Compras y Bar

www.pwc.
es
¿Se están cubriendo

las expectativas
sobre la función
de auditoría interna?
2012
Estudio sobre el estado de
la profesión de auditoría
interna
Índice
La clave 4
Los stakeholders quieren a la función de

auditoría interna en la toma de decisiones
La creciente importancia de la gestión de riesgos 5
Análisis en profundidad 6
Cubrir las expectativas sobre la función de

auditoría interna para aportar valor
El complejo panorama actual de riesgos 7
2012: Los riesgos que vienen 8
¿Qué provoca que los riesgos se acentúen? 9
La percepción de que muchos riesgos no están bien gestionados 10
La necesidad de alinear el negocio y la función de auditoría interna 11
El tamaño y el sector sí que importan 13
Un enfoque proactivo para alcanzar el éxito 14
Expectativas de los stakeholders con respecto a la función

de auditoría interna 14
Los stakeholders consultados valoran la aportación de auditoría interna 16
Los stakeholders quieren más 17
Los stakeholders quieren que se focalice en las áreas de riesgo más críticas 18
Los stakeholders quieren líneas de defensa coordinadas 20
Los stakeholders quieren un punto de vista objetivo y analítico 21
Potenciar la alineación a medida que aumentan las expectativas 22
Auditoría interna; subiendo de nivel 23

Gestionar el nuevo panorama de riesgos 24
Aportar mayor profundidad en sus análisis 28
Simplificar la comunicación 30
Superar barreras 32
Resistencia cultural y organizacional 32
El papel del responsable de Auditoría Interna 33
Falta de recursos y conocimientos especializados 33
Rotación de personal 34
Qué significa esto para tu negocio 36
Diseño del nuevo nivel
Metodología del estudio 40

Agradecimientos 41
Contactos 42
La clave
Los stakeholders
quieren a la función
de auditoría interna
en la toma de decisiones
Un total de 1.530 directivos han participado en el estudio y
afirman que afrontan más riesgos que nunca.
Primero fue la crisis financiera. La creciente importancia El informe pone de manifiesto las
Después vinieron la recesión, las de la gestión de riesgos expectativas cada vez mayores de
reformas regulatorias y los titulares los stakeholders y dónde quieren que
más dispares: un vertido de petróleo Este informe constituye la octava actúe auditoría interna en el contexto
en el Golfo de México, un tsunami y edición anual del estudio sobre la de la gestión de riesgos, para aportar
escapes de radiación en Japón, olas profesión de auditoría interna, y en esta el máximo valor posible. Asimismo,
de calor y golpes de frío, economías edición nos centramos en la creciente analizamos cómo los principales
ahogadas, cruceros encallados, firmas importancia de la gestión de riesgos y equipos de auditoría interna se han
financieras en quiebra, retiradas de en las expectativas cada vez mayores alineado con estas expectativas
alimentos contaminados, hackers que sobre la aportación de auditoría interna crecientes de los stakeholders,
roban información personal de millones en este ámbito. Si bien en las ediciones ampliando el alcance de los riesgos que
de personas y, lo más grave de todo, anteriores solo fueron analizadas las abarcan y comunicando claramente
la incertidumbre sobre la solidez de la opiniones de los máximos responsables una información de mayor valor y
recuperación económica a nivel global. del equipo de Auditoría Interna de las profundidad, “subiendo el nivel” de
compañías consultadas, la edición de forma que se fije un nuevo estándar
Con este escenario como telón de este año amplía su alcance para incluir para los equipos de auditoría interna
fondo, no sorprende que, de los 1.530 también a otros directivos, presidentes de todos los sectores, ámbitos
directivos de 16 sectores diferentes de Comités de Auditoría y miembros geográficos y tamaños de compañías.
y de 64 países distintos que han del Consejo de Administración. A todos Los stakeholders y los responsables
participado en el Estudio sobre el estado ellos se les ha preguntado su opinión de auditoría interna han reconocido
de la profesión de auditoría Interna sobre los principales riesgos vigentes en que, para que esta función sea eficaz
2012 de PwC, la mayoría afirme que la actualidad y el papel que se espera a la hora de respaldar las medidas de
sus negocios afrontan hoy más riesgos que desempeñe la auditoría interna gestión de riesgos de la organización, es
que nunca. Debido a la estrecha a la hora de abordarlos. Más de 660 necesario aumentar el estándar mínimo
conexión actual entre la economía real de estos stakeholders se han sumado de desempeño. En un escenario de
y la financiera, los riesgos surgen con a los 870 máximos responsables riesgos tan cambiante como el actual, la
mayor rapidez, de forma inesperada de auditoría interna que ya habían auditoría interna no puede conformarse
y con un impacto mayor sobre las participado en encuestas anteriores, y con limitarse a reaccionar ante los
actividades de las compañías, sobre han compartido sus puntos de vista en acontecimientos; en su lugar, debe
su reputación e incluso sobre su nuestro estudio. Adicionalmente, este adoptar una mentalidad estratégica
propia supervivencia. Todo ello ha año casi 100 máximos responsables de que tenga capacidad de respuesta ante
derivado en que las empresas estén Auditoría Interna y otros stakeholders los riesgos y que contribuya a ayudar
más interesadas que nunca en mejorar han sido entrevistados personalmente a sus organizaciones a estar listas ante
su capacidad para definir, comunicar y de manera individual, lo que nos ha nuevas amenazas y oportunidades.
y gestionar su catálogo de riesgos. permitido compartir por primera vez un
análisis de la profesión más detallado. Al aprovechar sus competencias
clave, desarrollar unas relaciones
sólidas basadas en la confianza, y
aportar mayor valor y profundidad
en su trabajo, las funciones de
auditoría interna líderes han
demostrado que pueden ganarse un
sitio relevante en sus compañías.
La clave 5
Análisis en profundidad
Cubrir las expectativas

sobre la función de
auditoría interna para
aportar valor
El complejo panorama aumentando y que el entorno cambia El índice de respuesta a la pregunta
rápidamente a medida que surgen de los riesgos más importantes a
actual de riesgos nuevos riesgos. Los retos asociados a los que se enfrenta la organización
En todos los sectores y territorios, los riesgos más tradicionales siguen muestra que prácticamente todos los
los grupos de interés (inversores, evolucionando, y los stakeholders y riesgos por los que se ha preguntado,
proveedores, el regulador, etc.) de las los responsables de Auditoría varían han resultado fundamentales para
compañías se interesan cada vez más su elección en referencia a los riesgos los cientos de participantes en el
por la gestión de riesgos y tratan de más importantes a los que se enfrentan estudio. La figura 1 muestra los
mejorar su capacidad para definir y sus organizaciones. Además de las 15 riesgos clave citados con mayor
comunicar con claridad la tolerancia al preocupaciones derivadas de la frecuencia por nuestros encuestados.
riesgo de su organización. La prueba incertidumbre económica, la existencia
de esta tendencia está en los 1.530 de un mayor número de requisitos
encuestados que han participado en el regulatorios y los enormes vaivenes
Estudio sobre el estado de la profesión experimentados por los mercados
de auditoría Interna 2012 de PwC, de financieros en los últimos cuatro años,
los cuales una abrumadora mayoría seguimos viendo cómo las compañías
(80%) comparte la visión de que continúan mencionando algunas de las
los riesgos a los que se enfrenta su áreas tradicionales de preocupación,
organización están aumentando. como el fraude y la ética, las fusiones y
adquisiciones, los proyectos de grandes
Los resultados del estudio y las dimensiones, la introducción de nuevos
entrevistas realizadas ponen de productos y la continuidad del negocio,
manifiesto que los riesgos están entre sus cinco riesgos principales.
Figura 1: Los 15 riesgos más citados
Incertidumbre Talento y capital Introducción

económica humano de nuevos productos
Regulaciones y Reputación
Fraude y ética
políticas públicas y marca
Cambios relevantes Continuidad

Competencia
en los mercados del negocio
Mercados Costes de energía Fusiones, adquisiciones

financieros y materias primas y negocios conjuntos
Privacidad Gasto público Proyectos de grandes

y seguridad de datos e impuestos dimensiones
2012: Los riesgos que vienen
Los riesgos globales más significativos que se Amenazas a la seguridad de la
materializaron en 2011 han hecho mella en los 1.530 información y a la reputación
directivos que han compartido con nosotros sus opiniones Las filtraciones de datos han acaparado los titulares
sobre los principales riesgos a los que se enfrentan sus prácticamente a diario, y los directivos se muestran cada
organizaciones. Con independencia del tamaño, el sector vez más preocupados con respecto a las cuestiones de
o la geografía en la que se ubique su organización, los seguridad y privacidad de la información. El uso frecuente
encuestados apuntan una y otra vez a que muchos de de las redes sociales, de los dispositivos móviles y del cloud
estos riesgos están estrechamente relacionados entre computing supone una amenaza mayor en el ámbito de la
sí. Entre estos riesgos, cabe destacar los siguientes: seguridad de las tecnologías de la información (TI), en el uso
indebido de los datos de clientes y en el daño reputacional.
Incertidumbre cada vez mayor en los
mercados económicos y financieros Relegados exclusivamente al ámbito de las TI en el pasado, el
Casi tres cuartas partes de las compañías encuestadas riesgo de privacidad y de seguridad cobrará una relevancia
señalaron la incertidumbre económica como su riesgo más creciente como nueva amenaza estratégica para las empresas
significativo, lo cual la sitúa como principal punto a tratar. en un entorno cada vez más digital. “A medida que el mundo
Resulta especialmente preocupante la crisis de la zona euro, está más interconectado, nuestros clientes nos exigen un
la cual podría situar a las economías locales en una auténtica enfoque mayor en la seguridad de la información, en la
caída libre, generando importantes alteraciones financieras a nube, en el cumplimiento de la normativa de protección de
nivel mundial y desencadenando otra recesión internacional. datos y en los costes financieros de la gestión de riesgos”,
afirma el director financiero de Microsoft, Peter Klein.
Incluso si se evita esta crisis, los responsables de la gestión
de riesgos siguen mostrándose cautos con respecto al Riesgos relativos a las fusiones y
impacto que pueda tener la volatilidad de las divisas y la adquisiciones en mercados emergentes
incertidumbre que pueda generar. “Muchos de nuestros A la hora de perseguir nuevas alianzas estratégicas y joint
productos se venden y se compran en euros”, afirma ventures, especialmente en los mercados emergentes (una
un importante fabricante internacional, “y muchas de estrategia que el 28% de las organizaciones de todo el
nuestras materias primas se valoran en dólares, por lo que mundo y el 15% de las compañías españolas tiene previsto
el impacto de las fluctuaciones experimentadas en la zona acometer este año), según nuestra Encuesta Global de
euro tiene una gran repercusión en nuestras actividades”. CEOs 2012, las organizaciones deben estar preparadas
para hacer frente a una amplia gama de riesgos. Junto
Aumentan la regulación y los cambios con los retos de los diferentes regímenes regulatorios y
en las políticas públicas las políticas públicas, las compañías tienen que lidiar con
En vista de que los gobiernos siguen reaccionando culturas distintas a la que están acostumbrados en sus
con nuevas regulaciones ante la crisis, el exceso de relaciones con la Administración. Para ello es necesario
regulación sigue situándose como una de las principales un sólido entendimiento de la cultura local, de las
preocupaciones para los directivos. A nivel internacional, prácticas de negocio del país, así como de las legislaciones
los ejecutivos estadounidenses ya han indicado que su relacionadas, tanto locales como del país de origen de la
país podría experimentar cambios políticos relevantes compañía (por ejemplo, la US Foreign Corrupt Practices
en 2012, debido a las próximas elecciones. Por otro Act, la UK Bribery Act o el Código de Buen Gobierno
lado, las empresas del país se enfrentan ya a una gran en España). Las compañías que accedan a los mercados
cantidad de novedades regulatorias, como consecuencia emergentes es posible que también tengan que gestionar
de los cambios experimentados, por ejemplo, en las riesgos relacionados con el talento y el capital humano,
regulaciones financieras a través de la Dodd-Frank Act. lo cual incluye competir con las compañías locales para
Del mismo modo, en Reino Unido, muchas organizaciones conseguir a los mejores profesionales que dispongan
también están experimentando dificultades para cumplir de una serie de habilidades especialmente valiosas.
con la legislación anti-soborno (UK Bribery Act).
Si desea más información sobre estos riesgos clave y sobre
En España cabe destacar la propuesta del IAGC (Informe lo que están haciendo las empresas para gestionarlos,
Anual de Gobierno Corporativo) publicada a través del consulte nuestro informe Risk in Review 2012: Rethinking
proyecto de circular de octubre de 2011 de la CNMV Risk Management for New Market Realities.
(Comisión Nacional del Mercado de Valores). Esta última
propone un mayor nivel de detalle en la información
a emitir sobre gestión de riesgos y control interno.
La complejidad, la imprevisibilidad y la diversidad de los
riesgos son los tres elementos principales que los directivos
consideran que han cambiado su perfil de riesgo.
¿Qué provoca que los • “La filtración de datos de la de ión de litio en todo el mundo.
riesgos se acentúen? PlayStation de Sony afecta a 70 La posterior escasez sufrida por las
millones de usuarios”. El ataque compañías tecnológicas afectadas
La fuerte interrelación existente producido en abril de 2011 a la internacionalmente afectó a Nokia,
entre la economía real y los mercados red de PlayStation de Sony le ha RIM, Sony Ericsson y, en menor
financieros provoca que los riesgos costado a la compañía 171 millones medida, a Apple y Samsung.
surjan de manera inesperada y con de dólares en costes de depuración
unos impactos derivados de gran de sistemas, y los analistas prevén Los directivos entrevistados también
alcance en lo relativo a la reputación, e que el coste de las investigaciones, han hecho hincapié en que la velocidad
incluso a la supervivencia del negocio. compensación, lucro cesante y a la que se comunica la información
“Las empresas se han convertido demás inversiones en seguridad se hace provoca un menor nivel de
en entidades globalmente muy adicional podría hacer que el confianza en relación a la bondad
diversas”, indica Peter Klein, director coste total fuera mucho mayor. de la gestión de riesgos aplicada por
financiero de Microsoft, “lo que las compañías. Tal y como destaca
constituye un reto continuo a la hora • “News of the World cierra en Kanwardeep Ahluwalia, responsable
de adaptarse a diferentes culturas y medio del escándalo”. Después del riesgo financiero en Swiss Re: “En
modelos operativos para desarrollar de que se destapara un enorme un mundo caracterizado por unas
las herramientas y tecnologías que se escándalo que incluía pinchazos comunicaciones más rápidas que nunca
ajusten a la constante diversificación en una gran cantidad de números y las transmisiones instantáneas de
global”. de teléfonos y que afectaba a datos, también existe la posibilidad de
algunos de sus empleados, el que se produzca una mayor complejidad
Los directivos señalan que la venerado tabloide británico News provocada por la propia percepción
complejidad, imprevisibilidad y la of the World fue cerrado por su de que los riesgos han aumentado…
diversidad de los riesgos son las propietario, News International, Pero quizá creamos que los riesgos
tres principales razones que, en su en un intento por retomar el están aumentando simplemente
opinión, están cambiando su catálogo control del daño corporativo que porque ahora somos conscientes
y perfil de riesgo, motivando que había provocado a la compañía. de un mayor número de ellos”.
la gestión de los riesgos clave sigua
siendo un enorme reto. Hemos podido • “Escasez de piezas de smartphones
comprobar esto a través de distintos a causa del terremoto de Japón”.
titulares a lo largo de 2011, entre El 11 de marzo de 2011, se producía
los que se incluyen los siguientes: en Japón un terremoto, un tsunami y,
posteriormente, como consecuencia,
un escape en un reactor nuclear,
que obligaba al cierre temporal
de muchas plantas de fabricación
de alta tecnología, entre ellas la
de un fabricante que creaba un
polímero de gran importancia que
se utiliza en el 70% de las baterías
Menos de la mitad (45%) de los encuestados ha indicado
que se siente cómodo con la forma en que están siendo
gestionados sus principales riesgos.
significativamente sus actividades desafíos financieros. Si bien los temas

