José Manuel Muries 1 - Auditores Internos · posibles barreras y limitaciones a que nos...
Transcript of José Manuel Muries 1 - Auditores Internos · posibles barreras y limitaciones a que nos...
1
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
En este número especial sobre las 17 Jornadas de Auditoría Interna
resumimos y hacemos balance de las diferentes ponencias que ofre-
cieron los líderes de auditoría interna y de otras disciplinas, a los casi
400 asistentes que acudieron de organizaciones de toda España los
días 21 y 22 del pasado mes de noviembre.
Podemos señalar que los títulos de las ponencias y sus ponentes
cuanto menos despertaron la inspiración y las ganas de superar las
posibles barreras y limitaciones a que nos enfrentamos en nuestras
entidades hoy en día.
Por ello, el Instituto de Auditores Internos de España a lo largo de
2013 seguirá ofreciendo, a través de sus múltiples actividades, las
fórmulas, herramientas y buenas prácticas para promover la innova-
ción y nuevas ideas que enriquezcan nuestro trabajo diario. Entre es-
tas actividades, está el Plan de Formación 2013 con la novedad de la
oferta de cursos e-learning que lanzará el Instituto en el primer cua-
trimestre del año. Un nuevo proyecto para que la formación se en-
cuentre accesible a todos nuestros socios.
En enero de 2013, ha entrado en vigor la nueva edición del Marco
Internacional para la Práctica de Auditoría Interna, el libro de cabece-
ra de todo auditor interno y la referencia de la profesión de auditoría
interna. Además a lo largo de este año publicaremos el Marco
Integrado de Control Interno actualizado (COSO III) del Committee of
Sponsoring Organizations of the Treadway Commission con cambios
sustanciales, adaptados a la realidad actual y mucho más práctico.
Por último, os dejo que disfrutéis, sobre todo a aquellos que no pu-
disteis asistir a las Jornadas, de esta visión resumida de lo que suce-
dió en las 17 Jornadas de Auditoría Interna.
José Manuel MuriesPRESIDENTE
7
Publicación del Instituto de Auditores Internos de EspañaPresidente: José Manuel Muries
Comisión Editorial:
Eduardo Hevia
Gabriela González-Valdés
Javier Faleato
José Manuel Muries
Coordinación: Teresa Jiménez
Administración: Mª Jesús MorcilloFátima Roldán
Santa Cruz de Marcenado, 3328015 Madrid
Teléfono: +34 91 593 23 45Fax: +34 91 593 29 32
[email protected] · www.auditoresinternos.es
BIENVENIDATiempo de inspiración, deja volar tus ideasJosé Manuel Muries
8SESIÓN DE APERTURALa anticipación como clave en un entornocada vez más exigenteÁngel Cano
10SESIÓN PARALELA 1.1El valor de la reputación y el impacto delos riesgos sobre la marcaAdolfo Carpena · Enric Doménech
12SESIÓN PARALELA 1.2Riesgos en el área de Recursos HumanosFrancisco Fernández
14SESIÓN PARALELA 2.1Las 7 virtudes de un auditor interno de éxitoGünter Meggeneder
16SESIÓN PARALELA 2.2Implantación de un Cuadro de Mando delFraude. Caso Práctico de Auditoría Continua yherramienta integral de Gestión de RiesgosJordi Otero · Cristina Bausá
22SESIÓN GENERAL 2Entusiasmo y superaciónCarlos Soria
24SESIÓN PARALELA 4.1COSO 3: principales novedades en el marcode control interno actualizadoRamón Abella · Tamer Davut
26SESIÓN PARALELA 4.2Marketing de Auditoría Interna. La experiencia de Mahou-San MiguelÁngel Etreros · Javier Guerrero
28
32
48
SESIÓN PARALELA 5.1Generando eficiencia desde la función de Auditoría InternaDiego Rodríguez · Patricia Méndez
30SESIÓN PARALELA 5.2La función de Auditoría Interna y losProgramas de Integridad Corporativa en GasNatural FenosaCarlos Ayuso
34SESIÓN GENERAL 3Perspectivas macroeconómicas en elentorno actualJuan Iranzo
44SESIÓN DE CLAUSURACómo ser una gran auditor internosPhilip Ratcliffe
51REUNIONES52NOTICIAS DEL IAI
36SESIÓN PARALELA 6.1El liderazgo del auditor internoJuan Díaz Carmona
38SESIÓN PARALELA 6.2El papel de la auditoría interna en losprocesos de integración de las entidadesfinancieras. La experiencia de Banco SabadellNuria Lázaro
40SESIÓN PARALELA 7.1El Comité de Auditoría: una relación clavepara la función de Auditoría InternaJosé Díaz Morales
42SESIÓN PARALELA 7.2Internacionalización de la función deAuditoría Interna. La experiencia de EDPAzucena Viñuelas
18SESIÓN PARALELA 3.1Prevención del riesgo de TI, cibercrimen yotras amenazasCésar Lorenzana
20SESIÓN PARALELA 3.2La definición de Key Risk Indicators. La experiencia de FCCJosé Ignacio Domínguez
Diseño: desdecero, estudio gráfico Impresión: IAG, SLDepósito Legal: M. 25210-1985
deja volar tus ideas
3
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
El evento más importante del año para los auditores internos, las 17 Jornadas de
Auditoria Interna, contó con 18 ponencias presentadas por líderes de Auditoría
Interna nacionales e internacionales, stakeholders y expertos en otras discipli-
nas.
En esta ocasión, reunimos en Madrid a casi 400 auditores internos bajo el lema
“Tiempo de inspiración, deja volar tus ideas”, para ayudarles a potenciar la crea-
tividad, la innovación y, en definitiva, a inspirarles a través de las experiencias y
buenas prácticas de nuestros ponentes. Además de proporcionar una oportuni-
dad única para el encuentro entre colegas de la profesión.
Ernesto Martínez, José Manuel Muries, Ángel Cano, José Luisde los Santos y Juan Ignacio Ruiz Zorrilla
José Manuel Muries en el acto de bienvenida
Philip Ratcliffe en la sesión de clausura
Ángel Cano durante la sesión de apertura
4
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Agustín Rodríguez, Reyes Fuentes, María Meléndez y Juan Carlos Peña
Fernando del Pozo, Juan Ignacio Ruiz Zorrilla,Carlos Crespo y José Manuel Muries
Rafael del Río, Jesús Aisa y Eloy Paredes
Gregorio Hernández, Beatriz Cordero y Miguel Ángel Gutiérrez
Miguel Ángel Matiacci y Jesús Alberto González
Iker Spell
Enrique Summers, Juan Carlos Chávez yLuis Lafuente
Patricia Méndez
Azucena Viñuelas
Enric Doménech, Adolfo Carpena y Ángel Juárez
5
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Patrocinadoresy expositores
Patrocinador Oro
Patrocinador Plata
Patrocinadores
������������������� ����������� �������������� �� ����� ������������������ ������������ �����������������
�������
7
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
José Manuel MuriesPRESIDENTE. INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Tiempo de inspiración, deja volar tus ideas
En este contexto, los auditores internos están obligados a aumentar al máximo su profesionalidad. Tienen que mejorar lo que
mejor saben hacer: proporcionar aseguramiento y consulta; anticiparse a los riesgos; coordinar las líneas de control o su visión
de largo plazo. Por otro lado, a los empresarios les corresponde, “aplicar una transparencia radical”. Y por último, los legisla-
dores europeos y españoles deberán “proporcionar marcos regulatorios que generen la seguridad jurídica necesaria y hagan
de Europa y de España un zona donde invertir con confianza”.
En su discurso de bienvenida, José Manuel Muries –Presidente del Instituto
de Auditores Internos de España– repasó las responsabilidades
de los legisladores, los empresarios y los auditores internos para salir
de la crisis.
BIENVENIDA
8
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
SESIÓN DE
APERTURA
Ángel CanoCONSEJERO DELEGADO. BBVA
Ángel Cano, resaltó en su exposición la relevancia que tie-
ne la labor del auditor interno para el buen funcionamiento
de las entidades. Subrayó que el papel del auditor interno
es “fundamental” porque identifica las áreas que necesitan
mejoras, propone soluciones y ayuda a las empresas a que
sean más fuertes y más seguras, antes de que dichas áreas
se conviertan en amenazas que puedan desestabilizar la
actividad de la compañía. Además, señaló que es bueno
que haya controles y análisis a la banca, y abogó por que
este tipo de controles también se realicen en otros países.
Respecto a la situación económica actual, Ángel Cano des-
tacó que el futuro de Europa “pasa por más Europa” y que
se están dando pasos en la dirección correcta. Sobre Espa -
ña, el Consejero Delegado de BBVA resaltó que en los últi-
mos años se han emprendido muchas reformas y sigue
siendo necesario mantener el “espíritu reformador” para
SESIÓN DE
APERTURA
El papel del auditor interno
es “fundamental” porque
identifica las áreas que
necesitan mejoras, propone
soluciones y ayuda a las
empresas a que sean más
fuertes y más seguras.
Ángel CanoCONSEJERO DELEGADO. BBVA
La anticipación como clave en un entorno cada vez más exigente
9
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
El futuro de Europa
“pasa por más Europa”
y se están dando pasos
en la dirección correcta.
salir de la crisis con un potencial cre-
cimiento por encima del resto de los
competidores.
Por último describió los cuatro ele-
mentos irrenunciables para un nuevo
modelo de éxito:
· La diversificación, imprescindible
para lograr la resistencia en cual-
quier entorno.
· La orientación a cliente. Es decir,
centrar el negocio en generar rela-
ciones estables y a largo plazo con
los clientes.
· Prudencia y anticipación, imprescin-
dibles en un entorno tan cambiante
· Principios y personas.
En definitiva, una industria financiera
diferente con grandes retos y grandes
oportunidades.
Resumen: Instituto de Auditores Internos de España
10
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
El valor de la reputación y el impacto de los riesgos sobre la marca
En la valoración y percepción de la reputación cada vez son
más importantes la integridad y el cumplimiento de los
compromisos y de las expectativas. “La reputación funciona
como círculos de confianza y se construye desde dentro ha-
cia fuera. El éxito radica en gestionar las expectativas de
los stakeholders” (Corporate Excellence 2012).
Una Buena Reputación:
· Consigue mejores valoraciones y cotizaciones de la em-
presa.
· Incentiva la permanencia de los inversores.
· Apoya e impulsa la expansión en el mercado.
· Impulsa las recomendaciones positivas y el incremento
de las ventas.
Una Mala Reputación:
· Pérdida de confianza en los productos y servicios.
· Pérdida de confianza y lealtad de los empleados.
· Descapitaliza la empresa / Incrementa coste de capital.
· Genera rechazo y recomendaciones negativas.
· Impacta negativamente en los objetivos y en la marca.
Gestión del riesgo reputacional
Existen dos tipos, acelerador de otros riesgos –operacional–
y riesgo puro derivado de terceros. El riesgo reputacional es
muy transversal y sin propietario.
Pasos importantes a realizar en la gestión de riesgo reputa-
cional:
1. Establecimiento de la situación: identificar cuáles son
las fuentes de valor de la reputación de la compañía;
identificar quienes son los verdaderos stakeholders y
sus expectativas; establecer priorización entre los stake-
holders en función del nivel de influencia en los objeti-
vos y estrategia; analizar posibles desfases entre la re-
putación percibida por los stakeholders y la realidad.
SESIÓN PARALELA
1.1
Adolfo Carpena DIRECTOR GENERAL DE AUDITORÍA INTERNA. GRUPO CODERE
Enric DoménechSOCIO. BDO
La reputación es algo que cuesta décadas construir y que se puede destruir en
un momento, quizá porque se basa en la confianza.
Análisis de la reputación
Fuente: Reputation Institute, 2011
Percepción
Real
idad
+-
+ -
-+
++
--
+-
Alto riesgo
2. Análisis de riesgos: identificación de eventos y/o acon-
tecimientos que pueden dañar la reputación de la com-
pañía; identificar los cambios de expectativas de los sta-
keholders y la falta de alineación entre objetivos y ex-
pectativas; evaluar la probabilidad de ocurrencia y su po-
11
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
sible impacto sobre la reputación y la confianza; estable-
cer una priorización sobre su control, mitigación, infor-
mación e implantación de acciones.
Hay que considerar tanto riesgos internos (éticos y de
conducta como fraudes o malversaciones, directivos co-
mo incompetencia e incumplimiento de objetivos, ope-
rativos y de comportamiento) como riesgos externos
(derivados del sector y derivados de competidores o
empresas relacionadas
En resumen, hay que considerar la importancia de la cultura
corporativa, los sistemas de información para la priorización
de expectativas y el contraste con cumplimiento, poner én-
fasis en códigos de conducta, la importancia de los canales
de denuncia, la función de cumplimiento para asesorar, im-
plantar y supervisar, la transmisión de valores a través de la
formación y de la cultura de empresa.
El Grupo Codere, multinacional española referente del juego
privado, opera en 8 países en Europa y América. Gestiona
cinco áreas de negocio: terminales, salas de juego, puntos
de apuestas, hipódromos y juego on line. Además, es la
primera y única empresa que cotiza en bolsa desde 2007.
Para el Grupo Codere, la marca consigue una unidad de
imagen visual de la compañía, permite identificar correcta-
mente al Grupo por parte de su público de interés y contri-
buye a una mayor penetración comercial de la Empresa y la
posiciona.
Los riesgos identificados en Codere sobre la marca son: re-
clamaciones, noticias, seguridad, resultados, fraudes y las
redes sociales.
¿Qué hacen en la dirección de auditoría internadel Grupo Codere para proteger la Marca y la Reputación?
Encaminados a la cultura de la organización:
Revisar el cumplimiento de procedimientos.
Sesiones Informativas/formativas.
Comités de mejora y seguimiento.
Apoyo a proyectos de interés (código ético, gobierno cor-
porativo, etc.)
Evaluación constante del riesgo.
Encaminados al cumplimiento Regulatorio y Normativo:
Vigilancia de operaciones legítimas.
Documentación legal (Licencias, producto, etc.)
Marco contractual.
Marco fiscal, etc.
Los riesgos identificados sobre
la marca son: reclamaciones,
noticias, seguridad, resultados,
fraudes y las redes sociales.
Resumen: Instituto de Auditores Internos de España
12
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Riesgos en el área de Recursos Humanos
Hoy más que nunca las organizaciones necesitan que di-
chos departamentos les ayuden en el proceso de transfor-
mación de los negocios, revisando valores y cultura, fomen-
tando el enfoque a resultados y asegurando unos niveles
de flexibilidad imprescindibles para hacer frente a una de-
manda cambiante potenciando la medición del desempeño
y gestión en base a evidencias que permita identificar a
nuestros mejores profesionales, teniendo muy presente que
la forma en que gestionemos hoy marcará el futuro de las
organizaciones.
En el informe “Creating People Advantage”, elaborado por
Boston Consulting Group, se recogen algunos de los retos a
los que ha de hacer frente la función de Recursos Humanos
en los próximos años. Destacan:
La escasez de talento y liderazgo por la que, a pesar de la
situación de desempleo que vivimos en España actualmen-
te, tendremos que competir por los mejores profesionales
con los denominados países emergentes y con aquellos
países que tradicionalmente han sido países con un potente
branding como empleadores (países anglosajones, Alema -
nia, etc).
La población activa es cada vez más mayor y la natalidad
en los países desarrollados es cada vez más baja. Lo que
en un futuro cercano provocará la convivencia de hasta seis
generaciones en las organizaciones con las implicaciones
que esto tendrá en las relaciones laborales y en la forma
de gestionar personas.
