosotros es si dejaremos que el futuro nos defina o definiremos nuestro propio futuro. ¿Seremos proactivos? Esto es audito-ria y eso es donde queremos ir.
La profesión de auditoría tiene la capacidad y el rigor; pero el liderazgo es la siguiente pieza, porque somos una fuente de talento.
ai12
Esta ponencia tiene un objetivo muy definido. Presentar a los directores de Auditoría Interna
unos servicios muy desconocidos en España y que son un complemento para sus departamentos en la ayuda al control de riesgos y a la aportación de ingresos extraordinarios, compartiendo la experiencia del Grupo Campofrío.
¿Qué Es Audit REcovERy?
Los Servicios de Audit Recovery (Auditoría Masiva o Auditoría de Compras/Gastos), utilizando software propio y una metodología exhaustiva, analizan los contratos/acuerdos, las facturas, los pedidos de compra, los documentos recibidos y los sistemas informáticos internos con el objetivo de encontrar pagos, descuentos no aplicados, rápeles no descontados y condiciones contractuales no respetadas.En este tipo de auditoría se trabaja sobre ejercicios contables cerrados (una media que oscila entre tres y cinco años, dependiendo de la legislación local y de la disponibilidad de la información tanto electrónica como documental) para realizar un diagnóstico sobre el pasado y, de este modo, evitar que se repitan en el futuro.Normalmente, la auditoría masiva se concentra en las cuentas de gasto de mayor relevancia por volumen o también por nivel de riegos para las empresas.
HistoRiA
En 1970 nace en EE UU la industria del Audit Recovery, de la mano de Howard Schultz, antiguo controller en una gran empresa de retail en Dallas. Constata la aplicación incorrecta en las condiciones comerciales y/o contractuales con proveedores que no se reclamaban, en su mayor parte por desconocimiento y por falta de tiempo.La forma de facturar a sus clientes es única y exclusivamente orientada al éxito en función de los importes recuperados. Durante el primer mes de actividad recupera 250.000 dólares.Hasta 1990 el audit recovery no llega a España, y lo hace de la mano de empresas europeas y norteamericanas que ya utilizaban estos servicios en sus países de origen. En su inicio, este tipo de auditoría se realiza en el sector retail y en estos momentos se auditan prácticamente todos los sectores (aerolíneas, energéticas, químicas, hospitales, farmacéuticas, empresas públicas, turismo, etc ).Con el audit recovery, en Europa se recuperan anualmente 350 millones de euros, mientras que en EE UU la cantidad supera los 4.000 millones de dólares al año.
contRol dE RiEsgos A díA dE Hoy
Actualmente, el control de riesgos dentro de las empresas viene claramente marcado por el contexto normativo internacional existente y
JuAn cARlos pEñAdirector de auditoria interna de campofrio
ikER EspEl victoRiA dE lEcEASocio directorde acfyd
Audit RecoveRyLA expeRienciA de cAmpofRíoLa auditoría masiva garantiza el control al cien por cien sobre aquellas áreas en la que el día a día no permite llegar. Las ventajas y el valor añadido son visibles desde el inicio.
ai 13
por las normas y políticas internas.Existe en estos momentos un gran seguimiento de diferentes marcos internacionales para la buena práctica del control de riesgos (COSO, Normas MIPP, SOX, ISO 31000:2009, QAR,etc…).En cuanto al control interno de las empresas, es y ha sido siempre muy elevado. En la actual coyuntura económica, el control de los riesgos implantado en las empresas es probablemente el más importante de la historia. Es probable que exista un exceso de confianza en los controles internos o pensar que ese tipo de servicios están ya cubiertos a nivel interno. Pero la experiencia demuestra que ciertos KPIs/KRIs actuales podrían ser insuficientes y ocultar debilidades internas. Las situaciones de riesgos son de origen diverso. Algunos casos son:
● Desconocimiento del funcionamiento interno e interdepartamental.● Con los buenos resultados se tiende a reducir el control.● Rotación o los cambios de personal.● Compras, fusiones y adquisiciones.● Cambios de los sistemas IT.● Poca automatización de los procesos.● Incorrecta aplicación de procedimientos internos.● Etc…
ÁREAs dE AnÁlisis
Las ventajas y el valor añadido de estos servicios complementarios son visibles desde el inicio. La auditoría masiva garantiza el control al cien por cien sobre aquellas áreas en las que el día a día no permite llegar. Los resultados son siempre positivos para las empresas: reducción de los pagos erróneos, mejora en los procesos, incremento del rendimiento y de los resultados directos en los estados financieros, permite la autofinancia-ción de los departamentos de AI, una visión de 360 grados de la empresa y una aportación de un ojo externo.Las empresas externas de Audit Recovery reciben un porcentaje del dinero recuperado como única forma de remuneración. Las recomendacio-nes y conclusiones en los informes de AI ganan una mayor fuerza al estar los riesgos cuantificados.Audit Recovery trabaja sobre todas las cuentas de gasto que represen-ten un volumen significativo para las empresas:
● Incidencias Administrativas – Cuen-tas a Pagar: Facturas/pagos/abonos duplicados, incidencias contabiliza-ción impuestos, conciliación de cuen-tas, pagos a un proveedor/ acreedor erróneo.● Compras de Mercancías/Condicio-nes de Compra: Análisis de acuer-dos establecidos con el objetivo de
detectar anomalías en dos grandes áreas: análisis de precios y análisis de atípicos.● Alquileres de bienes muebles o inmuebles: Actualización de rentas, regularización de atrasos, condo-naciones/ carencias, impuestos/tasas municipales/ seguros/ avales/ fianzas y gastos comunes en centros comerciales.● Logística/Transporte: Incidencias en cantidad y en precio, aduanas, análisis INCOTERM (INternational COmmercial TERMs) y tasas.● Electricidad: Mercado regulado (regional y provincial), reconstrucción de la factura de suministro, cálculo del importe por energía reactiva, impuesto eléctrico, verificación de lecturas estimadas, complementos por discriminación horaria, alta/baja tensión y días facturados.● Otras Cuentas de Gasto: Limpieza, reparaciones y mantenimiento, segu-ridad, marketing y trade marketing, renting flota vehículos, gastos de via-jes, telefonía, comisiones bancarias, seguros sociales…
ExpERiEnciA cAmpofRío
Juan Carlos Peña, director de Audi-toría Interna del Grupo Campofrío, explica las razones por las cuales decidieron realizar una Auditoría Masiva con una empresa externa. Por un lado, no se pierde nada. Si no salen excepciones significa que los controles internos están funcionando correctamente. También recomienda realizar este tipo de auditoría complementaria después de hacer un cambio en los sistemas informáticos, como ha sido el caso de su Grupo, para tener una idea de la situación anterior y posterior.Con el Audit Recovery se puede realizar una auditoría al cien por cien. Si se desea, se cubre toda la pobla-ción. En cuentas muy atomizadas el impacto puede ser muy grande. También se enfatiza la importancia del ojo externo.Para Campofrío, este tipo de auditoria es complementario. No sustituye a los departamentos de Auditoría Interna.
mEtodologíA: fAsEs dEl pRoyEcto
auditoría
control
Recopilación de información
Tratamiento informático
Análisis
Validación de incidencias
Gestión de recuperaciones
Informe detallado
Acceso y organización de archivos físicos e informáticos
Conversión a herramienta de trabajo ACFYD
Análisis de la documentación e información recopilada
Entrega de documentación soporte de las incidencias
Reclamación y seguimiento
Informe detallado, comentarios y conclusiones
Sí
no
no
Sí
no
no
Sí
Sí
Sí
Sí
Sí
Sí
2
10
60
5
18
5
ServicioS faSeS accioneS implicación % empreSa auditoría externa
ai14
Los bancos son importantes. Juegan un papel vital en la economía y son una pieza
clave en el progreso de las socie-dades. Por ello, deben tener una responsabilidad mayor, si cabe, que los demás sectores económicos. Durante un tiempo, la banca llegó a ser agresiva, demasiado focalizada en el corto plazo y desligada de las necesidades de sus clientes y de la sociedad en general. Al hacerlo, dañamos nuestra repu-tación, y con ella, la confianza de la sociedad y la posibilidad de obtener beneficios sostenibles a largo plazo. Los bancos solo tendrán éxito si la gente confía en ellos. Pero, y teniendo en cuenta todo lo anterior, ¿existe una fórmula mágica para poder controlar los riesgos de perder la confianza de la sociedad? ¿Algún modelo de hoja de cálculo que pueda recoger la gestión de este intangible tan preciado? ¿Alguna metodología para evitar que ocurran de nuevo los escándalos que hemos sufrido recientemente? La respuesta a estas preguntas es simple: no.
demasiados escándaLos
Decir que se tienen todos los riesgos bajo control es manifestar que se desconoce profundamente a lo que nos estamos enfrentan-do, máxime en el mundo global en el que nos movemos, en el que la velocidad de la comunicación es
casi tan rápida como la de la luz y en el que tanto el impacto como la repercusión de nuestras acciones es mucho mayor.Para preparar la ponencia en el Ins-tituto de Auditores Internos, repasé con interés El Barómetro de Con-fianza 2013 que elabora anualmente la consultora Edelman. Según este estudio, la banca en España sigue contando con los índices de confian-za más bajos del mundo, solo por delante de Turquía, Japón y Rusia. Pero quizá lo más curioso de este estudio son las razones por las cuales los encuestados creen que se han producido tantos escándalos en el sector bancario: una cultura corporativa guiada por la compensa-ción y los bonus, la corrupción y los conflictos de interés. Conclusión: todas son causas internas y contro-lables por el negocio.
crisis de vaLores
Por tanto, la pérdida de confianza no es solo una cuestión de falta de regulación del sector, del tamaño de los bancos o de los cambios sufridos en la economía. Los bancos tenemos margen de maniobra para cambiar malas prác-ticas y hábitos asentados en nuestro sector; está en nuestras manos modificar determinados comporta-mientos para hacer lo correcto. Todos los que formamos parte de una organización sabemos qué es hacer lo correcto en nuestra fun-
beatriz moriLLaDirectora De responsabiliDaD social corporativa De barclays
Citizenship, muCho más que gestionar la reputaCiónla experienCia BarClaysPartiendo de que los bancos solo tendrán éxito si los clientes confían en ellos, Barclays ha elaborado la estrategia Citizenship, un proceso de revisión y cambio para restablecer la reputación perdida.
ai 15
ción, cualquiera que sea. Entonces, ¿por qué no lo hacemos? ¿Dónde estábamos los responsables de RSC o los auditores internos de estas grandes empresas? ¿Controlando el consumo de papeles? ¿Verificando los controles de algún procedimien-to de pequeña importancia?En Barclays pensamos que ésta no es solo una crisis económica; es también una crisis de valores, y que solo volviendo a una cultura basada en los valores recuperaremos esa confianza de la sociedad.Estamos convencidos de que nos encontramos ante una oportunidad única para restablecer la reputación perdida, y creemos que ésta será el elemento diferenciador que nos devolverá el papel que siempre he-mos jugado en la economía y que no es otro que el de ayudar a nuestros clientes a hacer realidad sus ambi-ciones de la manera correcta. Por tanto, estamos inmersos en un proceso de revisión y cambio de la forma en la que hacemos negocios, y la agenda de Citizenship es una de las líneas estratégicas del Grupo para lograrlo.
citizenship
Os preguntaréis qué entiende Barclays por Citizenship. Es muy sencillo y difícil a la vez: hacer lo correcto, de la manera adecuada y en el momento justo. No se trata solo de que el banco, como institución, te ayude a hacer lo
correcto; implica mucho más, supo-ne que el banco te inspire a ello, que sea parte de su cultura y que todos los miembros de la entidad lo hagan sin que nadie se lo diga.
La estrategia Citizenship se basa en tres pilares: 1) Cómo hacemos banca. 2) Cómo contribuimos al crecimiento de nuestras comunidades.3) Cómo apoyamos a aquellos que más lo necesitan.
Contamos con un plan con objetivos para 2015 que comprende acciones concretas para cada uno de esos tres pilares, con métricas robustas que nos irán diciendo si estamos yendo en la dirección adecuada y estamos desarrollando un reporte periódico, claro y unificado con el que buscamos ser transparentes durante todo el proceso de consecu-ción del plan.
restabLecer eL Liderazgo
Pero no se trata de un plan cerra-do, estático. Seguimos escuchando a nuestros clientes, empleados, instituciones, grupos sociales..., para construir un plan 2020. Y este plan no busca un objetivo fácil. El consejero delegado del Grupo, Antony Jenkins, estima que tar-daremos de cinco a diez años en restablecer la cultura y liderazgo adecuados y para hacer que nuestra
estrategia Citizenship forme parte de las decisiones que tomamos to-dos los días. Pero no hay plan B. En Barclays estamos convencidos de que aquellos bancos que no entien-dan la necesidad de este cambio se quedarán atrás. La reputación, eso que dicen de ti cuando sales de una sala, es el fruto de la confianza; y la confianza se forja en lo que haces, no en lo que dices. Por eso, los bancos debemos demostrar con hechos que hemos aprendido la lección, y no solo con dimisiones de cúpulas directivas o pagando multas.
acabar con La “bestia”
Albert Camus dijo: “Un hombre sin ética es una bestia salvaje soltada en este mundo”.La sociedad, que incluye a sus em-pleados, familias, clientes, accionis-tas, instituciones..., todos esperan mucho de nosotros y hacen bien en tener grandes expectativas. Tanto los responsables de RSC como los auditores internos jugamos ahora un papel crucial dentro de nuestras empresas y no podemos fallarles. Hay que ser valientes en nuestra función y acabar con la “bestia” de la que habla Camus. Probablemente no habrá reconoci-miento ni aplausos por hacer bien nuestro trabajo; pero especialmente nosotros sabemos que la opinión que más vale en el mundo es la de nuestra conciencia.
Para recuperar la reputación, debemos demostrar con hechos que hemos aprendido la lección, y no solo con dimisiones de cúpulas directivas o pagando multas.
ai16
Puig tiene establecida una matriz de marcas/mercados en la que para cada merca-
do se priorizan las marcas que se comercializan en el mismo. Auditoría Interna audita:Mercados: Auditoría completa,
incluyendo cómo se comportan las marcas en el mercado.Marcas: Se auditan como gestores de licencia y como centros de coste.Para nosotros, la matriz es un proceso en el que las marcas y los mercados se alinean en:
raMón Martí ayxeladirector de auditoria interna de puig
AuditoríA internA del áreA de PublicidAd, MArketing y relAciones PúblicAsPara realizar la auditoría interna de las áreas de publicidad, marketing y relaciones públicas con el modelo de las Tres Líneas de Defensa, debe estar perfectamente definido el papel de cada una de ellas.
MPG es la agencia de medios globales del grupo H.Q. de desarrollo internacional y se negoció una cantidad fija de honorarios de agencia (2%). Preguntar al marketing manager el porcentaje pagado por la business unit.
control en HQSegún el procedimiento de Reporting definido por International Media HQ, el departamento local de marketing debería reportar a HQ los resultados de cada campaña publicitaria.Normalmente estos documentos los crean agencias de medios locales. Sin embargo, son los equipos de marketing local los que deberían reportarlos a HQ Además, el Media Budget Report también debería reportarse a HQ mensualmente.
Informes de Postcompra
Informes enviados aInternational Media HQ.
Solicitar a International Media HQ todos los informes enviados por la unidad auditada durante el periodo del alcance de la auditoría.
Preguntar si la Business Unit reporta sus Media Plans a International Media HQ.
control en país1.- Revisar cómo se evalúa la implementación del Media Plan por los equipos de marketing incluyendo todas las marcas y tipos de Media (normalmente la agencia de Medios suele emitir los informes post compra detallando los resultados logrados).
2.- Revisar lor reportes de post compra e identificar las desviaciones entre los objetivos de Media y los resultados reales y comprobar si se identificaron e investigaron por el equipo de marketing.
3.- Revisar cómo los equipos de marketing evalúan la efectividad y la eficacia del Media Plan incluyendo todas las marcas y tipos de Media.a) Eficiencia: Cuota de mercado vs cuota de inversión vs competidores vs VMS son análisis habituales que pueden destacar excesos de inversión. Comprobar que marketing está llevando a cabo esta clase de análisis. Llevar a cabo el análisis en caso de tener los datos disponibles e investigar cualquier anomalía.b) Efectividad: El impacto de las campañas sobre sell-out y VMS son herramientas habituales de análisis para evaluar la efectividad del Media Plan. Comprobar si Marketing está llevando a cabo esta clase de análisis. LLevar a cabo el análisis en caso de que los datos estén disponibles e investigar cualquier anomalía.
Evaluación de los resultados de la campaña publicitaria y contrastarlos con los objetivos.
Comparación de inversiones en Media vs cuota de mercado vs cuota de inversión.
Análisis del Media Plan en sell-out y VMS.
Informes de post compra de la agencia de Medios.
Cuota de mercado vs cuota de inversión vs competidores.
Share of Investment/Voice vs VMS analysis
1.- Solicitar a las filiales los informes de post compra de la agencia de Medios. Identificar cualquier desviación entre lo planificado y lo real y pedir información en la business unit.
2.- Escoger una muestra de facturas MPG* de la business unit y comprobar que los honorarios de las agencias corresponden a la tarifa acordada globalmente del 2%.
ai 17
● Visión a largo plazo del portafolio en cada mercado.● La repartición estratégica de los recursos de Publicidad y Promoción A&P por cada marca de forma que se maximice el potencial del portafolio de acuerdo con la visión a largo plazo.Esto supone definir para cada marca su visión a largo plazo, consistente en ver en los diferentes países cómo es-tán posicionadas las mismas y cuánto se va a invertir en cada una.En cualquier caso, los criterios de inversión dependerán de la posición del producto en el mercado (top 10, top 20 o top 50). Asimismo, cada año se decide cuánto “se arriesga” en la inversión publicitaria en los nuevos lanzamientos (cuadro a la derecha). Una vez comprendida la forma de trabajar en Puig, vamos a ver cómo Auditoría Interna audita las áreas de Publicidad, Marketing y Relaciones Públicas. El modelo está basado en Las tres Líneas de Defensa. Es prác-ticamente imposible auditar estas áreas si no está claramente definido el rol de cada una de las líneas.Nuestro primer trabajo fue definir tanto en el mapa de riesgos como en las guías de auditoría qué debía controlar y cómo debía hacerlo cada línea de defensa.