relacionadas con la gestión de riesgos referentes a los mercados financieros
y la comunicación de los resultados no están reduciendo su complejidad,
de esta gestión. Por esta razón, los las empresas creen que están en
responsables de Auditoría Interna mejor posición para abordarlos.
deben asegurarse de que su equipo
comprenden adecuadamente todos Sin embargo, al tiempo que las
los riesgos de la organización y que empresas se han focalizado en
están en línea con los stakeholders gestionar las graves tensiones
con respecto a las principales áreas de financieras existentes, las realidades
preocupación, de forma que el equipo del entorno empresarial han seguido
esté en una posición adecuada para evolucionando. Una de las amenazas
abordar los riesgos, proporcionando más complejas y persistentes a largo
un análisis de valor sobre su impacto plazo es la adquisición y retención
y comunicando con claridad del talento en un mercado global y
recomendaciones que se centren en la orientado a la tecnología, en donde
mejora del rendimiento de la entidad. algunas habilidades clave, como los
conocimientos de ingeniería y de TI,
Al analizar el grado de confianza son objeto de una importante demanda
existente en relación con los riesgos, y una escasa oferta. Los encuestados
La percepción de que hemos identificado que los stakeholders han identificado el talento y los riesgos
muchos riesgos no están y los responsables de auditoría interna laborales como un riesgo significativo,
bien gestionados de las compañías consideran que los aunque solo el 23% de ellos confía
mercados financieros constituyen en la capacidad de su organización
A medida que cambian y evolucionan el riesgo mejor gestionado –un 63% para gestionar bien dicho riesgo.
los riesgos, de media, menos de la mitad de ellos considera que está bien
de los encuestados (45%) indica que se gestionado–. Este grado de confianza Tal y como se analiza con más
sienten cómodos con la forma en que puede que sea resultado del duro detenimiento en nuestra Encuesta
sus principales riesgos –a pesar de que trabajo realizado en este ámbito: en Global de CEOs 2012, la competencia
el 74% de ellos cuente con procesos los últimos cuatro años, desde el inicio por el capital humano es muy
formales ERM (sistema de gestión de la recesión en 2008, las empresas intensa y muchas compañías están
integral de riesgos empresariales se han esforzado por abordar las experimentando la presión de tener
o Enterprise Risk Management) en tensiones financieras experimentadas. que mejorar sus prácticas de gestión
sus organizaciones–. Este nivel Han tenido que maniobrar entre los del talento, utilizando modelos
relativamente bajo de confianza de los paralizados mercados de crédito, las y estrategias que pueden variar
encuestados en muchas áreas de riesgo, importantes fluctuaciones de divisas, significativamente con respecto a las
pone de manifiesto que los stakeholders la volatilidad de la renta variable que hicieron que sus organizaciones
entienden que sus organizaciones no y otros posibles cataclismos. A lo tuvieran éxito en el pasado (por
estarán gestionando los riesgos de largo de este proceso se han vuelto ejemplo, en determinados casos en
forma efectiva hasta que no mejoren más diestras a la hora de abordar los los que las empresas hayan podido
10 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

contratar a expatriados residentes La necesidad de alinear
en el extranjero, ahora puede que el negocio y la función
resulte clave contratar a empleados
de auditoría interna
locales con habilidades técnicas y con
conocimientos de idiomas). En las En el estudio de este año, hemos podido
economías emergentes, los riesgos obtener mayor información sobre los
derivados de la gestión del talento y el stakeholders que influyen en la función
capital humano cualificado son aún más de auditoría interna, lo cual nos ha
complicados, puesto que la lealtad de permitido comparar el punto de vista de
los empleados puede ser relativamente dichos stakeholders con la visión de los
baja y las empresas locales están responsables de Auditoría Interna a nivel
empezando a atraer a algunos de los global. Si bien esta visión global puede
mejores candidatos locales a sus propias que no sea representativa de su propia
organizaciones, mejorando sus sueldos, organización, sí que le proporcionará
las prestaciones ofrecidas y mediante una serie de datos indicativos de aquellas
una cuidadosa apelación al patriotismo. áreas en las que se necesita un mayor
En líneas generales, los programas diálogo entre los stakeholders y los
de gestión del talento puede que no responsables de Auditoría Interna.
sean lo suficientemente elaborados
para gestionar el enorme volumen y ¿Por qué es tan importante que exista
alcance de los cambios que se están este alineamiento? Para que la función
produciendo en la actualidad, lo cual de auditoría interna sea verdaderamente
puede derivar en una falta de confianza efectiva, la organización debe crear una
entre los principales stakeholders y los cultura según la cual los stakeholders y
responsables de Auditoría Interna. los responsables de Auditoría Interna
mantengan un sólido diálogo en torno a
los riesgos empresariales, compartiendo
sus puntos de vista y alcanzando una
perspectiva común sobre la función de
auditoría interna en lo relativo a los
33%
riesgos más críticos. Dado el número
de riesgos a los que se enfrentan las
organizaciones hoy en día, es esencial
que la función de auditoría interna esté
alineada con los riesgos más críticos
que inciden en la organización, para
Sólo el 33% de los responsables priorizar y permitir una asignación de
de Auditoría Interna considera que recursos efectiva. De no existir dicha
los riesgos relativos a fusiones y alineación, puede que los responsables
adquisiciones están bien gestionados. de Auditoría Interna no sean capaces de
dirigir sus recursos a aquellas áreas que
los stakeholders consideren más críticas,
perdiendo, por tanto, la oportunidad
de aportar valor a la entidad.
Figura 2: Cómo gestiona la organización cada uno de estos riesgos expresado una confianza bastante
mayor (de unos 10 puntos porcentuales
Stakeholders aproximadamente) que los responsables
Responsables de Auditoría Interna de Auditoría Interna. Una de las
principales divergencias radica en la
Bien gestionada gestión de riesgos asociada al fraude
y la ética, en donde el 53% de los
64%
Mercados financieros 62% stakeholders se siente cómodo con la
gestión de riesgos efectuada por su
58%
Privacidad y seguridad de datos 47%
organización, mientras que solo el 35%
de los responsables de Auditoría Interna
58%
Competencia 54%
mantiene esa opinión. Asimismo, el
nivel de confianza relativo a los riesgos
56%
Reputación y marca 53%
asociados a las fusiones y adquisiciones
muestra un grado de divergencia
53%
Costes de energía y materias primas 55%
similar, en donde un 50% de los
stakeholders expresa su confianza al
53%
Fraude y ética 35%
respecto, en comparación con el 33% de
los responsables de Auditoría Interna.
52%
Cambios relevantes en los mercados 41%
Si bien es cierto que estas divergencias
50%
Fusiones y adquisiciones 33%
en los puntos de vista pueden deberse
a numerosos factores, la principal
Regulaciones y políticas públicas
48%
49%
conclusión en este caso es que es
necesario que exista un diálogo
Incertidumbre económica
44%
40%
continuo entre los stakeholders y los
responsables de Auditoría Interna
Introducción de nuevos productos
38%
32%
con respecto a cómo perciben ambos
grupos la gestión que se está llevando
Proyectos de grandes dimensiones
37%
27%
a cabo de los riesgos. Si no existe esta
alineación, es posible que auditoría
Continuidad de negocio
33%
30%
interna termine asignando sus recursos
de forma ineficaz y que no se concentre
Gasto público e impuestos
32%
39%
en los riesgos más críticos para la
organización. A la vista de los grandes
Talento y capital humano
30%
18%
cambios que está experimentando
el actual panorama de riesgos, es
0 20 40 60 80 100 evidente que ya no es suficiente con
que la función de auditoría interna
esté presente en la toma de decisiones
En nuestro estudio, el 47% de los Interna. Si se analizan los riesgos clave en este ámbito; también es
stakeholders ha afirmado que los uno a uno (véase la figura 2), se necesario que tenga la seguridad de
riesgos de sus entidades están bien perciben seis áreas en las que existe que las áreas en las que concentra su
gestionados, en comparación con el una discrepancia más pronunciada, atención son también las principales
40% de los responsables de Auditoría en las cuales los stakeholders han áreas de riesgo para la organización.

El tamaño y el sector Las empresas de mayor tamaño del rol que juega la función de
sí que importan cuentan con procesos y herramientas auditoría interna puede que varíen en
más avanzadas para facilitar el reto función del tamaño de la compañía,
A pesar de que los encuestados han que supone la gestión de riesgos, si pero la necesidad de que adopten
expresado en general unos niveles bien es cierto que una efectiva gestión medidas sigue siendo la misma.
de confianza relativamente bajos en
de riesgos es igualmente importante
relación con la gestión de riesgos, Asimismo, al evaluar los resultados del
entre las entidades de menor tamaño.
si se analizan los resultados por estudio por sector, se confirma que los
A pesar de la mayor confianza señalada
compañía se percibe que el tamaño de riesgos más críticos y la confianza que
por los encuestados de las entidades
la organización tiene una influencia los stakeholders tienen en su capacidad
más grandes, sigue existiendo mucho
importante: en líneas generales, para gestionar dichos riesgos varían
la confianza de los encuestados en margen de mejora. Aunque el tamaño
según el sector. El único punto en
cómo gestiona su organización los parece que sí importa, la cuestión
común es que los encuestados coinciden
riesgos fue un 20% mayor en las para los responsables de Auditoría
en que el talento y el capital humano
compañías que tienen una facturación Interna (de entidades pequeñas, constituyen el riesgo peor gestionado.
de 7.500 millones de euros o más, en medianas o grandes) es qué medidas En la Figura 3 se puede ver una
comparación con las entidades cuya adicionales debería estar llevando a clasificación de los tres riesgos peor y
facturación es inferior a dicha cifra. cabo la función de auditoría interna mejor gestionados por grupo sectorial.
El estudio confirmó lo que habíamos para que aumentasen los niveles de
percibido en nuestra experiencia con confianza en torno a la gestión de
un gran número de compañías. riesgos. Las características específicas
Figura 3: Riesgos mejor y peor gestionados por grupo sectorial
Servicios Financieros CIPS* Sanidad TICE**
Peor gestionados
• Talento y capital humano • Talento y capital humano • Talento y capital humano • Talento y capital humano
• Gasto público e impuestos • Riesgo de proyectos de • Continuidad del negocio • Continuidad del negocio
• Proyectos de grandes grandes dimensiones • Fraude y ética • Introducción de nuevos
dimensiones • Continuidad del negocio productos
Mejor gestionados
• Mercados financieros • Mercados financieros • Reputación y marca • Competencia

• Privacidad y seguridad de datos • Competencia • Regulaciones y políticas • Regulaciones y políticas
• Competencia • Reputación y marca públicas públicas
• Gasto público e impuestos • Mercados financieros
*Productos y servicios industriales y de consumo

**Tecnología, información, comunicaciones y entretenimiento
Las entidades con unos resultados económicos superiores a sus homólogos expresaron
un nivel medio de confianza del 53% en la gestión de los 15 principales riesgos. En
comparación, solo el 25% de las empresas que obtienen un rendimiento financiero menor
que sus homólogos, cree que gestiona bien dichos riesgos.
Un enfoque proactivo para Expectativas de los stakeholders

alcanzar el éxito con respecto a la función
Los resultados del estudio también han revelado que una de auditoría interna
buena gestión de riesgos puede impactar en el rendimiento
financiero de las organizaciones, ya que aquellas entidades Los stakeholders han hablado y el mensaje es claro: dado
con unos resultados económicos superiores a sus homólogos que los riesgos son cada vez mayores y su conocimiento
(con independencia de su tamaño o sector) expresaron está cada vez más cerca de convertirse en una importante
un nivel medio de confianza del 53% en los 15 riesgos preocupación para los inversores, los stakeholders buscan
principales. En comparación, solo el 25% de las empresas mayores garantías con respecto a la capacidad de la
que obtienen un rendimiento financiero peor que sus compañía para gestionar los riesgos actuales y futuros. En
homólogos creen que gestionan bien dichos riesgos. nuestras entrevistas, hemos escuchado una y otra vez que
los stakeholders valoran la capacidad del equipo de auditoría
La experiencia reciente indica que, dada la inmediatez interna para identificar riesgos, evaluar su amenaza y
del mundo en el que vivimos, planificar la gestión de recomendar procesos y controles para gestionarlos.
los acontecimientos adversos es tan importante como
identificar y gestionar el riesgo inicialmente. Las compañías Los resultados del estudio muestran que los stakeholders
más avanzadas se diferencian del resto en el ámbito de la consideran que el trabajo tradicional de auditoría interna
gestión de riesgos porque dejan atrás los planteamientos consistente en “auditar los controles financieros y su
reactivos y adoptan un enfoque proactivo que se anticipa cumplimiento como primera expectativa” mientras que
a los riesgos y les ayuda a posicionar la organización ante “proporcionar asesoramiento sobre riesgos y controles”
nuevas amenazas y oportunidades. Estas compañías destacan se sitúa como segunda expectativa, muy próxima a la
porque son capaces de comprender y gestionar mejor sus primera. Para potenciar la confianza de los stakeholders
riesgos, asignando mejor sus recursos, mejorando la fiabilidad y ser percibido como un importante aliado del negocio,
de su cadena de suministro y gestionando de manera auditoría interna debe alcanzar un punto de equilibrio
proactiva su respuesta frente a los mismos. En resumen, en el que desempeñe ambas expectativas igualmente
están mejor preparados para reaccionar o aprovechar las bien, proporcionando su tradicional rol de confianza, con
oportunidades que surgen cuando los riesgos se materializan. análisis detallados y perspectivas claras sobre el negocio.
Este es el enfoque estratégico con el que se debe alinear En este apartado, analizaremos las opiniones de los
la función de auditoría interna. “En lugar de limitarse stakeholders con respecto a la aportación de la función
a preguntar qué es lo que podría salir mal, también es de auditoría interna y en qué áreas desean y esperan
necesario imaginar qué debe salir bien para garantizar que una mayor contribución.
los sistemas, procesos y enfoques de gestión estén alineados
69%
para conseguir unos buenos resultados que respalden la
estrategia de la compañía considerando, de las distintas
situaciones posibles y escenarios externos”, afirma Jason
Pett, responsable de Auditoría Interna de PwC en EEUU.
Porcentaje de stakeholders que considera la aportación de la

función de auditoría interna al seguimiento de la privacidad de
los datos y de los riesgos de seguridad como “muy importante”.