Las empresas son cada vez más globales y la gestión de
personas se debe plantear como una responsabilidad global
a la que ésta hace frente con un doble objetivo: por un la-
do, dotarse de los mecanismos capaces de gestionar la
complejidad resultante en términos de capacidad y eficien-
cia; por otro lado, definir políticas de gestión de personas
que sean capaces de abordar la diversidad y al mismo
tiempo mantener la conexión e identidad corporativa de las
organizaciones
El bienestar emocional de los empleados es ahora más
importante, teniendo muy presente que el salario es im-
portante pero hay mucho más... Compensación y benefi-
cios, conciliación, reconocimiento, desarrollo y oportunida-
des de carrera.
Dichos retos entre otros, solo se podrán gestionar si se
consigue establecer un nexo entre la estrategia de negocio
a largo plazo y la estrategia de gestión de personas.
Múltiples análisis muestran que se debe potenciar la rela-
ción entre estrategia, métricas y Recursos Humanos, y la
vía para ello pasa por la elaboración de un Plan Estratégico
SESIÓN PARALELA
1.2
Francisco Fernández, CIADIRECTOR DE RECURSOS HUMANOS. CLÍNICA BAVIERA
Ante un entorno empresarial de cambios vertiginosos, los departamentos de
gestión de personas tienen más retos y a la vez más oportunidades que nunca.
13
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
de Gestión de Personas, cuya formulación exige compren-
der el impacto de la estrategia en la demanda de profesio-
nales, cuántos, cuándo y con qué competencias y, poste-
riormente, establecer acciones para tender los cuatro puen-
tes con la estrategia de negocio y ser capaz de medir su
evolución:
· Estrategia de captación: reclutamiento, selección, incorpo-
ración, branding y posicionamiento en el mercado labo-
ral.
· Estrategia de implantación de métricas: medición del ren-
dimiento individual y colectivo, y sistemas de recompen-
sas e incentivos.
· Estrategia de desarrollo de carrera profesional.
· Estrategia de afiliación: retención, conciliación de vida la-
boral, compromiso, motivación y responsabilidad social
corporativa.
Tal y como se mencionó al principio, son muchos los retos y
oportunidades que tienen los Departamentos de Gestión de
Personas para lograr ser los verdaderos “asesores” de las
organizaciones para los que trabajan, teniendo muy presen-
te que éste no es un camino que puedan realizar en solita-
rio dichos departamentos, necesitan de la colaboración de
los gestores de personas y equipos que, a la postre, son los
verdaderos responsables de personas.
El gran desafío de las empresas es alinear sus
procesos y sistemas de gestión de personas, con
la estrategia de la empresa, su cultura
y su misión. (Dave Ulrich, “Human Resources
Champions”).
El talento
y liderazgo se
están convirtiendo
en recursos cada
vez más escasos.
Resumen del ponente
14
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Las 7 virtudes de un auditor interno de éxito
La función de Auditoría Interna tiene también que buscar nue-
vas direcciones. Ya no es sólo un instrumento del Director
General o del Director Financiero, sino que se está convirtiendo
en la función de aseguramiento para toda la organización.
Hoy en día, es clave que todas las actividades de auditoría in-
terna estén orientadas al riesgo y en coordinación y coopera-
ción con otras funciones como gestión de riesgos, cumplimien-
to y gestión de calidad. Para trasladar este nuevo papel a un
gráfico, el modelo de las tres líneas de defensa es la mejor
manera de describir el lugar que ocupa la auditoría interna en
la actualidad.
La actividad de Auditoría Interna no sólo tiene que trabajar de
una manera diferente; también tiene que demostrar su papel,
su propósito y su éxito de una forma más activa. El papel de la
Auditoría Interna como función de aseguramiento debe ser vi-
sible y bien aceptado en toda la organización. También las re-
gulaciones que piden la implementación de las funciones de
auditoría interna han contribuido a aumentar la visibilidad y la
importancia de la profesión.
Pero queda la tarea de todos los departamentos de auditoría
interna de cumplir con las expectativas de sus stakeholders de
forma permanente. De acuerdo con estudios recientes, una
gran mayoría de nuestros stakeholders todavía piensan que la
actividad de auditoría interna debe mejorar para poder ayudar
a alcanzar los objetivos del negocio.
Además, los auditores internos necesitan conocer exactamente
estos objetivos y su papel esperado. Todas las direcciones de
auditoría interna necesitan estar completamente alineadas con
los objetivos de negocio de su organización.
SESIÓN PARALELA
2.1
Günther Meggeneder, CIA, CRMADIRECTOR DE AUDITORIA INTERNA DE ISTA INTERNACIONAL.
PRESIDENTE DEL INSTITUTO GLOBAL 2010-2011
Durante la última década, los
modelos de gobierno corporativo
de casi todas las organizaciones
han sufrido un cambio radical.
No sólo debido a los fallos en el
gobierno corporativo ocurridos a
principios del siglo XXI y a la
implementación de regulaciones
para reducir el riesgo de tales
asuntos, sino también debido
a la existencia de directivos más
activos, de los miembros del
Consejo y Comités de Auditoría y,
por último, por un incremento del
interés público en el gobierno
corporativo.
15
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Existen Cinco Imperativos que deberían guiar a todas
las funciones de auditoría interna:
1. Mejora y aprovechamiento de un enfoque continuo de
los riesgos.
La expectativa más importante es que la auditoría inter-
na ayuda a prevenir sorpresas que no estaban la mente
de la dirección y el Consejo. Es fundamental una visión
innovadora hacia los riesgos futuros.
2. Aseguramiento sobre la efectividad de la gestión de
riesgos.
Es obvio que la gestión de riesgos no funcionaba co-
rrectamente cuando estalló la crisis financiera. Los ges-
tores de riesgos no vieron sus propias deficiencias, por
lo que definitivamente hay una necesidad de asegura-
miento de la gestión de riesgos. Y auditoría interna es
el recurso natural para ello.
3. Mejorar la habilidad en la recogida y análisis de datos.
La cantidad de datos en nuestras organizaciones está
creciendo rápidamente. Sin las herramientas adecuadas
de auditoria interna no es posible analizar tal cantidad
de datos. No importa si usamos las revisiones perma-
nentes de datos o si analizamos los datos cada vez que
se realice una auditoria interna, el análisis de datos de-
be ser una parte importante del trabajo de asegura-
miento.
4. Asegurarse un “asiento en la mesa”.
Sin saber qué está pasando en nuestra organización, no
podemos añadir valor y contribuir al alcance de nues-
tros objetivos. Por tanto, es un deber que formemos
parte del proceso de toma de decisiones. No desde un
papel operativo, sino desde una posición de asesores y
de fuente de información.
5. Solidificar nuestra experiencia para abordar los ries-
gos.
La función de auditoría Interna tiene que ser capaz de
trabajar con todos los departamentos de la organiza-
ción, no solo con el área financiera. Por tanto, los audi-
tores internos tenemos que adquirir experiencia en el
negocio y emplearla para crear recomendaciones para
mejorar la eficacia y eficiencia de las operaciones de
nuestra organización.
Para cumplir con las expectativas de nuestros stakeholders
con éxito, tenemos que:
• Estar totalmente integrados en el “C-Suite” como aseso-
res de confianza.
• Ser un recurso respetado de supervisión y previsión.
• Usar la tecnología más avanzada.
• Ser un imán para el talento con una profunda experiencia
en el negocio.
• Ser la “tercera línea de defensa”.
El futuro de la profesión de auditoría interna está en nues-
tras manos para definir nuestro papel dentro de las estruc-
turas de gobierno corporativo. Si fallamos en esto, nuestro
papel será definido por otros y esto constituiría una des-
ventaja para los auditores internos.
El futuro de la profesión de auditoria interna
está en nuestras manos para definir nuestro
papel dentro de las estructuras de gobierno
corporativo.
Resumen del ponente
16
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Implantación de un Cuadro de Mando del FraudeCaso Práctico de Auditoría Continua y herramienta integral de Gestión de Riesgos.
Las Áreas de Auditoría Interna se plantean en estos mo-mentos diferentes inquietudes:
- Mapa de Riesgos: Disponer de un mapa de riesgos inte-gral para la organización, que se pueda consultar y man-tener permanentemente actualizado.
- Indicadores de detección del fraude: Ya no es suficientecon hacer “instantáneas” de las diferentes sucursales/áre-as de la organización, que no son representativas de loque sucede en el día a día, sino que es necesario implan-tar una auditoría continua e indicadores que permitan ladetección de irregularidades, especialmente en cuestiónde fraude.
- Eficiencia y aportar un valor diferencial a la organiza-ción: Hay que hacer muchas tareas con muy poca gente,y además, aportar valor añadido, que no es siempre fácil.
- Formación y puesta al día del departamento. El auditorinterno tiene que estar al día, en todos los nuevos proce-sos/sistemas de la organización, evolución tecnológica, eincluso nuevas técnicas de fraude. Puede contar para ellocon expertos externos en co-auditoría para aprovechar elconocimiento externo y poder continuar después interna-mente con las técnicas implantadas.
Control Interno y FraudeLa sustracción de activos es uno de los fraudes más habi-tuales cometidos por los propios empleados en las empre-sas. Un empleado comete fraude impulsado por (1) el sen-timiento de que la empresa le debe algo, (2) la presióneconómica del entorno y (3) la oportunidad que proporcio-
SESIÓN PARALELA
2.2
Jordi Otero · HEAD OF INTERNAL AUDIT CONTINENTAL EUROPE. CINESA
Cristina Bausá, CIA, CRMA, CISA, CISM, CGEIT, CRISC ·SENIOR MANAGER GRC. MAZARS
Uno de los valores añadidos que la Dirección de Auditoría Interna puede
aportar a la organización, es su colaboración en la gestión de riesgos
y detección del fraude, a través de técnicas de auditoría continua.
na el conocimiento de la existencia de un control internodébil en la organización.
No todos los empleados están dispuestos a cometer fraude:Una parte de ellos, atendiendo sus valores éticos nunca co-meterían un fraude, por lo que pueden desempeñar fiel-mente puestos de supervisión del control interno y de audi-toría interna entre otros. Otra parte desafortunadamentesiempre lo están intentando, y estas personas mejor que noformen parte de la organización, por lo que técnicas caligrá-ficas como las vistas en “Los lunes del Instituto” nos podrí-an ayudar a detectarlo. Y finalmente el resto, dependeráotra vez del nivel de control interno que tengamos implan-tado en la organización.
El fraude en CINESACINESA es actualmente la cadena de cine nº 1 en Europa y4ª a nivel mundial. Es propiedad de Terra Firma, y es pro-pietaria de 230 cines en España, Portugal, Italia, Alemania,Austria, Irlanda y UK. Su actividad gira alrededor de 2.144pantallas, y en 2011 llegaron a vender 79,2 MM de tickets.Sólo en España tienen más de 1.400 empleados.
Él Área de Auditoría Interna de CINESA utiliza técnicas comoson los confidentes, la auditoría presencial convencional yparticipa internamente de forma activa en la detección delfraude, la gestión de los riesgos e implantación de una au-ditoría continua que aporte eficiencia y efectividad a travésde la herramienta de MAZARS.
Problemas a los que se enfrentan:- Cines repartidos por toda la geografía nacional.
17
- Personal joven y muchos estudiantes que después van aquerer cambiar de trabajo.
- Alto porcentaje de fijos, pero con salario que no llega amileurista.
- Cobros principalmente en efectivo, y mucha tentación dellevarse un billete al bolsillo.
- La pérdida de empleo por la comisión de un fraude, nollega a disuadir.
Algunos ejemplos de indicadores de fraude en TAQUILLA (si-milares al BAR):- Comparativas del número de entradas a precio entero, re-
ducido y cero, en un periodo de tiempo determinado.- Número de entradas y precio medio por transacción res-
pecto al de sus compañeros.- Analizar en detalle el impacto de las promociones por ci-
ne y empleado, detalle de fiestas de cumpleaños realiza-das en cada cine, etc.
- Análisis del sistema de pago: efectivo, tarjeta, voucher,etc, entradas devueltas por taquillero/a, entradas reim-presas, etc.
Metodología para implantar un Cuadro de Mando de Gestión del FraudeLa metodología aplicada para ir obteniendo los indicadoresde fraude, puede aplicarse a cualquier sector de actividad,y abarcaría las siguientes fases:
1. LISTA DE INDICADORES- Lista de fraudes posibles. Sacamos la lista en función
de cada cargo/puesto en la organización, valorandola probabilidad de que se produzca según la oportu-nidad y los controles.
- Definimos el número de indicadores que se van amonitorizar y priorizamos su implementación por tipode fraude, cargo, y nivel de riesgo que cubre.
2. ANÁLISIS DEL DICCIONARIO DE DATOS- Conocer o solicitar al Área Informática el Diccionario
de Datos en diferentes Sistemas y su significado.- Se debe analizar la viabilidad de extraer los datos
necesarios, de una forma periódica.- Contar con herramientas de análisis de datos o simi-
lar, para realizar el análisis de forma repetitiva y ágil.
- Definiremos cada indicador: frecuencia, quién lo ana-liza y asociación con el diccionario de datos, etc.
3. ANÁLISIS PREVIO E IMPLEMENTACIÓN DEL INDICADOR
Haremos una última verificación de que la informaciónque nos aporta el indicador es significativa, y nos reve-la posibles irregularidades respecto al fraude asociado.
Implementaremos el indicador para que se ejecute pe-riódicamente y se integre dentro del Cuadro de Mandode Gestión de Fraudes, consultable por la Dirección através de la herramienta informática.
En muchas ocasiones nos encontraremos con problemasde calidad de los datos, que derivarán en un plan deacción en los Sistemas de Información. Este no es unpunto negativo, al contrario, aunque sí puede retrasar laimplantación del indicador.
4. MEJORA CONTINUA Y RETROALIMENTACIÓN
No sólo hay que analizar los indicios detectados, dese-char los falsos positivos y documentar los resultados, si-no que habrá que detectar cuándo un indicador deja deser útil y por lo tanto hay que promover otro indicador.
El futuro: la Autoevaluación del Control InternoLa autoevaluación de control es un método para ayudar ala organización a lograr sus objetivos de negocio. Losauditores internos pueden utilizar el CSA para obtenerinformación relevante acerca de riesgos y control, alfocalizar el plan de auditoría en áreas de alto riesgo ymotivando una mayor colaboración por parte de gerentesoperativos y el equipo de trabajo. Resultado: MEJORAREFICIENCIA. Este será el siguiente paso para CINESA yprobablemente para muchos de los lectores de estarevista.
CINESA y MAZARS han tenido la oportunidad de
trasladar su experiencia conjunta en la elabora-
ción del Mapa de Riesgos de la compañía, (…) y
a futuro la implantación de una Autoevaluación
del Control Interno.
Resumen de los ponentes
18
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Prevención del Riesgo de TI, Cibercrimen y otras amenazas
Las redes facilitan acceso ilegal a la información, ataques a
sistemas informáticos públicos y privados, distribución de
contenidos ilícitos y otros delitos como blanqueo de capita-
les mediante el uso de Internet, o el ciberterrorismo. Este
fenómeno es lo que se conoce como cibercrimen o delin-
cuencia informática.
Al objeto de hacer frente a estas amenazas, la Guardia
Civil, además de otras Unidades, dispone del Grupo de
Delitos Telemáticos (en adelante GDT); cuyos cometidos se
centran en investigaciones sobre los llamados delitos infor-
máticos y los fraudes en el sector de las telecomunicacio-
nes.