Publicidad: En la segunda línea de defensa auditamos (cuadro Control en HQ):● Si se ha hecho la matriz de inver-sión por línea/país y se ha compa-rado con las inversiones que hacen nuestros competidores en el mismo y, en el caso de nuevos lanzamientos, si con las inversiones propuestas se alcanza el nivel mínimo de visibilidad tanto en televisión como en digital.● Si han analizado los planes que los países han enviado con los resultados de cada campaña y, si no se han ob-tenido los previstos, qué acciones han tomado vis a vis de la agencia.En los países auditamos (cuadro Control en país):● Si han seguido la política de inver-sión definida por las marcas.● Si han hecho los análisis pre y post campaña y se han enviado a Desa-
rrollo Internacional para su análisis y verificación.● Si la agencia ha facturado las tarifas pactadas a nivel mundial.
Marketing: Aquí auditamos dos aspectos:● Marketing de desarrollo que se hace en las marcas● Marketing de terreno que se audita en los mercados.En Marcas auditamos:● Si tienen en cuenta los costes obje-tivos en el desarrollo de productos.● En el caso de marcas que no sean propias, el tiempo que tardan en obte-ner la aprobación del licenciatario y si se ha puesto en riesgo el lanzamiento en algún país por no tener la autori-zación en la fecha prevista.● Si han integrado en el proceso de desarrollo los comentarios que han hecho los países, tanto en el IAC (reunión anual donde se presentan los planes de marketing del año siguien-te) como en las reuniones trimes-trales de presentación de avance de proyectos.
En Mercados auditamos:● Secuencia de inversiones publici-tarias con planes en los clientes y su impacto en la parte de mercado que nos da la eficacia de la campaña.● En marcas distribuidas, cumpli-miento del contrato de distribución.● Situación de la marca en el punto de venta en relación tanto con los com-petidores junto a nuestros productos como si se respeta el layout que las marcas han diseñado.● Mercado paralelo: productos que vienen de otros mercados.● Visuales: control de los mismos en el punto de venta y control de destruc-ción de los que ya no están en vigor.
relaciones Públicas: Auditamos los objetivos de campaña desde el punto de vista cualitativo (número de páginas objetivo valorizadas y número de páginas obtenidas valorizadas) como cuantitativo; inversión realizada versus número de páginas obtenidas valorizadas y presencia de la marca en la prensa durante todo el año con-tra el objetivo planteado por RRPP.
4 grupos = 4 estrategias de inversión con objetivos específicos y coherentes con A&P KPls y A&Pmix
Tratamiento de Leader
Top 10
NR & Media >total
se debe invertir
Tratamiento de aspirante a Leader
Top 20
NR & Media de acuerdo con la
parte de mercado
inversiones seguras
Caso a casoTop 50
Foco en punto de venta
planes alternativos
de a&p
Lanzamientos
Definir el objetivo VMS e invertir en
A&P
inversiones arriesgadas
8País 1Zona 5
11País 1Zona 4
9País 1Zona 2
8997
País 1 País 2País 3País 4
Zona 1
9868
País 1 País 2País 3País 4
Zona 3
TRADUCIR LA ARQUITECTURA DE LA MATRIz A LARgo PLAzo EN CATEgoRíAS DE INVERSIóN
ai18
Veinte años después de la crea-ción del Marco integrado de Control Interno, publicado en
1992, el Committee of Sponsoring Or-ganizations of the Treadway Commis-sion (COSO) presenta la versión ac-tualizada de dicho marco. El objetivo principal de la misma ha sido facilitar a las organizaciones el desarrollo, implementación y mantenimiento de sus sistemas de control interno, de manera que ayuden a cumplir con sus objetivos de negocio.Esta nueva versión actualizada man-tiene con respecto a la versión origi-nal su hincapié en la importancia del criterio profesional de la dirección en el diseño, la implantación, el funcio-namiento y la evaluación del control interno, así como definiciones básicas de control interno y de sus cinco componentes (entorno de control, evaluación de riesgos, actividades de control, información y comunicación, actividades de monitorización).
PrinciPales noVedades...
En cuanto a las principales nove-dades, el Marco incluye mejoras y aclaraciones destinadas a facilitar su aplicación y su uso. Una de las mejo-ras más significativas es la formaliza-ción de los conceptos fundamentales que fueron presentados en el marco original, en lo que el Marco actualiza-do llama principios. Dichos principios, que se desglosan en puntos de en-foque, se asocian a los cinco compo-nentes y proporcionan claridad a la
hora de diseñar, implantar y supervi-sar un sistema de control interno.Asimismo, el Marco ha sido mejorado a través de la ampliación del obje-tivo de información, para incluir el reporting, tanto interno como externo y financiero como no financiero. Dicho cambio está en línea con las tenden-cias de reporting integrado en las grandes corporaciones a nivel mun-dial. De igual manera, el Marco refleja los cambios producidos en el entorno empresarial de las últimas décadas. Así, si nos detenemos en algunos de los avances más significativos, pode-mos destacar los siguientes aspectos:
● Hace referencia de manera espe-cífica a las responsabilidades de su-pervisión de los órganos de gobierno, destacando la relevancia de los mis-mos para que un sistema de control interno sea efectivo. En esta misma línea se ha pronunciado la mayoría de los reguladores de los mercados bursátiles a nivel internacional. In-cluso podemos decir que el Marco va más allá y se alinea con los inverso-res institucionales y otros grupos de interés (por ejemplo, proxy advisors), en temas clave (por ejemplo, compo-sición) sobre el Consejo de Adminis-tración y los diferentes comités de dirección, auditoría, nombramientos y retribuciones, entre otros.● Incluye la globalización de los mercados y las operaciones como uno de los factores que más cambios suponen en un sistema de control interno. De esta forma, las organiza-
ramón abellaSocio reSponSable de Governance, riSk and compliance de pwc
tamer daVutdirectorde pwc
Impacto en el mercado del nuevo marco de control Interno coSoLa actualización del Marco Integrado de Control Interno aporta valor añadido para cualquier tipología de organización, independientemente de su tamaño, dedicación o sector.
ai 19
ciones más internacionalizadas deben definir claramente el alcance de su sistema de control interno, el cual debe acompañar a sus operaciones más relevantes a nivel global.● Hace referencia a la creciente com-plejidad de las leyes, reglas, regula-ciones y normas, tanto internas como externas, e incluye referencias sobre la forma en que deben integrarse en un sistema de control efectivo.● Aporta claridad sobre el uso de las tecnologías en materia de control interno, incidiendo en la creciente re-levancia de los controles automáticos generales y los controles automáticos transaccionales. ● Toma el concepto de fraude del Marco original, para ampliarlo y subrayar la relevancia de un buen sistema de control interno para su prevención y detección. En definitiva, la gestión del riesgo de fraude no puede verse ni tratarse como algo separado del resto del sistema de control interno.
...Y los beneficios
Entre los principales beneficios que pensamos que aporta el Marco actua-lizado está el de ofrecer un modelo más práctico para apoyar a la direc-ción y al consejo de administración de las compañías en el desarrollo de sus responsabilidades. ¿En qué se traduce esto? En una mayor confian-za para los grupos de interés en la supervisión efectuada por el consejo, el cumplimiento de los objetivos de la
entidad y la capacidad de la orga-nización para identificar, analizar y responder a los riesgos y los cam-bios que se produzcan en el entorno operacional y de negocio. Por otro lado, facilita el entendimiento sobre qué es un sistema de control interno efectivo y cómo debe ser la aplicación del criterio profesional oportuno en este ámbito.De forma complementaria al Marco, se publican referencias adicionales (en forma de anexos): las herra-mientas ilustrativas para evaluar la efectividad de un sistema de control interno proporcionan plantillas y escenarios que pueden ser útiles en su aplicación.Adicionalmente, el documento Control interno sobre la información financiera externa: un compendio de métodos y ejemplos ha sido publi-cado con el objetivo de proporcionar enfoques prácticos y ejemplos que ilustran cómo los componentes y principios enunciados en el Marco se pueden aplicar en la preparación de los estados financieros. Por otro lado, previo a la publicación del Marco, COSO publicó la Guía para la super-visión de sistemas de control interno para ayudar a las organizaciones a entender y aplicar actividades de supervisión dentro de un sistema de control interno. Si bien fue preparada para ayudar en la aplicación del mar-co original, COSO considera que sigue vigente para el Marco actualizado.En definitiva, el Marco actualizado aporta un enfoque más práctico que
el Marco original y se adapta a los numerosos cambios materializados durante los últimos 20 años, tanto en el entorno empresarial, como normativo. Por esta razón, se trata sin duda de una herramienta a conside-rar para todos los involucrados en los sistemas de control interno. En este sentido, podemos concluir que el Marco actualizado es válido y aporta valor añadido para cualquier tipología de organización, independientemente de su tamaño, dedicación o sector, aunque sí es cierto que el impacto práctico dependerá de su madurez y sus singularidades.
El actualizado Marco Integrado de Control Interno ofrece un modelo más práctico para apoyar a la dirección y al consejo de administración de las compañías.
ai20
El acceso a Internet es hoy en día un servicio universal. De hecho, se ha convertido en un derecho
básico del ciudadano para el que los gobiernos aplican políticas activas orientadas a evitar la exclusión digital. El uso de las redes sociales y los dispositivos móviles, smartphones y tablets se ha masificado. En el ámbito empresarial, el acceso a internet se ha convertido en una necesidad vital en la que una parte importante de los modelos de creci-miento a futuro se basan en la Red. La interconexión de nuestras sedes, la relación con nuestros partners, clientes e incluso autoridades no son posibles sin acceso a internet. El comercio online bate records año tras año. La “internet de las cosas” es ya una realidad con más de 200 millones de dispositivos conectados y con una expectativa de crecimiento de 50.000 millones de dispositivos en 2020.Pero esta revolución digital tam-bién tiene su lado oscuro. Todo este nuevo ciberespacio hiperconectado crea oportunidades crecientes y muy lucrativas para el cibercrimen y los hackers en general. A día de hoy, las estimaciones de la administración americana cifran este negocio en el 1,75% del PIB mundial (1,3 billones de dólares).
Evolución dEl hacking
En los años 90, la motivación principal del hacker es el reconocimiento. El hacker busca su lugar dentro de una
comunidad cerrada y jerarquizada que valora sobre todo el conocimiento y la habilidad.En el nuevo milenio, con la evolución de los ordenadores personales y las telecomunicaciones, el acceso a las nuevas tecnologías se hace más asequible. Jóvenes entusiastas, con especial interés por el mundo de la seguridad, comienzan a agruparse en comunidades underground con el fin de compartir técnicas y conocimien-tos a través de foros, canales IRC, BBS, etcétera. En la actualidad, las motivaciones han cambiado; los escritores de virus ya no buscan llamar la atención. Se de-sarrollan nuevas formas de malware que buscan la infección masiva de equipos. Aparecen las botnets: redes de miles de equipos infectados (zom-bies) al servicio de cibercriminales. Este malware ha ido evolucionando de forma que las botnets han empezado a expandirse a los dispositivos móvi-les. Aparece el malware 2.0 orientado a las redes sociales.Se desarrolla un auténtico tejido empresarial en torno al cibercrimen. Aparecen nuevos modelos de negocio extraordinariamente rentables. Los cibercriminales se organizan en dife-rentes perfiles: coders, desarrollado-res expertos que venden su producto a otros para que lo exploten (de forma amigable, sin necesidad de cono-cimientos técnicos); script-kiddies que manejan estas herramientas y generalmente venden la informa-ción obtenida a través de canales
Eduardo mEdranoDirector corporativo De auDitoría De reD y SiStemaS De telefónica
Ciberriesgos y HaCking étiCo Como aCtividad de auditoría interna La experienCia de teLefóniCaLa masificación de internet conlleva muchos beneficios, pero tiene riesgos, como el cibercrimen. El hacker ético ayuda a gestionarlos.
ai 21
IRC especializados (listas de correo, tarjetas de crédito, números de telé-fono, etcétera); carders, responsables de falsificar las tarjetas de crédito utilizando los datos robados; mulers encargados de convertir esta informa-ción en dinero real mediante cajeros automáticos o agencias de envío de dinero, etcétera.
la protEsta social llEga a la rEd. El hacktivismoAparte de las amenazas ya existentes surge una nueva figura dentro del mundo de la seguridad informática a tener en cuenta: el hacktivista. Las motivaciones del hacktivista no son económicas; tampoco buscan el reconocimiento. Hablan de denuncia pública, de reivindicación, de ideolo-gías y de derechos. El robo y la publicación de informa-ción confidencial, las alteraciones de páginas webs (defacements) o los ataques de denegación de servicio suelen ser sus actividades más habituales. Wikileaks o más recientemente los Grupos Anonymous y LuzlSec son algunos ejemplos bastante represen-tativos en torno a esta nueva forma de expresión.
tEndEncias dE futuro. El hacking dEl siglo XXi
En el Plan Estratégico de Seguridad Nacional del Gobierno de España, los ciberriesgos son una de las ame-nazas emergentes que requieren mayor atención. (Francisco Martínez Vázquez. Secretario de Estado de Seguridad. ENISE 2013)El ciberespionaje. El fenómeno Wiki-leaks puso de manifiesto que la fuga de información se convertirá con total seguridad en un problema grave durante los próximos años. A los mo-vimientos reivindicativos interesados hay que sumar otras motivaciones tales como el espionaje industrial o el soborno y la extorsión de las cibermafias. A este nuevo formato de espionaje se han unido con fuerza desde hace algún tiempo también los gobiernos.
El ciberterrorismo. Los sistemas SCADA se consolidan y se conectan a Internet. Se detectan los primeros ataques contra este tipo de objetivos. Un nuevo gusano salta a la prensa: Stuxnet. Su principal característica es la capacidad para espiar y reprogra-mar sistemas industriales (PLC). En concreto, ataca a sistemas SCADA de control y monitorización de procesos y puede llegar a afectar a infraestruc-turas críticas tales como centrales nucleares. Existen otros ejemplos re-cientes como la intrusión que la NASA reconoció a varios de sus satélites o el ataque sufrido contra una bomba hidráulica de una estación de bombeo de agua potable de Illinois.La ciberguerra. La OTAN considera en su estrategia actual al ciberespa-cio como un escenario más de gue-rra. En consonancia con ello varios países occidentales, incluido España, (los del Este y China ya llevan tiempo en ello) han creado unidades milita-res de ciberguerra. La aplicación del arte de la guerra con estrategias de defensa, pero también de ataque, la dotación de recursos, los programas de I+D+i en ciberarmas supondrán un cambio importante en los mode-los y esquemas de protección nacio-nales. La particularidad principal del ciberespacio es que en él se está en contacto permanente con el enemigo.
El hacking ético como actividad dE auditoría intErna
El hacker ético o White Hat como especialista de ciberseguridad es un perfil cada vez más demandado por las organizaciones. Entidades priva-das, cuerpos y fuerzas de seguridad y, recientemente, las Fuerzas Armadas están reclutando y formando este tipo de perfiles.Esta actividad lleva desarrollándose desde los inicios del hacking y se ha convertido en una actividad altamente profesionalizada, regida por presti-giosos estándares internacionales como OSSTMM (Open Source Security Testing Methodology Manual) o CVSS (Common Vulnerability Scoring Sys-tem) para la identificación y valoración
de los ciberriesgos. También se han ido construyendo por parte de la comunidad internacional de hac-kers White Hat importantes guías de referencia de ciberseguridad como OWASP (Open Web Application Secu-rity Project) o CIS (Center for Internet Security).Este perfil profesional al servicio de Auditoría interna aporta importantes ventajas a la hora de gestionar los ciberriesgos en las organizaciones, ya que permite:
● La auditoría a distancia de entornos complejos en cualquier ubicación accesible desde internet o la intranet de la compañía.● Identificar los vectores de ataque más factibles y analizarlos para cali-brar el riesgo real que supone para la compañía.● Identificar los activos que están expuestos a internet y obtener de forma remota las correspondientes evidencias.● Hacer un seguimiento ágil y eficien-te de los planes de remediación al permitir un retesting inmediato para verificar la efectividad de las medidas correctivas adoptadas.● Análisis forense detallado para calibrar el daño alcance real de una intrusión e identificar los vectores de ataque utilizados.En definitiva, el hacker ético permite a las unidades de AI la auditoria a dis-tancia de forma eficiente y eficaz del nivel de ciberseguridad de los activos clave de las organizaciones.