Figura 4: Importancia de la aportación de auditoría interna al seguimiento de cada riesgo
Stakeholders
Responsables de Auditoría Interna
Importante Muy importante
30% 67%
Fraude y ética
26% 71%
27% 69%
Privacidad y seguridad de datos
39% 59%
49% 38%
Continuidad del negocio
54% 39%
42% 40%
Riesgo de proyectos de grandes dimensiones
47% 45%
54% 26%
Fusiones, adquisiciones y joint ventures
58% 30%
42% 36%
Regulaciones y políticas públicas
47% 38%
50% 26%
Reputación y marca
64% 21%
46% 21%
Mercados financieross
59% 15%
46% 19%
Introducción de nuevos productos
48% 19%
50% 10%
59% 10%
44% 11%
Costes de energía y materias primas
56% 9%
39% 11%
Gasto público e impuestos
50% 10%
40% 10%
Incertidumbre económica
46% 5%
35% 8%
Cambios relevantes en el mercado
41% 6%
34% 7%
Competencia
38% 5%
0 20 40 60 80 100
El hecho de que un riesgo no haya sido tradicionalmente un área de
atención clave para la función de auditoría interna, no implica que esta
última no pueda desempeñar un rol importante en su gestión.
Los stakeholders interna. ¿Qué se extrae de todo ello? especializadas necesarias para
consultados valoran La mayoría de los stakeholders espera llevar a cabo auditorías de forma
que la función de auditoría interna efectiva y recomendar mejoras en
la aportación de
participe activamente, ayudando este ámbito. En vista de la rapidez a la
auditoría interna a la organización a supervisar y que evoluciona esta área de riesgos,
Los stakeholders nos han indicado una gestionar sus riesgos más críticos. no sorprende que los stakeholders y
y otra vez que consideran que el equipo los responsables de Auditoría Interna
de auditoría interna desempeña un Si bien el nivel general de importancia no estén aún plenamente alineados
papel importante a la hora de efectuar concedido al papel de auditoría interna en este sentido, otro indicador más
un seguimiento de los principales es relativamente elevado, ha habido de que, a medida que el panorama
riesgos de la organización. Entre los dos áreas (riesgo de fraude y ética y de riesgos cambia a gran velocidad,
encuestados que han seleccionado el riesgo de privacidad y seguridad de los responsables de Auditoría Interna
fraude y la ética, así como la privacidad datos) en las que más del 50% de los y los stakeholders deben esforzarse
y seguridad de los datos, como sus stakeholders y de los responsables para estar lo más alineados posible,
riesgos principales, un abrumador de Auditoría Interna han valorado tanto en el impacto de este riesgo
97% y 96% (respectivamente) valoran el papel de la función de auditoría sobre su organización como respecto
positivamente la aportación de la interna como “muy importante”. Sin al rol específico que la función de
función de auditoría interna. Cabe embargo, dentro de los riesgos de auditoría interna debe desempeñar.
destacar que estas dos áreas de riesgo privacidad y seguridad de los datos,
también cuentan con los puntos de vista existe una destacada disparidad entre Si se analizan aún con mayor detalle
más alineados entre los stakeholders y la importancia de la participación de la estos datos, se percibe que, para casi
los responsables de Auditoría Interna. función de auditoría interna: aunque todos los riesgos, son los responsables
ambos grupos valoran de manera de Auditoría Interna quienes asignan
Más de tres cuartas partes de los muy similar la importancia general a su función un papel más elevado
encuestados que indicaron que la de dicha función (con una diferencia en la escala de importancia. Esto
continuidad del negocio, los riesgos del 2%), los stakeholders tienden a puede indicar que los responsables
de proyectos de grandes dimensiones, considerar en mayor medida (un 17% de auditoría interna consideran
las fusiones y adquisiciones, las más) que el papel desempeñado por la que están desempeñando un papel
regulaciones y las políticas públicas, función de auditoría interna es “muy destacado en estas áreas, mientras
y la reputación y la marca constituían importante”, en comparación con que los stakeholders no consideran
sus principales riesgos, dieron también los responsables de dicha función. que su aportación sea tan valiosa.
puntuaciones elevadas a la importancia
de la aportación de la función de Según nuestra experiencia, esta
auditoría interna para su control y divergencia de puntos de vista puede
seguimiento. De hecho, solo hubo dos deberse a diversos factores, entre
áreas de riesgo (cambios relevantes en ellos el hecho de que este riesgo no se
el mercado y competencia) en las que haya incluido históricamente dentro
menos del 50% de los encuestados ha del alcance de auditoría interna, y/o
valorado como importante el papel que el equipo de auditoría interna
desarrollado por la función de auditoría pueda carecer de las habilidades

La mayoría de los encuestados quiere que la función de
auditoría interna mantenga o aumente el nivel de atención
prestada a las principales áreas de riesgo.
O lo que es peor aún, podría ser un Los stakeholders no haya sido tradicionalmente un área
indicador de que la función de auditoría quieren más de atención relevante para la función
interna entiende la relevancia potencial de auditoría interna no implica que no
de su rol en la gestión de dichos Más del 20% de los stakeholders ha pueda desempeñar un papel importante
riesgos, pero hay algo que le lastra y señalado que la función de auditoría en el futuro. “Hay quien afirma que la
no le permite asumir su puesto en la interna presta poca atención a la función de auditoría interna no debe
toma de decisiones ni aportar valor de mayor parte de los riesgos que desempeñar ningún papel en áreas
forma efectiva. En ambos casos, los aparecen en nuestro estudio (véase como la innovación y la competencia”,
responsables de Auditoría Interna y la figura 5). Los resultados del afirma el responsable de Auditoría
los stakeholders deben considerar qué estudio ponen en evidencia que las Interna de una destacada compañía
está haciendo la función de auditoría expectativas de los stakeholders han tecnológica. “Y es cierto que no tenemos
interna para aportar valor y analizar aumentado con respecto a áreas en unos conocimientos sólidos en estas
si desempeña un papel destacado, las que tradicionalmente la función áreas. Pero podemos garantizar la
determinando qué aspectos debe de auditoría interna no se había transparencia del riesgo relativo a estos
mejorar el equipo de auditoría interna fijado –tales como el talento y el ámbitos y que la dirección disponga
para mejorar su nivel de importancia y capital humano, la introducción de de toda la información que necesite”.
su aportación en materia de gestión de nuevos productos y la incertidumbre
riesgos. económica–. El hecho de que un riesgo Si bien es evidente que los resultados
de nuestro estudio ofrecen una visión
macro en este sentido, también es
Figura 5: Riesgos que reciben escasa atención por parte de la función
cierto que esta visión es representativa
de Auditoría Interna
de que, en muchas organizaciones, la
función de auditoría interna podría
Talento y capital humano 33%
no estar concentrándose en las áreas
Competencia 32% que debería o aportando los resultados
Introducción de nuevos productos 31% que los stakeholders esperan en las
áreas de riesgo más críticas. El diálogo
Fusiones, adquisiciones y negocios conjuntos 29%
permanente entre estos dos grupos
Cambios relevantes en el mercado 29%
es fundamental para garantizar que
Incertidumbre económica 25% la función de auditoría interna dirija
Riesgo de proyectos de grandes dimensiones 25% su atención y los recursos adecuados
a las áreas más alineadas con las
Costes de energía y materias primas 23%
expectativas de los stakeholders.
Gasto público e impuestos 21%
Continuidad del negocio 20%
Mercados financieros 18%
Regulaciones y políticas públicas 16%
Fraude y ética 12%
Los stakeholders quieren ninguno de los entrevistados quiere En vista de la escasez de recursos,
que se focalice en las áreas que reduzca su atención en las áreas el equipo de auditoría interna
de riesgo más significativas. Estamos, debe asignar sus recursos de la
de riesgo más críticas
por tanto, ante otro indicador manera más óptima en línea con
En línea con las opiniones de los fundamental de las crecientes las expectativas de los stakeholders.
stakeholders de que la función de expectativas de los stakeholders con En caso de optar por las áreas
auditoría interna debe desempeñar respecto a la función de auditoría equivocadas e invertir en exceso, el
un papel global importante y de que interna en el actual contexto de esfuerzo innecesario incurrido podría
existen muchas áreas de riesgo a las rápida evolución de los riesgos. hacerse a costa de perder de vista
que no se está prestando suficiente otro riesgo aún más crítico, dejando
atención; las entrevistas y los resultados Tal y como se muestra en la figura 6, a la organización expuesta a dicho
del estudio también muestran que los los stakeholders y los responsables riesgo de manera innecesaria.
stakeholders creen que las funciones de Auditoría Interna comparten
de auditoría interna deben considerar una opinión bastante alineada con
todos los riesgos indicados en nuestra respecto a las capacidades que el
encuesta como parte de su mandato, equipo de auditoría interna debe
al tiempo que tienen que adaptar el tener o aumentar en relación con las
alcance de su atención a los riesgos 15 principales áreas de riesgo. Sin
más importantes a los que se enfrenta embargo, en las áreas de fraude y ética,
la organización. La necesidad de que así como de continuidad del negocio,
se aumente la atención queda reflejada los planes de los responsables de
claramente en los resultados del Auditoría Interna para aumentar las
estudio, a través de datos como que capacidades superan las expectativas
un 65% de los stakeholders querría de los stakeholders en 16 y 10 puntos
que la función de auditoría interna porcentuales respectivamente. Aunque
desempeñara un papel más destacado estas dos áreas de riesgo han estado
en el seguimiento de los riesgos. Y, en la agenda desde hace un tiempo,
cuando se les pregunta acerca de las está claro que los responsables de
áreas específicas en las que quieren Auditoría Interna consideran que existe
que la función mantenga, incremente una necesidad mayor de incrementar
o reduzca su atención, prácticamente su atención para controlarlos. Si bien
estos riesgos son, sin duda, complejos
y evolucionan rápidamente, centrar
46%
demasiados recursos en ellos desviará
la atención de otras áreas de riesgo
que los stakeholders entrevistados
consideran más importantes.
Porcentaje de stakeholders que quiere

que la función de auditoría interna
añada nuevas capacidades para
abordar la privacidad y seguridad de los
datos.

Las funciones de auditoría interna deben considerar que todos
los riesgos que hemos incluido en nuestro estudio son parte de su
mandato o cometido, al tiempo que deben focalizar su atención
en los principales riesgos a los que se enfrenta la organización.
Figura 6: Áreas de riesgo en las que los stakeholders y los responsables de Auditoría Interna quieren o tienen previsto
que aumente la capacidad de la función de auditoría interna
Stakeholders
Responsables de Auditoría Interna

52%
Fraude y ética 31%

47%
Continuidad del negocio 22%

32%
27%
24%

22%
Regulaciones 32%
y políticas públicas 34%
Mercados financieros 22%

24%
Riesgo de proyectos 29%

33%
de grandes dimensiones
Incertidumbre económica 23%
21%
Introducción de nuevos productos 29%

23%
Fusiones, adquisiciones y joint ventures 26%

27%
Competencia 19%
12%
Cambios significativos en el mercado 19%

10%
Energy and commodity costes 14%

de energía y materias primas 12%
Gasto público 11%

e impuestos 7%
Figura 7: Tres líneas de defensa
Consejo/Comité de Auditoría
Alta dirección
1a línea de defensa: 2a línea de defensa: 3a línea de defensa:

