Marys Medicine

Microsoft word - cómo hacer más eficiente departamento auditoría interna corerif 2013

¿Cómo hacer más eficiente
el Departamento de
Auditoría Interna bajo un
ENFOQUE DE RIESGOS?
Nahun Frett,
MBA, CIA, CCSA, CRMA, CFE, CPA
Vicepresidente Auditoría Interna Central Romana Corporation, Ltd. República Dominicana

Contenido Presentación: ¿Cómo hacer más eficiente el
Departamento de Auditoría Interna bajo un Enfoque de Riesgos?
III. metodología del trabajo – Empezar con un Riesgo en Mente IV. Impacto Normas: A. Profesión Auditoría InternaB. Consejos para la Práctica Relativos al ERMC. Dos Normas ISO V. Coordinación Aseguramiento Con Otros ProveedoresVI. El PersonalVII. Las metasVIII.La TecnologíaIX. La MedidaX. 5 asesinos de la EficienciaXI. Conclusión - Sin excusas XII. Información Expositor

 
I. LA EFICIENCIA

Ser eficientes como profesionales de la auditoría interna y como Departamento no es
una elección en el mundo de hoy: es imprescindible para alcanzar el éxito. Sin lugar a
dudas que para sobrevivir, prosperar, innovar, sobresalir y liderar en esta nueva
realidad nos exigirá aumentar la eficiencia, la efectividad e ir más allá. Pero, ¿Qué
significa realmente el término eficiencia? o, ¿cuál es definición?

La palabra eficiencia proviene del latín efficientia que en español quiere decir: acción,
fuerza, producción. Se define como la capacidad de disponer de alguien o de algo para
conseguir un efecto determinado. Podemos definir la eficiencia como la relación entre
los recursos utilizados en un proyecto y los logros conseguidos con el mismo. Se
entiende que la eficiencia se da cuando se utilizan menos recursos para lograr un
mismo objetivo. En otras palabras la eficiencia hace referencia en la mejor utilización
de los recursos. Resumiendo la eficiencia significa hacer más con menos.

Durante los últimos veinte años de trabajo con auditores internos de instituciones
financieras, gubernamentales, de servicio y de empresas de otras ramas; lo cual me ha
permitido comprobar la crisis de eficiencia que atraviesan los departamentos de
auditoría interna. Las principales preguntas que los Directores Ejecutivos de Auditoría
realizan sobre la eficiencia son las siguientes:
1. ¿Contribuye la actividad de auditoría interna a mejorar las operaciones de su
2. ¿Es la función de auditoría interna vista como un activo valioso en la organización? 3. ¿Posee el Departamento de Auditoría Interna sistemas claros para medir su efectividad y el valor agregado que entrega a sus clientes, con el objetivo de mejorar continuamente los servicios ofertados? 4. ¿Enfoca el trabajo diario los asuntos de negocio que son realmente importantes para la organización, a través de incluir en nuestro plan de trabajo todas las áreas de riesgo - operativo, financiero y tecnológico? 5. ¿Posee la actividad de auditoría las herramientas y otros recursos que necesita? 6. ¿Es la cantidad de personal de su departamento adecuada? 7. ¿Cómo puedo incrementar la productividad de mi personal? 8. ¿Cada proyecto o asignación realizado por nuestro departamento incluye: a. Encuesta de satisfacción clientes b. Evaluación de riesgos. c. Análisis medidas de desempeño d. Benchmarking contra mejores prácticas. e. Evaluación del desempeño del personal que realizo el trabajo. 9. ¿Nuestro trabajo realizado es efectivo, no existe procedimientos de auditoría que no 10. ¿Cómo puedo hacer más con menos?

 
II. LA CRISIS

Sospecho que algunos de los problemas que compartieron conmigo muchos auditores
internos pueden resultarles familiares a cada uno de ustedes. Todos tenemos puntos
ciegos. Algunos resultan literalmente paralizantes para nuestra eficiencia.
A continuación comparto los principales problemas que afectan la profesión de
auditoría interna en la actualidad:
Plan Anual
1. No desarrollar un plan anual de auditoría interna en base a riesgos. Hacer siempre lo mismo. Esto significa que las auditorías son "el enfoque del trabajo siempre es el mismo" o "exactamente una lista de trabajo igual a la año pasado". 2. No brindar servicios de consultoría. esconderse detrás de la independencia y objetividad para no agregar valor. Nunca permitir al personal agregar valor a través de ser parte de los grupos o reuniones estratégicos. No participar en proyectos especiales. No tener presente las necesidades de nuestros clientes. 3. Incumplimiento en plazos de tiempo establecidos. No cumplir con los calendarios de trabajo, tanto trimestrales, como anuales. 4. Plan anual inflexible, no actualizado periódicamente, no tener un plan anual ajustable en base al estado actual de la evaluación de riesgo de negocio. 5. No haber desarrollado un programa de aseguramiento y mejorar de la calidad. 6. No tener claramente definidas las medidas de desempeño del departamento. 7. Olvidarnos de las mejores prácticas y del uso de la tecnología para realizar el Informes
8. Ser un proveedor de datos en vez de un generador de conocimientos. Desarrollo de informes kilométricos. Tales informes son tan largos y tan detallados que los usuarios navegan en un mar repleto de información. 9. Falta de relevancia - Incluir problemas insignificantes en el informe. Sin preocuparse en lo que realmente es importante. 10. Emisión de informes de auditoría tardíos. No dar seguimiento adecuado. No preocuparse de lo ocurrido después de finalizada una asignación.