El Cibercrimen como tal abarca un amplio espectro de con-
ductas relacionadas con la informática y las comunicacio-
nes. Así pues, y tal y como se recoge en el Convenio sobre
Ciberdelincuencia del Consejo de Europa (Budapest, 2001),
es posible agrupar todas ellas en cuatro grandes áreas: di-
fusión de pornografía infantil, delitos relacionados con la
propiedad intelectual, y fraudes y estafas; denominando a
estas tres categorías como los delitos informáticos en sí.
Adicionalmente, reconoce una cuarta categoría a la que de-
nomina como delitos relacionados con la intrusión en sis-
temas informáticos y el robo o destrucción de datos, en-
tendiendo como tales lo que comúnmente se denomina
“hacking”, siendo esta última la que resulta de mayor inte-
rés desde el punto de vista de las auditorías internas/ex-
ternas de seguridad.
El concepto romántico de “hacking”, perseguidor de ideales
por medio de llamadas de atención efectuadas en sistemas
informáticos ajenos, ha evolucionado a su lado más perver-
so. Las ventajas lucrativas que permite el dominio de las
nuevas tecnologías no escapan a nadie, y menos a aquellos
que ven un mercado laboral plagado de “cerebros” que
impedirá, posiblemente, su acceso a un puesto de trabajo
digno.
Por supuesto, las redes criminales organizadas no son aje-
nas a ello, y tratan de buscar autores mediales a sus fecho-
rías cada vez más meditadas y provechosas.
Inherente a este desarrollo criminológico, existe una proble-
mática que afecta a la obtención de información y eviden-
cias electrónicas. En este orden de cosas, respecto a la ad-
quisición y preservación de las evidencias, la problemática
reside en garantizar la integridad del dispositivo original.
Este procedimiento puede realizarse mediante el uso de
herramientas (hardware) o aplicaciones (software) que pro-
SESIÓN PARALELA
3.1
César LorenzanaGUARDIA CIVIL. GRUPO DE DELITOS TELEMÁTICOS
La Sociedad en general confía en las tecnologías de la información y
la comunicación. Sin embargo, la creciente dependencia en dichas tecnologías,
está acompañada de una también creciente vulnerabilidad a la intrusión
criminal y otras malas prácticas.
19
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
porcionan sistemas de integridad, y permiten mantener las
evidencias originales completas e inalteradas.
Mayor complejidad presentan los casos en los que dicho
soporte original no puede permanecer intacto, debido, por
ejemplo, a que el dispositivo afectado no se puede apagar.
En estos casos se hace necesario establecer una cadena de
custodia documentada de manera apropiada, sobre la ima-
gen forense, tanto como haya sido creada, en la mayoría
de los casos será asimilada a la evidencia tradicional, y así
se asumirá que no ha sido manipulada. Pero esto también
se puede poner en duda en algunas situaciones, cuando
una cadena de custodia regular mantenida por un investi-
gador forense privado se pueda considerar como demasia-
do débil. En estas situaciones, un tercero de confianza
(usualmente gubernamental) debería encargarse de mante-
ner los soportes originales.
Por otro lado, es necesario señalar la incipiente necesidad
de cooperación entre los investigadores y los analistas y/o
auditores forenses. El aumento en la capacidad de almace-
namiento de los dispositivos ha provocado la imposibilidad
de obtener la totalidad de la información en un plazo acep-
table de tiempo. Por ello, resulta vital la participación de
los investigadores, para que sean éstos los que dirijan al
analista/auditor hacia la información que resultaría de inte-
rés para la investigación. De esta manera, sería posible re-
ducir los plazos de procesamiento de los datos, logrando
una mayor eficacia y eficiencia en el análisis forense de los
dispositivos.
Además de lo anterior, destaca sobremanera la complejidad
de adaptar el lenguaje técnico a términos fácilmente enten-
dibles por profanos en la materia. En este mismo sentido
es relevante la dificultad de interpretar las evidencias elec-
trónicas, ya que éstas no son fácilmente reconocibles como
sucede con las evidencias tradicionales. En este caso, se
trata de datos en formato binario (1´s y 0´s) almacenados
en un soporte mediante el uso de corrientes electromagné-
ticas y/o impulsos eléctricos o luminosos, que deben ser
interpretados por aplicaciones concretas o por usuarios con
conocimientos técnicos.
Por último, una de las principales armas para la luchar con-
tra las ciberamenazas es la “inteligencia colectiva”, enten-
diendo como tal el intercambio de información, conoci-
miento, experiencias, y buenas prácticas en lo que se refie-
re a la seguridad de la información. Esta premisa, por todos
conocida y compartida, entra en conflicto con las políticas
de confidencialidad y competitividad actuales. Al objeto de
aunar estos dos aspectos, se hace necesaria la existencia
de una tercera entidad confiable, que se convierta en la de-
positaria de la inteligencia “individual”, y la convierta en
“colectiva”; y que al mismo tiempo ejerza una labor de
coordinación entre los actores implicados en la gestión de
los incidentes de seguridad. De esta manera se permitiría el
flujo multilateral de información, evitando la duplicidad de
esfuerzos, y potenciando el profundo conocimiento de las
amenazas actuales y la forma en que éstas se materializan.
Además, mediante la notificación y denuncia de estos inci-
dentes se logrará acabar con la “sensación de impunidad”
que se ha generado en torno a los mismos ante la ausencia
de acciones legales contra los responsables; acciones que,
por otro lado, únicamente son posibles a instancia de los
afectados. Igualmente, de esta manera, se pondría fin a las
estrategias actuales consistentes en mitigar, corregir y silen-
ciar; estrategias que se han mostrado ineficaces hasta la fe-
cha.
Una de las principales armas para la luchar contra
las ciberamenazas es la “inteligencia colectiva”.
Resumen del ponente
20
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
La definición de Key Risk Indicators. La experiencia de FCC
Para ello, es importante la implantación de un modelo de
Gestión Integral de Riesgos, donde el uso de los indicado-
res de riesgo (KRI), es una herramienta muy útil para la
detección temprana de los riesgos y por tanto, una buena
alarma para poder analizar la eficacia de los controles que
los mitiguen.
La gestión de los riesgos, varía dependiendo de la comple-
jidad de la organización. En un Grupo multinacional como el
de Fomento de Construcciones y Contratas (FCC), con pre-
sencia en 54 países, con más de 90.000 personas trabajan-
do, con una cartera portfolio de clientes y proyectos muy
diversificada en Infraestructuras, energía, servicios, etc. se
complica notablemente la gestión de los potenciales ries-
gos que se pueden identificar en las distintas compañías
del Grupo.
COSO define Riesgo como “la posibilidad de que ocurra un
hecho que afecte de modo adverso o negativo a la conse-
cución de los objetivos de la Sociedad”, por tanto, un buen
Modelo de Gestión de Riesgos, tiene que tener entre sus
principales objetivos: identificar dichos hechos potenciales
negativos, definir el nivel de tolerancia al riesgo que se es-
tá dispuesto a aceptar, y proporcionar una seguridad razo-
nable a los Órganos de Gobierno de la Organización, para
que el riesgo se mantenga dentro de los niveles tolerables
definidos. En otras palabras, el Modelo va a ayudar a la
gestión del efecto de la incertidumbre sobre los objetivos,
minimizando las perdidas, optimizando recursos y aprove-
chando las oportunidades, convirtiéndose así en una herra-
mienta útil para la toma de decisiones.
Como todos sabemos, en la estrategia de gestión del riesgo
tenemos diversas opciones: evitar el riesgo, mitigar el ries-
go, compartir el riesgo, o asumirlo plenamente.
En este Modelo de Gestión, los Indicadores de riesgo (KRI)
cobran especial relevancia para poder identificar señales de
alerta temprana sobre la posible materialización de unos
hechos negativos que puedan afectar a la consecución de
mis objetivos, y además definiendo los niveles de toleran-
cia, por encima de los cuales, es necesaria la realización de
un plan de acción con acciones concretas para mitigar el
riesgo.
En el Grupo FCC, están implantando un Modelo de Gestión
Integral de Riesgos, donde los Indicadores se encuentran
imbricados en el mismo a través de diversos componentes:
1. Elaboración de los Mapas de Riesgos de todas Áreas de
Negocio/Corporativas del Grupo y actualizarlos anual-
mente. Al menos contendrán: la descripción de los ries-
gos, su valoración en términos de probabilidad e im-
pacto, controles/ procedimientos que los mitigue, valo-
ración de la eficiencia de los controles y propietario del
riesgo.
SESIÓN PARALELA
3.2
José Ignacio Domínguez Hernández, CRMADIRECTOR DE GESTIÓN DE RIESGOS. GRUPO FCC
En los momentos de inestabilidad y complejidad económica, se hace cada vez
más necesaria una correcta gestión del riesgo en las organizaciones, que ayude
en la toma de decisiones estratégicas y también en las de los procesos
operativos.
21
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
2. Elaboración de un Plan de Acción para cada uno de los
riesgos considerados Críticos, definidos por la Curva de
Criticidad, con objeto de mitigarlos. Incluirá, para cada
uno de los riesgos críticos, uno o varios indicadores de
seguimiento de riesgo (KRI), así como el umbral o tole-
rancia al riesgo, por encima del cual, entendemos que
se ha materializado el efecto negativo.
3. Nombramiento de un Coordinador de Gestión de Ries -
gos en cada Área, que se encargará de canalizar toda
la información relativa a la gestión de riesgos de las
distintas Áreas y será el enlace con la Dirección de Ges -
tión de Riesgos Corporativa.
4. Realización de un Procedimiento específico de Gestión
de Riesgos en cada Área de Negocio/Corporativa del
Gru po, como herramienta para la toma de decisiones.
Dicho procedimiento de Gestión, debe también incluir
herramientas de evaluación del riesgo, a la hora de la
toma de decisiones operativas de esa Área. Para ello,
se utilizarán parámetros e indicadores de riesgo que
ayuden a evaluarlos.
5. Información periódica a los Órganos de Gobierno del
Grupo sobre la materialización de los riesgos más sig-
nificativos. Es decir, cuando los indicadores de riesgo
han informado que se han sobrepasado los umbrales
de tolerancia para un determinado riesgo.
6. Creación de un Comité de Riesgos en cada Área del
Grupo, para la correcta gestión, supervisión y segui-
miento de sus riesgos. Entre sus funciones estarán velar
por el adecuado cumplimiento de los procedimientos
de Gestión de riesgos y realizar el seguimiento de los
Indicadores de Riesgo para aquellos riesgos materiali-
zados o que pudieran serlo en un futuro.
7. Aplicación informática para la gestión de Riesgos,adaptada a la complejidad de la organización
8. Supervisión de toda la política de control y gestión deriesgos por la Comisión de Auditoría y Control. Entre susfunciones estarán fijar los umbrales o tolerancia al ries-go y realizar el seguimiento de los Indicadores deRiesgos para comprobar que no superen la toleranciadefinida.
A la hora de diseñar un buen conjunto de indicadores deriesgo, es necesario identificar los parámetros relevantesque proporcionen una visión clara de los objetivos que tie-ne la organización. Por tanto, hay que relacionar indicado-res de riesgo críticos con objetivos y con eventos que pue-dan afectar de manera negativa a la consecución de losmismos. Con ello se consigue focalizar a la Alta Direcciónen la dirección realmente relevante para la toma de deci-siones.
Si se analizan las causas primarias e intermedias que hanconducido a que se de un riesgo, también se pueden iden-tificar indicadores en cada una de esas etapas del evento, yproporcionar información temprana, que explique lo queacaba de ocurrir, y que sirva de experiencia para prevenirloen un futuro.
Los elementos esenciales que deberían tener unos buenosindicadores de riesgos (KRI) serían: deben basarse en prác-ticas o pruebas comparativas establecidas sólidamente, de-ben desarrollarse consistentemente en toda la organización,deben proporcionar una perspectiva no ambigua e intuitivadel riesgo señalado, deben permitir hacer comparacionesmedibles a lo largo del tiempo y entre unidades de nego-cio, deben dar la oportunidad de evaluar puntualmente elrendimiento de los titulares de los riesgos y deben consu-mir recursos de manera eficiente.
Los indicadores de riesgo tienen una interrelación clara conel cuadro de mando, pero hay que distinguir entre indica-dores de situación (KPI) y de Riesgo (KRI). Los primeros in-forman de hechos ocurridos y los segundos alertan de for-ma temprana y anticipan problemas potenciales.
Los indicadores de riesgo son una buena herramienta parala toma de decisiones en las Organizaciones. Al ser indica-dores de alerta pueden mejorar los procesos, el entorno detrabajo, y por tanto los resultados de las Compañías. Ade -más deben estar imbricados en el Modelo de Gestión deRiesgos y ser consistentes para toda la organización.
Los indicadores de riesgo son una buena
herramienta para la toma de decisiones en
las Organizaciones.
Resumen del ponente
22
Entusiasmo y superación
Además de ser la primera persona en el mundo en hacer cumbre en el
Dome Khang (7.260 metros), ha ascendido a las siete cumbres más altas
de los 7 continentes: Elbruz (Europa-1968), MacKinley (America del
Norte-1971), Aconcagua (América del Sur – 1986), Everest (Asia-2001),
Mont Vinson (Antártida – 2007), Carstensz (Oceanía – 2010) y Kilimanjaro
(Africa – 2010).
Es la persona de más edad que ha hecho cumbre en el K2 (8.611 me-
tros), Broad Peak (8.047 metros), Makalu (8.463 metros), Manaslu (8.163
metros) y Lhotse (8.516 metros).
La ascensión al K2 (8611m) con 65 años, algo que solo Diemberger ha-
bía intentado con 54 años y, más recientemente, una ascensión solo y
sin oxígeno al Makalu (8463m), han supuesto una revolución en la forma
de pensar sobre el “himalayismo”.
Sin embargo, la gran aportación potencial de Carlos es el ejemplo prácti-
co de que a una edad avanzada, en el siglo XXI, se tiene una vida plena
física, mental y espiritualmente.
SESIÓN GENERAL 2
Carlos SoriaALPINISTA
Carlos Soria es el único alpinista en el mundo
que ha escalado nueve montañas de más de
8.000 metros después de cumplir los 60 años.
La ponencia estuvo orientada a
trasmitir el ánimo de superación,
el trabajo en equipo, el espíritu de
supervivencia, afrontar las
dificultades, admitir los cambios y
afrontarlos con valentía.
Los consejos lanzados para tener
entusiasmo y superarnos en los
momentos actuales son no perder
ilusión en tu trabajo, hacer bien las
cosas y actuar con sentido común.
Resumen: Instituto de Auditores Internos de España
24
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
COSO 3: principales novedades en el marco de control interno actualizado
En Noviembre de 2010, COSO anunció su intención de ac-
tualizar el Marco de Control Interno. La actualización persi-
gue dar respuesta a las nuevas expectativas sobre la res-
ponsabilidad y competencias de los gestores de las organi-
zaciones, y adaptar el Marco original a los cambios que se
han producido en los modelos de negocio, derivados de la
globalización, de la utilización de nuevas tecnologías, del
aumento de las exigencias que parten de la regulación apli-
cable y del incremento de las demandas de los grupos de
interés sobre la prevención y detección del fraude.