La dirección de cada función o Las funciones o equipos de Auditoría interna es responsable
departamento es responsable cumplimiento y gestión de riesgos de aportar un nivel de supervisión
de instrumentalizar y poner en son responsables de coordinar y aseguramiento objetivo y
práctica la gestión de riesgos el modelo de gestión de riesgos de asesoramiento en materia
y los controles internos. y asegurar el cumplimiento de de buen gobierno, gestión de
las políticas y estándares. riesgos y cumplimiento.
Los stakeholders presidente del Comité de Auditoría y de que la gestión de riesgos esté
quieren líneas de Riesgos de Intuit, es uno de los muchos incorporada en el seno de la estrategia”,
directivos con los que hemos hablado, afirma David Burritt, presidente del
defensa coordinadas
que espera que el equipo de auditoría Comité de Auditoría de Lockheed
A menudo nos referimos a la gestión de interna actúe de manera coordinada: Martin. “El equipo de auditoría interna
riesgos a través del concepto de “líneas “La función de auditoría interna debe cuenta con el posicionamiento y las
de defensa”, es decir, una serie de capas identificar áreas en las que los controles herramientas adecuadas para asesorar
o niveles de actividad que contribuyen a no estén operando como deberían, sobre los procesos y sistemas de
garantizar que los riesgos se gestionen y en las que la gestión de riesgos no gestión de riesgos, pero es la entidad
y se supervisen de la forma eficiente sea tan robusta como debería”. la que debe estar dispuesta a tomar
y eficaz prevista por directivos y no medidas cuando surjan los riesgos”.
directivos. Los stakeholders valoran Obviamente, la tercera línea de defensa
el papel que desempeña la función ejercerá un mejor papel cuando la Si bien los stakeholders valoran el papel
de auditoría interna como tercera primera y segunda estén sólidamente de la función de auditoría interna
línea de defensa –proporcionando establecidas. Nuestra experiencia como tercera y última línea de defensa,
un aseguramiento objetivo–, pero nos indica que cuando la segunda los resultados del estudio indican
también valoran la capacidad de la línea no se encuentra debidamente que esta función aún tiene mucho
función de auditoría interna para constituida o sencillamente no existe, margen de mejora en relación con su
coordinar de forma efectiva la se deben aprovechar los conocimientos nivel de coordinación con la segunda
primera y segunda línea de defensa. de auditoría interna para identificar línea. El 74% de las organizaciones
los riesgos y para que actúe como del estudio indica que dispone de
En su condición de tercera línea catalizador para mejorar la gestión grupos formales de gestión del
de defensa, la función de auditoría de riesgos dentro de las unidades de riesgo empresarial, pero menos del
interna evalúa, para los Consejos negocio específicas de la entidad. 50% de los encuestados cree que sus
de Administración y los Comités de equipos de auditoría interna están
Auditoría, lo bien que funcionan los En último término, sin embargo, la bien coordinados con estos grupos.
procesos de gobierno, gestión de riesgos dirección ejecutiva debe ser propietaria
y cumplimiento de la organización de la primera y segunda línea de
–especialmente la primera y segunda defensa y asumir las responsabilidades
línea de defensa–. Dennis Powell, de la gestión de riesgos. “Es necesario

Menos del 50% de los encuestados cree que sus equipos
de auditoría interna están bien coordinados con otros
equipos y departamentos de cumplimiento y de riesgos.
Mejorar la coordinación entre la de defensa. Dicha coordinación y “es de esperar que los responsables de
segunda y tercera línea de defensa alineación permitirá a la función Auditoría Interna se aseguren de que
aporta valor en ambas direcciones: de auditoría interna operar mejor la organización cuenta con el nivel
el equipo de auditoría interna se para identificar riesgos, llevando a adecuado de controles para mitigar
beneficia a través de las aportaciones cabo más evaluaciones exhaustivas los riesgos de la entidad. Asimismo,
que recibe y que le ayudan a centrar de riesgos y, en último término, deben contar con unos conocimientos
sus esfuerzos en las áreas de riesgo contribuyendo a posicionar al únicos que les permitan proporcionar
adecuadas, mientras que los grupos equipo para que desempeñe un recomendaciones sobre los controles”.
de gestión de riesgos y cumplimiento papel destacado en los esfuerzos de Esta recomendación, es un punto
se benefician al aprovechar la amplia gestión de riesgos de la compañía. muy valorado, pero muchos de los
visión organizacional con la que cuenta stakeholders con los que hemos hablado
la función de auditoría interna y que también quieren que los análisis que
aporta cohesión a los esfuerzos de Los stakeholders quieren aporten vayan un poco más allá en
gestión de riesgos desarrollados por la un punto de vista objetivo y su nivel de detalle. Los stakeholders
organización. “La función de auditoría esperan recibir información de valor
analítico
interna aporta valor al adoptar una que les permita responder la pregunta:
visión global de la compañía”, afirma Hemos preguntado a los stakeholders “¿Qué significa este riesgo para la
Leslie Heisz, presidente del Comité cuáles son sus principales expectativas entidad?” y, en último término, permita
de Auditoría de Ingram Micro. De en relación con la función de a la compañía poner en marcha los
igual modo, y destacando lo bien auditoría interna y, tal y como era mecanismos adecuados para que
alineado que está su equipo con la de esperar, una inmensa mayoría pueda operar de forma más efectiva.
función de gestión de riesgos, Andrea (88%) ha calificado “los controles
Cummings, VP de Auditoría Interna financieros y el cumplimiento” entre Si bien es evidente que los stakeholders
en BlueScope Steel, afirma que su sus tres expectativas principales. quieren que la función de auditoría
equipo “considera el perfil de riesgos Por su parte, “proporcionar interna aporte seguridad y análisis de
del grupo durante la planificación asesoramiento en riesgos y controles” valor, nuestro estudio también pone
de la auditoría para identificar las ha obtenido una puntuación de manifiesto que la característica
principales áreas de atención de cara al igualmente importante, con un 82% que más valoran los stakeholders
plan anual de auditoría. En concreto, de respuestas de los encuestados, es su objetividad (característica
el equipo de auditoría interna revisa situando este factor también entre elegida entre las tres más valiosas
las medidas de mitigación propuestas las tres principales expectativas. por el 85% de los stakeholders).
por la dirección y valora si están
funcionando de forma efectiva”. Las entrevistas que hemos desarrollado En vista de la enorme prioridad
en el marco del estudio han puesto de concedida a la objetividad, hemos
A medida que las funciones y equipos manifiesto que los stakeholders esperan profundizado aún más en este aspecto
de gestión de riesgos van tomando unos análisis más avanzados y una en nuestras entrevistas. Y al tiempo
forma, los responsables de Auditoría mayor información de valor en las que hemos escuchado la necesidad de
Interna y los stakeholders deben tratar aportaciones de la función de auditoría obtener objetividad, también hemos
de alcanzar un acuerdo consensuado interna. Tal y como comentaba uno de visto que los stakeholders no creen que
sobre cómo se coordinan las líneas los directores financieros entrevistados, la objetividad sea un impedimento
Los stakeholders no creen que la objetividad sea un impedimento
para que la función de auditoría interna actúe como un valioso
aliado estratégico de la entidad a la hora de aportar análisis más
detallados.
para que la función de auditoría Potenciar la alineación cumplimiento, y también en relación

interna actúe como un valioso aliado a medida que aumentan con la gestión de las áreas de riesgo
estratégico de la entidad a la hora más críticas a las que se enfrentan
las expectativas
de aportar análisis más detallados. las organizaciones en la actualidad–.
Al contrario, se trata de encontrar el En vista de que tan solo el 45% Por tanto, al ser capaces de alinear
equilibrio adecuado. Según William de los encuestados opina que la los recursos de forma óptima en las
Osborn, presidente del Comité de mayoría de sus riesgos más críticos áreas adecuadas del negocio, los
Auditoría de Caterpillar Inc., la función están bien gestionados, se abre la equipos de auditoría interna están
de auditoría interna de su compañía puerta hacia la ampliación de su demostrando que pueden hacer más
ha tenido éxito a la hora de dar con rol dentro de la compañía, con lo con los mismos o con menos recursos.
el equilibrio adecuado en estos dos que la función de auditoría interna El reto para las compañías que se
cometidos: “Han hecho un muy buen debe caminar hacia ese nuevo papel encuentran actualmente al mismo
trabajo a la hora de encontrar el punto y asumir los retos que implique. nivel, o por debajo del nivel del resto
justo entre mostrarse firmes cuando de sus homólogos, consiste en saber
ha habido un problema y ser capaces Sin embargo, con independencia cómo “subir de nivel” para llegar al
de ayudar a la gente a implantar los del tamaño, el sector o la ubicación estándar que se le exige según el nuevo
mecanismos de forma adecuada para geográfica de la compañía, la mayor panorama de riesgos y el aumento de las
evitar dificultades”. Y, en opinión de parte de los responsables de Auditoría expectativas de los stakeholders y, todo
William Osborn, este equilibrio resulta Interna esperan que sus presupuestos ello, con unos recursos muy limitados.
muy valioso: “Es evidente que se pueden no varíen o se vean reducidos en los
crear tensiones entre esos dos roles y próximos 12 meses, a pesar de que, tal
creo firmemente en que es necesario y como hemos visto, los stakeholders
demostrar aplomo y desempeñar ambas quieren que el equipo de auditoría
tareas con igual determinación”. interna potencie sus capacidades
a la vista de un catálogo de riesgos
que no deja de crecer y cambiar.
A través de los datos derivados del

estudio, de las entrevistas realizadas
y de nuestra experiencia, hemos
dado con multitud de equipos
de auditoría interna que están
encontrando la manera de cumplir
con estas expectativas crecientes
de los stakeholders –en lo relativo
45%
a aumentar el valor aportado en
las áreas tradicionales de control y
De los encuestados afirma que la

mayoría de sus riesgos más críticos
están bien gestionados.

Figura 8: Subiendo de nivel
El “nuevo nivel” de una función eficaz de auditoría interna
Gestionar el nuevo Aportar mayor profundidad Simplificar la complejidad

panorama en sus análisis
• Generar confianza mediante un
• Pensar y actuar de manera • Entender el negocio diálogo continuo
estratégica
• Ofrecer asesoramiento y • Simplificar la comunicación;
Nuevo • Alinear la asignación de mejores prácticas informes fáciles de asimilar Aumento de las
recursos
panorama • Aprovechar la aportación de • Ser capaz de ver “la foto expectativas de
de riesgos • Aprovechar la segunda línea de los especialistas completa” los stakeholders
defensa
Ocho atributos principales
1 Centrarse en cuestiones
y riesgos críticos
2 Alinear la propuesta de valor con las
expectativas de los stakeholders
3 Ajustar el modelo
de talento a la
propuesta de valor
4 Gestionar las relaciones
con los stakeholders 5 Implantar una cultura
de servicio al cliente
6 Proporcionar
servicios eficientes
7 Aprovechar las tecnologías
con efectividad
8 Promover la innovación
y mejora de la calidad
Las bases
Auditoría interna; los stakeholders. Las capacidades y equipo de auditoría interna, con
prácticas que tan solo hace unos años independencia de su tamaño o del
subiendo de nivel se consideraban ejercicios avanzados alcance de sus actividades (véase la
El nivel al que la función de auditoría de las funciones más punteras, se figura 8). Presentamos por primera
interna siempre ha estado y siempre consideran ahora una pieza esencial vez estos atributos en nuestro informe
estará debe incluir la aportación de de este nuevo nivel de rendimiento. Optimizando la función de Auditoría
seguridad con respecto a los riesgos El nivel ha subido y los equipos de Interna y seguimos percibiendo a
financieros y de cumplimiento. Pero auditoría interna deben mejorar través de las encuestas y estudios
los riesgos han evolucionado y las su desempeño para cumplir unas realizados para la elaboración de este
expectativas aumentan, de manera expectativas que no tienen precedentes. informe, que los ocho atributos no solo
que todos los equipos y funciones siguen siendo críticos y relevantes,
de auditoría interna deben mejorar Las conversaciones que hemos sino que se han convertido en parte
para alcanzar este nuevo nivel: mantenido con los stakeholders y los integral de la operativa de un equipo
aportar un nuevo grado de seguridad responsables de Auditoría Interna, así eficaz de auditoría interna. En otras
en un entorno marcado por una como nuestra experiencia trabajando palabras, constituyen la base del
mayor gama de riesgos críticos y con una gran variedad de equipos de nuevo nivel al que deben operar
comunicar claramente unos análisis auditoría interna, apuntan de manera los equipos de auditoría interna.
de mayor profundidad, al tiempo sistemática hacia la importancia
que se mantienen perfectamente de ocho atributos principales para
alineados con las expectativas de dotar de la máxima eficacia al
Toda planificación top-down basada en riesgos debe
comenzar por incorporar el punto de vista de la
dirección con respecto a las principales prioridades.
Gestionar el nuevo ser motivo de preocupación para los riesgos más críticos. Asimismo, hemos
panorama de riesgos responsables de Auditoría Interna. identificado que una serie de compañías
destacadas de servicios financieros se
Un elemento importante a la hora Toda planificación top-down basada en benefician de este enfoque, dado que
de abordar los desafíos del nuevo riesgos debe comenzar por incorporar identifican y desarrollan una mayor
panorama de riesgos es la capacidad el punto de vista de la dirección con atención auditora a riesgos específicos
para alinear las actividades de auditoría respecto a las principales prioridades, (como por ejemplo, las operaciones
interna con los riesgos más críticos de identificando los riesgos asociados y fraudulentas, la verificación
la organización. El primer paso consiste realizando un exhaustivo análisis sobre independiente de precios o la gestión
en desarrollar un entendimiento cómo puede incorporar la función de colaterales) en comparación con la
estratégico del negocio, coordinándose de auditoría interna estos riesgos que obtendrían a través del enfoque
con los equipos existentes de gestión en sus planes de manera efectiva. rotacional ascendente (bottom-up).
de riesgos de la organización y
garantizando que todos los servicios En paralelo con estos esfuerzos de Aprovechar la segunda
están directamente relacionados evaluación descendiente de riesgos, los línea de defensa
con los riesgos más críticos. equipos de auditoría interna utilizan Las sólidas evaluaciones que gestionan
análisis de datos específicos de la el nuevo panorama de riesgos requieren
Pensar y actuar de entidad para identificar y priorizar que los equipos de auditoría interna
manera estratégica el alcance de la auditoría. El plan de piensen y actúen de manera más
Las normas internacionales para el auditoría basado en riesgos resultante estratégica a medida que interactúan
ejercicio profesional de la auditoría se analiza con los stakeholders a con la segunda línea de defensa y
interna desarrolladas por el Instituto todos los niveles, hasta llegar al aprovechan sus puntos fuertes. Este
de Auditores Internos ponen de CEO y al Consejo para conseguir proceso requiere compromiso y
manifiesto la importancia de realizar que esté plenamente alineado. dedicación para acercar posiciones
una planificación top-down basada en con respecto los stakeholders en aras
el riesgo que puede impactar en los Hemos visto que este proceso es de alinear posturas, pero el efecto
objetivos de la organización, que tenga ligeramente diferente en algunas resultante será un plan de auditoría que
en cuenta las aportaciones de la alta compañías de servicios financieros, en asigne los recursos a las áreas de mayor
dirección y el Consejo. Sin embargo, las que las regulaciones pueden exigir riesgo y retorno para la organización.
en la práctica, vemos importantes que todas las unidades auditables
variaciones en las evaluaciones de se encuentren bajo el alcance de la No todos los riesgos son iguales y
riesgos desarrolladas por los equipos función de auditoría interna cada tres o existen algunos –como la incertidumbre
de auditoría interna, en las áreas de cuatro años (en función del tamaño de económica, la competencia y el
atención identificadas en los planes la entidad). Sin embargo, las entidades talento y el capital humano– para
de auditoría interna y en el nivel y la financieras más innovadoras han los que resulta especialmente
calidad de los recursos destinados a este encontrado una forma de incorporar complicado desarrollar respuestas
ámbito. Nuestro estudio indica que solo un enfoque descendente de riesgos de auditoría interna específicas. Sin
el 55% de las organizaciones crea sus a su cometido de abarcar todo el embargo, incluso estos riesgos ofrecen
planes de auditoría y asigna recursos espectro del universo de auditoría, posibilidades para que la función de
utilizando un enfoque de evaluación de manera que no solo cumplan los auditoría interna se coordine mejor con
de riesgos top-down y robusto. Este requisitos regulatorios, sino que la segunda línea de defensa, consiga
dato es, sin duda, muy inferior al además consigan estar más alineados una perspectiva en tiempo real sobre
que requieren las normas y debería con sus stakeholders con respecto a los los planes de la organización para