 
III. METODOLOGÍA DE TRABAJO – EMPEZAR CON UN RIESGO EN MENTE

"El riesgo en sí mismo no es malo; lo que es malo es que el riesgo esté
mal administrado, mal interpretado, mal calculado, o lo que es lo mismo,
incomprendido" Suzanne Lagarbe. Jefa de Riesgos del Royal Bank of Canadá
El modo más efectivo que conozco de empezar con un riesgo en mente consiste en dar
respuesta a las siguientes interrogantes:
¿Realiza su Departamento una evaluación de riesgo anualmente?
Su metodología de auditoría contiene un proceso de evaluación de riesgos formal de
todas las entidades auditables que forman parte de su universo de auditoría. El nivel de
riesgo asignado debe basarse en la probabilidad y la materialidad de la los riesgos
inherentes y residuales, prestando atención a los controles establecidos.
Evaluación riesgos a nivel de wntidad para generar el Plan Anual:

¿Cuál es su universo de auditoría?

El Universo de auditoría es una lista de todas las auditorías posibles que pudieran
realizarse. El DEA puede obtener información sobre el universo de auditoría de parte
de la alta dirección y el consejo de administración. El universo de auditoría puede
incluir componentes del plan estratégico de la organización. Al incorporar esos
componentes, el universo de auditoría considerará y reflejará los objetivos del plan
general de negocios. Los planes estratégicos probablemente también reflejarán la
actitud de la organización hacia el riesgo y el grado de dificultad para cumplir con los
objetivos planificados.

 
El universo de auditoría estará normalmente influenciado por los resultados del proceso
de gestión de riesgos. El plan estratégico de la organización tiene en cuenta el
ambiente en el cual opera la organización. Estos mismos factores ambientales
probablemente impactarán en el universo de auditoría y la evaluación del riesgo
relativo.
El DEA prepara el plan de auditoría de la actividad de auditoría interna basándose en el
universo de auditoría, informaciones recibidas de la alta dirección y el consejo de
administración, y una evaluación de riesgos y exposiciones que afectan a la
organización. Los objetivos clave de auditoría son usualmente los de proporcionar a la
alta dirección y al consejo de administración aseguramiento e información que les
permita cumplir con los objetivos de la organización, incluyendo una evaluación de la
eficacia de las tareas de evaluación de riesgos que realiza la dirección.
El universo de auditoría y el plan de auditoría relacionado se mantienen actualizados
de modo de reflejar los cambios en la dirección de la gestión, objetivos, énfasis y
enfoques. Es aconsejable evaluar el universo de auditoría al menos una vez al año con
el fin de que refleje las estrategias y la dirección más actualizadas de la organización.
En algunas situaciones, los planes de auditoría pueden tener que actualizarse más
frecuentemente (por ejemplo, trimestralmente), en respuesta a los cambios en los
negocios, operaciones, programas, sistemas y controles de la organización.
Empezar con un riesgo en mente
¿Completamos nuestro plan anual?

Podemos comprobar de primera fuente que tan eficientes somos si podemos comparar
las actividades programadas durante un año. Tenemos recursos escasos y debemos
de dedicarlos a las áreas de mayor riesgo de la organización.
Y debemos de tener presente que en un periodo de tiempo prudente debemos de cubrir
todas las áreas de nuestro universo de auditoría. Para esto debemos de tener el
personal, la tecnología, estrategia, calidad y medidas de desempeño adecuadas para
lograr esta meta. Para esto es imprescindible comenzar con un riesgo en mente.
Nuestro objetivo principal es que usted sea capaz de crear un enfoque de auditoría
interna basada en riesgos con la máxima efectividad, en pocas palabras, queremos
ayudarle a desarrollar un sistema de trabajo que informe, persuada, convenza y motive
a la acción. Por lo que es vital que podamos evaluar de forma crítica la forma en que
presta sus servicios el departamento de auditoria interna de forma regular y realizar
cualquier ajuste que sea necesario.
Podemos estar muy ocupados, podemos ser muy eficientes, pero sólo seremos también verdaderamente efectivos cuando empecemos nuestro trabajo con un riesgo en mente. Los Departamentos de Auditoría Interna de todo tipo de organización se vuelven significativamente más efectivos cuando empiezan con un riesgo en mente.

 
IV. IMPACTO NORMAS
A. PROFESIÓN AUDITORÍA INTERNA

En las Normas se emplean términos a los que se han dado determinados
significados que están definidos en el Glosario. Por ejemplo, en las Normas se
utiliza la palabra debe para indicar un requisito incondicional, y la palabra
debería en los casos en que se espera su cumplimiento cuando se aplica el juicio
profesional, a menos que las circunstancias justifiquen un desvío.
Las Normas exigen que nuestro trabajo esté basado en riesgos
El director ejecutivo de auditoría debe establecer planes de trabajo basados en
los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna.
Dichos planes deberán ser consistentes con las metas de la organización.

Interpretación:

El director ejecutivo de auditoría es
responsable de desarrollar un plan
basado en riesgos. Para ello, debe tener
en cuenta el enfoque de gestión de
riesgos de la organización, incluyendo los
niveles de aceptación de riesgos
establecidos por la dirección para las
diferentes actividades o partes de la
organización. Si no existe tal
enfoque, el director ejecutivo de auditoría
utilizará su propio juicio sobre los riesgos
después de consultar con la alta dirección
y el Consejo.

El plan de trabajo de la actividad de
auditoría interna debe estar basado en
una evaluación de riesgos documentada,
realizada al menos anualmente. En este
proceso deben tenerse en cuenta los
comentarios de la alta dirección y del
Consejo. El director ejecutivo de auditoría
debería considerar la aceptación de
trabajos de consultoría que le sean
propuestos, basándose en el potencial del
trabajo para mejorar la gestión de riesgos,
añadir valor y mejorar las operaciones
de la organización. Los trabajos
aceptados deben ser incluidos en el plan.
 