La actualización pretende ampliar el alcance del Marco de
Control Interno original, para centrarse no sólo en el repor-
ting financiero externo, sino también en el reporting de ín-
dole no financiero y en el reporting interno, respondiendo
así a las necesidades de los distintos Grupos de Interés.
Adicionalmente, tiene como objetivo facilitar el uso y la
aplicación del Marco, definiendo principios para cada uno
de los componentes de Control Interno, que faciliten la im-
plantación, mantenimiento y supervisión de un Sistema de
Control Interno efectivo.
En Diciembre de 2011 se sometió a consulta pública el pri-
mer borrador del Marco de Control Interno. A raíz de los co-
mentarios recibidos, la Comisión Treadway decidió adaptar
el borrador original. En Septiembre de 2012 se sometió el
documento “Compendium” a consulta pública, junto con la
nueva versión del borrador del Marco. Tras la última recep-
ción de comentarios y la posterior adaptación del Marco a
partir de los mismos, se espera que COSO publique la ver-
sión definitiva en el primer trimestre de 2013.
Los cinco componentes de Control Interno no varían con
respecto al Marco original de 1992. No obstante, en el
Marco actualizado se introducen cambios clave, como el de-
sarrollo de los componentes en 17 principios y de estos
principios en puntos de enfoque, que pretenden ayudar a
las organizaciones a comprender y aplicar el Marco actuali-
zado, abarcando todos los aspectos relevantes de un Siste -
ma de Control Interno.
En el Marco actualizado se enfatiza la relevancia de la inte-
gridad y los valores éticos. Una organización que establece
y mantiene un adecuado entorno de control es más fuerte
a la hora de afrontar riesgos y conseguir sus objetivos. La
cultura y los valores de cada organización deben ser pro-
mulgadas en primer lugar por el Consejo de Administración,
por lo que se destaca la necesidad de establecer líneas de
comunicación y reporting claras de las Comisiones al Con -
sejo y viceversa.
En cuanto a la evaluación de riesgos, el Marco actualizado
aclara que la gestión de riesgos abarca la identificación, el
análisis y la respuesta a los mismos, incluyendo nuevos cri-
terios de análisis, tales como “velocidad” y “persistencia”.
La velocidad se refiere a la rapidez con la que un riesgo im-
pacta en la organización una vez se ha materializado, mien-
tras que la persistencia hace referencia a la duración del
impacto después de que el riesgo se haya materializado. La
SESIÓN PARALELA
4.1
Ramón Abella Rubio Æ SOCIO ASSURANCE MADRID. PWC
Tamer Davut, CIA, CRMA Æ DIRECTOR. PWC
25
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Dirección debe entender la tolerancia al riesgo de la organi-
zación y evaluar si existen mecanismos adecuados para la
identificación y el análisis de riesgos.
El Marco de 1992 ya recogía el concepto de fraude, pero la
versión actualizada incrementa de manera considerable el
análisis del fraude y lo incluye además como uno de los
diecisiete principios de Control Interno, ampliándolo de ma-
nera explícita, añadiendo al fraude relacionado con el re-
porting, aquel que puede darse en relación con la custodia
de activos y con la corrupción.
En relación con las actividades de control, se entienden las
mismas como acciones establecidas por políticas y procedi-
mientos y se considera la evolución de la tecnología, dife-
renciando entre controles automáticos y Controles Gene -
rales de Tecnología. Además, se enfatiza la importancia de
la calidad de la información y el impacto que la tecnología
tiene en la misma.
El Marco actualizado incluye también una clarificación en
cuanto a las actividades de monitorización (evaluaciones
continuas e independientes). Asimismo, concede relevancia
a la consideración del uso de proveedores externos y el im-
pacto de las externalizaciones en los Sistemas de Control
Interno.
COSO ha mantenido también los tres objetivos del Marco
original (operaciones, reporting y cumplimiento), ampliando
el alcance que inicialmente se había establecido para el ob-
jetivo de reporting, para contemplar el reporting tanto de
carácter financiero como no financiero y el reporting a nivel
externo e interno.
La actualización del Marco profundiza además en el esta-
blecimiento de objetivos a nivel de operaciones, cumpli-
miento y reporting, y considera que se deben definir los
objetivos de negocio, como condición previa a los objetivos
de Control Interno.
En definitiva, los cambios introducidos en el Marco de Con -
trol Interno lo adaptan a las circunstancias actuales de las
compañías, facilitando la implantación de Sistemas de Con -
trol Interno adecuados y aplicados a todos los niveles de
las organizaciones y dando respuesta a las cada vez mayo-
res exigencias de los grupos de interés.
En el Marco actualizado se
enfatiza la relevancia de la
integridad y los valores éticos.
Una organización que establece
y mantiene un adecuado
entorno de control es más
fuerte a la hora de afrontar
riesgos y conseguir sus
objetivos.
Resumen de los ponentes
26
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Marketing de Auditoría Interna. La experiencia de Mahou-San Miguel
Todo eso y más está dispuesto a hacer el equipo de Audi -
toría Interna del Grupo Mahou-San Miguel para mejorar la
percepción de la imagen del auditor interno.
En 2007, cuando nació la función de Auditoría Interna en el
Grupo Mahou-San Miguel, se planteaban el reto de cómo
reducir la carga negativa de la imagen que lleva impresa la
profesión. De hecho. muchos departamentos que no habían
estado expuestos a ningún tipo de auditoría externa o in-
terna hasta entonces, no alcanzaban a entender para qué
hacía falta la función de Auditoria Interna en el Grupo, con
lo bien que habían ido las cosas siempre sin ella.
Algo tenían que hacer para conseguir que se viera a los au-
ditores internos como profesionales competentes. Para que
confiasen en ellos y apreciaran su trabajo, contaban con
dos ventajas, la primera era el equipo –ya que el 75% pro-
venía de la casa– y la segunda era el apoyo de la Presi -
dencia del Consejo y de la Dirección General.
Esto les dio tranquilidad y confianza, y les permitió lanzarse
a crear su propio estilo, adaptando informes, recomendacio-
nes, planes, etc., a las características de las personas que
forman el Grupo con el objetivo de que les escucharan y
les entendieran mejor. En algún caso supuso una mayor im-
plicación y asumir roles por encima de los propios, pero
merecía la pena.
No podían perderse los conciertos de “Estrategia”, “Ries -
gos”, “Nuevos Negocios”, “Gobierno Corporativo”, “Cum -
pli miento”, etc. Para ello debían dar a conocer sólo sus
mejores creaciones, que causaran impacto de verdad y con
sonidos pegadizos como Riesgos, Control, Buenas Prácticas.
El proceso de creación de marca Auditoría Internadel Grupo Mahou- San Miguel partió del “Cómo nos ven” y el “Qué queremos destacar”, y fueron improvisando y haciendo camino.
Lo primero que hicieron fue pedirle ayuda a su colega de
Marketing del Grupo, quien les indicó que lo suyo no tenía
arreglo. Ante esa respuesta se tiraron a la piscina y afronta-
ron su primera Campaña, que fue la propia presentación del
Departamento al resto de la Organización.
De la mano de Dirección General se recorrieron todos los
centros de trabajo del Grupo, mostrando qué era Auditoría
Interna. Apoyándose en dos pilares: su filosofía de trabajo y
el equipo humano. Ya les conocían… el siguiente paso era
asentar los cimientos del Control Interno en la Compañía.
Seguramente ésta fue una de las campañas más duras, ya
SESIÓN PARALELA
4.2
Ángel EtrerosDIRECTOR DE AUDITORÍA INTERNA. GRUPO MAHOU-SAN MIGUEL
Javier Guerrero, CIAGERENTE DE AUDITORIA INTERNA. GRUPO MAHOU-SAN MIGUEL
Los ponentes decidieron utilizar la imagen de KISS para iniciar la presentación
sobre Marketing de Auditoría Interna. La razón es simple, pretendían captar la
atención de la audiencia desde el primer momento, con el atuendo, la música
de rock y la letra de la canción (se presta más atención a un grupo musical
que a un auditor interno).
27
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
que cambiar de mentalidad, hacer reflexionar, y aceptar
nuevas responsabilidades es algo que siempre cuesta mu-
cho en cualquier compañía.
Auditoría Interna presentó el Control Interno en todos los
Comités de Departamentos, utilizando el símil de la Fór -
mula 1 e insistiendo en que sólo trabajando juntos y con un
objetivo común se puede alcanzar la gloria. El lema de la
campaña fue “El Control Interno lo hacemos todos”.
La constitución del Comité Ético en el Grupo, que se realizó
en 2009, sirvió para actualizar el Código de Conducta y lan-
zar una nueva campaña de comunicación, que fueron pre-
sentando en cada centro de trabajo –junto con RRHH y apo-
yados, nuevamente, por Dirección General.
Para el equipo de Auditoría Interna del Grupo Mahou-San
Miguel, presentar temas tan delicados con humor les gusta,
aunque sin restar importancia o seriedad al tema que tra-
tan, puesto que también se vieron obligados a realizar ac-
ciones que en ocasiones dañaban su popularidad.
En 2011 revisaron el cumplimiento del Código de Conducta
respecto a “Confidencialidad, Orden y Limpieza”, entre
otros puntos. Cuando presentaron los resultados, algunos se
sintieron ultrajados. “Craso error”, ya que dieron excesiva
publicidad a los malos resultados, y eso a nadie le agrada
que se haga público.
La siguiente campaña fue presentar a cada Comité de De -
partamento su Mapa de Riesgos. Para ello, podían hablar
de una forma técnica, explicando el método teórico de
construcción de un mapa o poner un ejemplo contando una
historia personal. El método del ejemplo fue el elegido.
Auditoría Interna insistió que aunque no los veas, o creas
que los tienes controlados, los riesgos siempre están ahí,
como los fantasmas. Además sólo te acuerdas de ellos
cuando aparecen y te llevas un susto de muerte. Los mayo-
res riesgos suelen producirse por la propia estupidez de la
condición humana.
La última campaña que han abordado ha sido la del SCIIF. A
Auditoría Interna del Grupo Mahou-San Miguel les ha costa-
do hasta que se ha arrancado, pero no podían estar sin re-
visarlo y por ello han perseguido al Departamento Finan -
ciero día y noche sin tregua. Han insistido por activa y por
pasiva, incluso se colaron en la comida de Navidad de 2011
de dicho departamento para recordárselo en forma de vi-
llancico.
En su opinión, después de cuatro años, todo lo realizado ha
merecido la pena. La confirmación de ello la tuvieron me-
diante una encuesta realizada por RRHH, para valorar el
Arraigo de Valores y el Estilo de Liderazgo dentro de los
distintos departamentos del Grupo, los cuales se valoraban
unos a otros. De dicha encuesta les sorprendieron dos co-
sas: la primera, que en el apartado de valores, en todos
ellos estaban en la franja del notable, y la segunda, que su
propia valoración del departamento estaba sólo un poco
por encima de la percepción externa del mismo.
Pero lo que más les llamó la atención fue que en el aparta-
do de “desarrollo personal y de equipos” valoraban los
otros departamentos la función de auditoría interna por en-
cima de su percepción, haciendo del departamento un lu-
gar muy atractivo para trabajar y desarrollarse.
El balance de todo lo conseguido es muy positivo, si se tie-
ne en cuenta que son una empresa familiar, que no cotiza
en bolsa, pero que tiene como principales objetivos cumplir
con todas las obligaciones legales y formales exigidas para
cualquier empresa cotizada.
Es importante plantearse en todo momento: ¿Qué estás dis-
puesto a hacer para mejorar la imagen de Auditoría inter-
na?
De la mano de Dirección General se recorrieron to-
dos los centros de trabajo del Grupo, mostrando
qué era Auditoría Interna. Apoyándose en dos
pilares: su filosofía de trabajo y el equipo humano.
Resumen de los ponentes
28
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Generando eficiencia desde la Función de Auditoría Interna
Todavía a muchas organizaciones les cuesta percibir el valorque la función de Auditoría Interna puede aportarles. Lo pri-mero que debemos preguntarnos como auditores internoses si nosotros mismos estamos convencidos de que pode-mos generar valor y si es así, nos toca ser motores delcambio cultural, venciendo las barreras a las que nos en-frentamos.
La eficiencia es eficacia con el mínimo consumo de recur-sos, no tiene sentido ahorrar costes si dejamos de cumplircon los objetivos. Lo que posiciona especialmente a la fun-ción de auditoría interna para generar eficiencia es su inde-pendencia y su visión global del negocio. Ambos atributosle facultan para poder conocer mejor que ningún otro en laorganización: Detectar qué procesos pueden ser mejoradosen este sentido, qué sinergias pueden aprovecharse y quéahorros pueden abordarse sin que otras áreas o procesossean perjudicados.
La clave es, por un lado cambiar la forma de mirar en lostrabajos de siempre y por otro, abordar proyectos nuevoscon el objetivo específico de aprovechar oportunidades paramejorar la eficiencia.
Por ejemplo, en una revisión tradicional de contratos, verifi-caríamos su vigencia, su aprobación y firma, si procede, mi-raríamos si ha sido revisado en tiempo y forma por aseso-
ría jurídica, comprobaríamos la adecuada descripción deservicios y, en general, si es acorde con las políticas de lafirma. Es decir, nos centraríamos en el cumplimiento. Conun enfoque dirigido a la generación de eficiencia, además,tendríamos en cuenta, por ejemplo, si se están ejecutandolas penalizaciones correspondientes conforme a los acuer-dos de nivel de servicio (ANS) establecidos y analizaríamossi estas penalizaciones y ANS son adecuados o podrían en-durecerse en futuras contrataciones. Adicionalmente consi-deraríamos si el seguimiento de los servicios es adecuado,si se emplea para la evaluación de los proveedores estraté-gicos y si el resultado de estas evaluaciones es tenido encuenta para la renegociación de los contratos.
Pero… ¿esto es realista? Existen ciertas limitaciones quepodrían dificultar la materialización de este tipo de proyec-tos o la modificación parcial del enfoque que estamos plan-teando.
• No nos podemos permitir apuntar en la dirección equivo-cada, hacia revisiones tradicionales de procesos en losque no hay mucho margen de mejora. Debemos asegu-rarnos de que los proyectos que queremos acometer sonrealmente aquellos en los que podemos tener un mayorpotencial de ahorro o mejora operativa. Tendremos querevisar, y ser muy críticos con nuestro plan de auditoría
SESIÓN PARALELA
5.1
Diego Rodriguez Roldán, CISM, CGEI, CRISCSOCIO DE AUDITORIA INTERNA, RIESGOS Y CUMPLIMIENTO. KPMG
Patricia Méndez, CIASENIOR MANAGER DE AUDITORIA INTERNA, RIESGOS Y CUMPLIMIENTO DE KPMG
El entorno económico actual, el crecimiento de los requisitos regulatorios, la
internacionalización de las operaciones o la necesidad de diversificación de la
oferta son, hoy en día, algunas de las grandes oportunidades y de los grandes
riesgos de las organizaciones. En este entorno, surge la preocupación
generalizada de cómo mejorar las operaciones para generar más valor.
Una manera de generar valor es ganar en eficiencia.
29
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
interna; mirarlo con los ojos de nuestros principales“clientes”, el Comité de Auditoria y de la Dirección, te-niendo en consideración la estrategia establecida porellos. Debemos enfocarnos hacia la realización de pro-yectos que, en nuestra organización, verdaderamenteaprovechen la oportunidad de mejorar los procesos o deahorrar costes, y que nos permitan mejorar nuestra ima-gen y afianzar el posicionamiento de la organización.