Los riesgos no son estáticos. La función de auditoría
interna debe ser flexible.
gestionarlos y le permita aportar una que dichas medidas se han adoptado en En General Motors, los planes de
mayor seguridad a la hora de adoptar conformidad con el plan de auditoría auditoría interna cambian con
medidas de respuesta a los mismos. diseñado y que los riesgos asociados se frecuencia a lo largo del año. “Cuando
han mitigado de manera oportuna. enseño el plan de auditoría anual a la
Veamos el caso del talento y el capital dirección y al Comité de Auditoría a
humano que, según el estudio, La función de auditoría interna también principio de año –dice Brian Thelen,
constituyen el riesgo que se percibe puede desempeñar una función clave auditor general y responsable de
como peor gestionado. ¿Qué debería como facilitadora de procesos ERM Riesgos de la compañía– lo único que
hacer la función de auditoría interna al que permitan un mayor alineamiento puedo garantizar es que si volvemos a
respecto? Conforme analizamos este con una amplia base de stakeholders analizar este mismo plan a finales de
riesgo en mayor profundidad, vemos con respecto a los riesgos más críticos año, el trabajo que hayamos conseguido
cómo las actuales incertidumbres a los que se enfrenta el negocio. Este será distinto del planteado en el plan
económicas provocan recortes de proceso deberá estar impulsado por el original debido al perfil tan dinámico
plantilla y la contratación de empleados responsable de Auditoría Interna que, que tiene nuestro negocio”. Nuestros
temporales o subcontratados. Los en muchas de las organizaciones más objetivos estratégicos aumentan
planes de expansión internacional avanzadas, ocupa un puesto destacado continuamente, aparecen nuevos
exigen que se adapten las políticas en el equipo de la dirección ejecutiva. riesgos y los riesgos de determinadas
de contratación y retención de áreas pueden resultar ser inferiores
empleados para satisfacer las Alinear la asignación de recursos a lo previsto. Cuando se producen
necesidades de la nueva base de Llevar a cabo las prácticas de estos cambios, el equipo de auditoría
talento. A medida que estas bases seguimiento y supervisión de riesgos interna debe ser capaz de cambiar
de talento evolucionan para incluir a través de un proceso global de de marcha con rapidez para abordar
cada vez más recursos procedentes de evaluación estratégica de los riesgos, las necesidades que surjan en ese
los mercados emergentes, pasa a ser no solo permite conseguir un mayor momento. Según indica Brian Thelen,
fundamental adaptar los programas alineamiento entre la función de el Comité de Auditoría de GM y otros
de formación no solo para reflejar las auditoría interna y el resto del negocio, stakeholders responden bien ante este
diferencias de idiomas, sino también sino que además contribuye a priorizar plan flexible: “Nunca he percibido
para acomodar las diferencias y enfocar el trabajo de auditoría que se reticencias al respecto, siempre y
existentes entre las distintas prácticas desarrollará a lo largo del año. Pero los cuando mantenga a los stakeholders
culturales y empresariales. riesgos no son estáticos, y los mejores al corriente de los cambios que se
equipos de auditoría interna reconocen producen y por qué se producen.
La función de auditoría interna puede que la base de referencia de su trabajo Nuestros clientes comprenden que
y debe estar coordinada con la segunda está sujeta a posibles cambios y, por operamos en un entorno en constante
línea de defensa en torno a todas tanto, tienen que estar dispuestos a cambio y ofrecer una visión estática
estas áreas, aportando su punto de ser flexibles. Tal y como indica Kai del riesgo puede significar que los
vista para que se tenga en cuenta y Monahan, senior vice president y recursos no se desplieguen sobre el
evaluando las respuestas previstas. Y, responsable de Auditoría de Nationwide terreno de la forma oportuna”.
quizá aún más importante, los equipos Insurance: “Nuestra organización
de auditoría interna deben estar confía en nuestro equipo de dirección
preparados para adaptar sus planes ejecutiva y en el equipo de auditoría
de auditoría en tiempo real, a medida interna para cambiar el rumbo en
que la dirección adopte determinadas caso de no estar concentrándonos
acciones, para aportar la seguridad de en las áreas oportunas”.
Para ser relevantes y aportar valor, los equipos de auditoría
interna deben centrarse en los riesgos más importantes y
urgentes a los que se enfrenta la organización.
A medida que evolucionan los riesgos estos riesgos por primera vez, o principales riesgos a los que se enfrenta
y se ajusta el enfoque de auditoría reconsiderando cómo están abordando la organización. Muchos de ellos
interna para que siga estando los riesgos para proporcionar cuentan con proyectos de planificación
alineado, resulta fundamental que los los análisis más detallados a los de recursos empresariales, cuya
responsables de Auditoría comuniquen stakeholders. Las cuatro áreas que vigencia e implantación llega a
a todos los stakeholders las variaciones más mencionan los responsables de tener varios años de duración y
que sufran sus planes y las razones Auditoría Interna son los proyectos que, si no se gestionan y supervisan
que motiven dichos cambios. de grandes dimensiones, las fusiones estrechamente, pueden significar una
y adquisiciones, la privacidad y pérdida relevante de rentabilidad
Tal y como indica David Burritt, seguridad de los datos, y los riesgos e incluso pueden poner en riesgo
presidente del Comité de Auditoría de fraude y ética. Cabe indicar que la continuidad del negocio.
de Lockheed Martin, “si una dos de estos riesgos –los derivados de
compañía comete el error de relegar los proyectos de grandes dimensiones A través de nuestra experiencia, vemos
la función de Auditoría Interna a un y los relacionados con las fusiones y funciones de auditoría interna que
segundo plano para que se ocupe adquisiciones– fueron mencionados toman medidas en este sentido, siendo
únicamente de cuestiones contables, entre los riesgos peor gestionados, proactivas e incorporando recursos
nunca entenderán el negocio lo lo que demuestra que algunos al equipo del proyecto, permitiendo
suficientemente bien para llegar a la responsables de Auditoría Interna de este modo que el equipo pueda
raíz de los problemas identificados”. están dispuestos a embarcarse en la aprovechar los sólidos conocimientos
Este es un sentimiento compartido por difícil tarea de gestionar este nuevo sobre los procesos de negocio y las
los stakeholders y los responsables de panorama de riesgos. Otras dos de actividades de control. Asimismo,
auditoría interna por igual, quienes las áreas de riesgo más mencionadas la evaluación del proyecto desde el
nos han indicado una y otra vez que por los responsables de Auditoría punto de vista del buen gobierno,
las organizaciones aportan el mayor –el de la seguridad y privacidad de a través de una serie de puntos de
valor cuando sus equipos de auditoría datos, y el riesgo de fraude y ética– decisión clave, constituye otro de
interna son capaces de alinear su se encuentran entre los riesgos los mecanismos que las funciones de
enfoque y sus recursos con los riesgos que los stakeholders consideran auditoría interna están adoptando para
más críticos de la organización. más importantes para la atención tomar medidas y situarse en posición
que deben prestar las funciones de para aportar a los stakeholders los
Aún así, es evidente que existen auditoría interna, algo que demuestra análisis de valor que estos reclaman.
algunos riesgos que, a pesar de que estos responsables de Auditoría
ser complejos, permiten que la se encuentran bien alineados con las Riesgo de fusiones y adquisiciones
función de auditoría interna pueda expectativas de sus stakeholders. Los riesgos asociados a las fusiones
adoptar respuestas más específicas. y adquisiciones –tanto los relativos a
Durante nuestras entrevistas, hemos Riesgo derivado de los proyectos una evaluación precisa de la necesidad
escuchado en muchas ocasiones de grandes dimensiones o no de llevar a cabo actividades de
a los responsables de Auditoría Muchos directivos han incluido el este tipo, como los relacionados con
Interna hablar sobre las medidas que riesgo derivado de la gestión de evaluaciones de los riesgos asociados
están adoptando para subir a este grandes proyectos tecnológicos y a la integración de nuevas unidades
nuevo nivel, bien sea incorporando de mejora operativa entre los cinco de negocio– se citan con frecuencia

en el estudio, especialmente en el tener acceso a ellos. Las principales
contexto de los mercados emergentes. funciones de auditoría interna con las En Ingram Micro, Leslie Heisz,
A través de nuestra Encuesta global que hemos hablado están tratando de presidente del Comité de Auditoría,
de CEOs, hemos identificado que el mantenerse al día en este sentido y reconoce que se ha beneficiado
11% de las entidades con sede en ponen de manifiesto la necesidad de de la participación de la función
España y el 28% de las entidades en reforzar los controles, incorporando de auditoría interna en proyectos
todo el mundo, cuentan con planes nuevas políticas y puestos de fundamentales para la compañía, tales
como la implantación de programas de
de expansión a través de fusiones o supervisión, así como recurriendo a
planificación de recursos (enterprise
adquisiciones internacionales durante especialistas con los conocimientos
resource planning). En su opinión,
el próximo año. Existe un número adecuados para identificar posibles dicha participación ha permitido que el
elevado de fórmulas a través de las lagunas y poder remediarlos Comité de auditoría sea más efectivo:
cuales los equipos de auditoría interna en el menor tiempo posible.
se están involucrando cada vez más “Traslada importantes cuestiones de
en la valoración de este riesgo, a Fraude y ética procesos a la atención del Comité”.
través por ejemplo de la evaluación El riesgo relativo al fraude y la ética
de las estrategias, la participación ha sido citado por los responsables
en las fases iniciales de los procesos de Auditoría Interna como una de “En los últimos dos años, hemos
de due diligence y en los equipos las áreas en las que es más probable
completado tres de las mayores
de post- deal o integración después adquisiciones en la historia de
que mantengan y aumenten sus
de acometida una adquisición. Caterpillar. Hemos destinado volúmenes
capacidades. Asimismo, este factor de capital sin precedentes a potenciar
aparece en primera posición en el nuestra presencia internacional,
Privacidad y seguridad de datos ránking de riesgos en los que los tanto en mercados desarrollados como
La privacidad y seguridad de datos responsables de Auditoría Interna emergentes. Estas oportunidades
es el área en la que, según los consideran que la participación de los conllevan, sin duda, importantes riesgos
stakeholders, debe incrementar equipos de auditoría interna es “muy y el equipo de auditoría interna tiene que
más su atención la función de importante”. En vista de que solo el estar preparado para ello. Contamos con
auditoría interna (un 46% de los 53% de los stakeholders y el 35% de un proceso que nos permite evaluar las
stakeholders pide que auditoría los responsables de Auditoría Interna actividades de integración de nuestras
interna incremente sus capacidades considera que este ámbito está siendo adquisiciones unos meses antes de que
en este ámbito). La realidad es que bien gestionado en sus organizaciones, se cierre la operación, en un esfuerzo
este riesgo está evolucionando tan las compañías tienen mucho por proporcionar asesoramiento de
rápido, que la mayor parte de las trabajo por hacer para aumentar los
mantenimiento preventivo, seguido de
unas sólidas auditorías que se efectúan
organizaciones no puede seguir el niveles generales de confianza.
un año después de la adquisición”.
ritmo. Cada vez resulta más complejo,
motivado fundamentalmente por El riesgo de fraude y ética es cada Matt Jones, responsable de
la proliferación de las tecnologías, vez más complejo debido a las muy Auditoría de Caterpillar Inc.
el creciente volumen de datos distintas fuentes en las que puede
personales almacenados por las basarse, entre otras, las normativas
compañías y la sofisticación cada vez territoriales en materia de corrupción, “Una de las maneras en las que
mayor de los intrusos que quieren tales como la UK Bribery Act y la US auditoría interna puede aportar
valor es proporcionando análisis
detallados de los procesos nuevos
que se implantan, de manera que
sean efectivos desde el primer día”.
Kai Monahan, responsable de