Las estimaciones que maneja la administración americana cifran el negocio del cibercrimen en el 1,75% del PIB mundial (1,3 billones de dólares).
ai22
La incorporación al ordena-miento jurídico español de la responsabilidad penal de las
personas jurídicas mediante la Ley Orgánica 5/2010 (en vigor desde el 23 de diciembre de 2010), ha supuesto que las organizaciones más expues-tas, ya sea por razón de tamaño, de estructura o del sector de actividad en el que operan, hayan desarrollado e implementado modelos de cumpli-miento penal o de Corporate Defense, con el objetivo de prevenir y detectar conductas delictivas que pudieran producirse en el seno de su organi-zación.Si bien el Código Penal vigente no establece medidas concretas que delimiten adecuadamente qué se en-tiende por debido control, el Proyecto de Reforma del Código Penal, que actualmente se encuentra en fase de tramitación parlamentaria, sí clarifica qué requisitos deben cumplir estos modelos, que denomina modelos de organización y gestión, y además describe las exigencias requeridas por el legislador para considerar su funcionamiento como eficaz, condi-ción necesaria para eximir a la perso-na jurídica de responsabilidad penal. Establece también que la supervisión del funcionamiento y cumplimiento del modelo debe confiarse a un ór-gano interno de la organización, que cuenta con poderes autónomos de iniciativa y control.Otro novedoso aspecto del menciona-do proyecto de reforma es la intro-ducción de una nueva figura delictiva,
que puede sancionar con penas de hasta un año de prisión a los repre-sentantes legales o administradores (de hecho o de derecho) que dejen de adoptar las medidas necesarias para evitar la comisión de delitos, enten-didas éstas como el desarrollo e im-plantación de modelos de prevención y detección de delitos.
actividades necesarias
Así pues, la organización que desee desarrollar un modelo de Corporate Defense, que cumpla con lo exigido en el proyecto de reforma, debería llevar a cabo las siguientes activi-dades:
● Analizar los riesgos, identificando las actividades en cuyo ámbito pue-den ser cometidos los delitos.● Una vez se disponga de un mapa de riesgos por actividades, deben asociarse a dichos riesgos las polí-ticas, normativas y controles de que dispone la organización. La necesidad de contar con modelos de gestión de los recursos financieros que sean adecuados para impedir la comisión de delitos, adquiere gran relevancia en el Proyecto de Reforma. ● Imponer la obligación de informar de potenciales riesgos e incumpli-mientos al órgano encargado de supervisar el funcionamiento y cum-plimiento del modelo.● Establecer un sistema disciplina-rio que sancione adecuadamente el incumplimiento de los controles
carLota BaLet GusiLsAsesoríA jurídicA y compliAnce de AlliAnz
MiGueL ÁnGeL BerzaL aLonsosocio directorde ey
ImplantacIón de un modelo de corporate defense la experIencIa de allIanzPara desarrollar este modelo, hay que analizar los riesgos, hacer un mapa de los mismos, informar de los incumplimientos al organismo supervisor y establecer un sistema de sanciones.
ai 23
establecidos en el modelo, que per-mita reforzar la cultura de cumpli-miento de la legalidad. La verificación periódica y la actualización constante del modelo son requisitos indispen-sables establecidos en el proyecto de reforma para considerar que su funcionamiento es eficaz.En EY, venimos ayudando desde 2010 a las organizaciones, tanto nacio-nales como grupos internacionales radicados en España, a desarrollar estos modelos mediante la revisión de los procedimientos establecidos en materia de cumplimiento penal, centrándonos, particularmente, en la evaluación del análisis de riesgos y la adecuación y suficiencia del marco de control definido por la organización para prevenir y detectar la ocurrencia de ilícitos penales en su seno.
diaGnóstico de La situación
Esta evaluación nos permite realizar un diagnóstico de la situación de la organización, contrastándola con los requerimientos normativos y las mejores prácticas empresariales na-cionales e internacionales y, de este modo, obtener un plan de acción que contenga las medidas a desarrollar e implementar por la organización, con el fin de complementar su marco de control y adecuarlo a las particulari-dades de la aún novedosa responsa-bilidad penal de la persona jurídica.Las conclusiones de nuestro análisis sobre el diseño del modelo y sobre el correcto funcionamiento de sus
controles, se incorporan a un informe de experto, que puede ser aportado a un eventual procedimiento judicial en caso de imputación penal de la organización.Asimismo, hemos venido asesorando a las organizaciones en la definición de las actividades y características que debe cumplir el órgano encarga-do de la supervisión y actualización del modelo; en la definición de un proceso de autoevaluación interno; en el diseño de un plan de respuesta ante delitos, así como un plan de for-mación para concienciar a directivos y empleados. Todos ellos son aspec-tos necesarios que deben incorporar los modelos de organización y gestión para la prevención de delitos.En definitiva, las organizaciones que cuentan con modelos de Corporate Defense eficaces se encuentran mu-cho mejor posicionadas para prevenir y detectar ágilmente hechos delicti-vos en su seno, lo que les permitirá, de acuerdo con el proyecto de refor-ma, quedar eximidas de responsabi-lidad penal. Otros aspectos positivos que estos modelos pueden aportar a las organizaciones son la mejora del entorno de control y el fomento del buen gobierno y de la responsabilidad social. La verificación periódica de estos modelos por parte de un exper-to externo e independiente, no solo permite identificar áreas de mejora que ayuden a su perfeccionamiento, sino que favorece su credibilidad ante terceros y, especialmente, ante los tribunales.
Las organizaciones con modelos de Corporate Defense eficaces se encuentran mucho mejor posicionadas para prevenir y detectar ágilmente hechos delictivos en su seno.
ai24
Vamos a hablar sobre el futuro del reporting. Antes de co-menzar en profundidad con mi
presentación, quiero comentar unos antecedentes. El objetivo del equipo que lleva trabajando en el Informe Integrado desde 2010 es el de recon-ciliar dos preocupaciones principa-les: contribuir a la sostenibilidad del planeta y contribuir a la estabilidad financiera.Este objetivo sigue siendo válido, en primer lugar, porque desde 2008 tenemos una crisis financiera, un tumulto financiero. Una desconfianza geográfica, y desconfianza en los que toman las decisiones. Así que tene-mos que enfrentarnos al tumulto y a las dudas y, si queremos un mundo mejor, tenemos que responder a las necesidades de transparencia y res-ponsabilidad, que son la respuesta definitiva a la falta de confianza.En respuesta a la crisis y a los nuevos comportamientos y pensamientos de la gente tenemos que encontrar una nueva forma de gestión. Esto es lo que busca el Informe Integrado. Su historia se centra en la creación de valor. Es parte de un movimiento glo-bal que se llama capitalismo respon-sable o economía positiva. Tenemos que explicar siempre esto, porque mucha gente no cree que la economía o el capitalismo puedan crear valor en el tiempo. Dicho esto, tenemos cuatro objetivos más específicos, cuatro metas:1. Promover un enfoque más cohe-rente y eficiente del reporting, que
unifique distintas actividades y comu-nique todos los factores que tienen la capacidad de afectar la creación de valor en el tiempo. Eso quiere decir que es una manera integrada de hacer negocio.2. Informar sobre la distribución del capital financiero y sobre las prácti-cas de votación de las entidades que proveen financiación. Esto significa que, en todos los factores que tienen que monitorizar para gestionar ade-cuadamente el negocio, no hay que olvidarse de los factores financieros. Porque si existe un déficit financiero, al final tampoco se podrán gestionar los demás factores. Así, los primeros usuarios de un Informe Integrado, después de la alta dirección, después del Consejo, serán los inversores. No es una nueva forma de RSC. El informe integrado debería conec-tar los asuntos financieros y los no financieros.3. Asignar responsabilidad y admi-nistración sobre todo el capital. Una noción amplia de capital es clave. Hay seis fuentes de capital: Financie-ro, Productivo, Intelectual, Humano, Social y Natural.El Informe Integrado debería reflejar la estrategia de la compañía, reflejar su ADN, debería contar la historia sobre la creación de valor. Es la responsabilidad de las empresas identificar qué fuentes de capital tienen más importancia. El marco no es una biblia. Hay consenso sobre que sean seis fuentes, pero podrían ser cuatro o siete, lo importante es
PhilliPe Peuch-lestradeInternAtIonAl IntegrAted rePortIng CounCIl (IIrC)
El nuEvo Paradigma: El informE intEgrado
El Informe Integrado, un resumen de la información disponible de una empresa, debería reflejar la estrategia de la compañía, su ADN. Es el marco para dar respuesta a las necesidades de transparencia.
ai 25
entender las interaciones entre las distintas fuentes para crear valor.4. Promover el pensamiento integral y la toma de decisiones y acciones que están centrados en la creación de valor en el corto, medio y largo plazo. Como resultado, tenemos unas características de lo que debe-ría ser el Informe Integrado: conciso, enfocado en la estrategia y orientado al futuro.
insatisfacción
Hay que preguntarse: ¿hay al-guien conforme con los informes actuales?¿Está satisfecha la di-rección? ¿Hay mucha información interna y externa? ¿Los empleados están satisfechos? ¿Los candidatos a empleados lo están? ¿Los accio-nistas, el consejo, los clientes, la cadena de valor, el gobierno están satisfechos? Lo dudo.Tenemos demasiada información, es demasiada compleja y difícil de comprender por alguien que no sea un experto. Y, en último lugar pero no menos importante, la informa-ción se centra en exclusiva en el pasado. Y por el contrario, el Informe Integrado debe ser un resumen de la información disponible, tenemos que generalizar la difusión de informa-ción que hasta el momento está reservada a una audiencia reducida y privada. Es una cuestión de demo-cracia económica.He explicado el propósito del Informe Integrado, pero una cosa que no he explicado es el tema de la valora-ción. Uno de los puntos de arranque que hemos empleado en el viaje del Informe Integrado es el análisis de muchos estudios y, en términos de valoración, los expertos basan su juicio en elementos que no son puramente financieros. La pregunta es si esa valoración es adecuada. Te-nemos una valoración correcta, pero tenemos que enfrentarnos al valor que tiene el capital no financiero.El ejercicio ha de ser conciso; ade-más, un input positivo es lo que pode-mos llamar pensamiento integrado y representa una nueva forma de cola-
boración entre unidades de negocio y funciones y ha ayudado a romper los silos entre la organización.
la imPortancia de la formación
Déjenme mencionar, por ejemplo, la política de formación. Normalmente esto es competencia de recursos hu-manos. El único momento en el que se comunican con otro departamento es cuando el controller dice que hay que reducir el coste de la formación en un 5%. Esta medida no es positiva para la creación de valor en el futuro. Con el pensamiento integrado, a nivel de comité de dirección hay que tener una discusión sobre lo que debe ser el contenido de la política de formación. Por ejemplo, si se ve que el nivel de satisfacción del cliente decrece, se debe reajustar el enfoque de la formación para tratar mejor a los clientes. Hay que explicar cuál es el resultado de la formación. Si se da formación es porque es algo que produce valor y eso es el pensa-miento integrado.Hay dos pilares fundamentales del marco: que sea una iniciativa basada en el mercado encontrando un equilibrio entre la flexibilidad y la prescripción, lo que es difícil. El segundo pilar, es que debe ser un Informe único.
contenido tíPico
Por último, vamos a ver cuál es el contenido típico de un Informe Inte-grado. Hay que empezar por conocer cuáles son las fuentes principales de información para muchas empresas. En el borrador que lanzamos en abril, analizamos las respuestas de 360 or-ganizaciones para ver cuáles eran las palabras más usadas en sus respues-tas. Para el 48% de los empresarios y el 12% de los inversores y analistas, fueron información en primer lugar, financiero en segundo y capitales en tercero. Como ven, nos alejamos de lo que tradicionalmente se consideraba el campo de la sostenibilidad.El informe integrado no es solo la
unión de dos informes: financiero y no financiero. El propósito real es re-cobrar la confianza en los mercados financieros, prestar más atención a las distintas necesidades de los stakeholders, que sea conciso, y, en último lugar, que mejore la imagen en el mercado.
El Informe Integrado se caracteriza por ser conciso, estar enfocado a la estrategia y orientado al futuro.
ai26
En esta exposición, pretendo disertar y reflexionar sobre qué son y qué pretenden la
Inteligencia Empresarial moderna y la Inteligencia Económica del Estado y por qué se deben considerar ambas como disciplinas de gestión de primera magnitud para potenciar la consecución de los intereses estra-tégicos de una empresa, el servicio a sus clientes, la sociedad, etcétera. Todo ello articulado dentro de un dominio de internacionalización de la economía y de los mercados en el que hoy hay que desarrollar la acti-vidad de creación de valor y utilidad, y en igualdad o mejores condiciones que cualesquiera otros actores y agentes que en ellos operan.
rEcolEcción dE datos
Se ha hecho común llamar Inteligen-cia, con mayúsculas, a la captura de datos e información y su interpreta-ción con la ayuda de algoritmos pro-gresivamente sofisticados. Debido a los progresos tecnológicos recientes, el trabajo de los distintos servicios y gabinetes que se ocupan de esas tareas ha experimentado un cambio notable de paradigma. Se ha pasado en este sentido de la recolección y el análisis artesanal de datos ligados a las capacidades y perspicacia de personas, a una, digamos, inteligen-cia científica, en la que los datos se recolectan de forma masiva —en lo que el Big Data es un epítome— y se interpretan más o menos automá-
ticamente por diversos algoritmos numéricos, procedimientos estadísti-cos, etcétera, ya existentes. El mundo físico parece que se ha convertido así en un sistema de información colosal.La información referida a asuntos humanos, económicos y políticos se está haciendo actualmente tam-bién con técnicas muy avanzadas que se han ensayado primero en la comprensión del mundo físico. Se trata de un gran avance, pero no convendría olvidar que las ecuacio-nes y los algoritmos humanos son infinitamente menos simples que los puramente físicos. Entraremos a describir en la presen-tación los ámbitos y niveles en los que actúa la Inteligencia Empresarial y sus objetivos en cada uno de ellos, así como su cadena de valor general y los drivers o impulsores que han motivado el considerar la informa-ción como una especie de recurso energético a escala mundial que hay que obtener, cuidar y optimizar de cara a servir una estrategia de medio o largo plazo de la organización que la utiliza.Internet, la globalización y la in-mediatez y visibilidad de todo tipo de datos a escala mundial facilitan enormemente acceder a datos de todo tipo y guardarlos para su pos-terior tratamiento o venta, cuando se pueda obtener beneficio de ello, y son muchas las actividades mer-cantiles y de diversa especie las que pueden beneficiarse de explotar estos yacimientos de información tan
José luis dE la FuEntE o’connorIberdrolaProfesor TITular de la unIversIdad PolITécnIca de MadrIdPresIdenTe de la asocIacIón esPañola Para la ProMocIón de la InTelIgencIa coMPeTITIva
IntelIgencIa empresarIal y económIca en un domInIo de InternacIonalIzacIónLa captura de datos e información y su interpretación, es decir, la Inteligencia, ya sea empresarial o económica, puede ser una disciplina de desarrollo extremadamente útil.
ai 27
útil como precisa. Su repercusión en la democratización de los usos y costumbres, en la capacidad de seguimiento de desarrollos por la sociedad civil y en la vigilancia crítica de qué consumimos y necesitamos se hará habitual en muy poco tiempo, incluso para empresas no demasia-do grandes, si se quiere actuar con cierta capacidad de influencia en ese entorno global marcado por la interdependencia de los países, las economías, las especificidades cultu-rales y personales, etcétera.La Inteligencia, sea la Empresarial o la Económica, tiene su razón de ser en servir a una estrategia que hoy necesariamente debe compaginar el ser sólida en el tiempo y el saberse adaptar en lo posible a los cambios de circunstancias acelerados que presiden este marco globalizado en el que nos desenvolvemos.
intEgración Estratégica
Para cualquier organización, la estrategia consiste en integrar sus valores, alcance de objetivos, capa-cidades y visión sobre oportunidades que se pueden obtener en derredor en un espacio de creación de valor donde converjan todos esos elemen-tos y se pueda desarrollar actividad creativa y lucrativa en el medio y lar-go plazo. El arte de equilibrar en ese espacio todas las áreas funcionales de una empresa, o las posibilidades de la economía de una nación, es a lo que debe contribuir la Inteligencia Empresarial moderna con todas sus fuerzas, técnicas, capacidad de dar respuestas y poner encima de la mesa preguntas.Mencionaremos también cuáles creemos que son las capacidades generales que idealmente deben poseer las personas dedicadas a los asuntos de Inteligencia y cómo conseguirlas con la oferta actual tan diversificada. También, qué aspectos del imaginario colectivo próximos a una inteligencia peliculera o novelera no se contemplan habitualmente a la hora de recabar información y transformarla en ese proceso colec-
tivo que es el poner la inteligencia al servicio de los colectivos de interés para una empresa o una economía. Aludiremos, desde nuestra experien-cia y visión de esta disciplina que es la inteligencia, a cuáles pueden ser los espacios de colaboración entre el tejido productivo de un país, nues-tro país, y un Estado emprendedor, estratega y, por qué no, atrevido (risk taker) como creemos debería ser el nuestro a imagen y semejanza de muchos otros de nuestro entorno natural o competidor.
aprEndiEndo a sErvir más y mEJor al cliEntE
Insistiremos en que la economía productiva de nuestro país debe sumarse cuanto antes, si no quere-mos ser una colonia en la era digital, a esta tendencia digital universal de obtener y gestionar nuestros propios datos, aprendiendo a buscar la información necesaria para mejo-rar y servir más adecuadamente a nuestros clientes, entendiendo su idiosincrasia y necesidades, sabiendo cuáles son sus intereses reales, por qué eligen a unos suministradores en vez de a otros, qué oportunidades se detectan de ello, y así gestionar los procesos de cambio continuo mucho más eficazmente. De esta manera, podremos ver un poco más allá del corto plazo coyuntural, intro-duciendo los modelos que interpre-ten la información adecuadamente y liderando el desarrollo de segmentos productivos basados en un internet industrial de alto valor añadido en el que el ADN propio es esencial. Limi-tarse a seguir la estela de los EE UU sería una forma de aceptar un nuevo colonialismo al que no tendríamos que someternos. La Inteligencia, otra vez con mayús-culas, y su cultivo colectivo como forma de actuar, puede ser una dis-ciplina incuestionablemente útil para conseguir que nuestro país y nuestra economía vuelvan a desempeñar un papel relevante en el escenario inter-nacional al que ya, definitivamente, no somos ni seremos ajenos nunca.
La economía productiva de nuestro país debe sumarse cuanto antes a esta tendencia digital universal de obtener y gestionar nuestros propios datos.
ai28
No todas las organizaciones tienen función de gestión de riesgos pero todas tienen
procesos de gestión de riesgos, más o menos formalizados. El concepto de excelencia en materia de gestión de riesgos consiste en hacer más eficaz y eficiente el proceso de toma de decisiones. Por lo tanto, la gestión de riesgos está en el propio ADN de las organizaciones; el bene-ficio (económico, social, medioam-biental…) se consigue mediante la aceptación inteligente de riesgos.Una mala gestión de riesgos es uno de los principales riesgos de una organización. Si no has identificado la gestión de riesgos como proceso clave, y no está en el plan anual de auditoría interna, tu organización está asu-miendo un riesgo de más, y repre-senta una limitación en el alcance de la auditoría interna. Las propias normas del IAI, específicamente el 2120 sobre Gestión de Riesgos, dice: “la actividad de auditoria interna debe evaluar la eficacia y contribuir a la mejora de los procesos de ges-tión de riesgos”. En cualquier caso, no debes incluir el proceso de ges-tión de riesgos en tu plan de audito-ría solo porque lo dicen las normas, sino porque el valor añadido que puedes aportar a tu organización es considerable, dando aseguramiento sobre uno de los procesos más crí-ticos. Las posibilidades de aportar recomendaciones de mejora y quick wins son enormes.