• Debemos analizar si contamos con las habilidades nece-sarias:
- Nivel: El equipo debe ser capaz de interactuar ‘pun-tualmente’ con los profesionales de la compañía a to-dos los niveles. Dirección, Administración, Producción,Etcétera. Además debe ser capaz de realizar entrevis-tas con estos profesionales y revisar documentación entodos los idiomas, y desde las diferentes culturas, enlos que opera la compañía.
- Especialización: El equipo debe tener la especializaciónnecesaria para entender y evaluar ‘puntualmente’ to-das las áreas clave de la compañía. Finanzas, CostesTecnología, Legal, Regulación, Fiscal, ..etcétera.
- Tamaño: El equipo debe ser capaz de abarcar ‘puntual-mente’ todas las áreas y geografías clave de la compa-ñía.
- Actualización y Adaptación al Cambio: El equipo debeestar ‘puntualmente’ al día sobre las nuevas regulacio-nes, estrategia, y procesos de la compañía.
Si no se cuenta con las habilidades necesarias el retosurge sobre cómo conseguirlos y al evaluar las distintasfórmulas de “sourcing”.
El “internal sourcing”, emplear recursos de las áreas denegocio de la compañía para ejecutar determinados tra-bajos que requieren especialización nos garantiza el co-nocimiento del negocio y de la cultura de la organiza-ción, pero en ocasiones podría limitar nuestra indepen-dencia.
El “outsourcing” completo de determinados proyectos,garantiza la independencia y nos aporta la especializa-ción necesaria, pero puede salirse de nuestros presu-puestos y perdemos el conocimiento de la cultura de laorganización que tendrían los recursos internos, además,podría decirse que perdemos el control directo sobre eltrabajo y los resultados.
El “co-sourcing” nos permite mantener el control sobreel trabajo y el empleo de equipos mixtos, con recursosinternos y externos nos permite contar con la especializa-ción requerida sin perder el conocimiento del negocio yla cultura de la organización. Por otro lado, también pue-de resultar costoso y puede requerir un esfuerzo de“venta interna” para justificar la utilidad de cada proyec-to y conseguir presupuesto.
Por último, el “Skillsourcing”, es una fórmula de co-sour-cing más flexible y de menor coste, que puede permitir acontar con el recurso ideal para cada ocasión, sin necesi-dad de realizar un esfuerzo de venta interna para cadauno de los proyectos especiales que se quieran realizar.
• Para conseguir que la comisión de auditoría apruebe unproyecto específico es necesario contar con argumentosconvincentes, el hablar de generar eficiencia puede serpor sí mismo un buen reclamo, pero en ocasiones las co-misiones pueden requerir pruebas tangibles y estimacio-nes realistas de ahorros. Para ello puede optarse por rea-lizar proyectos piloto de pequeño presupuesto que ayu-den a la auditoria interna a contar con argumentos sóli-dos frente a la comisión.
• Una mala percepción de la auditoria interna por la expe-riencia pasada de los clientes auditados, podría influirnegativamente en la decisión de la organización sobre siconfiarnos o no la realización de proyectos de eficiencia.
• Un mal posicionamiento de Auditoria Interna o una pobrerelación con el Comité no propiciará el encargo de revi-siones de eficiencia a la Auditoria Interna en estos casosla organización tenderá a pensar en cómo hacerlo consus propios medios, o buscará consultorías que apoyendirectamente a las áreas de negocio afectadas.
En resumen, debemos revisar nuestro Plan de auditoría, pa-ra enfocarnos hacia proyectos que aporten valor generandoeficiencia, debemos hacer lo que le interesa a nuestros“clientes”. Debemos abordar estos proyectos al menor cos-te y con la mejor calidad, contando con los mejores recur-sos disponibles. Debemos también trabajar sobre la maneraen que comunicamos los resultados obtenidos para mejo-rar nuestro posicionamiento en la organización.
Lo que posicionaespecialmente a lafunción de auditoríainterna para generareficiencia es su independencia y suvisión global delnegocio. Resumen de los ponentes
30
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
La función de Auditoría Interna y los Programas de Integridad Corporativa en Gas Natural Fenosa
La formulación de estas políticas y planes por parte del pri-mer Órgano de Gobierno de la Compañía no es gratuita nifacial, sino que responde a la importancia que se le da ennuestra Compañía a la aplicación de la Ética en los negociosy en nuestra interacción diaria con nuestros grupos de inte-rés.
Existe una máxima irrefutable en la gestión empresarialque dice que todo lo que es importante debe medirse, parapoderlo después gestionar, controlar, supervisar y cambiarsi fuera necesario. En Gas Natural Fenosa se han estableci-do los Programas de Integridad Corporativa con el objetivode medir, gestionar y asegurar el cumplimiento del compro-miso de ÉTICA e INTEGRIDAD, compromiso importante queestá en la propia estrategia de la Compañía.
En una reflexión previa de cómo puede medirse el compor-tamiento ético de las organizaciones, hay que incidir que alser la ética un intangible es muy difícil poderla cuantificaren función de su aportación anual a los resultados o al pa-trimonio de las compañías, por lo que hay que ir haciaotras formas de medición, como pueden ser los Índices deResponsabilidad Social (Dow Jones Sustanabiliy Index, o elFtse4good, p.e.) o las propias memorias de ResponsabilidadCorporativa elaboradas en base a Norma GRI con indicado-res sociales, medioambientales y de gobierno corporativocomunes a todas las empresas y algunos sectores, que per-miten la comparación homogénea entre organizaciones.
Otras formas de medición podrían ser las sanciones por co-rrupción derivadas de la normativa legal internacional (cadavez más dura como son los casos del Foreign CorruptPractices Act, en USA o el Brivery Act en Reino Unido) o dela propia legislación nacional a raíz de la entrada en vigorde la Reforma del nuevo Código Penal en España. Ademáshay que considerar la demanda cada vez mayor de la so-ciedad y de los diferentes grupos de interés exigiendo quelas organizaciones compatibilicen la rentabilidad de los ne-gocios con la ética empresarial, siendo ya muchos los inver-sores que a la hora de decidir sus carteras tienen cada vezmás en cuenta la responsabilidad social y la calidad delmanagment de las empresas, utilizando para ello los indica-dores de medición comentados anteriormente.
Los principales Programas de Integridad Corporativa en GasNatural Fenosa son:
• Modelo de Prevención de Delitos
• Políticas anti-fraude y anti-corrupción.
• Políticas de Derechos Humanos.
• Modelo de Gestión del Código Ético
El Modelo de Prevención de Delitos (implantado como con-secuencia de la entrada en vigor de la nueva Reforma delCódigo Penal en España) y las Políticas anti fraude y corrup-ción, están basados en el modelo de control interno defini-do por el Committee of Sponsoring Organizations of the
SESIÓN PARALELA
5.2
Carlos AyusoDIRECTOR DE AUDITORÍA INTERNA. GAS NATURAL FENOSA
En Gas Natural Fenosa el compromiso con la ÉTICA e INTEGRIDAD está presente
en la declaración de Misión, Visión y Valores, los Planes Estratégicos y la
Política de Responsabilidad Corporativa del Grupo, todos ellos formulados o
aprobados por su Consejo de Administración.
31
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Treadway Commission (COSO), siendo el máximo responsa-ble de su supervisión la Comisión de Auditoría y Control.Para ello, la Comisión dispone de la función de auditoría in-terna, que realiza una supervisión alineada con las mejoresprácticas de gobierno corporativo y basada principalmenteen el análisis del diseño de los modelos y en la evaluaciónde los riesgos y controles, y de la supervisión externa reali-zada por experto independiente. En ambos modelos, losresponsables de los controles certifican anualmente el fun-cionamiento razonable de los mismos.
La Política de Derechos Humanos se ha formulado para darrespuesta a los compromisos de “INTERÉS POR LAS PERSO-NAS” y “ÉTICA e INTEGRIDAD” que aparecen en nuestraPolítica de Responsabilidad Corporativa. En concreto se hanestablecido 10 compromisos con los derechos humanos,“medidos” a través de indicadores con objetivos anualesque son seguidos por el Área de Recursos Humanos y elComité de Reputación Corporativa, con reporte a la AltaDirección de la Compañía. En este caso, la función de audi-toria interna supervisa la fiabilidad de la información sopor-te de los citados indicadores, que forman parte a su vez delos indicadores GRI de nuestro Informe de ResponsabilidadCorporativa, supervisado también en su totalidad por exper-to independiente.
La función de auditoría interna en Gas Natural Fenosa liderael Modelo de gestión del Código Ético, lo cual supone anuestro entender un hecho diferenciador y novedoso res-pecto otras organizaciones.
El Modelo tiene los siguientes componentes:
• Código Ético: Formulado por el Consejo de Administraciónen el que se establecen las pautas de comportamientoque deben regir el desempeño profesional de todos losempleados del Grupo, incluido Presidente, Consejero De -le gado y Alta Dirección.
• Comisión del Código Ético: Responsable de la divulgacióny de velar por el cumplimiento del Código. Para ello ges-tiona y supervisa los sistemas de salvaguarda del Códigoque se describen a continuación. Esta Comisión está pre-sidida y dirigida por el Director de Auditoría Interna conel objeto de asegurar su objetividad e independencia.Ello es posible en Gas Natural Fenosa, ya que la funciónde Auditoría Interna tiene dependencia y reporte aPresidente, Consejero Delegado y Comisión de Auditoríay Control.
Con las únicas funciones de divulgación se han constituidoComisiones locales en aquellos países con un volumen deactividad y empleados significativos.
La Comisión del Código Ético reporta sus actividades a laComisión de Auditoría y Control que es la máxima respon-sable de la supervisión del compromiso “ÉTICA e INTEGRI-DAD”. Para ello se han definido una serie de indicadoresque “miden” la actividad de la Comisión así como el cum-plimiento del citado compromiso. Dichos indicadores estánalienados con los establecidos en el Informe de Responsa -bilidad Corporativa bajo la Norma GRI, que como se ha co-mentado con anterioridad está supervisado en su totalidadpor experto independiente.
• Sistemas de salvaguarda:
• Canal de denuncias: Canal a través del cual, empleados yproveedores pueden realizar consultas o notificar incum-plimientos del Código, de buena fe, de forma confiden-cial y sin temor a represalias. Para asegurar la confiden-cialidad, el canal tiene medidas de seguridad adecuadasy el único receptor de las comunicaciones en primera ins-tancia es el Presidente de la Comisión del Código Ético. Elcanal es único para todos los países en los que laCompañía desarrolla sus negocios.
• Procedimiento de declaración anual por parte de todoslos empleados del Grupo, conforme han leído, compren-den y cumplen el Código Ético.
• Curso on-line sobre el Código Ético de obligado cumpli-miento para todos los empleados, en el que se estable-cen casos prácticos vinculados con nuestra actividad.
Como conclusión podemos decir que si la Ética es importan-te en vuestras compañías, ésta debería forma parte de laestrategia, debería ser un compromiso formal del primerÓrgano de Gobierno de la Compañía, y como todo lo impor-tante debería medirse, para luego poderlo gestionar, con-trolar y supervisar. Si a lo anterior añadimos las demandascada vez mayores de los diferentes grupos de interés paraque las organizaciones compatibilicen la rentabilidad con laética empresarial y que el riesgo de comportamientos noéticos se incrementa en momentos como los actuales, mar-cados por la crisis económica, una mayor competencia ymás exigencia en el cumplimiento de objetivos, se puedeconcluir que las funciones de auditoría interna debemosestar muy atentas e incluir en nuestros planes de auditoríala revisión del comportamiento ético en sus organizaciones,y que al ser la ética un intangible de medición compleja,deberemos aplicar procedimientos de auditoria o supervi-sión creativos o alternativos a los tradicionales, como es elcaso de Gas Natural Fenosa, que vayan más allá de la ges-tión de un canal de denuncias y de la evaluación del riesgode fraude.
Resumen del ponente
32
AuditoríaInterna
deja volar tus ideas
El miércoles 21 de Noviembre tuvo lugar laFiesta del Auditor Interno en una emblemá-tica sala madrileña “El cielo de PachaMadrid”.
Después del cóctel, los asistentes disfruta-ron bailando al ritmo de la mejor músicadel momento.
33
Especial 17 Jornadas de Auditoría Interna
34
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Perspectivas macroeconómicas en el entorno actual La globalización es una gran oportunidad y la única salida
de la crisis que tiene la economía española es a través de
la exportación. Dado el alto nivel de sobreendeudamiento
que tenemos las empresas, las familias y el sector público
en España, lo que no podemos es endeudarnos más. El cre-
cimiento del PIB se tiene que producir a través de la expor-
tación –afortunadamente ya está ocurriendo– y no a través
de un crecimiento intenso del consumo y la inversión.
La globalización es una oportunidad: hay nuevos clientes y
nuevos productos. Sobre todo teniendo en cuenta que se
está produciendo un gran cambio de modelo en el creci-
miento chino que también empieza aplicarse en el indio.
Ambos países se están desarrollando y, por tanto, consu-
men más. ¿Qué es lo que importan? Los bienes y servicios
de mayor valor que proceden de Estados Unidos, Japón,
Alemania, Francia… y ahí es donde España tiene que ir pe-
netrando cada vez con más intensidad.
La globalización es consecuencia de las Tecnologías de In for -
mación y Comunicación, que representan una revolución
económica y fundamental, que no sólo ha permitido globali-
zar el mercado de bienes, sino que también se pueden
prestar servicios a miles de kilómetros de distancia en tiem-
po real, lo que permite una mejora enorme de eficiencia.
En un entorno globalizado es necesario ser competititvo. Si
hubiéramos respondido a la globalización adecuadamente,
no estaríamos pasando por la crisis actual. Los grandes fa-
llos que nos han llevado a esta situación son:
· Fallos de mercado. Ha fallado la información que no ha
sido ni transparente ni simétrica.
· Fallo en los Bancos Centrales que han aplicado políticas
monetarias muy expansivas. Los tipos de interés nunca
deben ser negativos en términos reales y menos que es-
ta situación se mantenga en el tiempo porque genera in-
centivos perversos al sobreendeudamiento. Además, ha
habido problemas de supervisión bancaria.
· Fallo de la razón o el sentido común. No es consistente
ningún modelo que se base en la revalorización de los
activos.
Por tanto, la crisis no se debe a la globalización. A corto
plazo se pueden ver oportunidades a nivel mundial, la eco-
nomía va a seguir creciendo, según el FMI, pero con una
cierta desaceleración.
El primer objetivo de las empresas españolas es pensar ca-
da vez más en los mercados asiáticos e iberoamericanos.
El problema fundamental está en Europa, que se está las-
trando en su competitividad, no está llevando a cabo políti-
cas para ser más competitiva en un mundo global, ha ac-
tuado de una manera neonacionalista y no ha respondido
correctamente a la crisis.
En el caso de España, es necesario recortar el gasto público;
ser más competitivos; realizar una reforma financiera que
agilice el crédito; restaurar la unidad de mercado; adecuar
las infraestructuras a nuestras necesidades; mejorar nuestra
innovación; adecuar la formación al mercado laboral y tener
cuidado con el valor inmobiliario.
En definitiva, el perfil de crecimiento español a corto plazo
es que en verano de 2013, la economía española dejará de
caer en términos intertrimestrales y en ese momento se
puede empezar a generar, si se ha producido el ajuste del
sector público de empleo antes, algo de crecimiento de em-
pleo vinculado al turismo. En ese punto se vería un creci-
miento moderado de la economía española.