Auditoría de Nationwide Insurance.
“Los responsables de Auditoría Interna deben ser capaces de garantizar que la
organización cuenta con el nivel adecuado de control para mitigar los riesgos. Asimismo,
deben contar con unos conocimientos especializados únicos que les permitan estar en
posición de recomendar la implantación de nuevos controles”.
Peter Klein, director financiero de Microsoft.
Foreign Corrupt Practices Act, así como Por otro lado, Steve Shelton, reuniones con la alta dirección y los
los requisitos de procedimientos de responsable de Auditoría de KBR, ha miembros del Consejo en las que se
prevención del blanqueo de capitales hecho que estos riesgos constituyan identifican los riesgos para los objetivos
de la USA Patriot Act. En vista de un área de especial atención para e iniciativas de la organización.
las graves consecuencias que puede su equipo: “Dado que el riesgo
generar un incumplimiento –incluido anticorrupción ha sido tan importante Para granjearse el respeto de la
el daño a la reputación, la posible para nuestra organización, creamos entidad, la función de auditoría
prohibición a presentarse a concursos un equipo especializado que ha interna debe ser capaz de empatizar
públicos, las costas legales relacionadas reducido significativamente nuestra con los retos a los que se enfrenta la
y el impacto en la confianza de los exposición en este ámbito”. organización, mantener conversaciones
inversores–, no sorprende que los constructivas y entender las
implicaciones de sus observaciones en
equipos de auditoría interna tengan
Aportar mayor el conjunto de los riesgos globales a
el riesgo de fraude y ética entre sus
los que se enfrenta la organización. Al
principales prioridades. Algunos profundidad en
demostrar su sólido entendimiento del
responsables de Auditoría Interna sus análisis negocio y de su dirección estratégica,
están desarrollando equipos internos
Si bien los stakeholders nos han la función de auditoría interna
de expertos para abordar esta área
indicado que la principal prioridad de aumentará sus posibilidades de ser
de riesgo, mientras que muchos otros tenida en cuenta para participar en las
la función de auditoría interna debería
optan por buscar ayuda externa para iniciativas estratégicas del negocio.
ser auditar y comunicar la información
garantizar el cumplimiento en este
oportuna sobre la gestión de riesgos
ámbito. Una de las entidades con Aprovechar la aportación
y el control, dichos grupos también
la que hemos hablado nos relataba de los especialistas
valoran, en gran medida, la capacidad
el alcance de sus procedimientos del equipo de auditoría interna para A medida que la complejidad de los
internos en materia de prevención de evaluar los riesgos a los que se enfrenta riesgos se intensifica a una velocidad
blanqueo de capitales, que abarcan la organización y aportar análisis de creciente, los equipos de auditoría
aspectos como las prácticas de buen valor que contribuyan a mejorar las interna deben asegurarse de que
gobierno específicas para este ámbito, actividades de gestión de riesgos. mantienen una adecuada experiencia
los procedimientos y las políticas y los conocimientos suficientes para
relativas a las comprobaciones KYC Entender el negocio abordar los riesgos más críticos. Este
(Know Your Customer), por ejemplo, tipo de conocimientos especializados
Gestionar el nuevo panorama de
procedimientos mejorados de due potencia, sin duda, el valor de los
riesgos exige que el equipo de
diligence de clientes, el seguimiento de servicios prestados por los equipos
auditoría interna cuente con un
aprobaciones y permisos, la formación de auditoría interna e incrementa
sólido entendimiento de los objetivos
y la sensibilización en este ámbito. la credibilidad de las medidas
estratégicos del negocio y de las
Debido a la complejidad de todas estas sugeridas por aquel. Aprovechar
iniciativas y tácticas que emplee para
normas, esta compañía recurre en gran el conocimiento de especialistas
conseguirlos –un proceso familiar
externos resulta más eficiente que
medida a especialistas externos que les para el grupo de auditoría interna
contar con recursos permanentes
ayudan a gestionar estas cuestiones. de HCA–. Esta entidad crea su plan
en los equipos de auditoría interna
de auditoría después de una serie de

que quizá solo lleven a una o dos dijera que tiene previsto incrementar Además, los equipos de auditoría
auditorías de este tipo al año. sus capacidades orientadas a prestar interna más flexibles y eficaces no
más servicios de asesoramiento se basan en una cartera estándar
Ofrecer asesoramiento en los próximos 12 meses. de plantillas y metodologías, sino
y mejores prácticas que crean modelos flexibles que
Muchos responsables de Auditoría satisfagan las necesidades de las
Los estándares dejan clara la
Interna encuestados consideran nuevas situaciones que puedan surgir.
responsabilidad de la función de
que “aportar análisis de valor” a sus En Google, Lisa Lee, responsable
auditoría interna de evaluar los riesgos
servicios tradicionales constituye de Auditoría Interna, aporta unos
estratégicos, operativos, financieros
un paso fundamental para que sus análisis cada vez más detallados,
y de cumplimiento a los que se
equipos se ganen un puesto en la retando a sus auditores a que
enfrenta la entidad. La función de
gestión de riesgos de la entidad. vinculen sus conocimientos sobre la
auditoría interna es valorada desde
“Para poder ganarnos el respeto de estrategia del negocio con los riesgos
hace tiempo por su capacidad para
la dirección y de los stakeholders y correspondientes para desarrollar así
proporcionar una perspectiva objetiva
que se nos considere core business, es la mejor manera de auditar el asunto
y unos conocimientos en el ámbito
fundamental que no nos limitemos en cuestión. “Contamos con una
del control, pero, en vista de que cada
únicamente a identificar problemas, metodología establecida –explica Lisa
vez es mayor la complejidad y el nivel
sino también a ayudar a resolverlos y a Lee–, pero no con demasiadas plantillas
de riesgos, los stakeholders con los
identificar soluciones, sin comprometer o guías que podamos reutilizar, porque
que hemos hablado quieren que los
la transparencia y la objetividad”, trato de retar a nuestros auditores a
equipos de auditoría interna vayan
afirma Melvin Flowers, responsable que analicen cada iniciativa como si
más allá de la mera identificación de
de Auditoría Interna de Microsoft. fuera única y distinta a las demás.
problemas. Quieren que demuestren un
“Es vital que el equipo de auditoría Se trata de analizar cuál es nuestro
claro entendimiento de las situaciones
interna comprenda las cuestiones del objetivo en dicha iniciativa, qué
y problemas complejos a los que se
negocio y aporte valor más allá de la estamos tratando de alcanzar y cuál
enfrentan, y que ofrezcan ayuda y
ejecución del plan de auditoría”. es la mejor manera de conseguirlo”.
asesoramiento práctico. En otras
palabras, demandan que aporten un
análisis de mayor valor a los servicios Asimismo, los entrevistados también
de verificación que la función de han indicado que ejecutar auditorías
auditoría interna debe proporcionar. y prestar asesoramiento no son
52%
Para cumplir con esta expectativa, incompatibles. “Probablemente nuestro
los profesionales de auditoría interna trabajo sea un 40% de asesoramiento
deben tener la valentía y las habilidades y un 60% de assurance”, afirma Kai
para ir más allá y no limitarse a Monahan, de Nationwide Insurance.
formular las típicas preguntas. Es muy “Cuando llevas a cabo un proyecto de
probable que muchos responsables assurance, puedes prestar determinados
de Auditoría estén recibiendo esta servicios de asesoramiento en el Porcentaje de los responsables de
misma solicitud de sus propios curso del proyecto en lo relativo a Auditoría Interna que tiene previsto
stakeholders, tal y como demuestra las ideas y mejoras de control”. aumentar sus capacidades orientadas a
el hecho de que el 52% de ellos nos prestar más servicios de asesoramiento.
Simplificar la de comunicación más importantes que Informes fáciles de asimilar
comunicación tenían con los responsables de Auditoría Los stakeholders también nos han dicho
Interna. Si se analizan estas respuestas que quieren que la función de auditoría
La comunicación del enfoque de con mayor detalle, se percibe que los interna aporte seguridad sobre las
auditoría, de sus actividades y de la primeros valoran especialmente las actividades de gestión de riesgos de
perspectiva adoptada es un componente reuniones privadas e informales con los forma sucinta y fácilmente asimilable.
fundamental de la base de cualquier segundos, que resultan fundamentales A medida que la variedad y complejidad
función de auditoría interna eficaz. para desarrollar una relación con los de los riesgos dentro del ámbito de
A medida que el entorno de negocio responsables de Auditoría Interna en la auditoría interna se incrementa, el reto
se vuelve cada vez más complejo, que puedan hablar en persona con total de ofrecer una comunicación efectiva
la alineación con los riesgos más libertad o coger el teléfono siempre y eficiente también aumenta. Además,
críticos y la necesidad de contar con que surja algún problema importante. esta eficiencia en la comunicación se
una comunicación eficiente y eficaz
complica debido a la amplia variedad de
adquiere una importancia mayor. La mayor parte de los responsables de expectativas que tienen los stakeholders
Auditoría Interna entrevistados también con respecto a lo que constituye
Generar confianza a través prefieren reuniones presenciales. Tal y “una comunicación efectiva”. Para
de un diálogo continuo como indicaba uno de ellos, “prefiero algunos stakeholders, unos informes
La mayor parte de los stakeholders tener conversaciones más relajadas de auditoría detallados pueden ser
nos ha indicado que las reuniones con nuestro Comité de Auditoría en las suficientes, mientras que otros quieren
presenciales constituyen el método más que puedan facilitarme sus opiniones presentaciones resumidas, y un tercer
valioso de comunicación con relación y análisis sobre lo que percibe en grupo optaría por las presentaciones
a la función de auditoría interna. Este la compañía, sus preocupaciones cara a cara en las que poder analizar y
tipo de comunicación directa permite y lo que en su opinión debería discutir los resultados de la auditoría.
que los principales stakeholders preocuparnos. Estos encuentros ayudan Los stakeholders y los responsables
respondan con rapidez a las cuestiones muchísimo a la hora de conocernos de Auditoría Interna destinan cada
más críticas que requieran sus y construir buenas relaciones”. vez más tiempo a analizar el proceso
conocimientos y su capacidad de actuar, de evaluación de riesgos, lo cual les
contribuyendo a resolver preguntas y a Los riesgos son complejos y los
permite sentar las bases para lograr
analizar las distintas interpretaciones. resultados de las auditorías a menudo
un mejor entendimiento sobre cómo
Las presentaciones al Comité de son igualmente complejos. Por ello,
pueden afectar a la organización
Auditoría fueron consideradas como el contar con tiempo suficiente para
las conclusiones de la auditoría.
segundo mecanismo de comunicación entablar un diálogo cara a cara en
más valioso, mientras que los torno a las cuestiones a tratar puede
Los responsables de Auditoría Interna y
informes de auditoría individuales ayudar a simplificar la comunicación de
los stakeholders que hemos entrevistado
se sitúan en tercera posición. resultados de las auditorías, ahorrando
afirman, además, que simplificar el
tiempo y energía mientras se tiene
mensaje que trasladan al Comité de
Durante las entrevistas, prácticamente la oportunidad de obtener análisis y
Auditoría es cada vez más importante
todos los presidentes de Comités opiniones de valor que solo se consiguen
para asegurarse de que se comunican
de Auditoría han indicado que las a través de este tipo de conversaciones.
claramente los vínculos existentes entre
interacciones cara a cara son los canales las conclusiones de la auditoría y los

Durante las entrevistas, prácticamente todos los presidentes de Comités
de Auditoría indicaron que las interacciones cara a cara son las vías de
comunicación más importantes que tenían con los responsables de Auditoría
Interna.
riesgos resultantes, así como para que Ser capaz de ver la foto completa que pueden impulsar mejoras a todos
se comprenda el impacto derivado. Son varios los stakeholders que nos los niveles de la organización. Si se
han hablado durante la realización del han identificado riesgos similares
Algunos de los entrevistados prefieren estudio sobre el uso cada vez mayor en diferentes países o unidades
un modo de presentación lo más del análisis de tendencias para poder de negocio, puede que sea posible
gráfico posible, que mantenga al conectar resultados que sean similares superarlos con una única solución.
comité informado y centrado en los y representar con claridad la exposición
aspectos clave. Tal y como indica de la entidad a los riesgos potenciales. Impulsar el seguimiento y control
uno de los presidentes entrevistados: Tal y como indica William Osborn, de de riesgos a través de evaluaciones
“El Comité de Auditoría analiza Caterpillar: “Una serie de elementos estratégicas top-down, centrar los
las cuestiones presentadas con que se identifiquen verticalmente en un recursos en los riesgos más críticos,
un enfoque global, porque así es área específica de una auditoría puede proporcionar análisis de valor más
como debemos hacerlo para tener que no tenga nada de significativo. Pero profundos y utilizar unas técnicas
una adecuada perspectiva para la si puedes analizar esa área de manera de comunicación efectivas son todos
supervisión. Por tanto, es necesario transversal, a través de los múltiples ellos elementos del nuevo nivel al
que el mensaje nos llegue de una forma niveles de la compañía e identificas que la función de auditoría interna
rápida, clara y transparente, y en un ese mismo elemento, entonces puedes debe llegar. Es el nivel en el que debe
lenguaje que sea fácil de asimilar”. estar ante un problema sistémico operar para desempeñar el papel
que es necesario abordar. Cuando que le corresponde en el entorno de
Para abordar la complejidad que la función de auditoría interna tiene negocios actual, pero a menudo tiene
pueden conllevar los problemas de la capacidad para ver este tipo de que superar barreras importantes,
comunicación, los responsables de patrones, entonces está en posición como reticencias organizacionales
Auditoría Interna más avanzados de orientar a la dirección antes de que y culturales, para poder llegar a
están simplificando sus presentaciones los controles fallen, se materialicen dicho nivel. En el apartado siguiente
formales utilizando más gráficos, los riesgos y la organización tenga analizaremos las barreras más
tablas y parámetros. También que afrontar sus consecuencias”. importantes a las que se enfrenta para
están racionalizando sus informes poder alcanzar ese nuevo nivel.
escritos para dar más tiempo a La elaboración de informes
entablar debates cara a cara que de tendencias identifica mejor
pueden resultar de gran valor. aquellas cuestiones que aparecen
transversalmente en múltiples
áreas de la organización y ayuda a
evaluar el riesgo en diversas zonas
geográficas y países –algo cada vez más
importante para las multinacionales
que quieren mantener su agilidad–. La
información sobre tendencias puede
recabarse de manera centralizada
y analizarse posteriormente,
permitiendo alcanzar conclusiones
Superar barreras Resistencia cultural
Incluso las organizaciones que están y organizacional
operando muy por encima del nivel El reto cultural y organizacional
mínimo esperado, nos han señalado se puede plasmar de muy diversas
que han tenido que superar obstáculos maneras y solo se supera generando
importantes. Los stakeholders y respeto y relaciones de confianza en
los responsables de Auditoría han las que los stakeholders comprenden
identificado como barrera más habitual y valoran las aportaciones realizadas
la resistencia organizacional y cultural, por la función de auditoría interna.
seguida de la falta de recursos y “La relación de auditoría interna con
conocimientos especializados en los stakeholders debe basarse en la
los equipos de auditoría interna, así confianza y el respeto mutuos”, afirma
como la falta de un mandato claro. el responsable de Auditoría Interna de
una importante entidad tecnológica.
A pesar de no tener en ocasiones un “Las funciones de auditoría interna
mandato claro de sus stakeholders que que quieren limitarse a actuar como
actúe como desencadenante, muchos policías, no necesitan granjearse
de los responsables de Auditoría Interna el respeto o la confianza dentro de
más avanzados han hecho un esfuerzo su organización. Sin embargo, si
consciente por cambiar la forma en la quieren ayudar a los responsables
que operan sus equipos, determinando de los distintos departamentos y
cuál es la mejor manera de ayudar equipos a mejorar su capacidad de
a la organización a supervisar y gestionar riesgos, los profesionales de
controlar los riesgos más críticos, auditoría deben trabajar activamente
para desarrollar posteriormente su para potenciar la confianza y
alcance y su estructura de personal eliminar clichés sólidamente
en consecuencia. Estos responsables arraigados en las compañías”.
han creado un equipo de auditoría
interna partiendo de la función que Es el caso de la función de auditoría
deben desarrollar. Por el contrario, interna de una compañía como Adobe
hemos observado que los equipos de Systems Inc., el fabricante de software
auditoría interna, que operan a un valorado en 4.200 millones de dólares,
nivel inferior al de sus homólogos, cuyo responsable de Auditoría Interna,
tienden a limitar el alcance de sus Eric Allegakoen, afirma que “conseguir
actividades en función de la capacidad pequeños éxitos supone dar un paso
de sus recursos y de sus habilidades. fundamental en nuestro esfuerzo diario
por generar confianza”. “Cada proyecto,
por pequeño que sea, debe aportar una
ganancia valorable que nos permita
avanzar en este sentido”, añade. “Al
ayudar a los gerentes y directivos de
la compañía a mejorar sus procesos,
la función de auditoría interna puede
cambiar su imagen y ser percibida