AuditoríA de CumplimieNto vs AuditoríA de efeCtividAd del proCeso
No existe un enfoque correcto o incorrecto para auditar el proceso de gestión de riesgos y cada organi-zación debería diseñar una auditoría que encaje con sus objetivos. No que-remos detallar un plan de auditoría estándar para tu organización, sino sugerir un enfoque de alto nivel para abordar y reportar constructivamente los resultados. Auditoría de Compliance: Podrías abordarla con un enfoque de cum-plimiento normativo. Hay modelos y marcos para implementar sistemas de gestión de riesgos, incluyendo los más conocidos COSO ERM y ISO 31000. Podrías adoptar un enfoque de checklist para determinar si la ges-tión de riesgos cumple con un marco. Sin embargo, en los últimos años, organizaciones que podrían haber tenido sistemas de gestión de riesgos con un enfoque de compliance han caído como castillos de naipes. Creemos que el valor añadido de este enfoque es limitado cuando no nulo. De hecho, el organismo ISO, autor de la ISO 31000, menciona expresamen-te la no certificabilidad. Además, ese enfoque es poco práctico cuando el sistema de gestión de riesgos es poco documentado o no formalizado. Auditoría de efectividad del proce-so: Por otro lado, está el enfoque de evaluar la efectividad del sistema de
José eNrique díAz meNAyADireCtor De AuDitoríA internA De bergé y CíA
ANdy douglAsSoCio De Control SolutionS
AUDITANDO EL PROCESO DE GESTION DE RIESGOS. UN ENfOqUE EN BERGé y CíALa gestión de riesgos es un proceso clave que debe incluirse en el plan anual de auditoría interna. Cada organización debe diseñar un programa específico, ya que no existe una receta única.
ai 29
gestión de riesgos, para evaluar si la estructura, alcance y objetivos de los procesos de gestión de riesgos realmente cubren las necesidades de la organización. Este es el enfoque que recomen-damos, especialmente en aquellas organizaciones que no cuenten con un sistema formalizado.
obJetivo de AuditoríA
A pesar de lo anterior, sí que cree-mos útil establecer un objetivo de cumplimiento de principios eficaces del sistema de gestión de riesgos. Esos principios sí los podemos encon-trar en el marco del ISO 31000. Espe-cíficamente, el sistema de gestión de riesgos debe:1. Crear valor. 2. Estar integrado en los procesos de la organización.3. Estar presente en el proceso de toma de decisiones. 4. Tratar explícitamente la incerti-dumbre.5. Ser sistemático, estructurado y se utilizado a su debido tiempo.6. Basarse en la mejor información de la que se dispone.7. Adaptarse a circunstancias locales y específicas.8. Valorar los factores humanos y culturales.9. Ser transparente e inclusivo.10. Ser dinámico, iterativo y sensible al cambio.11. Facilitar la mejora continua de la organización.
AlCANCe de AuditoríA
Hemos decidido que no queremos, ni podemos auditar la Función de Ges-tión de Riesgos por lo que debemos interactuar tanto con la primera línea de defensa como con la segunda en su integridad para tener un alcance adecuado. Debemos definir unos elementos para valorar si efectivamente contribuyen a que la gestión de riesgos alcanza esos principios.Los elementos críticos que debemos medir son:
1. Cultura y Filosofía de gestión de riesgos:● Mandato● Responsabilidad● Compromiso2. Arquitectura de riesgo● Roles ● Comunicación● Estructura Reporting3. Protocolos ● Normas● Procedimientos● Metodologías● Herramientas4. estrategia● Apetito● Estrategia● Política5. Proceso de evaluación de riesgos● Identificar● Evaluar● Priorizar
modelo de mediCióN
Al descartar un enfoque de com-pliance por demasiado encorsetado tenemos que reflejar el grado de consecución de los principios, que no será simplemente sí o no. Elegimos emplear un modelo de ma-durez de cinco escalas. En el escalón inicial, el proceso de gestión de ries-gos es competencia única de algunos individuos, poco o nada documentado y difícilmente replicable en el futuro. En el nivel óptimo, los cinco elemen-tos en el alcance contribuyen a la mejora continua y a que el sistema en su conjunto cumpla con los principios ISO 31000. resultAdo de lA AuditoríA
La excelencia en gestión de riesgos es un carrera de fondo, y por lo tanto las posibilidades de perderse por el camino son altas. El modelo de madurez como herra-mienta estratégica permitirá a la organización identificar aquellos as-pectos de mejora que lograrán hacer más robustos los procesos y saber el estado de cada uno de los elementos evaluados. Podremos planificar la mejora del
proceso y medir nuestro progreso contra el plan. ¿Cuáles son los beneficios de esta auditoría? Los beneficios de incluirla en tu planificación anual son múlti-ples. Entre ellos, los que recaen en el propio auditor:● Mejora nuestra visión global de los objetivos de la organización y cómo pretende conseguirlos.● Nos acerca a los responsables directos de la gestión de riesgos y nos ayuda a entender sus necesidades.● Identifica puntos específicos que podemos revisar en otras auditorias más verticales.● Eleva nuestro perfil dentro de la organización.● Es un avance importante en nuestra misión de evangelización sobre con-trol interno.● Puede ayudar a reforzar la indepen-dencia de nuestra función.● Cumpliremos con un elemento más de la Norma.Por otra parte, la propia organización, así como los órganos de gobierno, se verán beneficiados.● Tendrán un mejor nivel de asegu-ramiento sobre uno de los procesos más críticos pero menos conocidos de la organización.● Podrán visualizar de forma deta-llada las debilidades y fortalezas e impulsar acciones determinadas para la mejora.● Podrán cumplir con su obligación de supervisar el sistema de gestión de riesgos y control interno de la organización.
La excelencia en gestión de riesgos es una carrera de fondo y, por lo tanto, las posibilidades de perderse por el camino son altas.
ai30
Por dónde se empezaría a auditar algo de tan alto perfil público y tan importante como
los Juegos Olímpicos? Su Comité Organizador es una entidad fuera de lo común; es una especie de rara avis en el mundo organizacional, ya que su existencia se limita, aproximada-mente, a ocho años, naciendo desde el nombramiento de una ciudad anfitriona hasta que se extingue un año después de la conclusión de los Juegos. Durante los primeros años, la plantilla crecerá paulatinamente para hacerlo de manera exponencial y re-pentina en los últimos meses previos al evento. Crecerá desde unos pocos miles de personas en plantilla hasta, aproximadamente, unos 200.000, mu-chos de los cuales dejarán de formar parte el día posterior a la ceremonia de clausura, el resto lo hará tras la clausura de los Juegos Paralímpicos. Permanecerán unos pocos cientos de personas en plantilla para la liqui-dación de activos, la finalización y el cierre de contratos y la realización de los últimos pagos pendientes.
un Proyecto, no un negocio
Aunque el contexto en el que opera la auditoría interna de unos Juegos Olímpicos es, evidentemente, muy di-ferente al que se enfrentan las funcio-nes de auditoría interna de la mayoría de las organizaciones, creo que los enfoques que utilizamos podrían em-plearse en cualquier situación para que el proceso de auditoría interna
sea mucho más rápido y eficiente.El primer punto sobre el que hay que concienciarse es que estamos afrontando un proyecto, o mejor dicho, una serie de proyectos; no se trata de una empresa o negocio con ánimo de continuidad de las operacio-nes y la necesidad de crear sistemas y procesos duraderos. Sin embargo, los sistemas y procesos tienen que funcionar y cumplir con la legislación vigente allí donde se aplique, aunque no es necesario que se encuentren bañados en oro, y Auditoría Interna tiene que ser absolutamente prag-mática y aceptar que suficiente es aceptable y, en muchos casos, es a lo que más se puede aspirar.En segundo lugar, la planificación hay que hacerla teniendo en cuen-ta la vida del proyecto, en vez de anualmente, como se haría en una empresa. Esto significa que, como auditor interno, hay que disponer de una visión perfecta de la forma del proyecto y de las fases de crecimiento exponencial que sufrirá. Como una entidad en desarrollo, es poco proba-ble que existan procesos robustos de gestión de riesgos sobre los que ba-sar la planificación. Por lo tanto, quizá sea la función de auditoría interna la que tenga que determinar los riesgos clave. En nuestro caso, los riesgos clave eran la gestión del crecimiento, el aseguramiento y la gestión de in-gresos, las tecnologías de la informa-ción y el gobierno corporativo.A la hora de diseñar el plan, también es necesario tener en cuenta:
mary hardylondon legaCy
El rEto dE AuditoríA intErnA En los JuEgos olímpicos dE londrEs 2012El primer punto a tener en cuenta es que se trata de una serie de proyectos y no de una empresa o negocio. La planificación hay que hacerla teniendo en cuenta su duración, y no anualmente como en otros casos.
ai 31
● ¿Cuáles son los puntos sobre los que la Comisión de Auditoria quiere aseguramiento? ¿Riesgos clave o todos los riesgos?● ¿En qué momento vas a auditar cada elemento?, puesto que quizás solo exista una oportunidad para ello. ¿Es mejor durante la planificación, la ejecución o la operación?● ¿Qué otros tipos de aseguramiento podemos utilizar? ¿Podría ser útil un mapa de aseguramiento para identi-ficar a los responsables de proporcio-narlo sobre todos los riesgos?● ¿El uso de software de auditoría continua ayudaría a reducir el número de auditorías requeridas?
Una vez determinado el Plan, el tercer paso es decidir cómo lo vas a ejecutar. Al acercarse la ceremonia de apertura, todo el mundo estará más ocupado y tendrá menos tiempo para atender a Auditoría Interna, así que es necesario contemplar:
● ¿Cómo vas a ejecutar las audito-rías? ¿Utilizaremos revisiones en detalle, de alto nivel, asistiendo como observadores a reuniones o lo hare-mos mediante listas de comprobación para cumplimiento?● ¿Cómo vas a reportar? Informes detallados implican demasiado tiempo. Hay que considerar reducir la redacción a un mínimo y reportar los hallazgos en bullets. No hay que olvi-dar que estamos dando aseguramien-to, así que hay que reportar sobre las cosas que funcionan bien, no solo
las áreas con necesidad de mejora. El reconocimiento a un trabajo bien hecho es fundamental cuando todos los implicados están bajo la inmensa presión de un hito inamovible.
modelo “cosourcing”
El cuarto punto a tratar es el modelo de recursos. La coordinación tempo-ral del trabajo es siempre problemá-tica y todos los planes de auditoría interna sufren retrasos, muchas veces retrasando proyectos hacia finales de año. Sin embargo, en una organización como la de los Juegos Olímpicos, donde los responsables de determinados procesos quizás ni siquiera han sido contratados para cuando tenías planificada la audito-ría, este problema puede ser crítico. En este caso, contar con una firma de servicios profesionales es impor-tante para tener la flexibilidad de un modelo de cosourcing. Puedes dispo-ner de un equipo flexible en número y en tipo de especialización y el riesgo que supone el cambio de planifica-ción se transfiere a un tercero.Ahora que ya tienes juntas todas las piezas, el proceso de ejecutar las auditorías y reportar es básicamente sencillo. Bueno, en la realidad no es así. Como ya he mencionado, y cada uno de vosotros es consciente de eso, la planificación nunca es igual a la ejecución por muchas razones; los riesgos cambian, emergen nue-vos, se desplazan hitos y se ajustan calendarios. Por lo tanto, el plan de
auditoría se encuentra en constante revisión para asegurar que cada auditoría se ejecuta en el momento adecuado. Para esto, la comuni-cación continua con la dirección es clave para que validen en todo momento el plan. De esta manera, no se producen sorpresas y podrás obtener su apoyo para la realización de las auditorías. Tener el apoyo es crítico dada la resistencia en contra de las auditorías que pueden ejercer en las áreas por la presión de cum-plir con los hitos de la ceremonia de apertura.
Para resumir, entonces, los prin-cipales éxitos y aprendizajes que puedes tener de mi experiencia de los Juegos son:
● El compromiso con el plan por parte de la alta dirección es vital.● Es necesario emplear un enfoque estratégico a largo plazo para el plan.● Ir siempre unos pasos por delante para mantener el plan actualizado.● Mantenerse siempre informado de nuevos desarrollos y eventos.● Reflexionar constantemente sobre el calendario y el objetivo de la auditoría.● Considerar la monitorización conti-nua de los controles.● Contemplar el uso de mapas de aseguramiento.● Cambiar el proceso de auditoría para adecuarse a las circunstancias.● Utilizar especialistas.● Ser pragmático.
En una entidad en desarrollo, es poco probable que existan procesos robustos de gestión de riesgos sobre los que podamos basar nuestra planificación.
ai32
Es por todos conocido que el riesgo de fraude está presente en nuestras organizaciones, y
que tanto su impacto como probabi-lidad de ocurrencia siguen creciendo en sus diferentes formas. No hay organización que esté exenta de dicho riesgo y que no lo contemple entre sus principales amenazas, tanto por su impacto económico como repu-tacional, así como por el efecto que pueda tener sobre el cumplimiento regulatorio.También estaremos de acuerdo en que la complejidad de los tipos de fraude sigue incrementándose y las personas que lo cometen utilizan herramientas y técnicas cada vez más complejas que suelen estar accesi-bles al público. Además, las fronteras virtuales de nuestras organizaciones están expandiéndose; la información reside en sistemas cada vez más descentralizados, con participación de terceros en la gestión de los procesos y con unas necesidades de interoperabilidad y de gestión muy importantes por parte de los usuarios y clientes finales. Todas ellas son funcionalidades imprescindibles para que las organizaciones tengan éxito en el mercado competitivo en el que vivimos; pero incrementan la exposi-ción y el riesgo de fraude.Es difícil encontrar áreas de Auditoría
Interna que no tengan contemplado el riesgo de fraude entre sus princi-pales líneas de actuación. Aunque en ocasiones la Auditoría Interna tiene el rol principal de lucha contra el fraude dentro de la organización y, en otras, colabora de forma activa. Lo que sí que es común a ambos modelos es la dificultad para prevenir y detectar el fraude en etapas tempranas con el objetivo de minimizar su impacto.En general, desde el punto de vista práctico, las organizaciones disponen de un conjunto de soluciones cada vez más enfocadas a prevenir y detectar el fraude. No es inusual encontrar herramientas que analizan las opera-ciones y detectan comportamientos fuera de la normalidad que pueden ser indicativos de fraude.
SiStEmaS automáticoS
Muchas organizaciones han implan-tado sistemas automáticos que de-tectan dichos comportamientos para su análisis posterior (operaciones con tarjetas, fishing, fraude en las teleco-municaciones, fraude en inventarios y productos, etcétera).Por otro lado, de forma paralela y co-ordinada con otras áreas, la Auditoría Interna ha ido incorporando solu-ciones y estrategias para detectar y combatir el fraude. De forma general,
luiS carrosociode deloitte
Prevención, detección y lucha contra el fraude mediante técnicas de data analytics y correlación de eventosToda organización está expuesta a diferentes tipos de fraude. Los auditores internos deben estar preparados para prevenir, detectar y gestionar este riesgo, incoporando los modelos que juzguen adecuados.
ai 33
éstas se basan en análisis sistemáti-cos de información con el objetivo de detectar comportamientos que cum-plan determinados indicadores de posible fraude para, posteriormente, analizar con procedimientos adicio-nales si corresponden a acciones fraudulentas o bien a falsos positi-vos. Desde mi punto de vista, la gran mayoría de dichos análisis es muy completa; pero se basa en escenarios de fraude predeterminados, donde de forma previa se determinan las posi-bles casuísticas de fraude y, a través del análisis de datos, se identifican los casos a analizar que encajan en dichos escenarios.Así, durante los últimos años, nues-tras organizaciones han adoptado progresivamente la utilización de so-luciones de Data Analytics que tienen, entre otras características, grandes potencialidades en el tratamiento masivo de datos tanto estructurados como no estructurados, gran eficien-cia para la adaptación de modelos y análisis y también capacidades para definir modelos predictivos. Yendo por partes, las soluciones de Data Analytics permiten el acceso a la información estructurada de nues-tra organización (las bases de datos corporativas y ficheros tradicionales) como también a datos no estructura-dos (información residente en blogs, correos electrónicos, documentos ofimáticos, ...) que no tienen formatos estándar y que suelen ser difíciles de integrar en los modelos tradicionales de análisis. Esta capacidad nos per-mite expandir el universo de datos a analizar dentro de nuestros modelos de gestión del fraude, accediendo y correlacionando información que, hasta ahora, quedaba relegada a análisis más manuales y muy ad-hoc, con grandes pérdidas en cuanto a la eficacia y alcance.
rapidEz dE análiSiS
Otra característica principal de las herramientas de Data Analytics es el incremento en las capacidades de tratamiento masivo de datos y las velocidades en la gestión de la
información. Esto permite ampliar significativamente la información a analizar, lo que implica reducir los tiempos de respuesta y de detección de posibles fraudes. Nos permite ser más precisos y rápidos en los análisis, lo que se traduce a su vez en poder disponer de la información necesaria sobre el posible fraude en menor tiempo desde que pudo producirse el mismo. Y esto sa-bemos que es determinante para reducir el posible impacto y también para demostrar internamente a la organización, terceros y clientes que hay mecanismos de control para la persecución efectiva del fraude.Por último, por destacar alguna de las aplicaciones de las soluciones de Data Analytics al mundo de la lucha contra el fraude, nos debemos cen-trar en sus capacidades predictivas.
Evolución dE EScEnarioS
Los modelos tradicionales son muy eficientes en la detección de fraude en escenarios predefinidos. Sin em-bargo, la evolución de dichos escena-rios depende de un esfuerzo cons-tante de renovación y evolución de los mismos. También debemos tener en cuenta que la mayoría de las so-luciones más tradicionales conlleva un esfuerzo significativo de adapta-ción a estos nuevos escenarios, con lo que el tiempo desde que se define un escenario de fraude hasta que se tienen datos para su gestión no es inmediato. En ese sentido, las capa-cidades predictivas pueden ser he-rramientas asociadas al mundo de la estadística que pueden identificar de forma inmediata nuevos escenarios de fraude previamente desconocidos y la capacidad de realimentarlos con información histórica con el objetivo de detectar tanto situaciones actua-les como posibles fraudes cometidos en el pasado que hasta ese momento podían no ser conocidos.En la adopción de este tipo de solu-ciones no todo son buenas noticias. El coste y conocimientos asociados a estas herramientas son dos factores a tener muy en cuenta. En general,
las soluciones de Data Analytics tie-nen un coste significativo. Aún así, la mayoría de nuestras organizaciones está implantando dichas soluciones. Por eso tiene mucho sentido subir-nos al carro y ser un área usuaria de estas herramientas. Otra razón para reforzar esta estra-tegia es que los perfiles necesarios para utilizar eficientemente este tipo de soluciones también son bastante específicos (ingenieros de datos, ex-pertos en modelos predictivos, nuevos lenguajes de programación y utilida-des) que son difíciles de encontrar y que, con toda seguridad, nuestra organización está incorporando.Para resumir, como auditores inter-nos debemos estar preparados para una evolución en las soluciones de lucha contra el fraude, tanto en las fases de prevención como de detec-ción y gestión con técnicas de Data Analytics. Esto nos permitirá ser más eficaces, precisos y rápidos y, además, con un proceso de aprendi-zaje, podremos incorporar modelos predictivos que nos ayuden en la detección de nuevos escenarios de fraude que no habían sido contempla-dos hasta el momento. Pero no cabe duda de que éste es un proceso que será prolongado en el tiempo y que debemos hacer de forma coordinada con las iniciativas de Data Analytics que nuestras organizaciones están llevando a cabo.