SESIÓN GENERAL 3
Juan IranzoDECANO. COLEGIO DE ECONOMISTAS DE MADRIDVICEPRESIDENTE. INSTITUTO DE ESTUDIOS ECONÓMICOS
Resumen: Instituto de Auditores Internos de España
36
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
El liderazgo del auditor interno
Sin embargo, no es frecuente encontrar espacios que traten
acerca de la formación y características que requiere el per-
fil humano y personal de un auditor interno adaptado a un
entorno global. Esta circunstancia seguramente no es fruto
del desconocimiento ni de la desconsideración, sino que, es
un aspecto que se da por supuesto como base de las cues-
tiones técnicas.
Si nos detenemos a pensar en el perfil humano que requie-
re un auditor interno, rápidamente vendrán a nuestra men-
te los valores que son propios de la profesión. Es fácil que,
en un momento u otro, consideremos el concepto de lide-
razgo. El liderazgo es un concepto basado en valores, ase-
veración que, en el caso de un auditor interno, es especial-
mente evidente.
Si repasamos el concepto de liderazgo, concluiremos sin di-
ficultad que, para dirigir con éxito una organización, los co-
nocimientos técnicos de sus responsables pueden ser nece-
sarios pero, en ningún caso, son suficientes. Por eso no es
difícil encontrar en la historia empresarial múltiples ejem-
plos en los que el liderazgo efectivo –o su ausencia- ha si-
do la clave determinante del éxito -o fracaso- de negocios
de todo tipo y tamaños.
En el caso de la auditoría interna no es distinto. Las unida-
des de auditoría interna deben ser un referente en las or-
ganizaciones, algo que será absolutamente imposible sin elejercicio de un liderazgo adecuado.
En general, la verdadera medida del líder de una organiza-ción viene dada por la capacidad de influir positivamenteen los demás, hasta el punto que las posibilidades de éxitoy la eficiencia, de personas y organizaciones, vienen deter-minados por la capacidad de liderazgo, que no convieneconfundir con el concepto gerencial, pues el liderazgo no lodan ni la posición ni el poder.
Al hablar de liderazgo estamos hablando de verbos comoinspirar, delegar, motivar, transmitir, respetar, escuchar, co-municar, observar; estamos tratando conceptos como con-fianza, ejemplaridad, trabajo en equipo, formación, espíritude servicio, visión, autoconocimiento, propósito de vida, va-lores, barreras, estrategias.
Todos esos verbos y conceptos están presentes en un líderde auditoría interna. Desde un punto de vista personal, va-lores como la humildad, la prudencia o la discreción son in-herentes al líder generador de confianza.
La confianza es la esperanza positiva de que otra personano se comportará de forma oportunista. Una comunicaciónefectiva puede sembrar una relación de confianza que con-venza al auditado del valor y la ayuda que el auditor apor-tará a su gestión. El auditor habrá conseguido el respeto asu persona y a su función.
SESIÓN PARALELA
6.1
Juan Díaz CarmonaDIRECTOR DE AUDITORÍA INTERNA. TELEFÓNICA PERÚ
Cuando asistimos a congresos que abordan las distintas disciplinas de la AuditoríaInterna, es frecuente asistir a presentaciones sobre aspectos técnicos, presenciarponencias sobre desarrollos o herramientas que contribuyen a mejorar la eficienciaen la utilización de los recursos para mejorar las metodologías y resultados delejercicio de una auditoría interna moderna; todo ello en foros que comparten sumejor conocimiento en búsqueda de compartir las mejores prácticas de la profesión.
37
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
En un enfoque profesional o social, no habría liderazgo en
ausencia de una comunicación efectiva que facilite la con-
fianza necesaria para sembrar el respeto a la función y a
las personas, básico para conseguir la colaboración de toda
la organización, elemento motor de la agilidad como factor
innovador de una auditoría moderna y multicultural.
Es interesante comparar, con una sencilla consulta en inter-
net, la imagen que se tiene de un auditor interno con la vi-
sión del líder de auditoría interna que aquí se defiende.
La visión del líder de auditoría interna que aquí se presenta
es la de una gran persona, con espíritu de servicio y consi-
derado con los demás, con su cultura y con su labor; un re-
ferente en la organización, posición que se consigue a tra-
vés del respeto, del ejemplo, del conocimiento, del rigor y
de la experiencia; un observador, con gran capacidad de es-
cucha; un profesional con vocación y con pasión; un comu-
nicador, empático, generador y merecedor de confianza,
multicultural, con capacidad de adaptación a los distintos
ámbitos organizacionales y culturales; un colaborador con
su equipo y con sus pares y, al tiempo, inspirador de cola-
boración interna y externa; un legítimo transmisor de valo-
res, mentor y formador de sólidos e íntegros equipos de
trabajo; un profesional ágil y dinámico, para poder respon-
der a la velocidad de los cambios de la tecnología y de los
mercados; un innovador, generador de nuevos conceptos y
procedimientos de auditoría, que se adapten a las necesi-
dades de una realidad tan cambiante, impulsor de nuevos
modelos de auditoría preventiva; un garante de controles
internos eficientes que catalicen los procesos. En definitiva,
un generador de valor para las personas y para las organi-
zaciones.
Alcanzar esta visión de la auditoría interna no es fácil, y no
está exenta de barreras que dificultan su materialización.
Entre las principales barreras, están las relacionadas con lasconsecuencias de la burocracia innecesaria o los controlesineficientes en los procesos de las empresas.
La resistencia al cambio es otra de las principales barreras,en personas y organizaciones, que impide la adaptación,auna velocidad adecuada, al entorno y a las circunstancias.
Un líder de auditoría interna se relaciona constantementecon el resto de la organización, con sus clientes, con lascorporaciones, con comités de auditoría, con la alta direc-ción de las empresas, con el auditor externo, con su equipode trabajo…, la falta de cooperación será una barrera queimpedirá el éxito y conducirá a la deriva.
Cuando las personas y, por ende, las organizaciones confun-den conceptos como la gerencia y el liderazgo, constituyenuna importante barrera que desaprovecha el talento exis-tente generando jefes que no son líderes.
Los gerentes ejercen la autoridad derivada del poder queles confiere su rango en la organización. El poder de los lí-deres deriva de la legitimidad que se les reconoce, de sucapacidad para ver más allá que los demás y de sus posibi-lidades de influir positivamente en las personas y en las or-ganizaciones.
Cuando una organización no tiene un liderazgo adecuado,pondrá al frente de un equipo al que posiblemente sea unbuen técnico sin dotes de líder; de esta forma perderá a unbuen profesional y nombrará a un mal jefe.
Desde un punto de vista personal, la arrogancia, la prepo-tencia y la soberbia son las principales barreras que impi-den alcanzar la visión descrita de un verdadero líder de au-ditoría interna.
Otra barrera es la falta de equilibrio en las personas, entresu estado físico, familiar, laboral, afectivo y espiritual. Lafalta de este balance agota las posibilidades y el potencialde los recursos humanos de una empresa.
La realidad se transforma a una velocidad de vértigo.Laadaptación exige el cambio.No hay cambio sin innovación.No hay innovación sin colaboración y, cuando todos colabo-ran, todos forman parte de Auditoría Interna.
Resumen del ponente
Las posibilidadesde éxito y la eficiencia, depersonas y organizaciones,vienen determinados porla capacidad de liderazgo.
Una comunicación efectiva puede sembrar unarelación de confianza que convenza al auditadodel valor y la ayuda que el auditor aportará a sugestión.
38
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
El papel de la auditoría interna en losprocesos de integración de las entidadesfinancieras. La experiencia de Banco SabadellIntroducción
Banco Sabadell tiene una clara metodología de integraciónelaborada como resultado de los diferentes procesos de in-tegración de entidades financieras que se han realizado du-rante los últimos años, y que plantea la conveniencia deestructurar adecuadamente el proceso de integración, me-diante la involucración de los distintos órganos de gobiernoy participantes destacando principalmente:
- El Comité de Integración, compuesto por las principalesDirecciones Generales del Banco. Realiza la coordinacióny ejecución unificada del programa de integración, vali-dación de objetivos y recursos, aprobación de iniciativasa desarrollar, reporte y propuestas a la Comisión Ejecutivadel Banco.
- La Oficina Técnica de Integraciones y Fusiones (OTIF),formada por un equipo mixto de profesionales de ambasentidades (especializados en procesos de transformacióny proyectos de integración tecnológica y operativa). Rea -liza tareas de coordinación y seguimiento.
La Dirección de Auditoría Interna, por su parte, tiene laresponsabilidad de supervisar la razonabilidad en la asun-ción de riesgos durante todo el proceso y efectuar assu-rance sobre el sistema de control del proyecto y su ade-cuada ejecución.
Auditoría Interna en un proyecto de integración
Para abordar con éxito la auditoría de un proceso de inte-gración hay que realizar en primer lugar un buen análisisde riesgos del proyecto.
Los principales factores a considerar durante el análisis pre-liminar de riesgos que soportará el Plan de Auditoría sonlos que se derivan de:
• Condicionantes estratégicos del negocio con impacto enla estrategia de integración de sistemas: políticas demarcas, productos, filiales, operativas, fusión/cierre deoficinas, etc.
• Recursos Humanos: convivencia de los procesos de rees-tructuración con el proceso de integración, diferencias demetodologías de trabajo y cultura de empresa.
• Diferencias en las metodologías, equipos e infraestructu-ras logísticas y operativas.
• Movimientos significativos de migración y transformaciónde datos.
• Entorno de presión por el cumplimiento de los plazos definalización del proyecto.
El siguiente paso consiste en definir con claridad el alcancey enfoque del proyecto de auditoría, mediante la combina-ción de dos enfoques complementarios:
1. Revisión del sistema de Control Interno del proyecto
Este enfoque implica la revisión de los siguientes aparta-dos:
• Requerimientos funcionales. Revisión del proceso deanálisis por comparación realizado por los diferentes res-ponsables funcionales entre las entidades que se van aintegrar (Entidades Objetivo), de procesos y aplicacionesde similar naturaleza con el objetivo de identificar y ana-lizar las diferencias funcionales entre el catálogo de pro-ductos y servicios de las Entidades a integrar.
SESIÓN PARALELA
6.2
Nuria LázaroDIRECTORA DE AUDITORÍA INTERNA. BANCO SABADELL
39
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
En esta fase el objetivo de auditoría es determinar si sehan considerado adecuadamente todos los impactos co-merciales, operativos, técnicos y organizativos, así comola suficiencia de las alternativas propuestas para cubrirestas diferencias funcionales.
• Procesos de migración, contabilidad y cuadre. Asegurarque el diseño de los procesos de migración garantiza queno se pierden ni alteran datos operativos ni contablesmediante la verificación de la suficiencia de los cuadresde migración.
• Plan de aceptación. El proceso de aceptación es crítico yconsiste en la definición y ejecución del plan de pruebasque debe garantizar que los desarrollos realizados tienenla calidad suficiente para que sean implantados con éxito.
La Auditoría Interna en este apartado debe valorar lacompletitud y formalización de los planes de pruebaelaborados por los usuarios para validar el correcto fun-cionamiento de las aplicaciones: · Existencia de un plan de pruebas con fechas, objetivos
y resultados esperados. · Calidad, completitud y grado de formalización del plan
de pruebas. · Resultados de las pruebas tras su ejecución. · Correcto registro y categorización de las incidencias de-
tectadas. · Plan de acción establecido para su subsanación.
• Plataformas tecnológicas. En este punto es necesario uti-lizar procedimientos de auditoría informática que permi-tan validar, entre otros, los siguientes aspectos: · La escalabilidad de las plataformas y de las conexiones
y comunicaciones para asegurar que soportan el tráficoestimado.
· Las políticas de acceso a datos. · La existencia de entornos de pruebas suficientemente
dimensionados, replicando el entorno real. · Medidas de seguridad en el tratamiento y envío de la
información a migrar. · Los niveles de autorización y documentación asociados
a la gestión de cambios. · La existencia de entornos de contingencia para cubrir
posibles eventualidades durante el proceso de migra-ción.
• Planes de Comunicación y Formación. Revisar que se rea-liza correctamente la comunicación del proceso a emple-ados y clientes de las entidades y se proporciona la for-mación necesaria sobre productos y aplicaciones.
En este apartado resulta especialmente relevante asegu-rar que se realiza un adecuado proceso de gestión delcambio durante todo el proceso. Las integraciones son
procesos complejos debido a las diferencias culturales yde metodología de trabajo. Para realizar una buena inte-gración es fundamental asegurar la cohesión del equipoy la integración cultural.
Aquí la auditoría puede jugar un papel relevante comoagente dinamizador del cambio, constituyendo un vehí-culo transmisor de la cultura de control del Banco a lolargo del proceso de integración.
2. Ejecución de validaciones independientes
La revisión del sistema de control del proyecto se comple-menta con otro tipo de validaciones de auditoría basadasen el tratamiento masivo de datos que proporciona seguri-dad a la dirección del proyecto acerca de que los riesgosmás significativos del mismo están adecuadamente contro-lados.
Adicionalmente, este tipo de validaciones contribuyen deforma decisiva a cubrir otros riesgos residuales derivadosde la identificación de potenciales errores en la migraciónde datos que no han sido identificados durante las pruebasde cuadre, al tratarse en su mayoría de datos extra-conta-bles (fechas de alta/renovación de productos, tipo de tribu-tación, límites de tarjetas, idioma cuentas, etc.) pero que,de no detectarse a tiempo, podrían comportar riesgos repu-tacionales/legales para la entidad.
Conclusiones
Resumidamente las principales claves para abordar con éxi-to una auditoría de un proyecto de integración serían las si-guientes:
• Enfoque a los riesgos relevantes del proyecto de inte-gración.
• Combinación de diversas técnicas de auditoría que per-mitan asegurar el adecuado control de los riesgos delproyecto.
• Definición del ámbito temporal de la auditoría que debecoincidir con el propio del proceso de la integración, des-de su diseño hasta las etapas posteriores al día de la in-tegración.
• Juego de Equipo: equipo multidisciplinar de auditoría conrecursos de las dos entidades para asegurar la bondad detodo el proceso (origen-destino).
• Auditoría como agente dinamizador del cambio constitu-yendo un vehículo transmisor de la cultura de control delBanco a lo largo del proceso de integración.
Resumen de la ponente
40
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
El Comité de Auditoría: una relación clave parala función de Auditoría Interna
La agenda actual de temas de los Comités de Auditoría in-cluye multitud de asuntos en los encontramos, como puntoen común, la necesidad de dar la mayor confianza, a efec-tos internos y externos, a la información generada por lascompañías. El Comité de Auditoría tiene un papel funda-mental en la existencia de Sistemas adecuados de ControlInterno y Gestión de Riesgos.
El Mapa de las principales relaciones del Comité de Audi to -ría, de forma resumida, es el siguiente:
de tipo financiero, operativo, de cumplimiento y estratégi-cos).
Las responsabilidades del Comité de Auditoria han ido am-pliándose y actualmente incluyen, de forma general, las si-guientes:• Supervisar la elaboración e integridad de la información
financiera, requisitos normativos, perímetro de consolida-ción y principios contables.
• Revisar periódicamente los sistemas de control interno ygestión de riesgos.
• Velar por independencia y eficacia de auditoría interna.• Establecer y supervisar un canal de comunicación de irre-
gularidades, especialmente financieras y contables.• Propuestas de selección, nombramiento, contratación y
sustitución del auditor externo. Recibir del auditor externoinformación sobre el plan de auditoría y sus resultados.Verificar que la Dirección considera sus recomendaciones
• Asegurar la independencia del auditor externo.• Favorecer la integración de la auditoría externa en los
Grupos.