B. CONSEJOS PARA LA PRÁCTICA RELATIVOS AL ERM
CP 2010-1: Enlace Plan de Auditoría con los Riesgos y Exposiciones

Norma principalmente relacionada

2010 – Planificación: El director ejecutivo de auditoría debe establecer planes
basados en los riesgos, a fin de determinar las prioridades de la actividad de
auditoría interna. Los planes deben ser consistentes con metas organización.

Interpretación: El director ejecutivo de auditoría es responsable de desarrollar
un plan basado en riesgos. Para ello, debe tener en cuenta el enfoque de
gestión de riesgos de la organización, incluyendo los niveles de aceptación de
riesgos establecidos por la dirección para las diferentes actividades o partes de
la organización. Si no existe tal enfoque, el director ejecutivo de auditoría
utilizará su propio juicio sobre los riesgos después de consultar con la alta
dirección y el Consejo.

Al elaborar el plan de auditoría de la actividad de auditoría interna, muchos
directores ejecutivos de auditoría (DEAs) consideran útil, en primer término,
elaborar o actualizar el universo de auditoría. El universo de auditoría es una
lista de todas las auditorías posibles que pudieran realizarse. El DEA puede
obtener información sobre el universo de parte de la alta dirección y el consejo.
El DEA prepara el plan de auditoría de la actividad de auditoría interna
basándose en el universo de auditoría, informaciones recibidas de la alta
dirección y el consejo de administración, y una evaluación de riesgos y
exposiciones que afectan a la organización. El universo de auditoría y el plan
de auditoría relacionado se mantienen actualizados de modo de reflejar los
cambios en la dirección de la gestión, objetivos, énfasis y enfoques. Es
aconsejable evaluar el universo de auditoría al menos una vez al año con el fin
de que refleje las estrategias y la dirección más actualizadas. En algunas
situaciones, los planes pueden tener que actualizarse más frecuentemente
(por ej. trimestralmente), en respuesta a los cambios en los negocios,
operaciones, programas, sistemas y controles de la organización.
El calendario de trabajo de auditoría está basado, entre otros factores, en una
evaluación de riesgos y exposiciones. Establecer prioridades es necesario para
tomar decisiones al asignar los recursos relativos. Existe una variedad de
modelos de riesgo para ayudar al DEA. La mayoría de los modelos de riesgo
utilizan factores de riesgo tales como: impacto, probabilidad, materialidad,
liquidez de activos, competencia de la gerencia, calidad de los controles internos
y adhesión a los mismos, grado de cambio o estabilidad, tiempo transcurrido
desde la última auditoría y sus resultados, complejidad, y relaciones con el
personal y el gobierno.
 
CP 2210.A1-1: Evaluación de Riesgos en la Planificación del Trabajo

Norma principalmente relacionada

2210.A1 – Los auditores internos deben realizar una evaluación preliminar de los
riesgos relevantes para la actividad bajo revisión. Los objetivos del trabajo
deben reflejar los resultados de esta evaluación.
Los auditores internos tienen en cuenta la evaluación de riesgos realizada por la
dirección que sea relevante para la actividad bajo revisión. El auditor interno
también contempla lo siguiente:
 La fiabilidad de la evaluación de riesgos realizada por la dirección.
 El proceso que sigue la dirección para vigilar, informar y resolver asuntos de riesgos
 Los informes de la dirección sobre eventos que hayan excedido los límites de la organización respecto de la aceptación de riesgos y la respuesta de la dirección a aquellos informes.  Los riesgos en actividades relacionadas que sean relevantes para la actividad bajo Los auditores internos obtienen o actualizan la información de antecedentes sobre las actividades a revisar, con el fin de determinar su impacto sobre los objetivos y alcance del trabajo. Cuando corresponda, los auditores internos realizan un estudio para familiarizarse con las actividades, riesgos y controles, con el fin de identificar las áreas en las que se deberá poner más énfasis en el trabajo y lograr comentarios y sugerencias de parte de los clientes del trabajo. Los auditores internos resumen los resultados a partir de las revisiones de la evaluación de riesgos realizada por la dirección, la información de antecedentes, y cualquier estudio llevado a cabo. Este resumen incluye:  Temas significativos del trabajo y las razones para seguirlos con mayor profundidad.  Objetivos y procedimientos del trabajo.  Metodologías a utilizar, tales como auditoría basada en tecnología y técnicas de  Posibles puntos de control críticos, deficiencias de control o exceso de controles.  Cuando corresponda, las razones para no proseguir el trabajo o para modificar significativamente los objetivos del trabajo.  
CP 2120-1: Evaluar Adecuación Procesos de Gestión de Riesgos

Norma principalmente relacionada

2120 – Gestión de riesgos: La actividad de auditoría interna debe evaluar la
eficacia y contribuir a la mejora de los procesos de gestión de riesgos.
Interpretación: Determinar si los procesos de gestión de riesgos son eficaces
es un juicio que resulta de la evaluación que efectúa el auditor interno de que:

 Los objetivos de la organización apoyan a la misión de la organización yestán
alineados con la misma,  Los riesgos significativos están identificados y evaluados,  Se han seleccionado respuestas apropiadas al riesgo que alinean los riesgos con la aceptación de riesgos por parte de la organización, y  Se capta información sobre riesgos relevantes, permitiendo al personal, la dirección y el Consejo cumplir con sus responsabilidades, y se comunica dicha información oportunamente a través de la organización.  Los procesos de gestión de riesgos son vigilados mediante actividades de administración continuas, evaluaciones por separado, o ambas. La gestión de riesgos es una responsabilidad clave de la alta dirección y el consejo de administración. Para cumplir sus objetivos de negocio, la dirección asegura que existen y funcionan sólidos procesos de gestión de riesgos. Los consejos de administración cumplen una función de supervisión para determinar que existan apropiados procesos de gestión de riesgos y que estos procesos sean adecuados y eficaces. En este rol, pueden dirigir a los auditores internos a que los ayuden mediante el examen, evaluación, informe y recomendación de mejoras sobre la adecuación y eficacia de los procesos de gestión de riesgos de la dirección. La dirección y el consejo de administración son los responsables de los procesos de gestión de riesgos y control de su organización. Sin embargo, los auditores internos que actúan en un rol de consultores pueden asistir a la organización en la identificación, evaluación, e implantación de metodologías de gestión de riesgos y controles dirigidos a aquellos riesgos. En las situaciones en que la organización no posee un proceso formal de gestión de riesgos, el director ejecutivo de auditoría (DEA) comenta formalmente con la dirección y el comité de auditoría sus obligaciones para entender, gestionar y vigilar los riesgos dentro de la organización y la necesidad de que los mismos se aseguren de que haya procesos operando dentro del negocio, aunque sea informalmente, que brinden el nivel apropiado de visibilidad a los riesgos principales y cómo están siendo gestionados y vigilados.  El DEA debe obtener un entendimiento de las expectativas que tenga la alta dirección y el consejo de administración respecto de la actividad de auditoría interna en el proceso de gestión de riesgos de la organización. Este entendimiento será luego codificado en los estatutos de la actividad de auditoría interna y del consejo de administración. El rol que cumple la actividad de auditoría interna en el proceso de gestión de riesgos de una organización pude cambiar con el tiempo y puede comprender lo siguiente:  Ningún  Auditar el proceso de gestión de riesgos como parte del plan de auditoría.  Apoyar e implicarse de forma activa y continua en el proceso de gestión de riesgos, tal como la participación en comités de supervisión, actividades de vigilancia e informes de situación.  Administrar y coordinar el proceso de gestión de riesgos. En última instancia, determinar el rol de auditoría interna en el proceso de gestión de riesgos es una responsabilidad de la alta dirección y el consejo de administración. Su visión del rol de auditoría interna estará probablemente determinada por factores tales como la cultura de la organización, la aptitud del personal de auditoría interna, y las condiciones locales y costumbres del país. Sin embargo, abordar la responsabilidad de la dirección respecto del proceso de gestión de riesgos y la amenaza potencial a la independencia de la actividad de auditoría interna requiere un amplio debate y la aprobación del consejo de administración. Las técnicas utilizadas por las diversas organizaciones para sus prácticas de gestión de riesgos pueden varias significativamente. Dependiendo del tamaño y complejidad de las actividades de negocios de la organización, los procesos de gestión de riesgos pueden ser: Formales o informales, Cuantitativos o subjetivos, Insertados en las unidades de negocios o centralizados a nivel corporativo. La organización diseña procesos basados en su cultura, estilo de dirección y objetivos de negocio. Por ejemplo, el uso de derivados u otros sofisticados productos del mercado de capitales por una organización podría requerir el uso de herramientas cuantitativas de gestión de riesgos. Organizaciones más pequeñas, menos complejas, podrían utilizar un comité informal de riesgos para debatir el perfil de riesgos de la organización y para realizar acciones periódicas.  El auditor determina si la metodología elegida es suficientemente integral y apropiada para la naturaleza de las actividades de la organización. Los auditores internos tienen que obtener evidencia suficiente y apropiada para determinar que los objetivos clave de los procesos de gestión de riesgos se hayan cumplido, con el fin de formarse una opinión sobre la adecuación de dichos procesos. Al obtener esta evidencia, el auditor interno podría tener en cuenta los siguientes procedimientos de auditoría: 1. Investigar y revisar desarrollos, tendencias e información actualizada del sector económico correspondiente a los negocios de la organización, y otras fuentes apropiadas de información, con el fin de determinar los riesgos y exposiciones que puedan afectar a la organización y los procedimientos de control relacionados que se utilizan para afrontar, vigilar y reevaluar aquellos riesgos. 2. Revisar las políticas corporativas, las minutas del consejo de administración y del comité de auditoría, con el fin de determinar las estrategias de negocio de la organización, su filosofía y metodología de gestión de riesgos, su inclinación al riesgo, y su aceptación de riesgos. 3. Revisar informes previos de evaluación de riesgos emitidos por la dirección, los auditores internos, auditores externos y otras fuentes. 4. Entrevistar a la gerencia de línea y ejecutiva con el fin de determinar los objetivos de las unidades de negocio, los riesgos relacionados, y las actividades de mitigación de riesgos y vigilancia de controles de parte de la dirección. 5. Asimilar información con el fin de evaluar independientemente la eficacia de la mitigación de riesgos, vigilancia, y comunicación de riesgos y actividades de control asociadas. 6. Evaluar las líneas de reporte para las actividades de vigilancia del riesgo. 7. Revisar la adecuación y oportunidad de la información sobre los resultados de la gestión de riesgos. 8. Revisar la integridad del análisis de gestión de riesgos y las acciones tomadas por parte de la dirección para remediar los problemas identificados en los procesos de gestión de riesgos, y sugerir mejoras. 9. Determinar la eficacia de los procesos de autoevaluación de la dirección mediante observaciones, pruebas directas del control y los procedimientos de vigilancia, pruebas de la información utilizada en actividades de vigilancia y otras técnicas apropiadas. 10. Revisar los problemas relacionados con el riesgo que puedan indicar debilidad en las prácticas de gestión de riesgos y, si corresponde, comentarlos con la alta dirección y el consejo de administración. Si el auditor considera que la dirección ha aceptado un nivel de riesgos que es inconsistente con la estrategia y política de gestión de riesgos de la organización, o que es inaceptable para la organización, debe consultar la Norma 2600: Aceptación de los Riesgos por la Dirección, y demás guías relacionadas.  
C. DOS NORMAS ISO
Guía Práctica: Evaluando Adecuación Sistema Gestión Riesgos Usando ISO
31000