El incremento en las capacidades de tratamiento masivo de datos y las velocidades en la gestión de la información son determinantes para detectar el fraude en el menor tiempo posible, al mejorar su precisión.
ai34
La fiesta deL auditor interno
ai 35
El pasado 24 de octubre tuvo lugar la fiesta del auditor, que ya viene convirtiéndose en una tradición coincidiendo con la celebración de nuestras
jornadas profesionales. En esta ocasión, el evento tuvo lugar en Fortuny.
ai36
Vamos a hablar de la ética de la Auditoría Interna en el con-texto de una crisis que se dice
que es económica, medioambiental, alimentaria; pero también es una crisis moral, una crisis ética, que nos tiene desmoralizados de alguna manera. Pero qué significa la palabra ética y la palabra moral. La palabra ética procede del vocablo griego ethikós, que quiere decir carácter. También tiene que ver con la morada del hombre, del lugar en que habita; pero la idea de que la ética sirve para forjarse un buen carácter me parece fundamental, y así lo explico en el libro Para qué sirve la ética.Las personas y las instituciones nacen con un temperamento, sobre todo las personas; un temperamento que no se ha elegido. Y a lo largo de la historia vamos tomando decisiones que nos van generando la predisposición a seguir eligiendo en el mismo sentido. Si se toman decisiones injustas, se genera la predisposición a tomar decisiones injustas y, si son prudentes, se genera a seguir tomando decisiones prudentes, magnánimas, solidarias… Es decir, las predisposiciones nos las vamos gene-rando poco a poco.Se dice que el conjunto de predispo-siciones que nos vamos creando es lo que se llama carácter. Nacemos con un temperamento y nos generamos un carácter necesariamente, porque nadie puede no decidir ni no elegir. Por eso decían los filósofos griegos que lo mejor que puede hacer una persona es generarse un buen carácter. ¿Qué quiere decir un buen carácter? La res-
puesta para los filósofos griegos es que es aquel que nos acerca a la felicidad, que es la meta de los seres humanos. Y es fundamental que a lo largo de la vida generemos predisposiciones que nos lleven a ser felices. Serían, según los filósofos, la justicia y la prudencia; pero además, la fortaleza, la templanza, la magnanimidad y tantas otras… A esas predisposiciones se les ha dado el nombre en español de virtudes, palabra que hoy tiene un significado no del todo positivo. Es bueno recordar la expre-sión griega que se utilizaba para decir virtud, areté, que significa excelencia. El virtuoso es el que es excelente y el que lo es en algo es el que destaca en una habilidad por encima de la media.
buscando la excelencia
En el mundo empresarial la excelencia está muy presente. El libro de Peters y Waterman, En busca de la excelencia, puso encima del tapete la idea de que los directivos tenían que ser excelentes, y las empresas también; pero también escribió Gaulejac el libro El coste de la excelencia, en el que aconsejaba ser excelente, pero con prudencia porque el que derrocha excesivo tiempo y esfuer-zo y no mide sus posibilidades acaba poblando el mundo de los psicólogos y psiquiatras. La excelencia es funda-mental, pero la virtud más excelente de todas, decía Aristóteles, es la pruden-cia. Conviene buscar el término medio.Excelencia en la época griega era destacar; y la pregunta que debemos hacernos es si lo fundamental es desta-
adela cortinacatedrática de éticade la universidad de valencia
la ética enlos negocios
La ética nos va a permitir forjarnos un buen carácter, una buena predisposición que, a nivel personal, nos puede hacer más felices y, a nivel profesional, convertirnos en excelentes
ai 37
car sobre todos los demás o intentar competir consigo mismo diariamente para quebrar los propios récords.Hoy, el excelente es el que compite consigo mismo y trata de llegar a la excelencia, no en competencia con otros, sino a través de la cooperación y la solidaridad. Me parece que es mucho más inteligente intentar ser bueno y excelente cooperando y no compitiendo de tal manera que uno acaba gene-rando más adversarios que aliados. El excelente sabe crear sinergias, aunar fuerzas; sabe llegar a lo mejor contan-do con otros a través de la solidaridad y la cooperación. Un segundo rasgo a destacar es que el excelente intenta serlo, no para sí mismo, sino para la comunidad a la que sirve.
profesión y Vocación
Una profesión, para Max Weber, es aquella actividad en la que alguien cobra una retribución suficiente para vivir. Como se entenderá, esa caracteri-zación no solo sirve para el profesional sino para cualquier actividad y oficio. La profesión es más que eso. Un profe-sional es alguien que trata de dominar técnicas al servicio de los bienes y las metas de su profesión y, además, tiene que tener una cierta vocación de tratar de conseguir esa meta. La expresión vocación también es de Max Weber y tiene un sentido originariamente reli-gioso. Se entendía que el profesional te-nia que dedicar su vida a esa vocación y hacerlo con un conjunto de profesiona-les con los que conseguir la meta. Este sentido sigue presente. La vocación hoy en día quiere decir tener la aptitud, la oportunidad y darse cuenta del bien que esa profesión ofrece al buen desarrollo de una sociedad.¿Cual sería la ética de una actividad profesional? Decía Aristóteles que son más importantes las actividades que las instituciones. Las instituciones tienen que crearse para apoyar las actividades, pero lo fundamental es la actividad misma. MacIntyre dice que las actividades son acciones coope-rativas que llevan a cabo distintos profesionales. Una actividad no se hace en solitario, hay colaboradores que tra-
bajan para alcanzar una meta a la que llama el bien interno de la profesión o de la actividad profesional. Distingue entre el bien interno y el externo. Cada profesión ofrece un bien interno que la distingue de las demás y le da sentido y legitimidad social. Luego, hay bienes externos que las distinguen entre sí.Según MacIntyre, para alcanzar el bien interno hay que desarrollar unas predisposiciones que serían las virtudes, las excelencias sin las que sería imposible alcanzarlo. A la vez, se generan unos bienes externos que no es lo que se persigue con la profesión, pero resultan de su ejercicio. MacIntyre pone tres ejemplos: dinero, prestigio y poder. Sería desmoralizador decir que son perversos y no hay que recurrir a ellos, porque cualquier profesional ne-cesita dinero para vivir decentemente; necesita reconocimiento de un trabajo bien hecho, y un cierto poder, porque si no puede organizar su trabajo acaba desmoralizado. Las instituciones, las organizaciones tienen que tener esos bienes externos. Si no, la actividad no se puede llevar adelante. Lo perverso de una profesión es cuando los bienes ex-ternos se cambian por los internos. Es lo que se llama a mi juicio corrupción.
MotiVos y Metas
La ética de una actividad profesional consistiría en ver cuál es el bien interno que ofrece, cuáles son las predispo-siciones que tienen que ir generando para alcanzar esas metas y, además, tiene que hacer ver al profesional que los motivos personales que le han llevado a ejercer esa profesión solo se convierten en razones cuando están alineados con las metas de la profesión. Hay que distinguir entre los incentivos alineados con las metas y los espurios. El buen profesional es aquel que intenta desde dentro hacerlo lo mejor posible por el bien mismo de la profesión y por la gente a la que sirve.¿Qué ocurriría en el caso de la Auditoria Interna? En primer lugar, se trata de una actividad independiente y objetiva de aseguramiento y consulta con-cebida para agregar valor y mejorar las operaciones de la organización.
Ofrece un bien a la gente a través de la asesoría. Ayuda a la organización a cumplir sus objetivos porque aporta un enfoque sistemático y disciplinado con el que evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. Es una actividad de aseguramiento que revisa la posibilidad e integridad de la información, el cum-plimiento de políticas y regulaciones, la potencia de los activos, el uso económi-co y eficiente de los recursos y el cum-plimiento de los métodos y objetivos operativos fijados por la organización. Este sería el bien interno que ustedes ofrecen a la sociedad, con lo cual están ayudando directamente a las organiza-ciones a hacer las cosas mucho mejor y generar confianza desde la confianza. La confianza es un recurso moral y es fundamental para salir adelante. Sin ella, una sociedad cae por su base.¿Cuáles serían las virtudes funda-mentales de la actividad de Auditoría Interna? Las que tienen en su código interno son muy adecuadas.La competencia es fundamental en todas las profesiones. La integridad es otra de las grandes virtudes, contar con personas íntegras y coherentes con las metas de la profesión es, en su caso, fundamental. Creo que la integridad es la base de la confianza. La objetividad, tratar de no atender a otros intereses distintos de los intereses de la meta por la que trabajamos, y la capacidad de saber ser fiables desde el punto de vista de la confidencialidad, si no, en un trabajo como el de ustedes, las cosas no funcionan.
La competencia, la integridad, la objetividad y la capacidad de saber ser fiables son las principales virtudes de los profesionales de la Auditoría Interna.
ai38
Ferrovial tomó hace años la deci-sión estratégica de externalizar procesos y servicios que recibe
mediante contratos a largo plazo, buscando los siguientes objetivos:● Mejora del rendimiento.● Ahorro y variabilización de costes.● Reducción de headcount.● Eliminar obsolescencia tecnológica/acceso a tecnología punta.● Facilitar la mejora de procesos.● Experiencia y valor añadido de los partners tecnológicos.
Hasta la fecha, dispone de contratos de outsourcing sobre: comunicaciones (WAN, fijo y móvil), administración y operación de infraestructuras de IT, servicios de comunicaciones e IT (internet, seguridad, helpdesk), ges-tión de usuarios y puestos de trabajo, gestión de proyectos de IT (desarrollo) y sistemas en modo SaaS (Software as Service).
revisión de planes de negocio
Ante esta realidad, desde Audito-ría Interna nos planteamos cómo afectaba a nuestro universo auditable y cómo adaptar nuestros progra-mas de trabajo. Determinamos que nuestro principal interés sería revisar los planes de negocio que sirven de base para tomar decisiones, así como los objetivos (técnicos y económicos) planteados, además de verificar su cumplimiento.Si dividimos el ciclo de esta auditoría en sus distintos subprocesos, las con-
sideraciones a tener en cuenta serían:1.- Rendimiento y calidad del servi-cio. Es el objetivo más difícil de veri-ficar, especialmente en procesos de transformación complejos, dado que los planes de negocio no disponen de indicadores para monitorizar la mejo-ra continua, las situaciones de partida no son homogéneas y la comparación (en detalle) no es prioridad de los auditados. Se une a que las fases de transformación son complicadas y con rendimientos inferiores a lo esperado o no hay información soporte suficien-te. En proyectos maduros y acotados, el resultado suele ser positivo. En los complejos y/o no suficientemente maduros, el riesgo es mayor; no son solo proyectos de outsourcing, sino de reingeniería con un nuevo proveedor.2.- Ahorro de costes. Las previsiones de reducción en general se pueden cumplir, aunque surgen nuevos roles internos (para el gobierno del provee-dor), cuyo coste puede ser elevado.El cálculo de los ahorros es complejo, debido a que la situación en la fecha de auditoría suele ser muy diferente a la inicial y que los planes de negocio pueden no haber incluido todos los costes posibles. Consideramos nece-sario realizar estas comparaciones, aunque suponga usar hipótesis.Existe una gran presión a reducir costes por el proveedor, que en oca-siones se resuelve ofreciendo un peor servicio/producto al mismo coste. Es necesario un control exigente durante los procesos de transformación e implantación de nuevos recursos.
alberto Ferreiro pradoDiRectoR AuDitoRíA inteRnA De FeRRoviAl
AUDITORIA INTERNA DE PROCESOS EXTERNALIZADOSLA EXPERIENCIA DE FERROVIALTras la decisión de la compañía de externalizar algunos de los servicios, la labor de la Auditoría Interna ha sido comprobar cómo afecta a su universo auditable y cómo adaptar sus programas de trabajo.
ai 39
3.- licitación. Como en cualquier otra licitación, es necesario un análisis previo de la necesidad, riesgos y alternativas, así como la comparativa con el in house. Es habitual el apoyo en consultores externos para áreas técnicas, lo que plantea retos sobre el traspaso del know how al personal interno. Antes de salir al mercado hay que tener muy claro qué se quiere licitar y qué información se va a recibir para analizar, o si va a ser un proce-so interactivo que se alimente con la propia negociación. El éxito de la licitación depende de unos requisitos muy bien definidos, dejando poco es-pacio para la creatividad del proveedor y así poder forzar ofertas comparati-vas homogéneas.Para la toma de la decisión, los pesos de la componente técnica y económica deben estar equilibrados con los obje-tivos definidos a la hora de externali-zar, considerar que, en algunos casos (p.ej.: telecomunicaciones, gestión de proyectos IT) los servicios añadidos suponen más coste que el core y que los proveedores suelen utilizar su posición dominante para realizar otros trabajos adicionales para los que de-ben existir licitaciones independientes. 4.- Fase de transformación. Suelen darse retrasos debido a planificacio-nes demasiado optimistas, bien por problemas técnicos: migraciones complejas de datos y/o sistemas (mainframe a sistemas abiertos) o de gestión interna: diversos intervinientes con intereses y plazos no alineados, empleados IT que no asumen el nuevo rol de monitorizador o insuficiente dedicación de los responsables fun-cionales. También pueden plantearse problemas de gestión externa, relacio-nados con dificultades del proveedor para atender las promesas ofertadas: absorción/selección de plantilla, incor-poración previa de nuevas tecnologías.5.- Análisis del contrato. El auditor debe tener un conocimiento exhaus-tivo del contrato: wording y contexto en que se firmó, ya que no es raro refrescar al auditado cláusulas que él (o sus antecesores) han firmado. 6.- niveles de servicio (SlAs). Los SLAs son una herramienta de comu-
nicación y colaboración para gestio-nar las expectativas y medir objeti-vamente el servicio. Un error común es pensar que el trabajo termina una vez han sido diseñados e incluidos en el contrato. Su gestión debe ser un proceso vivo, que hay que mante-ner para monitorizar el servicio y potenciar su mejora continua. Su gestión implica costes y dedicación interna que debieran considerarse. Los servicios que no tienen SLA no se pueden medir.El reporte, monitorización y validación de los SLAs suele ser una de las prin-cipales áreas a mejorar, encontrando porcentajes muy bajos de niveles de servicio reportados, tanto en cantidad como en calidad del dato.El cliente debe poseer la capacidad para validarlos de forma independien-te. Los informes de gestión pueden ser elaborados por el proveedor, pero el cliente tiene que tener herramien-tas para contrastar la información y permitir incluso el acceso a los datos origen.Con respecto a las penalizaciones económicas que recogen los contra-tos de outsourcing, existen diferentes estrategias o intereses contrapues-tos, desde la relación basada en la confianza, a la aplicación estricta del contrato. Depende del entorno (regu-lado, anglosajón vs. latino), fase en la que se encuentra, responsabilidades imputables a cada contraparte y la calidad de los SLAs.En todo caso, la medición y cálculo de-ben ser siempre exigibles, aunque su ejecución dependa de otros factores de negocio (posible estrangulamiento del proveedor, cliente cautivo/inexis-tencia proveedor alternativo, costes del cambio).7.- Revisión del nuevo entorno tecno-lógico y su seguridad. Resulta crítico especialmente para servicios en la nube. Aunque es posible y conveniente disponer de SLAs de seguridad, re-sulta todavía más necesario el control independiente.Las comunicaciones entre cliente y proveedor deben ser seguras y ser revisadas periódicamente, así como es recomendable disponer de entornos
exclusivos con adecuado control de acceso.8.- otras consideraciones. No menos importantes son otros aspectos de gestión para asegurar el éxito de la auditoría:● Comprender la estrategia anterior y futura de la empresa y cómo se traslada al proyecto.● Las fases de transformación e iniciales son difíciles. Auditoría Interna debe comprenderlo a la hora del trabajo (minimizando el impacto) y de emitir recomendaciones. La elección del momento a auditar es clave.● Los plazos para las recomendacio-nes deben ser realistas; establecer nuevos procesos y gestionar niveles de servicio necesita tiempo y no debe gestionarse con prisa.● Una vez auditado el gestor interno, es posible/conveniente auditar direc-tamente al proveedor.● La gestión y transferencia del cono-cimiento es clave, debido al habitual traslado de plantilla al proveedor y que suele tratarse de proyectos de varios años.● Transmitir que el riesgo no se externaliza y las penalizaciones nunca compensan incidencias graves.● Es fundamental tener una visión completa del funcionamiento del proveedor. La perspectiva de IT es importante, pero no menos es la de los usuarios.● Solo se puede dar una opinión com-pleta si el equipo ha incluido auditores especializados en IT, así como en procesos y financieros.
El rendimiento y la calidad del servicio son los objetivos más difíciles de verificar, especialmente cuando se trata de procesos de transformación complejos.
ai40
La Ley Orgánica 5/2010, de 22 de junio, de reforma del Código Penal, introdujo como principal
cambio legislativo la responsabilidad penal de las personas jurídicas. Esto provocó que se empezara a institucio-nalizar en nuestro país el concepto de Legal Compliance como mecanismo de respuesta al Riesgo Penal.Además, las organizaciones empeza-ron a instrumentalizar las responsabi-lidades de la nueva figura de Corporate Compliance Officer (CCO), adaptar sus procesos e implantar Sistemas inte-grales de Gestión de Riesgos y Control Interno. Con la entrada en vigor de la Ley Orgánica 5/2010, en sustitución de la Ley Orgánica 10/1995, la respon-sabilidad de la persona jurídica varía sustancialmente en el Código Penal.Hasta la entrada en vigor de la reforma del Código Penal: ● La persona jurídica respondía civil-mente de manera directa y solidaria de determinados delitos cometidos por su administrador de hecho o de derecho y, subsidiariamente, por los cometidos por sus empleados.● Los administradores respondían personalmente, por acción u omisión, en función del activo concreto.Desde la entrada en vigor: ● Las personas jurídicas son plena-mente responsables de los delitos cometidos por (nuevo art. 31 bis):1.- Representantes legales y adminis-tradores de hecho o de derecho cuando actúen en nombre o por cuenta de las mismas, y en su provecho.2.- Empleados que trabajan bajo la
dirección de los representantes legales y administradores, y que actúan en provecho de la empresa.Consecuencias:Cuando se cometa un delito, en nom-bre o por cuenta de la persona jurídica, la empresa será responsable de no haberse ejercido sobre administrado-res o empleados el debido control, es-tableciéndose sanciones que plantean multas económicas y, en determinadas circunstancias, alcanzan penas como la suspensión de actividades, clausura de establecimientos e, incluso, la pro-pia disolución de la entidad jurídica.La responsabilidad penal de las per-sonas jurídicas no excluirá la de las personas físicas, ni la de éstas excluirá la responsabilidad de aquellas.