Los Comités de Auditoría se apoyan en las funciones de Au -di toría Interna. Auditoría Interna ha encontrado en esta si-tuación una oportunidad para elevar su papel dentro de lasorganizaciones y actuar, de forma efectiva, reportando di-rectamente a los consejeros de los Comités de Auditoría.
Entender las diferentes funciones del Comité de Auditoría ybuenas prácticas en cada una de esas funciones es una
SESIÓN PARALELA
7.1
José Díaz MoralesSOCIO DE AUDITORIA INTERNA, GESTIÓN DE RIESGOS Y GOBIERNOCORPORATIVO. ERNST & YOUNG.
Comité de Auditoría
Consejo
Direcciones Ejecutivas
Auditoría Interna Auditoría Externa
El Comité de Auditoría ha sufrido una gran transformación en los últimos años.
Esta situación se ha producido dentro de los cambios experimentados en las
prácticas de Gobierno Corporativo que, en muchos casos, han derivado en la
asignación de nuevas tareas y responsabilidades a este Comité.
El Comité de Auditoría, como órgano de apoyo del Consejo,informa al mismo de los resultados de sus actividades. Paraello recurre a las Direcciones de las áreas analizadas y seapoya en la Auditoría Externa (para obtener confianza en lacalidad de la información financiera) y la Auditoría Interna(para supervisar los sistemas de control interno y gestiónde riesgos en un sentido amplio, incluyendo los objetivos
41
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
obligación para los auditores internos. El Comité de Audi -toría es el “cliente final” de Auditoría Interna. Su trabajo sedesarrolla con las diferentes direcciones ejecutivas de la or-ganización frente a las que debe mantener su independen-cia pero, del mismo modo, aportarles cada vez mayor valorañadido y recomendaciones. Mantener ese equilibrio es laclave para una función de auditoría interna efectiva.
Apoyándonos en las reflexiones de los miembros de Comi -tés de Auditoría líderes en Europa y Norteamérica (a travésde la red de miembros de Comités de Auditoría con los quecolaboramos desde Ernst & Young con Tapestry) hemos pre-sentado, de forma breve, algunas buenas prácticas a consi-derar en sus áreas de actuación:
Composición y Funcionamiento: Equilibrado: independencia,experiencia y conocimientos / Agendas preparadas y condocumentación previa / Rotación periódica de sus miem-bros / Límites al número de Consejos o Comités.
Supervisión de Riesgos: Entender la Evaluación de Riesgos,las políticas y procedimientos aplicables / Capacidad paraidentificar nuevos riesgos / Supervisar la información en-viada al mercado / Reunirse periódicamente con los res-ponsables de los riesgos clave / Entender y seguir los ries-gos emergentes.
Supervisión de la Información Financiera: Asegurar que lainformación financiera es transparente, fiable y comprensi-ble / Entender los temas complejos de regulación, repor-ting y principios contables / Evaluar los principios aplicadosy las alternativas existentes / Apoyarse en Auditoría Exter -na e Interna.
Supervisión de los Controles Internos: Entender la valora-ción de los auditores externos / Entender y orientar el pa-pel de Auditoría Interna en esta área / Entender aspectoscomplejos como los Impuestos Corporativos / Dar ejemplodesde la Alta Dirección / Entender asignación de autoridady responsabilidades / Reunirse periódicamente con el Di -rec tor de Auditoría.
Relaciones con el Auditor Externo: Dirigir la relación / Reu -niones periódicas con el auditor y sus especialistas / Segui -miento de la independencia / Entender ajustes propuestos/ Comunicación continua.
Relaciones con la Dirección Ejecutiva: Énfasis en Control,Cul tura, Ética y Seguimiento de los Canales de Denuncia /Co municación periódica / Entender criterios de objetivos yplanes de sucesión / Valorar y cuestionar la información re-cibida.
Relaciones con otros comités: Entender bien los esquemasretributivos y su efecto sobre las actuaciones de los directi-vos.
Reuniones ejecutivas: Mayor frecuencia / Intercalar reunio-nes con directivos de unas y otras funciones (conjuntas opor separado) / Agenda previa y seguimiento de temasabiertos.
Auto-evaluación / Evaluaciones: Herramienta de ayuda sise hace con rigor: valorar hacerla de forma conjunta o paracada uno de los miembros / Comentar los resultados y elPlan de Acción con el Consejo.
Formación y Orientación: Incluir los aspectos de GobiernoCorporativo / Contar con los Directivos y con los AuditoresIn ternos y Externos / Programas específicos y adaptados.
Relaciones con los Auditores Internos: Evaluar la dependen-cia formal y efectiva de Auditoría Interna / Participar yapro bar la evaluación de riesgos y el plan anual de audito-ría / Evaluar periódicamente la competencia y efectividadde la Función / Entender los planes de sucesión del área /Entender la valoración de los directivos y del auditor exter-no / Entender cómo se relaciona Auditoría Interna con otrasfunciones de Control de Riesgos como Legal, Seguridad,Cumplimiento, etc.
El modelo de relación del Comité de Auditoría y Auditoría Interna
Las múltiples exigencias y responsabilidades del Comité deAuditoría hacen necesario el apoyo de Funciones de Audi -toría Interna eficientes. Auditoría Interna se enfrenta a unnivel elevado de expectativas al que si responde de formaefectiva llevará asociado un mayor nivel de reconocimiento.
Auditoría Interna debe identificar, anticipar y ayudar al Co -mité en las responsabilidades que se incluyen en su alcan-ce: actividades de Regulación, Control Interno (en sentidoamplio), Gestión de Riesgos, Gobierno Corporativo, etc.
La relación debe ser clara y transparente. Auditoría Internadebe mantener su independencia frente a la Dirección perosin perder su capacidad de dar recomendaciones de valor alnegocio.
Auditoría Interna está trabajando de forma intensa y con re-sultados satisfactorios en este sentido. Para Auditoría Inter -na “conocer bien a su cliente” pasa por entender muy biencómo funciona el Comité de Auditoría y por ganarse su res-peto y confianza, al igual que el de todas las direccionesauditadas. Un reto, una oportunidad.
Resumen del ponente
42
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Internacionalización de la función de auditoríainterna. La experiencia de EDP
La estrategia de crecimiento externo del Grupo EDP en losúltimos años y la visión que desde los Órganos de Gobiernoy lo más alto de la línea ejecutiva se tiene de la actividadde Auditoría Interna, eran las piezas básicas necesarias parallevar a cabo un proceso de modernización global de la fun-ción de Auditoría Interna cuyo reto era pasar de una visiónlocal a una cobertura internacional.
Consolidación del Grupo EDP como MultinacionalEDP fue creada en 1976, mediante la fusión de 13 empre-sas del sector eléctrico en Portugal. Como empresa estatal,estaba encargada de la electrificación de todo Portugal, lamodernización y ampliación de las redes de distribucióneléctrica y la planificación y construcción del parque pro-ductor eléctrico nacional.
Del conjunto de empresas nacionalizadas, apenas las gran-des empresas tenían núcleos de auditoría interna. Estos re-alizaban trabajos de apoyo a la gestión así como activida-des de soporte al auditor externo con tareas atribuidas con-tractualmente.
En 1996 EDP tomó una participación importante en Energíasde Brasil, S.A, cabecera de un grupo, de la que es el accio-nista mayoritario. Energías de Brasil, S.A disponía ya de unareciente Dirección de Auditoría Interna.
Tras privatizarse el 70% del capital de EDP entre 1997 y elaño 2000, en el año 2001 inició un proceso de expansiónpor la península Ibérica tomando una participación mayori-
taria en Hidroléctrica del Cantábrico, S.A de cuyo Grupo deempresas forman parte Naturgás Energía, S.A y un subgru-po de empresas que operaba en el área de renovables enEspaña.
En el año 2007, EDP entra en el mercado norteamericanode las energías renovables con la adquisición y posteriorexpansión de Horizon Wind Energy. En paralelo, continuacon un fuerte proyecto de expansión en el área de renova-bles en Europa.
En el año 2011 se lleva a cabo la última fase del procesode privatización que alcanza el 95,7% de su capital social yse amplía el abanico de accionistas.
La estrategia del Grupo EDP, basada en una política de cre-cimiento orientado, transformó al Grupo en la mayor em-presa portuguesa cotizada en bolsa, el mayor inversor enPortugal y el mayor inversor portugués en el mundo. Pasóa ser la mayor Multinacional Portuguesa con presencia en13 países y con el 60% de su resultado procedente de fue-ra de Portugal.
Los objetivos de la Dirección de Auditoría Interna En este contexto, marcado por la pertenencia a un Grupode más de 450 empresas, con accionistas de 4 continentes,con subgrupos cotizando en tres mercados de valores y dis-tintos Modelos de Gobierno, la Dirección de Auditoría Inter -na del Grupo inició en el ejercicio 2006 un proceso de mo-dernización con los siguientes objetivos:
SESIÓN PARALELA
7.2
Azucena ViñuelasDIRECTORA DE AUDITORÍA INTERNA. EDP
Hablar del proceso de Internacionalización de la función de Auditoría Interna en
el Grupo Energías de Portugal (EDP) va necesariamente ligado a recordar el
proceso de internacionalización del propio Grupo EDP.
43
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
• Implantar un modelo de Auditoría Interna pasando deuna visión local a un ámbito de actuación internacional;
• Alinear la actividad de Auditoría Interna con la organiza-ción y con los objetivos estratégicos del Grupo;
• Modernización de la función;• Completar el proceso de implantación del SCIRF;• Reforzar las actividades en materia de auditoría operacio-
nal y de cumplimiento; y• Reforzar la cultura de control en la organización.
La estrategia de la Dirección de AuditoríaInterna de EDPPara la consecución de estos objetivos se trabajó en tresgrandes líneas estratégicas:• El posicionamiento de la función de Auditoría Interna en
la Organización;• El desarrollo e implementación de metodología, herra-
mientas y procesos; y• La consolidación de un equipo humano con cobertura in-
ternacional.
Fue fundamental, el alineamiento y el apoyo de los máxi-mos responsables de la línea ejecutiva y de la Comisión pa-ra las Materias Financieras / Comisión de Auditoría con losobjetivos de la Dirección de Auditoría Interna.
El acercamiento entre ambos mundos, fue fundamental.Conseguirlo pasó por “culturizar” a ambas partes. Es impor-tante que la organización entienda el rol y los objetivos dela función de Auditoría Interna y que los equipos de Audi -toría Interna, sean muy conscientes de los verdaderos ries-gos, las necesidades y las preocupaciones de la línea ejecu-tiva.
La “Visión”, los “Valores” y los “Pilares Básicos” sobre losque descansa la ejecución de la estrategia del Grupo (creci-miento orientado, riesgo controlado, y eficiencia superior),están muy alineados con los objetivos básicos para la con-
cepción de una Auditoría Interna con visión global y moder-na.
Pilares Básicos sobre los que descansa la estrategia de EDP
El desarrollo de planes de trabajo orientados a estos pilaresestratégicos supusieron un instrumento importante para ali-near la cultura de Auditoría Interna a las necesidades delGrupo y un entendimiento por parte de la línea ejecutivade la capacidad de aportación de valor por parte de la Di -rección de Auditoría Interna.
La ejecución de la estrategia de la Dirección deAuditoría Interna de EDPLa ejecución de esta estrategia fue un proceso en el que sefueron combinando muchas actividades:• Definición e implementación del Objetivo de la función y
las normas básicas de funcionamiento;• Definir e implementar una estructura organizativa que in-
cluye la creación de una Unidad de Auditoria Interna detecnologías de información (TI) y la creación de unaDirección de Auditoria Interna en el área de Renovables;
• Implementar un modelo de funcionamiento entre lasDirecciones de Auditoria Interna Locales y la Dirección deAuditoria Interna Corporativa;
• Sistematizar y unificar la metodología de trabajo en todassus fases;
• Desarrollar metodologías propias e implantar herramien-tas de soporte;
• Trabajar en alguna especialización, en innovación y reali-zar outsourcing interno cuando se justifica;
• Alinear los planes anuales de trabajo de Auditoría Internacon los Pilares Estratégicos del Grupo;
• Reforzar el equipo de trabajo, posicionarle en la organiza-ción, trabajar las competencias técnicas y de comporta-miento;
• Gestión muy activa del planning;• Evaluaciones de calidad internas y externas; y• Fijación de KPI´s alineados con los objetivos de Auditoría
Interna y del Grupo.
Todo ello unido a asegurar la calidad, rigor y creación devalor en cada uno de los trabajos realizados, fomentandouna visión de auditado/ cliente y un mecanismo de retroa-limentación de todos estos instrumentos.
Un aspecto fundamental en este camino es que estas me-didas no se quedan en la definición de normas, o en el de-sarrollo de manuales. Es importante su materialización enla práctica con el espíritu con el que fueron concebidas, enla consecución de los objetivos con un proceso de mejoracontinua. Una especie de “Rápida Revolución Tranquila”.
Fue fundamental, el alineamiento y el apoyo delos máximos responsables de la línea ejecutiva yde la Comisión para las Materias Financieras /Comisión de Auditoría con los objetivos de laDirección de Auditoría Interna.
Resumen de la ponente
44
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Cómo ser un gran auditor internoEl aseguramiento es el núcleo de la auditoría inter-
na, y sólo puede ser proporcionado por “Grandes
auditores internos”. Muchos de los aspectos princi-
pales que se necesitan para ser un Gran Auditor
Interno han sido incluidos en certificaciones como
el CIA. Sin embargo, no todo lo que es necesario
para ser un Gran Auditor Interno está abierto a es-
tudio y examen.
SESIÓN DE
CLAUSURA
Philip RatcliffeMIEMBRO DEL COMITÉ DIRECTIVO. ECIIA
Los mensajes de esta ponencia versan
sobre las verdades oportunas y
permanentes para la profesión de
auditoría interna y las implicaciones de la
crisis económica actual para los auditores
internos.
45
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
La importancia de conocer tu organización
Para ser un Gran Auditor Interno, necesitas tener un conoci-
miento completo de la organización para la cual trabajas,
incluyendo su modelo de negocio y su propósito; su ges-
tión; sus procesos, cultura y gente, con el objetivo de iden-
tificar los riesgos adecuadamente y diseñar el programa de
aseguramiento apropiado.
Servir a la Dirección así como a los Comités de Auditoría
Los Consejos y Comités de Auditoría tienen impacto a tra-
vés de la Dirección. Y la Dirección es la que más necesita
los resultados del trabajo del auditor interno. Si no recono-
cemos correctamente las necesidades de la Dirección, ellos
buscarán otra función dentro de la organización que les ha-
ga el trabajo que necesitan. Los auditores internos debe-
mos ser receptivos a la Dirección así como a la jerarquía de
gobierno.
La importancia de llevarse bien con la gente
Mantener tu independencia no significa que tengas que ser
frío y distante. Tienes que ser independiente, profesional y
sincero. Pero mantener una buena relación con los audita-
dos puede ser de gran ayuda para extender el conocimien-
to de auditoría interna dentro de la organización.
Sé modesto, los auditores internos noimplementan recomendaciones, lo hacen los auditados
Como auditor interno, ves los errores y la incompetencia de
los demás y también ves cómo la gente hace las cosas
bien; sin embargo, las cosas malas son las que tienen más
impacto. No permitas que esto te haga una persona arro-
gante.