El IIA global emitió en diciembre del 2010, una nueva guía que tratar sobre el enfoque usado para evaluar el sistema de administración de riesgos empleando la Guía de Calidad ISO 31000, este documento contiene las siguientes secciones:  Gestión de riesgo en la organización.  Auditoría interna y la gestión de riegos.  Revisión Auditoría interna de la gestión de  Obtención de evidencia.  Aseguramiento del proceso de GR.  Documentación evaluación calidad GR.
Proceso Implementación Marco de Gestión de Riesgo ISO 31000

Mandato y
Compromiso
Diseño Marco para
Gestión de Riesgos
Continuo del
Gestión de Riesgos
Supervisión y
Revisión Marco
 
¿Qué es el ISO 31000?

 Es un documento práctico para ayudar a las organizaciones a desarrollo de su
propio enfoque de gestión de riesgos.  No es un estándar para optar por una certificación, son solo sugerencias para compararse con las mejores prácticas.
Lo importante de esta normativa es que ofrece una gran cantidad de ejemplos de
métodos y técnicas de análisis y evaluación de riesgos las cuales son aplicables a un
gran número de organizaciones:
Herramientas y Técnicas ISO 31010

Métodos de Consulta:

Cheques List: Una técnica que proporciona un listado típico de las incertidumbres a
ser consideradas. Los usuarios se refieren a una lista desarrollada previamente
mediante códigos o símbolos para ser contestados.

Análisis Preliminar de Peligros: Un método de análisis inductivo cuyo objetivo es
identificar los peligros, situaciones y acontecimientos que pueden causar daño para
una actividad dada.
Métodos de Soporte:
Lluvia de Ideas, Entrevistas (estructuradas o semi-estructuradas): Medios para
recoger un conjunto de ideas previa evaluación por consenso en equipo. Se realiza en
una reunión de reflexión que puede ser estimulada por un facilitador con ayuda de
apuntes y técnicas de entrevista.
Técnica Delphi: El medio de combinar las opiniones de expertos que pueden apoyar la
identificación, valoración de la probabilidad y consecuencia de riesgo. Es una técnica
colaborativa para construir y decidir por consenso previo análisis independiente y
votación conjunta de los participantes.
Técnica "What if" (SWIFT): Un sistema para incitar a un equipo para el estudio de
riesgos de planta química y petroquímica. Luego se extendió su uso para examinar
consecuencias de cambios en los riesgos aplicados a sistemas, artículos,
procedimientos en las organizaciones.

Evaluación de Fiabilidad Humana: La evaluación de fiabilidad humana (HRA) trata de
medir el error humano sobre el funcionamiento del sistema.
 
Métodos de Análisis de Escenarios

Análisis de origen de causa (RCA): Un análisis de cómo han ocurrido las pérdidas.
Es analizado para entender las causas que contribuyeron para que el proceso pueda
ser mejorado y evitar futuras pérdidas.

Análisis de escenarios: Un análisis para identificar, mediante escenarios hipotéticos,
como puede ser el futuro comportamiento. Se utilizan argumentos posibles
identificados por la imaginación o la extrapolación del presente y sobre riesgos
diferentes que pensaron asumir y que podría ocurrir. Esto puede ser hecho
formalmente o de manera informal cualitativamente o cuantitativamente.

Evaluación de toxicidad: Es usado para la evaluación del riesgo ambiental. El método
implica identificar los peligros que pueden afectar a la población. Es conocer
información sobre el nivel de la exposición y la naturaleza de daño causado.
Análisis de impacto de negocio (BIA): Proporciona un análisis de cómo los riesgos
claves pueden interferir o paralizar una organización, identificando las operaciones y
cuantificando las capacidades que se requerirían para manejarlos entidad.
Análisis de árbol de defecto (FTA): Una técnica para identificar y analizar el
acontecimiento indeseado. Comienza con el acontecimiento indeseado (el evento
superior) y determina todos los caminos en lo cual esto podría ocurrir. Son mostrados
gráficamente en un árbol lógico de diagrama. Una vez que el árbol de defecto ha sido
desarrollado presenta los modos de reducir o eliminación de la potencial causa o
fuentes.
Análisis de árbol de acontecimiento (ETA): Es una técnica gráfica para representar
las secuencias de los acontecimientos. Se utiliza mediante un razonamiento inductivo
para traducir las probabilidades de acontecimientos de iniciación diferente en
resultados posibles.
Análisis de causa consecuencia: Es una combinación del árbol de defecto y el
análisis de árbol de acontecimientos. Permite la inclusión de retrasos de tiempo. Son
consideradas tanto las causas como las consecuencias de un acontecimiento de
iniciación.
Análisis de causa efecto: Un efecto puede tener un número de factores
contribuyentes que pueden ser agrupados en categorías diferentes de causas.
Factores que son identificados a menudo en una reunión de reflexión y mostrado
mediante un árbol estructurado o en el diagrama de espina.
 
Métodos Análisis de Función
Modos de fracaso y análisis de efectos (FMEA) y modos de fracaso, efectos y
análisis de criticidad (FMECA): El FMEA es una técnica que identifica el camino en
el cual los componentes, sistema o procesos pueden fallar en su diseño. Hay varios
tipos de FMEA: para el diseño de un producto, fabricación y ensamble de software.
FMEA es seguido de un análisis crítico que define la importancia de cada modo de
fracaso. El FMECA añade además la criticidad y el análisis puede estar basado en la
probabilidad que el modo de fracaso puede causar daño.