EL papEL dEL CorporatE CompLianCE offiCEr
En este escenario, la nueva figura de CCO debe tomar una perspectiva más multidisciplinar y responsabilizarse del Sistema de Gestión de Compliance, en cuanto a:● Diseño y desarrollo del sistema: estructura, contenido y acciones.● Implantación, comunicación, monito-rización, asesoramiento y resolución de conflictos.● Auditoría tanto a nivel interno, como realizada por terceros.● Evolución y mejora continua: inci-dentes, planes de acción y seguimiento periódico.Además, el CCO debe garantizar la adecuación del Sistema de Control y su
EstíbaLiz gaLLEgoDireCtora asesoría JuríDiCa, regional legal ComplianCe y seCretaria generalgrupo nutreCo
Cristina bausásoCia De governanCe, risk management & ComplianCe (grC) maZars
AutoevAluAción de control pArA el cumplimiento normAtivoLa responsabilidad penal de las personas jurídicas responsabiliza a la empresa ante delitos administrativos o de empleados. Por ello, la figura del Corporate Compliance Officer se hace indispensable.
cumplimiento por parte del personal, convirtiéndose en un catalizador de la evolución de la cultura y del compromi-so transversal en la organización.
EL sistEma dE ControL intErno
El Control Interno es una actividad integrada en los procesos de cada or-ganización, diseñada para proporcionar una garantía razonable para el logro de los objetivos del negocio:● Perseguir la excelencia operativa: eficacia y eficiencia en las operaciones. ● Asegurar la fiabilidad de la informa-ción financiera.● Cumplir con las normas internas y externas (legislación).● Salvaguardar sus activos.● Proteger su reputación.● Minimizar el riesgo de fraude (interno o externo).Para su diseño, los procesos se pueden identificar a partir de las áreas de la organización. Se identificará como con-trol cualquier actividad que mejore la gestión de los riesgos, disminuyendo la probabilidad de que se materialicen, o su impacto en tal caso. Las actividades de control se llevan a cabo en cualquier parte de la organización, en todos sus niveles y en todas sus funciones. funCión opErativa
Las autoevaluaciones o CSAs (Control self-assessment) son actividades de autocontrol que se asignan al que ejecuta un control, o a la persona en quién delega, para que informe sobre
ai 41
Involucración directa en la toma
de decisiones
Autonomía e independencia
Recursos y medios adecuados
Apoyo continuado y público
Libertad de movimiento
Sensibilidad por otras áreas
(RSC, RC, GC)
Conocimiento del negocio
Conocimientos multidisciplinares
Conocimiento del marco normativo
Competencias de comunicación y
coordinación
Competencias de organización y
liderazgo
Ética, Integridad, Honestidad, Neutralidad,
Independencia
EL PERfIL DEL CORPORAtE COMPLIAnCE OffICER
el correcto funcionamiento del control que ejecuta. Características de un Csa:● Se realiza por el personal que conoce el proceso, permitiendo evaluar con mayor exactitud la implantación y ade-cuación de cada uno de los controles.● Ayuda a los empleados a involucrarse en la gestión de los riesgos.● Son un elemento clave en el sistema de gestión de control interno.Beneficios para la organización:● Colateralmente, se mejoran los pro-cesos de negocio para que sean más eficientes y efectivos.● Propicia la implantación de nuevos controles internos y mejora los exis-tentes.● Mejora los procesos periódicos de evaluación y administración del riesgo.● Mejora la motivación de los emplea-dos, al involucrarse más en el control de las actividades.
Beneficios para auditoría interna:● Mejora la habilidad de probar los controles, al concentrarse en aquello más relevante.● Uso más eficiente de los recursos.● Mejora el rol del departamento de Auditoría Interna.● Mejora la habilidad de enfocar y con-trolar las áreas de alto riesgo.resistencias al cambio. impactos:● Organizacional: requiere un cambio cultural.● funcional: puede cambiar los me-canismos de relación entre departa-mentos.● Individual: se requieren nuevas habi-lidades, actitudes y conocimientos.
nuEvos rEtosLos últimos cambios legislativos en materia penal han llevado al nacimien-to del CCO, cuya función empieza a articularse en las diferentes organiza-ciones. Ha llegado el momento en el que tanto el CCO, Auditoría Interna y Control Interno deben:● Compartir una misma visión de la organización y el Sistema de Control Interno.● Complementarse para garantizar un Buen Gobierno Corporativo.● Comunicar una nueva cultura del Cumplimiento y la Autoevaluación del Control Interno.Hay que ver este cambio como una oportunidad de generar valor para la or-ganización, a la vez que permite gestio-nar permanentemente la incertidumbre.
MODELO COnCEPtUAL DE BUEn GOBIERnO CORPORAtIvOIdentifican elementos que permiten re-evaluar
Permiten validar la idoneidad y el grado de realización de
Identifican la necesidad de
Mitigan el impacto de
Su ejecución conlleva
Actualizan la valoración
Permiten evaluar por el personal más adecuado
Identifican acciones que mejoren la efectividad de
Notificación de Materialización del Riesgo/Denuncia
Documentos e Indicadores
Autoevaluaciones o CSAs
Procesos
Supervisiones
Planes de acción
Riesgos
Controles
Alertas
ai42
Los proyectos de combined assurance consiguen la identi-ficación unívoca de los proble-
mas de control de una organización. El objetivo de esta mesa redonda, moderada por Angel Etreros (direc-tor de Auditoría Interna de Grupo Mahou-San Miguel) es saber cómo deben relacionarse entre sí los diferentes assurance provider para llegar a esa meta.
ModeradorJosé Luis, sabemos que en BBVA has liderado un programa de Corporate Compliance desde Auditoría Interna. ¿Cual es tu visión general de la expe-riencia y qué ventajas tiene?
José Luis de los Santos Es importante contextualizar por qué aparecen en las grandes corpora-ciones estos proyectos de combined assurance o corporate assurance. Nacen como consecuencia de la constatación de que las grandes corporaciones tienen algún problema de importancia vinculado con la iden-tificación unívoca de cuáles son los problemas de control en la gestión de riesgos que hace aparecer estos pro-yectos. Se dice que las organizaciones han empezado a incorporar proveedo-res de servicios de control. El proble-ma es que, con carácter general, cada uno de ellos ha empezado a trabajar sin una coordinación suficiente. El resultado: no es que no estén desarrollando bien su trabajo, sino que lo hacen de una manera bastante
individualista. Esto ha generado en las compañías que la alta dirección y la comisión de Auditoría en el consejo de administración tengan enormes dificultades para tomar decisiones respecto del control interno, porque, normalmente, la información que llegaba era sensiblemente diferente en función de cual fuera el assurance provider que la estuviera facilitando. Los proyectos de combined assurance vienen a resolver ese problema. Se persigue intentar establecer un es-quema en el que la alta dirección y la administración de las organizaciones reciban una opinión concreta respecto de los problemas de control interno que tengan, y solo una, de manera que puedan tomar las decisiones que consideren oportunas.BBVA tomó conciencia del problema a principios de 2011 y había que hacer algo. Ese fue el principio de este pro-yecto en el que participo. Constitui-mos un equipo multidisciplinar para reflexionar cómo abordar el proyecto y, después de 14 meses de trabajo, fuimos capaces de definir nuestro modelo de corporate assurance que, en definitiva, es un modelo de combi-ned assurance. Hemos definido con mayor robustez la configuración del modelo de control interno del Grupo apoyándonos en el modelo de las tres líneas de defensa, y hemos entendido que la capa dos era fundamental y que había que reforzarla sensible-mente. Hemos constituido dentro de esa capa dos especialistas de control interno en las áreas más importantes
José ignacio domínguezexperto en geStión de rieSgoS
sonsoLes rubiodirectora de cuMpLiMiento iberdroLa
Combined AssurAnCe. sinergiAs de los distintos proveedores de AsegurAmientoLas intervenciones versan sobre cómo deben relacionarse entre sí los diferentes proveedores de aseguramiento para identificar los problemas de control.
José Luis de Los santos director de auditoría interna bbva
ai 43
del grupo. Esos son los assurance provider que, junto con Auditoría Interna, son las áreas que aportan in-formación sobre los temas de control. Una vez definido este modelo, hemos trabajado para ver cómo deben relacionarse entre sí para facilitar la consecución del objetivo de ofrecer a la alta dirección una sola opinión de cómo debe resolver los problemas de control interno que tiene el Grupo.
Moderador¿José Ignacio, cuál ha sido tu expe-riencia?
José ignacio domínguezCuando hablamos de combined, hacemos referencia a que pode-mos combinar varias funciones de aseguramiento. En las grandes organizaciones estas funciones -en ocasiones hay hasta ocho diferen-tes- se pueden combinar y obtener sinergias. Pero hay otras organiza-ciones más pequeñas en las que solo hay una función, la Auditoría Interna. Hemos hecho un modelo preven-tivo de riesgos penales asociados a corporate defence, y ha sido una combinación de tres funciones de aseguramiento: asesoría jurídica con su experiencia en los riesgos penales de personas jurídicas, gestión de riesgos y Auditoría Interna. Una ex-periencia muy positiva para obtener sinergias y excelencia en esa bús-queda del aseguramiento coordinado en la organización.
Sonsoles rubioEn nuestro caso es distinto. Iberdrola ha constituido una unidad de cum-plimiento independiente de Auditoría Interna y de riesgos que reporta directamente al consejo de adminis-tración. Cada empresa tiene que ver la mejor forma de manejar el control de los riesgos.
Moderador¿Tú, como directora de Compliance, qué esperas de la Auditoría Interna?
Sonsoles rubioEs una función que conozco muy bien
porque yo vengo de Auditoría Interna y no me resulta difícil establecer las líneas entre lo que es una función de Auditoría Interna y la de compliance, donde todo tiene que ser documen-tado, tratable, auditable. Auditoría Interna, como línea de defensa, tiene una misión muy importante, la de ayudarnos a revisar que todo lo que estamos haciendo está bien. El conocimiento que tiene de lo que son los riesgos también ayuda. Auditoría Interna y compliance son dos funcio-nes que tienen muchas sinergias y que tienen que trabajar juntas para beneficio de la empresa.
Moderador¿José Luis, cómo se puede argumen-tar que esas tres líneas de defensa puedan funcionar?
José Luis de los SantosUna de las grandes ventajas que tienen los proyectos de combined assurance es la de ayudar a hacer más fácil y más compatible el trabajo de todos los proveedores de servicios de control en la organización. Nadie cuestiona con estos modelos que la Auditoría Interna es capa tres y que tiene la labor última de supervisión de todo el modelo de control de la compañía. Lo que estamos añadien-do es que el resto de proveedores de servicios tiene la labor de anticipar y poner sobre la mesa problemas de control y que la opinión de proveedo-res alternativos a la Auditoría Inter-na tenga canales inequívocos para ser transmitida para su solución de una manera consistente y unifor-me. Eso se consigue a través de las normas de governance que hemos incorporado que estructuran esa re-lación. Parten de unas hipótesis: si queremos mejorar los sistemas de control del grupo, es importantísimo que la involucración con los temas de control sea de todos los gestores, no sólo de aquellas unidades que se dedican al control. Hemos estableci-do un esquema botton up de comités que discuten específicamente cuáles son los temas de control interno en cada ámbito geográfico en que se
desarrollan esos comités. Por tanto, tenemos un comité de corpora-te assurance por cada uno de los países donde tenemos negocio. De tal manera que ese comité discute los temas de control interno puestos de manifiesto por cada uno de los proveedores de servicios de control interno, incluyendo la Auditoría In-terna. Los que tienen unas determi-nadas características especificadas en nuestro procedimiento se elevan al comité de corporate assurance operativo, centralizado, donde se obtienen aquellos temas que pone-mos en la mesa del comité global de corporate assurance, presidido por el consejero delegado. Este es el punto que permite obtener esa ventaja de la que hablaba la princi-pio. El consejero delegado, el comité de dirección, tienen la información desde abajo a arriba de cuáles son los temas significativos de control interno que hay que arreglar. Y dan su ok a las propuestas que se plan-tean para resolver esos temas.Hay un enorme ejercicio de favore-cer los esquemas de relación entre las distintas áreas para que no se desperdicien esfuerzos más allá de las competencias de cada uno. Pero es algo que exige una enorme capacidad de convicción. ¿Y qué rol juega la Auditoría Interna? El de co-ordinar todo ese governance, porque los directores de Auditoría Interna de cada uno de los países son los secretarios del comité de corporate assurance. Los auditores hemos
Una de las ventajas de los proyectos de combined assurance es facilitar y hacer mas homogéneo el trabajo de todos los proveedores de aseguramiento.
ai44
ganado unos socios estratégicos que antes no teníamos. Pero hemos ganado nuevos competidores en la compañía, lo que nos hace esforzar-nos aún más.
Moderador¿José Ignacio, entiendes que el rol de Auditoría Interna es el de liderar los proyectos?¿o quién debería hacerlo?
José ignacio domínguezAuditoría Interna es uno de los pla-yers más indicados para liderar esta coordinación. Pero también diría que, dependiendo del tipo de pro-yecto, puede haber otras funciones de aseguramiento en la empresa que tengan un expertise más valioso o más específico para llevar a cabo ese proyecto con lo cual puede dejar que lo lidere otra función de aseguramiento. En nuestro caso, en gestión de riesgos, yo espero colaboración; que haga una eva-luación como proveedor interno de servicios que presta a la compañía, puede evaluar los entregables que terminamos y revisar las políticas de gestión de riesgo que hemos im-plementado… pero hay ciertas líneas rojas que entiendo que no debería traspasar, porque si es así puede mermar incluso su independencia. En cuanto a si puede desarrollar esa labor de coordinador, creo que Auditoría Interna es el player más indicado para coordinar con esa visión global todas las funciones de la compañía.
ModeradorEn Iberdrola, cada una de las funciones están separadas. ¿Esto os está generando algún problema de interlocución con el consejo de administración o competencias entre vosotros?
Sonsoles rubioNo, en Iberdrola, la función de cum-plimiento en la que estoy se creó tal y como está, en febrero de 2013. Al fi-nal, lo importante es la coordinación y que esté claro que no todos van a contar las mismas cosas, porque sería algo reiterativo. Pero si están claras las funciones de cada uno, no hay problema. Hay que establecer desde el principio los límites y la conexión entre las diferentes áreas. Es importante establecer las bases cuando creas una función nueva.Y si está claro que lo que tú aportas no es lo mismo que lo que aportan las otras áreas, no habrá ningún problema.
Moderador¿Cuando se trabaja de manera conjunta se puede hacer peligrar la independencia de Auditoría Interna?
José ignacio domínguezEn ningún caso. Puede haber, sobre todo en grandes organizaciones, áreas grises donde no se sabe qué función de aseguramiento puede cubrirlas y hay una herramienta para esto que son los mapas de aseguramiento, que no los de riesgo.
Consiste en que no quede ningún área sin asegurar por alguno de los proveedores internos de asegura-miento. Control interno, gestión de riesgo, departamento de seguros… hasta ocho o nueve funciones que tienen que quedar identificadas y saber que todas estén dedicadas al aseguramiento de un área.
José Luis de los SantosYo no creo en la independencia como un factor por sí identificador de la función de Auditoría Interna. Lo im-portante es que sean objetivos profe-sionalmente en la medida de que lo seamos en el desarrollo de nuestro trabajo, ese es el mejor respaldo de que estamos haciendo nuestra función como debemos hacerla. Quisiera hacer una puntualización: los proyectos de combined assurance son un impulso enorme para mejorar la objetividad profesional del resto de los servicios de assurance provider. La auditoría es un mejorador de la objetividad profesional por pura com-petencia del resto de los proveedores de servicios de control interno.
Moderador¿Entendéis que el estatuto de Audi-toría deba especificar si se trabaja en un modelo de aseguramiento combinado o no?
Sonsoles rubioEs un tema de ver el modelo que me-jor se adapta a cada empresa. Pero si se tiene, yo sí lo haría figurar.
Los proyectos de combined assurance son un impulso para mejorar la objetividad profesional del resto de las partes que participan en el aseguramiento.
ai 45
Jose ignacio domínguezCreo que lo diga o no, el estatuto no va a solucionar nada. Es un tema de la propia organización.
José Luis de los SantosNo es una cuestión muy signifi-cativa. Yo soy partidario de que sí aparezca, porque el estatuto de la función, entre todos los requisitos que incluye, contempla la relación individualizada de cuáles son las competencias de la Auditoría Inter-na y cuáles sus responsabilidades. Pero lo importante es que se esta-blezca una alianza estratégica entre los proveedores de servicios,. Si no, esto no funciona, sobre todo cuando el nivel de las empresas es muy grande. Si no existe ese compromiso de colaborar para conseguir una opinión consensuada única sobre cuáles son los problemas a solucio-nar, entonces es cuando aparecen zonas grises que nadie cubre.
Moderador¿El Combined Assurance aporta valor añadido al de Auditoría Interna?
José ignacio domínguezEs suma y sigue y aporta valor añadido. En las organizaciones cada uno tiene su silo, pero el tener una visión general del aseguramiento de la compañía le interesa especial-mente al consejo de administración. Es positivo y las ofertas para los profesionales pueden surgir en un campo más amplio.
José Luis de los SantosUno de los problemas mas relevan-tes que tenemos los auditores es sentirnos inmunes a todo; inmunes a vivir en un modelo integrado de re-lación. Este tipo de proyectos, desde esta perspectiva, viene a favorecer que los auditores internos salgan y, por lo tanto, favorece la competen-cia entre los profesionales de las áreas de control y por ello es una oportunidad para mejorar y favorece evitar esa tendencia natural que los auditores internos tenemos de meternos en nuestro silo.