Trata de reconocer que es más fácil auditar que implemen-
tar, intenta tener empatía con la gente de las áreas que es-
tás auditando y ser humilde con ellos.
La importancia de la tenacidad
Cuando un auditor interno realiza una pregunta, éste debe-
ría insistir para obtener la respuesta. Los auditores internos
tienen que ser tenaces y necesitan insistir para obtener las
respuestas a sus preguntas.
El juicio del auditor interno
El juicio es el núcleo de la actividad de auditoría interna.
Mucha gente, cuando discute el tema de “aseguramiento”,
señala que lo que realmente significa es dar una opinión,
es decir, hacer un juicio.
Como auditores internos, hacemos juicios todo el tiempo.
Nuestro proceso normal de hacer juicios es tomar un mode-
lo de un proceso o sistema “ideal” y compararlo con el
que se está llevando a cabo realmente. Analizamos las di-
ferencias y realizamos nuestras conclusiones de auditoría
interna. Aquí es donde nuestras habilidades como auditores
internos pasan a ocupar un primer plano, tenemos que sa-
ber o ser capaces de desarrollar el modelo correcto del pro-
Para ser un Gran Auditor Interno necesitas tener un conocimiento completo de la organización
para la cual trabajas.
ceso ideal. Entonces tenemos que ser capaces también de
interpretar exactamente lo que vemos.
Los buenos juicios necesitan tiempo, los que se hacen de-
masiado rápido normalmente se hacen mal. Los buenos jui-
cios necesitan una revisión cuidadosa de todos los hechos,
de las desviaciones entre lo ideal y lo real y de lo que es
práctico. En última instancia, nuestro juicio es bueno si otras
personas están de acuerdo con nosotros –incluso si nuestro
mensaje es duro.
Nuestras opiniones necesitan estar respaldadas por hechos,
ser equilibradas y prácticas.
Los auditores internos deben tener coraje
En las ocasiones en que todo va mal, el auditor interno es
el que comunica las malas noticias. A nadie le gustan las
sorpresas malas. En estos casos, los auditores internos ne-
cesitan ser valientes. Y se van a encontrar con barreras de
políticas internas y el miedo a los demás. Cuando esto pa-
se, es necesario ser profesional, verificar los hechos, ser ra-
zonable y práctico. Es necesario tener el coraje de tus con-
vicciones, sean cuales sean las consecuencias.
La auditoría interna y la crisis económica
¿Cómo reacciona un Gran Auditor Interno cuando se enfren-
ta a la crisis actual? Algunos de los aspectos clave son dife-
rentes cuando hay crisis; por ejemplo, la rentabilidad del
negocio pasa a ocupar un segundo lugar dejando paso a la
supervivencia, donde la clave es la caja o efectivo. Por tan-
to, el control clave es la previsión del flujo de efectivo. Y
los auditores internos deben auditar el flujo de efectivo.
¿Existe alguna previsión de los flujos de efectivo que se ac-
tualice regularmente?, ¿Es realista?, ¿La alta dirección la mi-
ra?, ¿Los factores que afectan al flujo de caja –capital hu-
mano, gastos de capital, tesorería– están gestionados acti-
vamente?
Además se debería prestar atención a los programas de re-
corte de costes, ¿han sido planificados adecuadamente?,
¿se controlan de manera adecuada las indemnizaciones por
despido?
Un Gran Auditor Interno debería doblar sus esfuerzos en las
áreas de fraude y robo.
Como conclusión, los Grandes Auditores Internos deben ser
conocedores profesionales de las técnicas de auditoría in-
terna y de sus organizaciones. Tienen que ser capaces de
llevarse bien con la gente de la organización y recordar que
la alta dirección es su principal cliente. Hay que ser modes-
to, profesional, tenaz, tener juicio y tener coraje. Si alcanza-
mos todas estas cosas, entonces podemos catalizar nuestras
organizaciones hacia la mejora continua.
Confía en lo que haces, siéntete orgulloso de tu profesión,
y siéntete orgulloso de ser un auditor interno.
46
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Confía en lo que haces,
siéntete orgulloso de tu
profesión y siéntete
orgulloso de ser un
auditor interno.
Resumen del ponente
las que participamos todos como ac-
cionistas– están ejerciendo mucha
pre sión sobre las compañías y buscan
empresas responsables.
Los modelos de negocio de lo que es-
te experto, generador de los informes
de buen gobierno corporativo referen-
cia en el mundo, definió como “nue-
vo capitalismo” tienen que tener claro
cuánto dinero ganamos, pero también
cómo lo ganamos y cómo vamos a
seguir ganándolo de manera sosteni-
ble. Por eso, reclamó que las políticas
de remuneración de los directivos se
equiparen con los factores financieros,
medioambientales y sociales.
Mervyng King, presidente del Interna -
tional Integrated Reporting Commi -
ttee, defendió una nueva manera de
dar cuenta de la actividad empresarial
en lo que denomina “informes inte-
grados”. En su opinión, es el momen-
to de contar a los stakeholders lo que
48
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
En esta edición tuvimos el privilegio
de contar con Mervyn King, referente
mundial en gobierno corporativo, Pre -
si dente del Comité sobre Gobierno
Cor porativo King de Sudáfrica.
En el marco del XXIV Foro de Expertos
de Auditoría Interna, King subrayó
que sólo después de la crisis financie-
ra de 2008 las empresas se han en-
contrado de bruces con una realidad:
es imprescindible tener en cuenta sus
resultados financieros, pero también
su impacto social y medioambiental
porque eso repercutirá en su reputa-
ción y, por tanto, en su cuenta de re-
sultados.
En este sentido, King puso de ejemplo
a multinacionales como Coca Cola,
que tienen en cuenta el proceso de
tratamiento de aguas en todo su ciclo
de producción; o Procter & Gamble,
que ya sólo vende sus productos en
envases reciclados. Según el ponente
invitado, las fuerzas del mercado –en
Reuniones
El pasado 26 de septiembre, el Hotel
Intercontinental albergó el XXIV Foro de
Expertos de Auditoría Interna que reunió a
los Directores de Auditoria Interna de los
Socios Corporativos del Instituto de
Auditores Internos de España.
Hemos de entrar en la era delcapitalismo sostenible.
49
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
haces, de hacer lo que dices que vas
a hacer y de ponerlo todo por escrito
en informes claros y concisos. En sus
palabras, “transparencia radical”.
Añadió que el auditor interno es una
pieza clave en el sistema de gobierno
corporativo, y en este contexto, los
auditores interno cumplen un papel
fundamental: “La calidad y la confian-
za es la diferencia que marca tus in-
formes para eso necesitas el asegura-
miento combinado que te da el audi-
tor interno”.
Auditoría Interna y Redes Sociales
Tras su intervención, se dió paso al
debate de las mesas de trabajo en las
que se reflexionó sobre la Audi toría
Interna de las Redes Sociales.
De forma generalizada, las organiza-
ciones no incluyen en su plan de au-
ditoría interna el riesgo de uso de las
redes sociales, en algunos casos se
tiene en cuenta dentro de la gestión
del riesgo reputacional.
Normalmente es el departamento de
comunicación quien realiza un segui-
miento de toda la información que se
publica en la red. Las organizaciones
representadas en el Foro señalaron
que Auditoría Interna no ha analizado
todavía las implicaciones legales del
uso inapropiado de las redes sociales
y consideran que los responsables de
ello son las áreas de cumplimiento o
asesoría jurídica.
Algunos de los riesgos reconocidos
por los asistentes el evento fueron:
• Reputacional.
• Seguridad/conectividad.
• Detrimento de la productividad.
• Uso inapropiado.
Las direcciones de auditoría interna
deberían tomar un papel proactivo en
la identificación de riesgos y la super-
visión de medidas de control interno.
Algunas medidas identificadas para
mitigar los riesgos asociados a las re-
des sociales son:
• Formalización de políticas y procedi-
mientos específicos de uso de re-
des sociales por parte de los em-
pleados de la organización.
• En el caso de que se cuente con
una agencia externa de comunica-
ción, verificar que también realiza
una gestión adecuada de riesgos.
• Referencia en el código de conducta
corporativo a los comportamientos
esperados o prohibidos en el ámbi-
to de las redes sociales.
Las empresas deben introducir
la sostenibilidad en su
estrategia a largo plazo si no
quieren poner en peligro
su supervivencia.
50
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Certificaciones
• Identificación y formalización de la
propiedad de las cuentas corporati-
vas de la sociedad.
• Identificación y designación de por-
tavoces oficiales para redes sociales.
• Programas de formación y concien-
ciación sobre el uso de redes socia-
les.
• Existencia de un plan de contingen-
cia que defina la respuesta ante
eventos adversos.
Tras el almuerzo del Foro de Expertos, se entregaron las
cer tificaciones a profesionales de auditoría interna del Ins -
tituto de Auditores Internos de España.
El Presidente y el Vicepresidente del Instituto hicieron en-
trega de los Certificados de Evaluación de Calidad de las
unidades de auditoría interna (QA) a: Enagás, Mapfre
Perú, Telefónica Venezuela, Telefónica Perú y Telefónica
Ecuador.
Se otorgó la Certificación CIA a los siguientes miembros:
Rafael Alemán (LOGISTA), Daniel Chozas (BBVA), Juan
Carlos Díaz (HOLCIM), Natalia Fernández (INDRA) y Yolanda
Ivars (ZURICH).
José Manuel Castro del Real. Auditoría Interna de Enagás Óscar Pinedo Irazola. Auditoría Interna de Mapfre Perú
Eloy Paredes Menchén. Auditoría Interna de Telefónica Rafael Alemán, CIA
51
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Margarita Prat Rodrigo, Vicepresi den -te independiente de la Comisión deAuditoría de Bolsas y Mercados Espa -ñoles, explicó lo que, a su juicio, nece-sita plantearse el profesional de audi-toría interna cuando se le presenta unconflicto de intereses: la auditoría in-terna no tiene una ética diferenciada,sus principios básicos han de ser losmismos que para cualquier otra profe-sión. Pero deben actuar bajo estrictosprincipios morales: confidencialidad,veracidad y fidelidad a lo prometido.
Esta experta en ética empresarial abo-ga por la redacción de códigos de con-ducta en el seno de las organizacionescomo una “traslación de los valores ycomportamientos aceptables para susprofesionales”.
En general, el nivel ético de los profe-sionales de auditoría interna en Espa -ña es bueno: “Las empresas españo-las aprueban en la calidad ética de susauditores internos” y es que, asegura,“el 99% de los principios éticos secumplen si uno quiere trabajar bien”.
Los problemas surgidos en la recientecrisis no sólo han sido éticos sino “desupervisión”. En su opinión, no es de-seable que el mismo organismo queregula sea el que juzgue.
Reuniones
La ética en la profesiónde auditoría interna
17 de Septiembre
Margarita Prat
Flora Rúe, experta grafóloga y socia-directora de Orienta 2 Profiles, partici-pó en esta reunión para desvelar lasclaves del estudio científico de la escri-tura y sus posibles aplicaciones en elámbito de la empresa. Según FloraRúe nuestros textos son la manera co-mo nos mostramos ante la sociedad yla firma, en tanto que proyección denuestra parte más íntima, revelan có-mo nos vemos a nosotros mismos.
Estudiar escritura y firma significa portanto, conocer rasgos fundamentalesde la personalidad de los individuos.La evaluación se lleva a cabo en basea seis rasgos fundamentales: el tama-ño, la presión, la velocidad, la cohe-sión, la forma o el orden. Por ejemplo,si el firmante pone énfasis en la partealta de su escritura podemos advertircierta tendencia a la rebeldía; si lo ha-ce en el centro la tendencia será másbien hacia el realismo; por el contrario,si sus rasgos penden hacia abajo nosencontraremos con una persona conun interés por lo material más que porlo espiritual.
Este análisis puede ayudar a los servi-cios de recursos humanos de las em-presas a conocer rasgos que los candi-datos no desvelan en una entrevistade trabajo.
Análisis grafológico y sus aplicaciones en laempresa
29 de Septiembre
Flora Rúe El 3 de diciembre tuvo lugar el últimolunes del IAI del 2012. El tema pre-sentado fue la Gestión de Riesgos y elCuadro de Mando, que corrió a cargode Enrique Stampa, socio de PMPartners.
Según el ponente, la gestión del riesgodebe ser una de las prioridades ennuestras organizaciones, la globaliza-ción y extensión a otros mercados yservicios junto a la debilidad de lasprácticas de gestión del riesgo han au-mentado los efectos de la crisis. En -rique Stampa se basó en la metodolo-gía de “Kaplan-Norton” para explicar eldiseño del cuadro de mando y añadióque dicho diseño debe responder alas necesidades de la dirección, identi-ficando los indicadores principales yrelacionando los mismos con los obje-tivos estratégicos de la organización.
Se trata de soluciones que facilitan laobtención del reporting y el análisis dela información.
El cuadro de mando es una herra-mienta de gestión cuyo diseño estruc-tura y relaciona la información relevan-te del negocio para su análisis y adop-ción de decisiones por los directivos.
La gestión de Riesgos y elCuadro de Mando
3 de Diciembre
Enrique Stampa
52
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
Premio Korazza al Mejor Ejecutivo de Asociaciones 2012Javier Faleato, Director General delIAI de España, recibió el pasado 29de octubre el V Pre mio Korazza alMejor Ejecutivo de Asocia ciones2012, coincidiendo con el V Con gre -so Korazza de Ejecutivos de Asocia -ciones celebrado en San Lorenzo deEl Escorial.
Este Premio reconoce el dinamismoy la efectividad del ejecutivo al fren-te de la asociación, la creatividad ennuevos servicios, la capacidad de co-municar a través de las nuevas tec-nologías, en especial la Web de laasociación y la notoriedad.
Encuentro Sectorial El Instituto de Auditores Internos deEspaña organizó el 23 de octubre, elencuentro de directores de auditoríainterna del Sector Energía.
En la reunión, los asistentes compar-tieron sus buenas prácticas y expe-riencias sobre temas relacionadoscon el universo a auditar, la expan-sión internacional de las empresasdel sector energía y la reforma delcódigo penal entre otros.
Nuevos SociosALPHABET ESPAÑA FLEET MANAGEMENT, S.A. GRUPO BMW
MUTUA MONTAÑESA
REIG PATRIMONIA S.A
Noticias del IAI
El 12 de septiembre, tras la Conferencia Europea de Au di -toría Interna celebrada en Amsterdam, se convocó unamesa redonda exclusiva que reunió a los Directores deAuditoría Interna de organizaciones de toda Europa. Los te-mas expuestos fueron: la plantilla de auditoría interna enorganizaciones globales, el papel del comité de auditoría ylas últimas regulaciones y directivas europeas. Los repre-sentantes españoles fueron Telefónica y Banesto-GrupoSantander que, a su vez, son miembros de los ServiciosPremium del Instituto de Auditores Internos de España.
La intención es continuar con esta iniciativa promovida poralgunos Institutos de Auditores Internos de Europa, entreellos España, con el objetivo de incluirlo como servicio ex-clusivo de los Servicios Premium.
Reunión de Evaluadoresde CalidadLos evaluadores de calidad del Ins -tituto de Auditores Internos de Espa -ña se reunieron el pasado octubrecon el objetivo de estar actualizados,alineados y compartir mejores prác-ticas en el ámbito de las evaluacio-nes de calidad que han realizadohasta el momento y que van a efec-tuar a lo largo de este año 2013.
Servicios Premium: Mesa Redonda de Directores de Auditoría Interna Europeos