Para el equipo de auditoría interna de Adobe Systems Inc., el fabricante de software
valorado en 4.200 millones de dólares, “conseguir pequeños éxitos supone dar un
paso fundamental en nuestro esfuerzo diario por generar confianza”, afirma Eric
Allegakoen, responsable de Auditoría Interna. “Cada proyecto, por pequeño que sea,
debe aportar una ganancia valorable que nos permita formar parte en la toma de
decisiones clave”.
como algo mucho más valioso que un ejecutiva, es mucho más probable que que el mercado actual no es capaz de
policía interno que se limita a buscar a las actividades de su equipo estén satisfacer la demanda de personal con
infractores de las políticas internas”. alineadas con las expectativas de una profunda, variada y especializada
los stakeholders y con los objetivos gama de habilidades como la que se
Al aprovechar nuestras competencias más críticos para el negocio. A través requiere para abordar las cuestiones
clave, desarrollar relaciones sólidas de nuestro estudio, hemos podido complejas a las que se enfrenta
basadas en la confianza, ir más allá de identificar que los responsables de la organización, que va desde el
los clichés y percepciones obsoletas Auditoría participan activamente en cumplimiento de un gran número de
y aportar claridad y análisis más el equipo de dirección ejecutiva de sus regulaciones multijurisdiccionales,
detallados, la función de auditoría entidades en, aproximadamente, el hasta la resolución de amenazas
interna puede ganarse el respeto, 80% de las compañías encuestadas que ingeniosas a la seguridad y privacidad
generar valor y formar parte en muestra unas prácticas de gestión de de los datos de la organización.
la toma de decisiones clave. riesgos superiores y que obtiene unos
resultados económicos mayores que Las exigencias de los mercados
El papel del responsable los de sus homólogas. Sin embargo, emergentes también están cambiando
en las compañías menos avanzadas, el mix de habilidades requerido. Por
de Auditoría Interna únicamente el 60% de los encuestados ejemplo, las estrategias empleadas
En vista de que el 57% de los ha indicado que el responsable de para abordar las prácticas de fraude
encuestados indica que las barreras Auditoría Interna participa y contribuye y corrupción en Occidente puede que
organizacionales y culturales en las reuniones de la dirección no resulten de demasiada utilidad
constituyen la razón principal por la ejecutiva. Este tipo de participación en muchos mercados emergentes,
que la función de auditoría interna no es, sin duda alguna, una parte integral en donde se requieren controles y
desempeña un papel más significativo, de la percepción superior que se tiene planteamientos diferentes. Varios de
es importante comprender el valor del papel que debe desempeñar la los directivos de mercados emergentes
que las organizaciones asignan a la función de Auditoría Interna, y que han indicado que sus equipos de
función desarrollada por el responsable ha derivado en la designación de un auditoría interna han tenido que
de dicha función. Nuestra experiencia responsable de Auditoría que aporte contratar y formar rápidamente
indica que las compañías que están plenas garantías a la organización en a la base local de profesionales
comprometidas con la importancia de la un puesto tan importante como ese. especializados, para no verse
función de auditoría interna colocan en afectados por los problemas propios
ese puesto a un directivo que cuente con Falta de recursos del idioma y las costumbres locales.
el respeto y la consideración del resto
de la organización. Tal y como indica y conocimientos Las funciones de auditoría interna
el presidente del Comité de Auditoría especializados que han logrado subir a este nuevo
de Lockheed Martin, David Burritt: A medida que los responsables de nivel han desarrollado y están
“El puesto de responsable de Auditoría Auditoría Interna se esfuerzan por ejecutando planes bien definidos
Interna es vital y los empleados solo abordar los riesgos de talento y de para conseguir la experiencia y los
tienen que mirar a la persona que capital humano existentes en sus conocimientos que necesitan con el
lidera la función de auditoría interna organizaciones, experimentan en fin de que sus equipos sobresalgan
para saber en qué medida lo valora la primera persona el impacto de este en el mercado global. Los equipos de
dirección ejecutiva de la compañía”. riesgo en sus intentos por cubrir las auditoría interna más innovadores
vacantes que surgen en sus equipos han conseguido llegar a este nivel
Evidentemente, cuando el responsable con el talento adecuado. Muchos de centrándose fundamentalmente
de Auditoría Interna es un miembro los responsables de Auditoría con en dos enfoques: la rotación de
respetado del equipo de dirección los que hemos hablado consideran sus empleados y el co-sourcing.
Con frecuencia vemos funciones de auditoría interna que
tienen enormes dificultades por la escasez de recursos y sus
limitaciones de conocimientos, y que están permitiendo que
estas restricciones limiten el alcance de sus actividades.
Rotación de personal de la organización para “pedir y el porcentaje de empleados

prestados” determinados recursos que se desea que participen del
Muchas compañías han aprovechado la programa de rotaciones.
en proyectos de corta duración.
rotación de empleados para incorporar
Estos recursos suelen denominarse • La dirección de la entidad
a los equipos de auditoría interna unas
auditores invitados y se integran comunica la importancia de la
habilidades de negocio que resultan
en el equipo de auditoría interna función de auditoría interna
muy necesarias, y para aportar a
aportando conocimientos relevantes como fuente de desarrollo del
los empleados con mayor potencial
a un área en particular. De talento de la organización.
una mayor experiencia y exposición
hecho, una destacada compañía • Los casos de éxito del personal
dentro de la compañía. Actualmente
online cuenta con un programa que ha trabajado en la función de
esta práctica está ayudando a las
formal de recursos prestados auditoría interna y ha alcanzado
compañías a aprovechar el talento
o auditores invitados a través puestos directivos dentro de la
cuando escasea. Hay dos estrategias
del cual expertos de diversas organización, deben comunicarse
de rotación de empleados que parecen
áreas de la compañía participan adecuadamente para potenciar
ser las que mejor funcionan:
en auditorías e intercambian el éxito del programa.
• Programas formales de rotación conocimientos, incrementando la
capacidad colectiva del personal de Co-sourcing
de empleados. Los programas de
rotación de empleados funcionan auditoría interna. Melvin Flowers, En vista de que la complejidad de los
mejor cuando están formalmente de Microsoft, cree que tanto la riesgos crece a una gran velocidad y a
respaldados por la organización. contratación de especialistas medida que las funciones de auditoría
Nuestra experiencia nos demuestra externos, como el aprovechamiento interna se ocupan cada vez más de
que aquellas organizaciones que de los conocimientos internos de las áreas de riesgos más críticos,
consiguen aplicar bien este tipo las distintas áreas especializadas muchas de estas funciones carecen
de programas, logran que un de su organización ayudan a de los conocimientos especializados
porcentaje significativo de sus la función de auditoría interna necesarios para evaluar dichos riesgos.
empleados salga de su equipo y a mejorar su trabajo.
regrese posteriormente al mismo Para poder auditar áreas de riesgo
con total fluidez. Hemos podido Con independencia de si las compañías como la derivada de la implantación de
comprobar un ejemplo de este tipo utilizan un programa formal de proyectos de grandes dimensiones que
de compromiso en un destacado rotación de empleados o un modelo incluyen el despliegue de sistemas de
fabricante global que, para poder de auditor invitado para conseguir gran complejidad, amenazas constantes
avanzar dentro del área financiera abastecerse del talento necesario, a la seguridad de los datos y riesgos de
de la entidad, es necesario pasar los elementos de los programas de tipo ético, de fraude multijurisdiccional
un mínimo de tres años en el rotación siguen siendo los mismos: y de cumplimiento regulatorio, es
equipo de auditoría interna. necesario contar con un entendimiento
• La incorporación de las rotaciones sólido y actualizado de la materia en
• Programas de auditor invitado. del equipo de auditoría interna cuestión. Este tipo de conocimientos
En vista de la escasez de oferta y en la estrategia de desarrollo son difíciles de desarrollar dentro de
de la elevada demanda existente de talento de la organización, la organización, y aún más dentro de
en determinados perfiles de incluida la identificación de las un equipo de auditoría interna que
profesionales, la función de fuentes de talento, la base de puede que se centre únicamente en
auditoría interna está aprendiendo habilidades específicas requerida, desarrollar una o dos auditorías de este
a aprovechar la base de habilidades la duración de las rotaciones tipo al año. En nuestras entrevistas,

Matt Jones, responsable de Auditoría Interna de Caterpillar, los stakeholders y los responsables de
indica que este modelo mixto ha ayudado a la función Auditoría Interna han compartido una
amplia gama de modelos mixtos de
de auditoría interna a mejorar enormemente, una vez
gestión y abastecimiento del talento
que se decidió llevar a cabo la transformación de su que ellos mismos han utilizado, y que
organización: “No contábamos internamente con toda la incluye la contratación de especialistas
base de habilidades necesarias, ni con los procesos o sistemas externos para ayudarles a definir
adecuados. Así que contratamos a un especialista externo el alcance y el marco de trabajo de
y hemos sido capaces de cambiar dicha situación”. determinados proyectos, el uso de
especialistas para ejecutar auditorías
más complejas y la incorporación
“Hay ocasiones en las que es necesario conseguir una serie de miembros semipermanentes
al equipo para ofrecer una mejor
de habilidades a través de una firma externa porque cobertura global de sus servicios.
sencillamente no puedes tener ese nivel de especialización
y alcance dentro de la función de auditoría interna”. Con demasiada frecuencia vemos
equipos de auditoría interna que tienen
Dennis Powell, presidente del Comité de Auditoría y Riesgos, Intuit. enormes dificultades por la escasez
de recursos y sus limitaciones de
conocimientos, y que están permitiendo
“Cuando analizamos un área nueva que requiere recursos que estas restricciones limiten el
especializados con los que no contamos, a menudo recurrimos a alcance de sus actividades. Al no poder
superar esta barrera de recursos y
proveedores externos. Queremos tomar decisiones ayudados de conocimientos, estos equipos no son
las personas que mejor conozcan el tema, especialmente cuando capaces de cumplir las expectativas de
estamos hablando de propietarios de procesos que son expertos en sus stakeholders, y mucho menos de
la materia. Para ello, siempre nos aseguramos de que haya alguien cumplir los retos del futuro. Dado que
de Google implicado en el equipo que entienda la cultura y el estos conocimientos específicos son
mensaje que se debe trasladar y que también aprenda al respecto”. cada vez más necesarios para abordar
el complejo y cambiante panorama
de riesgos actual, planteamientos
Lisa Lee, responsable de Auditoría, Google. como la rotación de empleados y
el co-sourcing han permitido a las
funciones de auditoría interna más
“Para tener éxito, tienes que contar con el nivel adecuado eficaces responder con rapidez cuando,
de especialización. En ocasiones, esto significa que tienen donde y según aparezcan los riesgos.
que contratarlo fuera. No se por qué íbamos a tener
miedo de utilizar consultores externos que nos ayuden
a desarrollar nuestra base de talento interna”.
Melvin Flowers, VP de Auditoría Interna, Microsoft.
Qué significa esto para tu negocio
Diseño del nuevo nivel