Fiabilidad de centro de mantenimiento (RCM): Un método de identificar la política
que debería ser puesta en práctica para manejar fracasos, teniendo en cuanta la
eficacia a alcanzar y la seguridad requerida, disponibilidad y economía de operación
para todos los tipos de equipo.

Análisis sneak (SA) y análisis sneak de circuito (SCI): Es una metodología para
identificar errores de diseño o las condiciones de integridad y funcionalidad de un
software. Desarrollado por la NASA a finales de 1960.
Peligros y estudios de operatividad (HAZOP): Un proceso general de identificación
de riesgo para definir desviaciones posibles en funcionamiento esperado. Esto usa un
sistema guiado. Se evalúa la criticidad de las desviaciones.
Análisis de riesgos y puntos de control critico (HCCAP): Un sistema sistemático,
proactivo, y preventivo para asegurar la calidad de producto, fiabilidad y seguridad de
procesos midiendo y supervisando características específicas que requieren ser
definidos dentro de ciertos límites.
Métodos Evaluación de Controles

Layer análisis de protección (LOPA): Es un método semi-cuantitativo empleado en
la industria electrónica para estimar los riesgos asociados con un evento indeseado.
También se le puede llamar análisis de barrera. Esto permite a niveles de mando
evaluar su eficacia para su supervisión.

Análisis Bow Tie: Es un modo simple esquemático de descripción y análisis de los
senderos de las causas de un riesgo. Se puede considerar como una combinación de
la lógica de un árbol de defecto que analiza la causa de un acontecimiento y un árbol
de eventos que analiza las consecuencias.

Métodos Estadísticos
Análisis Markov: El análisis Markov es una técnica cuantitativa que utiliza las
probabilidades de cambios entre los estados o datos continuos en la utilización de
tarifas. Es comúnmente usado en el análisis de los sistemas reparables complejos que
pueden existir en múltiples estados, incluyendo estados degradados.
 
V. COORDINACIÓN ASEGURAMIENTO CON OTROS PROVEEDORES
Los proveedores de aseguramiento pueden incluir:
 Línea gerencia y empleados (la gerencia provee aseguramiento como primera línea
de defensa sobre riesgos y controles que ellos son responsables).  Auditores internos y externos.  Cumplimiento.  Aseguramiento  Gestión de riesgos.  Auditores de salud y seguridad. gubernamentales.  Equipo revisión reportes financieros.  Subcomités de la Junta, tales como auditoría, actuarial, crédito, gobierno, etc.  Proveedores de aseguramiento externos, incluyendo encuestadores, especialistas en revisiones de salud y seguridad, etc.
Papel de Declaración de Posición del IIA: Tres Líneas de Defensa en un Sistema
Efectivo de Gestión de Riesgos y Control

En las empresas del siglo XXI, no es raro encontrar diversos equipos tales como auditores internos, especialistas en gestión de riesgos, funcionarios de cumplimiento, especialistas en control interno, inspectores de calidad, investigadores de fraude, y otros profesionales de riesgo y control que trabajan en conjunto para ayudar a las organizaciones a gestionar el riesgo. Cada una de estas especialidades tiene una única perspectiva y habilidades específicas que pueden ser muy valiosa para las organizaciones a las que prestan servicios, pero ya que los derechos relacionados con la gestión y control de riesgos están cada vez más divididos en múltiples departamentos y divisiones, estos deben ser coordinados cuidadosamente para asegurar que los procesos de riesgo y control deben funcionar según lo previsto.  
No es suficiente que diversas funciones del riesgo y control existan, el reto es asignar
roles específicos y coordinar con eficacia y eficiencia entre estos grupos de manera
que no haya "lagunas" en controles innecesarios ni duplicación de funciones. Se debe
definir responsabilidades claras de modo que cada grupo de profesionales de riesgo y
controle entienda los límites de sus responsabilidades y cómo encajan en la posición
global de riesgos en la organización y la estructura de control.
Existe mucho en juego. Sin ser cohesivo, coordinado el riesgo, y con limitados recursos
de control no se puede desplegar efectivamente, y los riesgos significativos no pueden
ser identificados o gestionados adecuadamente. En el peor de los casos, las
comunicaciones entre los diversos grupos de riesgo y control pueden recaer en poco
más de un debate en curso sobre cuyo trabajo se debe llevar a cabo en tareas
específicas.
El problema puede existir en cualquier organización, independientemente de si un
oficial de riesgo empresarial utiliza un determinado marco de gestión. Aunque los
marcos de gestión de riesgos efectivamente puede identificar los tipos de riesgos que
las empresas modernas debe controlar, estos marcos guardan silencio acerca de cómo
los derechos específicos deben ser asignados y coordinados dentro de la organización.