Composici�n
C M Y CM MY CY CMY K
Diploma Oficial del IAI de España
4 horas CPE
La guía de 180.000 profesionales de todo el mundo
Imprescindible para el ejercicio de la Profesión
E - L E A R N I N G2013FORMACIÓN
potencia tu valor
Marco Internacional para la Práctica
Profesional de la Auditoría Interna
nuevo cursoe-learningnuevo cursoe-learning
Composici�n
C M Y CM MY CY CMY K
Diploma Oficial del IAI de España
4 horas CPE
La guía de 180.000 profesionales de todo el mundo
Imprescindible para el ejercicio de la Profesión
E - L E A R N I N G2013FORMACIÓN
potencia tu valor
Marco Internacional para la PrácticaProfesional de la Auditoría Interna
nuevo cursoe-learning
nuevo cursoe-learning
Composici�n
C M Y CM MY CY CMY K
Diploma Oficial del IAI de España
4 horas CPE
La guía de 180.000 profesionales de todo el mundo
Imprescindible para el ejercicio de la Profesión
E - L E A R N I N G2013FORMACIÓN
potencia tu valor
Marco Internacional para la PrácticaProfesional de la Auditoría Interna
nuevo cursoe-learning
nuevo cursoe-learning
Formación 2014E-LEarning
nuevo curso e-learning
Marco Internacional para la Práctica Profesional
de la Auditoría Interna
La guía de 180.000 profesionales de todo el mundo imprescindible para el ejercicio de la profesión
Diploma Oficial del IAI de España4 horas CPE
Potencia tu valor
ai46
Si bien históricamente frau-de ha sido descrito como un problema cuyo coste es difícil
de conocer y cuyos efectos siempre han sido muy difíciles de cuantifi-car, los últimos estudios y bases de datos cuantitativas han reflejado la magnitud real de este problema para las organizaciones, a la vez que han permitido asegurar que se trata de uno de los costes más importantes pendiente de reducir por parte de las compañías.Seguramente, todos estamos de acuerdo en que el fraude es una actitud no ética, inmoral, delictiva y que las personas que lo perpetúan deben ser perseguidas y castigadas y las pérdidas ocasionadas deben investigarse y tratar de recuperarse; sin embargo, todas estas reflexio-nes y acciones tienen lugar una vez el fraude se ha producido. En la mayoría de las áreas de negocio, las organizaciones conocen bien sus costes –costes de personal, de apro-visionamiento, de servicios externos, entre otros- y durante decenas de años estos costes han sido analiza-dos, revisados y gestionados para conseguir una mayor eficiencia; por lo cual, si bien siempre hay lugar para la mejora, los márgenes de mejora que quedan en muchos casos ya son escasos. Sin embargo, en el caso del fraude no se ha producido esta focalización en su gestión y mejora, habiéndose negado, en muchos casos, la exis-tencia real de riesgo de fraude hasta
el momento en que sucedía. Por eso, afirmamos que se trata de uno de los costes más importantes pendiente de reducir en las organizaciones, pero para ello debe ser medido y cuantificado y la metodología para hacerlo de forma correcta y con-creta se ha desarrollado sólo en los últimos años.
delito o negocio
Actualmente, podemos decir que es-tamos en disposición de cuantificar los posibles efectos del fraude en las organizaciones (disponiendo de ba-ses de datos externas y herramientas para la autoevaluación de la expo-sición a fraude) y, en base a ello, es posible evaluar el nivel de inversión adecuado a realizar para su reduc-ción. Los resultados de los estudios llevados a cabo nos demuestran que cuando las pérdidas son cuantifica-das y hay información concreta sobre su naturaleza y efecto, esas pérdidas se han reducido de forma importante ya que se han puesto medios para ello, focalizando las capacidades y recursos en su reducción. Pero es importante no perder de vista una máxima al respecto: “Si consideras el fraude sólo como un delito, lo persigues; si piensas en él como un coste del negocio, entonces lo ges-tionas y reduces”.Las estadísticas revelan que las compañías pueden tener los mejores resultados con este enfoque (gestio-nar el fraude como un coste más).
luiS meSaDirector De AuDitoríA internADe corteFieL
enric doménechSocioDe bDo
Prevención del fraude en el Proceso de ventas
En los últimos años, muchas empresas han invertido en sistemas de prevención del fraude a través de mejoras tecnológicas para la protección de las mercancías.
ai 47
En una situación macro-económica difícil, los beneficios de reducir los costes de fraude pueden suponer un estímulo económico importante.Para ello, una vez conocido y cuanti-ficado el problema se deben desa-rrollar las medidas de prevención y control adecuadas para reducirlo y actuar con anticipación. En el caso concreto de los procesos de ventas en el sector retail, y más específicamente en los puntos de venta, los sistemas de prevención y control del fraude pasan por una evaluación y adecuación continua, en base al nivel de riesgo, procedimien-tos, sistemas, políticas de recursos humanos y planes y programas de auditoría interna como estrategia para mejorar el ambiente de control y llevar a cabo una estrategia efectiva de loss prevention.
enfoque preventivo
Debemos tener en cuenta para ello la importancia del enfoque preventi-vo, que incluye el análisis y monito-rización continua de todo el proceso de ventas para evaluar y priorizar los riesgos y el alineamiento de los sistemas de control establecidos, teniendo en cuenta los subproce-sos que contemplan la venta de las mercancías, devoluciones, cambios, promociones y descuentos, retroce-siones de ventas, gestión de cobro, gestión del efectivo, venta online, etcétera, que es normalmente donde existe un mayor riesgo inherente
de fraude, básicamente producidos en la práctica por manipulación de TPV’s, tickets de devolución y de anulación fraudulentos, robo de mercancías, defectos en el control de stocks, cambios de precios, operativa relacionada con promociones, alte-ración de registros de ventas, pagos con tarjetas robadas, reclamaciones falsas…, con el impacto diferente sobre unidades y sobre margen que tiene cada uno de ellos. Y además hay que considerar el entorno del proceso de ventas y de los puntos de venta en concreto con el gran número de empleados que hay en las tiendas, la proximidad a mercancías y a transacciones mone-tarias, las ubicaciones de tiendas muy diversas y la existencia de mercancía, en muchos casos, más vulnerables (pequeñas, fáciles de esconder, caras y de marca, con considerable atractivo popular, fáciles de revender,…).
SiStemaS de alerta
En este análisis de monitorización continua, Auditoría Interna tiene un papel importante promoviendo la mejora continua y la razonabilidad de los controles, como buen conocedor que es de los procesos involucrados, de los riesgos inherentes de fraude y de los controles apropiados para su reducción. Estableciendo, asimismo, sistemas de alerta en base a los principales factores de riesgo para un control permanente de los puntos de venta y evaluando periódicamen-
te los resultados y las tendencias para informar y proponer mejoras dirigidas a la reducción del coste del fraude para la organización.En los últimos años, muchas em-presas han invertido en los sistemas de prevención del fraude a través de mejoras tecnológicas para la protección de las mercancías y en los sistemas de seguridad. La ten-dencia ha sido invertir en el estable-cimiento y mejora continua de los procedimientos y controles para la reducción de las pérdidas por robo y fraude, tanto de clientes como de empleados, en la formación espe-cífica a los equipos y empleados que operan en los puntos de venta y demás zonas de manipulación de existencias, así como a los directivos y en el establecimiento y divulgación de políticas de integridad entre los trabajadores.
El fraude se ha convertido en uno de los costes más importantes para las organizaciones, que todavía deben aprender a medirlo y a cuantificarlo de forma correcta.
ai48
El deporte de alto rendimien-to es una de las actividades humanas más orientada al
resultado que existe. Como ejem-plo, en la Fórmula 1, las diferencias entre los diez primeros en la prueba de clasificación suelen situarse en torno al 1%, algo que resulta impresionante si tenemos en cuenta que este tiempo de clasificación es el resultado de la combinación piloto-coche y la enorme cantidad de variables que esto implica. Estas exiguas diferencias no se dan solo en los deportes tan tecno-lógicos: en el Tour de Francia, la diferencia entre el primer y segundo clasificado fue del 0,6% tras 20 eta-pas y casi 3.500 km recorridos.
TalEnTo
Una de las cuestiones que más se ha estudiado en los últimos años ha sido la de tratar de averiguar cómo funciona la combinación talento-trabajo y cuánto aporta cada uno al resultado final. Resulta obvio que el punto de partida es importante: la herencia genética influye determi-nantemente en lo que somos. Pero ¿cuál es el papel del ambiente? Y más importante aún, ¿qué capaci-dad tenemos nosotros mismos de modificar esta herencia? La herencia genética no marca nuestras capacidades para el alto rendimiento (ni para nada) de forma inalterable puesto que el ambiente, la dieta, el entrenamiento y otros
factores pueden reescribir, para bien o para mal, las instrucciones genéticas que heredamos. De aquí proviene nuestra afirmación de que el talento está sobrevalorado cuan-do por talento la gente se refiere únicamente a la herencia recibida. Y lo mejor de todo es que seremos capaces de transmitir a nuestros herederos esas modificaciones. La ciencia que explica esto es la epigenética. Es el interlocutor del ambiente con la genética, lo que explica la acción del estilo de vida sobre los genes: el ambiente es el encargado de enriquecer la infor-mación genética.Por tanto, hay evidencias científicas, más allá de corrientes positivistas ciertamente absurdas, que desafían cualquier pensamiento predetermi-nista de índole pesimista: nuestra actitud del día a día puede llegar incluso a modificar nuestra gené-tica y ésta puede ser transmitida a nuestros herederos. Así lo hemos comprobado en el alto rendimiento deportivo y así debe ser para cual-quier ámbito del comportamiento humano. Desde hace años, los programas de búsqueda de talentos han dado paso a programas de creación de entor-nos para la gestión y el desarrollo del talento.
ForTalEza MEnTal
Estas capacidades, heredadas y desarrolladas, no hacen referencia
andrEu alFonsoSocio Director. coach Deportivo Dehp Sport conSulting
APRENDIENDO DEL ALTO RENDIMIENTO: TRAbAjANDO cON, POR, PARA y DEsDE EL EquIPOEn el alto rendimiento, la herencia genética es importante; pero el ambiente, el entrenamiento y otros muchos factores pueden modificar esa predisposición.
ai 49
únicamente a la parte física, puesto que una de las características prin-cipales de los deportistas de alto rendimiento es su fortaleza mental. Los deportistas de alto rendimien-to presentan un nivel altísimo de compromiso con la tarea que se han propuesto realizar. Este nivel de compromiso depende, en muy poca medida, del nivel de motivación de ese momento: son especialmente capaces de hacer lo que tienen que hacer cuando no tienen ganas de hacerlo y eso es lo que les diferencia de los deportistas mediocres.Esta fortaleza mental también se manifiesta en una asombrosa capacidad de sobreponerse a las adversidades. De hecho, lo habitual en el deporte es no ganar, cuando por ganar se entiende quedar el primero. Cuando el deportista tiene claro cuál es el camino del éxito (com-promiso, trabajo, dedicación…) manifiesta una cuasi inexplicable capacidad para superar y olvidar los malos momentos y continuar centrado y comprometido.El deportista de élite presenta, además, de una gran capacidad para trabajar muy duramente, una enorme capacidad para trabajar más tiempo sin cambiar de objetivo, repitiendo y machacando la tarea hasta conseguir la excelencia. Esta voluntad puede resultar tan impor-tante como lo es el talento para los logros superiores.
En la mayoría de los deportes, pero especialmente en los de alta demanda fisiológica (como son, por ejemplo, el triatlón, ciclismo, maratón, etcétera), una de las cua-lidades que predetermina el éxito futuro es la capacidad que presenta el deportista joven para entrenar en solitario, sin entrenador que super-vise ni compañeros que hagan más llevadera la tarea.¿Cómo se puede valorar la capaci-dad de compromiso? El psicólogo del deporte Josep Marí nos presenta la clave en una pregunta: ¿a qué estás dispuesto a renunciar? La respuesta a esta pregunta encierra las verdaderas llaves del compromiso real. Los deportistas de alto rendimiento manifiestan una gran capacidad para no repetir los mismos errores y, además, conseguir extraer nuevos conocimientos de los mismos que aplican a otros ámbitos de ejecución o de resolución de problemas. Su modo de aprendizaje principal es de carácter asociativo, no acumula-tivo; es decir, no acumulan aprendi-zajes sino crean nuevos a partir de unos aprendizajes más sencillos, en su caso, siempre 1+1=3 .Manuela Rodríguez, una de las me-jores psicólogas del deporte de Es-paña, nos habla de que el deportista de alto nivel ha de presentar estas tres cualidades: talento, ambición y actitud. Nosotros hemos dado una vuelta a esta fórmula añadiendo peso espe-
cífico a cada una de ellas y éste es el resultado:
DeportiSta Élite= (talento + aMBiciÓn) x actituD
Mientras que el talento y la ambi-ción suman, la actitud es el factor multiplicador de la ecuación.
El EnTrEnador
El entrenador es la pieza clave que sustenta los procesos exitosos de alto rendimiento. Los mejores en-trenadores del mundo son artistas en el desarrollo de entornos para la gestión del talento. La flexibilidad y una enorme capa-cidad adaptativa son señas de iden-tidad de los mejores entrenadores: cada deportista merece ser entre-nado del modo que facilite alcanzar su máximo potencial, por eso, los mejores entrenadores no presen-tan estilos rígidos sino altamente adaptativos.Desde un punto de vista púramente práctico, la capacidad de influir es la competencia más importante del entrenador, puesto que exige reunir todo un compendio de habilidades como son la capacidad de comuni-car correctamente, ser capaz de re-lativizar la importancia del control, tener clara la diferencia entre au-toridad y poder y tener la capacidad de asumir que es imposible trabajar con eficacia en algo en lo que no se está de acuerdo.
Desde hace años, los programas de búsqueda de talentos han dado paso a programas de creación de entornos para la gestión y el desarrollo del talento.
ai50
XXVI foro de eXpertosEl pasado 25 de octubre se celebró el Foro de Expertos XXVII en el Pabellón Norte de IFEMA, donde contamos con la intervención del Director de análisis de Bankinter, Ramón Forcada, con la ponencia “Ciclo expansivo en fase II. Potente inercia del flujo de fondos”. En el Foro, se procedió a la entrega de los diplomas que acreditan la Certificación de Auditor Interno (CIA), dos Certificaciones sobre Control Self Assessment (CCSA) además de hacer entrega de la Certificación de Calidad (QA) a tres Unidades de Auditoría Interna.
Ramón Forcada. Director de Análisis. Bankinter.
Jose Manuel Muries. Presidente del IAI España.
Javier Faleato.Director General del IAI España.
Ana Quiñones Gil y Miguel Matiacci. Bankinter.
Soledad Llamas Tutor y José María Franco. Canal de Isabel II Gestión.
Isidoro Jurado y Javier Iniesta (en los extremos) entregan a Mª Cruz Esteban, Anaïs Louison y Tomás Ricardo Soto. Iberdrola.
ai 51
QAs: Telecom Argentina. Ricardo Luttini y Diego Chahwan.
QAs: Bankinter. Miguel Matiacci.
QAs: MAPFRE Perú. Claudia Rocío Salinas García.
Santiago Aparicio.Holcim España (CIA).
Óscar Manuel Bravo (CCSA y CIA).Sonae España.
Pedro Fominaya y Anna Minguet.Jazztell (CCSAs).
Silvia Forné y David Puy. Caixabank.
David Mestre.Gas Natural Fenosa.
Juan Carlos Regajo.Endesa (CIA).
Jose Manuel Muries y Hugo Donaire, de Arcelormittal España.
Juan Ignacio Ruiz entrega a Raquel Romero. Telefónica.
Pablo Maravall (en el centro) entrega a Fernando Jesús Marín y Jaime García . Repsol.
ai52
El pasado mes de noviembre se celebró en Madrid el II Foro de Auditoría
Interna del Sector Financiero, organizado conjuntamente por Barclays y el Instituto de Auditores Internos de España. El ámbito bancario ha sufrido una profunda transformación regulatoria desde el inicio de la crisis y este foro persigue que los auditores internos conozcan los principales retos a los que todavía han de enfrentarse y compartan las mejores prácticas
para llevarlos a cabo.La sesión arrancó con el presidente de Barclays España, Carlos Martínez de Campos, quien llevó a cabo un ejercicio de autocrítica en su repaso de los acontecimientos del sector de los últimos años. A su vez, el presidente de Barclays destacó los pasos que los auditores internos están dando como respuesta: “más recursos, más independencia y más visibilidad a las soluciones que aportáis”. Por otro lado, Carlos
Los auditores internos anaLizan Las consecuencias en su trabajo por La avaLancha reguLatoria en eL sector financiero
ii foro de auditoría interna en el sector financiero
Los grandes cambios que ha vivido el sector financiero desde el inicio de la crisis han propiciado que los auditores internos se estén enfrentando a nuevos retos en un momento en el que las expectativas depositadas en ellos para proporcionar aseguramiento son cada vez mayores.
Juan Carlos Chávez Bello.Corporate Assurance Director.
BBVA.
Manuel Muela Cameno.Director de Auditoría Interna.
Barclays.
Michael Roemer.MD Barclays Internal Audit, PLC
Fernando Tejada. Director de Conducta de Mercado y Servicio de Reclamaciones.
Banco de España.
ai 53
Carlos MartínEz dE CaMpos alabó la incorporación de valores éticos en el sector financiero “algo que estamos haciendo en Barclays con una fuerte determinación”
ErnEsto MartínEz reclamó estabilidad regulatoria “para poder centrarnos en el análisis del negocio”
Martínez de Campos señaló los avances en “el eterno debate entre control y cuenta de resultados” y la importancia de la incorporación de valores éticos en el sector financiero “algo que estamos haciendo en Barclays con una fuerte determinación”. Por su parte, Ernesto Martínez, vicepresidente del Instituto de Auditores Internos reclamó, por un lado, estabilidad regulatoria “para poder centrarnos en el análisis del negocio” y por otro, reconoció
que los auditores internos se encuentran en un momento crítico: “tenemos el reto de cumplir las expectativas cada vez mayores depositadas sobre nosotros en nuestra misión de proporcionar aseguramiento”.Así, de la mano de los principales responsables de auditoría interna de Barclays, BBVA, Caixabank, Santander, Banco Sabadell, Bankinter así como del Banco de España y de PwC, se analizaron en concreto los siguientes temas: 1)
La visión de Auditoría Interna en Barclays. 2) Modelo de Combined Assurance y la experiencia de BBVA. 3) Riesgos prudenciales: capital y liquidez. 4) Perspectivas 2014-2016; 5) Riesgos de comercialización de productos: una mirada de futuro y 6) Conducta de mercado. El acto reunió a más de 60 profesionales de la auditoría interna del sector financiero de nuestro país, socios del Instituto de Auditores Internos en España.