“Los equipos de auditoría interna también necesitan cumplir
con unas expectativas mayores, en vista de que el nivel es cada
vez más alto y seguir como hasta ahora ya no es suficiente”.
Brian Brown, responsable de Risk Assurance Innovation de PwC en Estados Unidos.
La comunidad empresarial de todo el análisis de valor y el asesoramiento evolucionan vertiginosamente, y en

mundo se enfrenta en la actualidad a sobre una amplia gama de riesgos y el que los stakeholders demandan
un panorama de riesgos más complejo controles debe ser también una de unos análisis más profundos y unas
e incierto, en el que los riesgos las responsabilidades fundamentales comunicaciones más claras, el equipo
anteriormente desconocidos pueden de la función de audioría interna. de auditoría interna necesita subir de
manifestarse a una velocidad sin nivel o, de lo contrario, no cumplirá
precedentes. Para responder de manera Los stakeholders y los responsables de las expectativas de sus stakeholders.
efectiva, las compañías deben adoptar Auditoría Interna deben estar seguros
un modelo de gestión de riesgos más de que sus prioridades están en la Para subir de nivel es necesario
sofisticado e integrado. Y las funciones misma línea y los recursos de la función tomar medidas por parte de los
de auditoría interna también necesitan de auditoría interna se han asignado stakeholders y de los responsables
cumplir con unas expectativas mayores, a las áreas de riesgo más críticas. de Auditoría Interna. Se espera de
en vista de que el nivel es cada vez más Para conseguirlo, las organizaciones las funciones de auditoría interna:
alto y seguir como hasta ahora ya no es deben crear una cultura en la que
• Que alineen el alcance de trabajo y la
suficiente. los stakeholders y los responsables
asignación de recursos a los riesgos
de Auditoría Interna se coordinen
más críticos de la organización,
Nuestro estudio y las entrevistas con respecto a las líneas de defensa
a través de evaluaciones de
realizadas muestran que, si bien los y sostengan un diálogo sólido sobre
riesgos top-down exhaustivas.
stakeholders y las funciones de auditoría los riesgos a los que se enfrenta su
interna suelen estar bien alineadas con organización. De la función de auditoría
• Que mantengan un diálogo
respecto a los riesgos que requieren interna se espera que comparta y evalúe
continuado y fluido con los
más atención, también es cierto que sus perspectivas sobre cómo se están
stakeholders para adaptar las
son pocas las organizaciones que gestionando estos riesgos y que alinee
respuestas del equipo de auditoría
están aprovechando a las funciones sus recursos para abordar los riesgos
interna con rapidez cuando se
de auditoría interna, en su condición más críticos. A menudo, para que la
requiera la adopción de cambios.
natural de aliada estratégica de la función de auditoría interna evolucione
organización, para proporcionar un hacia este nuevo papel de mayor
• Que se aprovechen los recursos
nivel adicional de confianza sobre la trascendencia y para que disponga
de otras funciones de gestión
gestión de riesgos –y esto a pesar de que del talento adecuado para evaluar el
de riesgos y de cumplimiento,
la mayor parte de los stakeholders afirma complejo panorama de riesgos actual,
y se coordinen con ellas para
que valora y aprecia las aportaciones será necesario que supere una serie de
gestionar un panorama de riesgos
efectuadas por dicha función. A barreras organizacionales y culturales.
tan cambiante como el actual.
medida que el actual panorama de
riesgos evoluciona con rapidez, lo Antes, subir el nivel año tras año dando
• Que ofrezcan sus conocimientos
mismo sucede con las expectativas respuesta a los riesgos existentes
especializados para que la
de los stakeholders. Además del y potenciales era suficiente para
organización potencie su
papel de verificación desempeñado que la función de auditoría interna
segunda línea de defensa en
tradicionalmente por la función de hiciera un buen trabajo. Pero, en
caso de que la primera no sea
auditoría interna, los stakeholders el panorama actual, donde los
lo suficientemente robusta.
consideran que la aportación de riesgos aparecen a gran velocidad y
Qué significa esto para tu negocio 37

• Que no se limiten a informar y adquieran otras nuevas, de
acerca de las deficiencias existentes forma que el equipo de auditoría
y, en su lugar, que aporten a los interna pueda actuar cuando sea
distintos stakeholders un adecuado necesario, acudiendo allá donde
asesoramiento en materia de estén apareciendo los riesgos en
riesgos y controles que mejore cada momento y no donde estaban
el rendimiento de la entidad. el año, el mes o la semana anterior.
• Que comuniquen cuestiones Las compañías más avanzadas destacan

complejas de manera clara y por su capacidad para anticiparse a
fácil de asimilar, con resúmenes los riesgos y para posicionarse con
y actualizaciones de los asuntos el fin de sobrevivir a ellos, e incluso
recurrentes, a través de una para encontrar oportunidades en los
interacción personal más profunda acontecimientos que los provocan.
con los distintos stakeholders. Dado que el panorama actual de riesgos
evoluciona con enorme rapidez, los
• Que aborden la resistencia equipos de auditoría interna deben
organizacional y cultural, seguir el mismo camino que ellos,
asegurándose de que cuentan con transformándose y reforzando el nivel
el respaldo de los stakeholders al que operan para convertirse en el
con respecto a la importancia que aliado estratégico que los stakeholders
ostenta el puesto de responsable de quieren y esperan encontrar en ellos.
Auditoría Interna y su equipo, que
debe ser potenciado y desarrollado Hoy en día, los responsables de
en función de sus necesidades. Auditoría Interna se enfrentan a un
panorama de riesgos más complicado,
• Que se ganen el respeto de a unas mayores expectativas por parte
los stakeholders, así como un de sus stakeholders y cuentan con unos
sitio en la toma de decisiones a recursos más limitados. Mientras que
través del diálogo continuado, algunos de ellos están a la espera de que
con la ejecución integral de sus surjan catalizadores –como un aumento
auditorías internas y con una de la regulación o palancas propias de
apertura de mente que ayude a la las crisis– que les hagan avanzar a la
organización a funcionar mejor. fuerza, otros han optado por sumarse
al desafío. A continuación incluimos
• Que afronten de lleno el desafío algunas de las principales preguntas
que supone la escasez de recursos y aspectos que los stakeholders y los
y de talento y que no limiten el responsables de Auditoría Interna
alcance de las auditorías internas a deben utilizar para evaluar si están
la capacidad existente en materia de operando en el nuevo nivel.
recursos o a su base de habilidades.
Por el contrario, que aprovechen
las capacidades organizacionales

Figura 9: El reto de operar a un nivel superior
Gestionar el nuevo panorama de Aportar mayor profundidad en Simplificar la complejidad

riesgos sus análisis
Preguntas:
¿En qué medida están bien alineados los ¿Es capaz la función de auditoría interna ¿Es efectiva la comunicación de la función
planes de auditoría interna con los riesgos de aportar un punto de vista distintivo que de auditoría interna con sus stakeholders?
más críticos a los que se enfrenta la ayude al negocio a mejorar sus respuestas
organización? ante los riesgos?
¿Qué tiene que hacer la función de auditoría interna para subir de nivel?
• Pensar y actuar de manera • Entender el negocio • Generar confianza mediante un

estratégica El bagaje empresarial del equipo de diálogo continuo
La función de auditoría interna entiende auditoría interna queda patente en todo Se da la atención necesaria a
la estrategia de la organización, sus lo que hace, de manera que promueve el la comunicación cara a cara los
iniciativas y los riesgos relacionados; interés de que auditoría interna participe stakeholders, incluido con el Comité
las actividades de auditoría interna en las iniciativas de negocio más de Auditoría. Estas reuniones permiten
se derivan de la evaluación top-down importantes para la entidad. obtener nuevas perspectivas acerca de
de riesgos y están alineadas con las la gestión de los riesgos más críticos.
expectativas de sus stakeholders. • Aprovechar la aportación de los
especialistas • Simplificar la comunicación
• Aprovechar la segunda línea de La función de auditoría interna recurre Se emiten informes fáciles de
defensa a especialistas –internos y externos– asimilar. Los informes de auditoría
La función de auditoría interna para respaldar su trabajo en aquellas interna contienen mensajes concisos
contribuye y coordina los esfuerzos de áreas en las que sus conocimientos no claramente relacionados con los riesgos
la organización en materia de gestión alcancen el nivel y la profundidad que de negocio correspondientes.
de riesgos, proporcionando análisis requieran para poder adoptar un punto
detallados sobre el proceso general de vista que beneficie a la organización. • Ser capaz de ver “la foto completa”
de gestión de riesgos y centrando La función de auditoría interna identifica
adecuadamente los esfuerzos del asuntos y tendencias que son comunes
• Ofrecer asesoramiento y mejores
equipo de auditoría interna. a distintos niveles de la organización,
prácticas
haciendo posible que la entidad cierre
La función de auditoría interna aporta
• Alinear la asignación de recursos la brecha existente en las lagunas
un profundo análisis en todas sus
La función de auditoría interna presta identificadas.
actividades al tiempo que ofrece
servicios relacionados con las áreas
proactivamente su asesoramiento en el
de riesgo, más críticos, no solo
diseño de futuros procesos.
relacionados con aquellos para los que
dispone de personal y conocimientos
cualificados. Mantiene los recursos
alineados con un entorno que
evoluciona de manera constante.
Qué significa esto para tu negocio 39

Metodología del estudio
Este estudio se basa en los resultados de una encuesta

online llevada a cabo en noviembre y diciembre de 2011.
La mayoría (57%) de los participantes ocupaba puestos de
máximo responsable ejecutivo de la función de auditoría
interna, mientras que el resto tiene cargos como presidentes
de Comités de Auditoría, miembros de Comités de Auditoría,
CEOs, CFOs, directores y controllers del área de riesgos,
responsables del área de Cumplimiento y directores de
Servicios Jurídicos. El estudio realizado abarca una amplia
gama de industrias y ningún sector representa más del 15%
del total de la muestra. Más de la mitad de los participantes
trabaja para empresas con sede principal en EEUU, mientras
que el resto opera en un total de 63 países. Alrededor del
75% de los participantes en el estudio trabaja en empresas
cuya facturación es, por lo menos, de 1.000 millones de
dólares, mientras que un 18% de ellos lo hace para compañías
cuya facturación es de, al menos, 20.000 millones de
dólares. Asimismo, también hemos utilizado los resultados
identificados en la Encuesta global de CEOs 2012 de PwC.
Para entender las tendencias estadísticas y obtener una

perspectiva cualitativa, se llevaron a cabo una serie de
entrevistas detalladas con cerca de 100 ejecutivos, entre los
que se incluyen responsables de Auditoría, altos directivos,
presidentes de Comités de Auditoría, consejeros y demás
stakeholders relacionados con el área de auditoría interna.
Para poder desarrollar aún más nuestra perspectiva
cualitativa, hemos aprovechado nuestra experiencia
en la prestación de servicios de auditoría interna para
una serie de clientes pertenecientes a una amplia gama
de sectores industriales y de diversos tamaños.

Agradecimientos
Las aportaciones realizadas por los consejeros y

presidentes de Comités de Auditoría que han participado
en el estudio constituyen una parte clave de nuestro
informe. Nos gustaría aprovechar estas líneas
para dar las gracias especialmente a las siguientes
personas por su inestimable aportación al estudio:
David B. Burritt
Presidente del Comité de Auditoría,
Lockheed Martin Corporation.
Presidente del Comité de Auditoría y
Gestión de Riesgos, Aperam S.A.
Richard A. Goodman
Presidente del Comité de Auditoría, Johnson Controls, Inc.
Presidente del Comité de Auditoría, Toys“R”Us Inc.
Miembro de Comité de Auditoría, Western Union Co.
Leslie Stone Heisz

Miembro del Consejo de Administración,
Holdings Inc.
Miembro del Consejo de Administración, Ingram Micro Inc.
Michael J. Joyce
Presidente del Comité de Auditoría y
Compensación, Brandywine Realty Trust.
Denis J. O’Leary Jr.

Miembro del Comité de Auditoría y del Comité de
Nominaciones y de Bueno Gobierno, Fiserv, Inc.
Dennis Powell
Presidente del Comité de Auditoría y Riesgos, Intuit.
William A. Osborn
Presidente del Comité de Auditoría, Caterpillar Inc.
Karen Rohn Osar

Presidente del Comité de Auditoría,
Innophos Holdings, Inc.
41
Si desea analizar con mayor
profundidad alguno de los
aspectos abordados en el informe,
le animamos a que se ponga
en contacto con las siguientes
personas:
Ramón Abella
Líder de España
Servicios de Auditoría Interna
PwC
+34 915 684 600
ramon.abella.rubio@es.pwc.com
Ferrán Rodríguez Arias

Líder de España
Grupo de Gobierno Responsable
PwC
+34 932 532 801
ferran.rodriguez@es.pwc.com
John Feely
Global Leader,
Servicios de Auditoría Interna
PwC
+61 2 8266 7422
john.feely@au.pwc.com
PwC ayuda a organizaciones y personas a crear el valor que están buscando. Somos una red de firmas presente en 158 países con cerca de 169.000 profesionales comprometidos
en ofrecer servicios de calidad en auditoría, asesoramiento fiscal y legal y consultoría. Cuéntanos qué te preocupa y descubre cómo podemos ayudarte en www.pwc.com
© 2012 PricewaterhouseCoopers S.L. Todos los derechos reservados. “PwC” se refiere a PricewaterhouseCoopers S.L, firma miembro de PricewaterhouseCoopers
International Limited; cada una de las cuales es una entidad legal separada e independiente.

Compras y Bar

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Compras y Bar

Caricato da

Copyright:

Formati disponibili

www.pwc.

¿Se están cubriendo

Los stakeholders quieren a la función de

Cubrir las expectativas sobre la función de

Expectativas de los stakeholders con respecto a la función

Auditoría interna; subiendo de nivel 23

Qué significa esto para tu negocio 36

Diseño del nuevo nivel

Metodología del estudio 40

Cubrir las expectativas

Figura 1: Los 15 riesgos más citados

Incertidumbre Talento y capital Introducción

Cambios relevantes Continuidad

Mercados Costes de energía Fusiones, adquisiciones

Privacidad Gasto público Proyectos de grandes

significativamente sus actividades desafíos financieros. Si bien los temas

10 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

12 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

Figura 3: Riesgos mejor y peor gestionados por grupo sectorial

Servicios Financieros CIPS* Sanidad TICE**

• Mercados financieros • Mercados financieros • Reputación y marca • Competencia

*Productos y servicios industriales y de consumo

Un enfoque proactivo para Expectativas de los stakeholders

Porcentaje de stakeholders que considera la aportación de la

14 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

Importante Muy importante

16 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

Reputación y marca 21%

Gasto público e impuestos 21%

Continuidad del negocio 20%

Mercados financieros 18%

Regulaciones y políticas públicas 16%

Fraude y ética 12%

Porcentaje de stakeholders que quiere

18 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

Privacidad y seguridad de datos 46%

Fraude y ética 31%

Continuidad del negocio 22%

Reputación y marca 21%

Mercados financieros 22%

Riesgo de proyectos 29%

Introducción de nuevos productos 29%

Fusiones, adquisiciones y joint ventures 26%

Cambios significativos en el mercado 19%

Energy and commodity costes 14%

Gasto público 11%

1a línea de defensa: 2a línea de defensa: 3a línea de defensa:

20 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

para que la función de auditoría Potenciar la alineación cumplimiento, y también en relación

A través de los datos derivados del

De los encuestados afirma que la

22 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

El “nuevo nivel” de una función eﬁcaz de auditoría interna

Gestionar el nuevo Aportar mayor profundidad Simpliﬁcar la complejidad

Ocho atributos principales

24 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

26 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

Kai Monahan, responsable de

28 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

30 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

32 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

Rotación de personal de la organización para “pedir y el porcentaje de empleados

34 ¿Se están cubriendo las expectativas sobre la función de auditoría interna?

Melvin Flowers, VP de Auditoría Interna, Microsoft.