. Guía Práctica: Coordinando la gestión de riesgos y el aseguramiento

La gestión de riesgos es fundamental para el control organizacional y una parte critica para fortalecer la estructura de gobierno corporativo. Toca todas las actividades de la organización. El establecer un sistema efectivo de gestión de riesgos a través de toda la organización es una responsabilidad clave de la dirección y la junta, quienes son responsables de adoptar un enfoque holístico para la identificación de los riesgos organizacionales, creación de controles para mitigar esos riesgos; y supervisar y revisar los riesgos y controles identificados. Ellos deben asegurarse que la gestión de riesgos este integrada dentro de los procesos de la organización, tanto en los a nivel operacional como estratégico.  La responsabilidad de las actividades de aseguramiento tradicionalmente ha sido compartida entre la gerencia, auditoría interna, gestión de riesgos y cumplimiento, es importante que las actividades de aseguramiento sean coordinadas para asegurar que los recursos sean usados de forma efectiva y eficiente. Muchas organizaciones operan con el enfoque tradicional de tener actividades separadas de gestión de riesgos, auditoría interna y cumplimiento. Es común que las organizaciones tengan grupos separados que realizan funciones distintas de evaluación de riesgos, cumplimiento y aseguramiento. Sin una coordinación efectiva el trabajo puede duplicarse y los riesgos críticos pueden escaparse o ser mal evaluados. Muchas funciones de auditoría interna trabajan en coordinación cercada con el departamento de gestión de riesgos. Algunas organizaciones no tienen un departamento formal de gestión de riesgos y en este caso la actividad de auditoría interna frecuentemente provee servicios de consultoría sobre gestión de riesgos a la organización. En este caso auditoría interna no debe brindar servicios de aseguramiento de ninguna parte del sistema de evaluación de riesgos del cual haya tenido responsabilidad. Otras partes calificadas deberán proveer de ese aseguramiento. La Norma 2050: Coordinación establece: "El director de auditoría interna debería compartir información y coordinar actividades con otros proveedores internos y externos de aseguramiento y consultoría para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos". Esta responsabilidad requiere la inclusión y participación del DAI en la estructura de aseguramiento de la organización. Esta estructura puede incluir a auditoría interna, auditoría externa, gobierno corporativo, gestión de riesgos y otras funciones de control del negocio. La inclusión y participación en esta estructura ayuda al DAI a estar consiente de la relación de los riesgos y controles de la organización en relación con las metas y objetivos organizacionales. La junta emplea varias fuentes para obtener aseguramiento confiable, estas incluyen a la gerencia, auditoría interna y terceras partes. Como se discute en el Consejo para la Práctica 2050-2: Mapas de Aseguramiento, La realización del mapa de aseguramiento, implica contrastar la cobertura del mismo frente a los riesgos clave de la organización. Este proceso permite a una organización identificar y abarcar las lagunas que hubiera en el proceso de gestión de riesgos y ofrece a las partes interesadas tranquilidad de que los riesgos están siendo gestionados y comunicados, y de que se cumplen las obligaciones legales/reglamentarias. Las organizaciones se beneficiarán de un enfoque optimizado, que asegura que la información sobre los riesgos a los que se enfrentan, y cómo están siendo tratados estos riesgos, esté disponible para la alta dirección. La realización del mapa se lleva a cabo en toda la organización para poder comprender en dónde residen los roles y responsabilidades de riesgos y aseguramiento. El objetivo es asegurar que existe un proceso integral de riesgos y aseguramiento carente de posibles lagunas y sin duplicidad de esfuerzos.  
VI. EL PERSONAL

"Las personas no so el activo más importante. Las personas correctas lo son".
Jim Collins en el libro Good to Great Las personas con hábitos de eficiencia son las piedras angulares para formar departamentos de auditoría interna altamente efectivos. Es por esta razón que el desarrollo de estos hábitos en el nivel personal constituye la base para la eficiencia y efectividad organizacional. Debes ser muy rápido para despedir, pero muy lento para contratar. Antes de incorporar una persona a tu equipo debes comprobar que sus valores están alineados con tu estrategia y objetivos. A continuación presentamos un Diagrama con la combinación ideal de facetas que debería poseer el personal de nuestros departamentos. Interesante diagrama sobre diferentes facetas hecho con Diagramas de Venn:

- Pasión: unión entre lo que amas y lo que haces bien.
- Profesión: unión entre lo que haces bien y por lo que te van a pagar.
- Misión: unión entre lo que amas y lo que el mundo necesita.
- Vocación: unión entre lo que el mundo necesita y por lo que te van a pagar.
"Hay dos grandes potencias en el mundo: los Estados Unidos y tú"
Un auditor eficiente sin un liderazgo efectivo es (según alguien lo ha definido) «como alinear las sillas en la cubierta del Titanic». Ningún éxito administrativo puede compensar el fracaso del liderazgo. Sólo se alcanza la eficacia óptima cuando trabajamos conjuntamente, de un modo sensato y equilibrado.  
VII. LAS METAS

¿Qué puede hacer usted en su vida personal y profesional que, de hacerlo
regularmente, representaría una tremenda diferencia positiva en su vida?
Nuestra efectividad avanza a pasos agigantados cuando las realizamos. La diferencia entre las personas que tienen metas y toman la iniciativa para alcanzarlas y las que no lo hacen equivale literalmente a la diferencia entre el día y la noche. No estoy hablando de un 25 o 50 por ciento de efectividad; hablo de un 5000 por ciento de diferencia, en particular si esas personas son inteligentes, dedicadas y están siempre alerta a las necesidades de mejorar profesional y personalmente. Debemos tener grandes metas, desarrollar grandes sueño, tenga presente que:
Alguien dijo, que somos nuestros sueños, que si no soñamos, estamos muertos.