De izquierda a derecha: Joaquín Vilar Barrabeig (DAI La caixa), Miguel Martiacci (DAI Bankinter), Pablo Gallego (director Internal Audit en Barclays) y Pilar Zatarain
Valle (subdirectora general adjunta. Grupo Santander).
De izda. a dcha. y de arriba a abajo: Alejandro Esnal Elorrieta (Socio de Auditoría Responsable de Banca PwC), Nuria Lázaro Rubio (directora de Auditoría Interna y subdirectora general de Banco Sabadell), Javier Faleato (director general IAI) y Xavier Fortuny (director de Auditoría Interna de Caixabank).
ai54
Por sexto año consecutivo se ha celebrado en Madrid el Foro de Auditores Internos del Sector
Asegurador. Esta edición, organizada conjuntamente por el Instituto de Auditores Internos (IAI) y MAPFRE el pasado mes de noviembre, ha girado fundamentalmente en torno a la directiva europea Solvencia II y a los efectos de su entrada en vigor el 1 de enero de 2016 en el negocio asegurador en general, y en la función de auditoría interna en particular.La jornada ha contado con la intervención de Ignacio Baeza, vicepresidente de MAPFRE, para quien el desafío de la función de auditoría interna para los próximos años será importante pero ha recordado cuál ha de ser su papel en el seno de la organización: “el auditor
interno tiene que estar cercano al negocio pero nunca mezclado”. Pilar González de Frutos, presidenta de la patronal Unespa, ha destacado la importancia capital que adquirirá la función de auditoría interna con esta normativa en tanto que “se tratará de una función omnipresente: deberá controlar todo lo que ocurre en la entidad, siempre que se le dote eso sí, de la independencia e imparcialidad que le corresponde”. En este sentido, ha coincidido con Fernando Pablo Moreno, subdirector General de Inspección de la Dirección General de Seguros y Fondos de Pensiones, para quien con Solvencia II, la función ocupará un lugar fundamental en su tarea de supervisión del sistema de control interno por lo que “será preciso que se recoja en políticas escritas cómo
Los auditores internos debaten sobre eL refuerzo de su papeL con La entrada en vigor de soLvencia ii
vi foro de auditoría interna del sector asegurador
Esta directiva europea, que entra en vigor el 1 de enero de 2016, hace que auditoría interna tenga un papel aún más relevante, ya que se tratará de una función omnipresente que deberá controlar todo lo que ocurre en una entidad. Y será preciso establecer cómo se garantiza su total independencia.
José Manuel Vidal Formoso.Director de auditoría interna
de TI en BBVA.
Sonia Vicente.Directora de Auditoria Interna
en MMT Seguros.
Fernando Ballesteros. Director de Auditoría Interna, Cumplimiento y
verificación, Mutua Madrileña.
Oscar Zornoza.Senior Manager en Mazars.
ai 55
IgnacIo Baeza: “el auditor interno tiene que estar cercano al negocio pero nunca mezclado”.
PIlar gonzález de Frutos: “la función de auditoría interna debe estar dotada de la independencia e imparcialidad que le corresponde”.
Fernando PaBlo Moreno: “será preciso que se recoja en políticas escritas cómo se va a garantizar su independencia”.
se va a garantizar su independencia”.El IAI ha aprovechado la jornada para dar a conocer el documento de posición, elaborado por el Observatorio del Sector Asegurador de la Fábrica de Pensamiento, sobre el rol de auditoría interna en el nuevo marco de Solvencia II. Para Sonia Vicente, directora de Auditoría Interna de MMT Seguros, “los requisitos que exige están alineados con las reglas fundamentales que ya rigen en la profesión y que promueve el IAI, como es el Marco Internacional para la práctica profesional de la auditoría interna”. La Fábrica de Pensamiento es el think tank compuesto por algunos de los principales expertos de auditoría
interna en activo del país, con el que el IAI quiere contribuir a la mejora del buen gobierno y de los sistemas de gestión de riesgos en las empresas de habla hispana. José Manuel Muries, presidente del IAI, se ha referido a esta iniciativa como “un canal extraordinario desde el que hacer pedagogía”. Y en concreto a este documento como “una oportunidad para que los auditores internos transmitamos el mensaje de que todas las funciones de aseguramiento hemos de trabajar como socios”.La VI Jornada de Auditoría Interna del Sector Asegurador ha contado además con sendas mesas redondas: “Auditoría interna a distancia con herramientas
de análisis masivo de datos”, moderada por Vanesa Escrivá. Directora del Servicio de Auditoría de TI de MAPFRE, en la que se ha profundizado sobre la importancia de la calidad frente a la cantidad de los indicadores de riesgos que deben manejar las entidades y sobre la evolución de la auditoría interna tradicional a la auditoría continua, al instante; y “Auditoría interna y el Pilar de Solvencia II”, moderada por Javier Faleato, donde se ha coincidido en que la normativa dotará de mayor importancia a esta función para lo que se ha reivindicado que los recursos y la formación de los auditores internos estén alineados.
David Caña. Director de la Unidad de Auditoría a Distancia y Forensic.
MAPFRE.
Xavier Fortuny. Director de Auditoría Interna “la Caixa”
Caixabank y grupo.
Cristina Moya. Adjunta a la Dirección General de Auditoría Interna.
MAPFRE.
José Manuel Cuesta. Director de Auditoría Interna Corporativa. Grupo
Catalana Occidente.
José Manuel MurIes: “el documento de la Fábrica de Pensamiento es una oportunidad para transmitir que hemos de trabajar como socios en las funciones de aseguramiento”.
El Risk Maturity Index de Aon es una herramienta que pretende captar y evaluar los sistemas de gestión de los riesgos de una empresa a través de una calificación que refle-ja su grado de madurez. Aon se ha asociado con la Escuela Wharton (Uni-versidad de Pensilvania) para el desarrollo de este índice y de la investiga-ción que relaciona las prácticas de gestión de riesgos con los resultados empresariales. La herra-mienta lleva en marcha desde abril de 2011.El Instituto de Auditores Internos de España aco-gió, el pasado noviembre, la presentación de re-sultados de las primeras conclusiones obtenidas tras la evaluación de 500 empresas en todo el mundo, cien de ellas co-tizadas.
Según este estudio, solo un 15% de las compañías ha desarrollado un mo-delo avanzado de gestión de riesgos: cuenta con un mapa de riesgos que actualizan; su gestión se
considera una ventaja competitiva; la conexión entre los distintos tipos de riesgos está muy avanzada y existe una declaración formal sobre el apetito de riesgo y sus niveles de tolerancia. La media de las em-presas evaluadas, sin embargo, obtiene una calificación de 2,8 puntos: se encuentran entre un modelo básico y el defini-do. Esto implica que la or-ganización ha identificado sus riesgos pero falta que su mapa esté en el día a día; que el riesgo y su gestión se consideran informalmente en la toma de decisiones y que no se ha definido el apetito de riesgo. Contar con un nivel maduro de gestión de riesgos supone, según Marta Grande, directora de Consultoría de Aon
Global Risk Consulting y responsable de la pre-sentación del estudio, “una consecuencia en la mejora del negocio”, afirmación que este índi-ce ha podido demostrar a través del análisis de su comportamiento en bolsa. La volatilidad del valor de las compañías cuyos sistemas de gestión de riesgos son maduros, evaluadas en 2011 y 2012, fue menor en un 50%. Y en relación con la renta-bilidad, sólo las compa-ñías con niveles altos de madurez en la gestión de sus riesgos cerraron 2012 con beneficios. Para Mar-ta Grande, las variables clave para avanzar hacia modelos más maduros son tres: “Concienciar: que exista una cultura de riesgo; consensuar: que existe acuerdo entre cuá-les son los riesgos fun-damentales a los que hay que hacer frente y que exista una misma línea de actuación en toda la orga-nización sobre la manera de gestionarlos”.El acto congregó a más de 60 profesionales de la auditoría interna de todos los sectores, socios del IAI en España. Aon prepara ya los resultados de la segunda fase con empresas españolas.
los lunes del institutoEL InStItUto dE AUdItoRES IntERnoS dE ESPAñA ContInúA CELEbRAndo SUS REUnIonES Con EL objEtIvo dE tRAtAR novEdAdES Y tEmAS dE IntERéS
[ Madrid, 11 de novieMbre de 2013 ]
Sólo un 15% de laS empreSaS diSpone de modeloS avanzadoS de geStión de rieSgoS
El IAI acoge la presentación de los resultados del primer Risk Maturity Index de Aon
ai56
Marta Grande: “Hay que consensuar,
lograr un acuerdo entre cuáles
son los riesgos fundamentales a los que hacer frente ”
El Instituto de Auditores Internos publicó en di-ciembre la guía “Marco de Relaciones de Audi-toría Interna con otras Funciones de Asegura-miento”. La publicación, coordinada por Óscar del olmo, director de Audito-ría Interna de Iberdrola Ingeniería y Construc-ción, establece por pri-mera vez qué funciones de aseguramiento deben darse en una empresa y qué puede y no hacer Auditoría Interna en su papel de coordinación para asegurar que se cumplen y evitar duplici-dades. Según del olmo, “hay muchas funciones que dan aseguramiento pero el independiente sólo lo aporta Auditoría Interna”. Para Paz Arga-menteria, directora del Área de Control operativo de Inversis, el documento deja claro que “Auditoría Interna debe confiar en el aseguramiento que da pero ha erigirse en la coordinadora de todas”. Esta guía, fruto de la co-laboración de once exper-tos de auditoría interna, ha sintetizado y editado la ingente documentación dispersa y ha establecido: 1. ocho funciones de ase-guramiento (control inter-no; control interno sobre
la información financiera; seguridad de la informa-ción; etc.)2. Pautas para saber si esa función se está ha-ciendo bien (propósito de los trabajos; objetividad del proveedor del servi-cio; competencias, etc.)3. Procedimientos de Auditoría Interna para evaluar esas funciones (competencia profesional; existencia de políticas escritas; informes, etc.)4. Líneas rojas entre qué puede y debe y qué no debe hacer Auditoría Interna en relación con estas funciones. 5. Propone el método
para elaborar mapas de aseguramiento global de la empresa para que el consejo de administración tenga la certeza de que los procesos de gestión de riesgos funcionan.El documento es la ter-cera publicación de La Fábrica de Pensamiento, el think tank del IAI que estudia temas relaciona-dos con el buen gobierno, la gestión de riesgo y la auditoría interna en las empresas de habla hispa-na y ha sido publicado con la colaboración de Fun-dación MAPFRE. Para Mercedes Sanz, directora general del Instituto de
Ciencias del Seguro de esta Fundación, “La Fá-brica de Pensamiento coincide con nuestros objetivos de divulgación y promoción de una ade-cuada gestión corporativa y de una mejora de la cultura de control de riesgos”.El presidente del IAI, José Manuel Muries, se felicitó por la marcha de esta iniciativa que está generando informes “de rigurosa calidad técnica” y que “está aprovechando el talento y la cualifica-ción de muchos profesio-nales de auditoría interna en España”.
los lunes del instituto[ Madrid, 2 de dicieMbre de 2013 ]
el iai preSenta la guía “marco de relacioneS de auditoría interna con otraS funcioneS de aSeguramiento”
Patrocinado por la Fundación MAPFRE, forma parte de la producción de La Fábrica de Pensamiento
ai 57
Mercedes Sanz: “La Fábrica de Pensamiento
coincide con los objetivos de la Fundación
MaPFre de mejorar el control de riesgos”
Paz argamenteria: “auditoría Interna
debe erigirise en la coordinadora de todas
las funciones de aseguramiento”
Oscar del Olmo: “Hay muchas funciones que
dan aseguramiento pero el independiente
sólo lo aporta auditoría Interna”
sugerencias...
ai58
...Para leer ...Para viajar
En un mundo en el que el éxito es cada vez más
fugaz, las organizaciones y las personas que aspiran a triunfar necesitan incorpo-rar la innovación como par-te de su estilo de vida. Sin embargo, ¿cómo se puede fomentar el comportamien-to innovador? Esta obra proporciona una eficaz me-todología y una herramienta indispensable para que emprendedores, directivos y responsables de equipos que necesiten inventar y reinventarse encuentren el impulso transformador en su propia fuerza motriz. Aporta herramientas de diagnóstico, directrices y lecciones aprendidas por cientos de profesionales que han triunfado o fracasado en el intento.
“Ingenio y pasión”
El AcEbo dE cAsA MuriA
cerca de las nubes
silviA lEAl y JorgE urrEA
La perspectiva de un largo fin de semana nos
invita a descubrir parajes nuevos, y si lo que nos gusta es descansar en plena natu-raleza, acercarnos a Huesca es una buena opción. Desde esta ciudad, hay que tomar la N-330 hasta Sabiñánigo y, desde allí, la N- 260 hasta llegar a Boltaña y Campo. Muy cerquita, perdida entre la inmensidad del Valle de Benasque, en la aldea de Renanué y a 1.250 metros de altitud, se encuentra nuestro punto de destino, El Acebo de Casa Muria.En una situación privile-giada, este rincón ofrece parajes de gran belleza, con lagos e ibones rodeados de imponentes montañas como El Posets o El Gallinero, y frondosos bosques. Pero, además, un alojamiento rural en una antigua casa de labor del siglo XVIII, restau-rada con esmero al modo de la arquitectura popular pirenaica. Además del placer de la vista, ofrece múltiples acti-vidades: conocer la cultura y la historia de este valle visitando su arquitectura románica-lombarda, pue-blos, iglesias y museos;
practicar barranquismo, escalada, esquiar por las pistas de Cerler, esquí de fondo en los Llanos del Hospital o la estación de Boí Taüll al otro lado del valle; excursiones a caballo, pesca o piragüismo…. Y disfrutar de la buena gastronomía con productos autóctonos de la zona bañados con una selecta selección de vinos del Somontano. Un lugar perfecto para escapar de la rutina.Precio medio Fin de Semana 2 noches en hab. doble con vistas al bosque caducifolio. 4 desayunos buffet1 cena para dos personas 1 ruta guiada 170,00 € por persona
EditoriAl:lid
Nº dE PágiNAs, 232 PrEcio: 19,90 €
Javier Fernández Aguado repasa la historia del
Antiguo Egipto entendiendo cada reinado o cada forma social como una oportuni-dad para recabar enseñan-zas aplicables al mundo empresarial. Cada capí-tulo es una ocasión para conocer más de cerca la historia de una civilización milenaria, cuna de la cul-tura occidental antes de la llegada de los griegos, pero también una llamada a la memoria para comprender que conceptos como el ocio, la ética, el nacionalismo, la corrupción o el alma de las organizaciones no son un invento moderno, sino una constante en las sociedades de todo cuño.
“Egipto, escuela de directivos”
JAviEr fErNáNdEz AguAdo
EditoriAl:lid
Nº dE PágiNAs, 304 PrEcio: 19,90 €
c/ ÚNicA, 8 rENANué, bissAurri (vAllE dE bENAsquE) 22470 HuEscA
974 111 313 - 687 818 [email protected] www.cAsAMuriA.coM
54 seminarios y 2 cursos elearning, un 35% de novedades,
14 nuevos cursos,
DISEÑADOS PARA MANTENERTE
COMPETENTE Y COMPETIVO EN CUALQUIER FASE DE
TU CARRERA PROFESIONAL como auditor interno.
Prepárate a dar el salto, accede al PLAN 2014 en
www.auditoresinternos.es
Composici�n
C M Y CM MY CY CMY K
Diploma Oficial del IAI de España
4 horas CPE
La guía de 180.000 profesionales de todo el mundo
Imprescindible para el ejercicio de la Profesión
E - L E A R N I N G2013FORMACIÓN
potencia tu valor
Marco Internacional para la PrácticaProfesional de la Auditoría Interna
nuevo cursoe-learning
nuevo cursoe-learning
Composici�n
C M Y CM MY CY CMY K
Diploma Oficial del IAI de España
4 horas CPE
La guía de 180.000 profesionales de todo el mundo
Imprescindible para el ejercicio de la Profesión
E - L E A R N I N G2013FORMACIÓN
potencia tu valor
Marco Internacional para la PrácticaProfesional de la Auditoría Interna
nuevo cursoe-learning
nuevo cursoe-learning
1 a. una reversión de tecnología obsoleta y adopción completa de TeamMate
b. un cambio fundamental en su enfoque de auditoria; especialmente el abandono de un sistema, reemplazándolo por TeamMate
c. un cambio en su uso o preferencia, especialmente en Sistemas de Gestión de Auditoría <La Revolución TeamMate>
❱ Primer sistema del mundo basado en Windows para la Gestión de Auditoría
❱ Primer Sistema de Gestión de Auditoria en introducir funcionalidades para Dispositivos Inteligentes
La Rev lución TeamMate ya está aquí.
El Líder Global en Gestión de Auditoria ❱ Evaluación de riesgos
❱ Planificación en base a riesgos
❱ Calendarización
❱ Contenido extensivo de Auditoria
❱ Papeles de trabajo electrónicos
❱ Encuestas
❱ Cuestionarios
❱ Escaneo de imágenes y Anotación
❱ Generación de informes automatizada ❱ Seguimiento completo de resolución
de incidencias
❱ Seguimiento de Horas y gastos
TeamMate sigue siendo el Líder en Innovación después de todos estos años:
# de departamentos de auditoria que adoptan TeamMate cada día
# de idiomas en que TeamMate está disponible
# de países donde se licencia TeamMate
# de auditores usando TeamMate cada día
# de CPD entregados en los últimos 3 años
Team Mate rev o lu tion, nombre \ tem-mat re-v -loo-sh ne e
1
14
105
90,000
104,000
VISITE TEAMMATESOLUTIONS.COM
O LLAME AL 932533618 / 659055806
TEAMMATE PRESENTA EL NUEVO SISTEMA TEAMMATE
CONTROLS MANAGEMENT (CM)
TeamMate CM ayudará a su organización a gestionar las actividades reguladas por SOX u otras actividades de gestión donde se requiera identificación, evaluación, pruebas e informes de certificación del Cumplimiento Normativo.
www.teammatesolutions.com/CM
NU
EVO
SIS
TEM
A T
EAM
MATE CONTROLS MANAGEMENT (CM
)
TeamMate CM ayudará a su organización a gestionar
las actividades reguladas por SOX u otras actividades de gestión donde
se requiera identificación, evaluación, pruebas e informes de certificación del Cumplimiento Normativo.
www.teammatesolutions.com/CM