A continuación presentamos un ejemplo de grandes sueños y grades restos:
Summits Of My Life – Kilian Jornet
Jornet nació el 27 de octubre de 1987 en Sabadell, Barcelona, hijo de Eduard Jornet y Núria Burgada. Su padre es guía de montaña y guarda del refugio de Cap de Rec, en los Pirineos gerundenses. Su madre es profesora de deportes de montaña, cupándose del Centro de Tecnificación de Esquí de Cataluña. Su hermana pequeña, Naila, forma parte del equipo español de esquí de montaña. Con tres años subió a su primer 'tresmil', al Tuc de Molières. Con cinco ya coronó la cumbre de los Pirineos, el Aneto. Con seis hizo su primer 'cuatromil' subiendo al Breithorn en los Alpes de Italia y Suiza. Desde 2004 se le considera "Esportista de Alt Nivell" por el Consejo Catalán de Deportes y e Consejo Superior de Departes en la categoría de Montaña y Escalada. Un vídeo que muestra la subida y bajada del Kilimanjaro de Kilian Jornet que parece
ser el trailer de una película que va a sacar llamada "Summits Of My Life". A
continuación presentamos el mensaje del video:
"Nadie nos dijo que fuéramos. Nadie nos dijo que lo intentáramos. Nadie nos dijo que sería fácil. Alguien dijo, que somos nuestros sueños, que si no soñamos, estamos muertos. Nuestros pasos siguen el instinto que nos lleva a lo desconocido. No miramos los obstáculos que hemos superado, sino aquellos que vamos a superar. No se trata de ser los mas rápidos, los mas fuertes o los mas grandes.se trata de ser nosotros mismos. No somos, ni corredores, ni alpinistas ni esquiadores, ni siquiera deportistas.somos personas. No estamos seguros de conseguirlo, pero estamos convencidos de conquistar la felicidad. ¿Qué buscamos? ¿Quizás vivir?"  Los retos claves para la actividad de auditoría interna hoy día respecto a los recursos humanos incluyen: 1. Incrementar entre todos los miembros del departamento conocimientos sobre el negocio (generales y específicos). 2. Mantenernos actualizado sobre los cambios en la industria y el ambiente 3. Anticipar nuevas actividades que podrían requerir expandir nuestras habilidades:  Análisis de riesgos y gobierno corporativo.  Evaluaciones de riesgos y controles.  Recolección y análisis de datos. Pasos de acción específicos para desarrollar destrezas personal departamento:
1. Considerar conjunto de talentos necesarios dentro de la organización y verificar cómo el personal de auditoría interna se ajusta a la estrategia de recursos humanos de la empresa. 2. Desarrollo de un plan de sucesión a nivel gerencial que identifique los candidatos que tenemos en back-up para posiciones claves. 3. Realizar un inventario de las destrezas del personal del departamento: 4. Identificar fortalezas y debilidades actuales. 5. Determinar el tipo y nivel de conocimientos que debe ser desarrollados dentro de 2 6. Desarrollar un plan de carrera para cada recurso del departamento. 7. Requerir la obtención certificaciones profesionales (CIA, CCSA, CRMA, CGAP, 8. Implementar un plan de contratación de personal con sólidos conocimientos de negocio o entrenar al personal para llegar al nivel de conocimiento deseado. 9. Considerar el establecimiento de un programa de rotación dentro de la empresa para capitalizar el talento y la experiencia del personal de las unidades de negocio. 10. Identificar el grupo de destrezas que podría ser no realista el obtenerlas dentro del personal de auditoría, desarrollar un plan de captación de personal de otros departamentos o de otras fuentes fuera de la organización. 11. Formalizar Planes de capacitación continua, de carrera y de evaluación de desempeño específicos para el personal de Auditoría que refleje el entrenamiento necesario para cumplir con los objetivos del área, de acuerdo con los perfiles requeridos para cada puesto de trabajo y evalúe la eficacia de su desempeño. 12. Considerar la conveniencia de introducir un proceso formal de rotación de candidatos seleccionados por su potencial, desde/hacia Auditoría Interna. Este proceso generaría la oportunidad de utilizar auditoría interna como fuente de formación y entrenamiento para futuros cargos gerenciales. Asimismo, abriría oportunidades en el negocio para auditores seleccionados que hubiesen completado su ciclo de auditoría, y que la Entidad quisiese promocionar  
VIII. LA TECNOLOGÍA

La tecnología desempeña un papel cada vez más importante en la función de
auditoría interna. Existen más y más herramientas disponibles que tienen en cuenta
una mayor productividad y eficiencia, lo cual permite dedicar menos tiempo a las
responsabilidades administrativas y más a los servicios de aseguramiento y consultoría
ofrecidos a los clientes. En el entrono actual caracterizado por avances tecnológicos,
las innumerables mejoras pueden convertirse fácilmente en un factor de distracción
pero, es importante tener presente que la tecnología debe de mejorar la productividad
de auditoría interna y no distraer su atención de la tarea.
1. Autoevaluación de control

Debe resultar claro en este punto que auditoría interna ayuda a la organización en las
evaluaciones y mitigaciones de riesgos de numerosas maneras. Muchas de las formas
en que esto se hace es estableciendo equipos y procedimientos de autoevaluación de
control (CSA, en inglés). Normalmente los equipos de CSA trabajan con la
administración para llevar acabo investigaciones y entrevistas iniciales para determinar
con precisión los eventos o situaciones de riesgo potencial que enfrenta la
organización. Reúnen a los representantes de la alta dirección para analizar y priorizar
los riesgos potenciales y ayudar a la dirección en la identificación, documentación,
evaluación, comunicación y mitigación del impacto de los riesgos asociados con los
eventos de riesgo significativos identificados.
A través del uso de medios electrónicos (bases de datos y herramientas de rastreo), los
equipos de CSA pueden asignar las diferentes situaciones a quienes a quienes estén
mejor equipados para gestionar y mitigar los riesgos específicos que preocupan a la
dirección. Luego se puede usar la misma herramienta para documentar y rastrear la
planificación de las medidas y esfuerzos de mitigación de riesgos acordados con la
dirección. Si no se emplea la tecnología los esfuerzos resultan engorrosos, ineficientes
y difíciles de gestionar. La autoevaluación de control puede usarse de manera
individual para que ayude a la evaluación de riesgos en diferentes áreas o procesos
dentro de la organización o como herramienta eficaz par el respaldo de esfuerzos de
evaluación de riesgos de toda la organización.
2. Evaluación de riesgos

En el ámbito administrativo, las herramientas de evaluación de riesgos automatizadas
pueden brindarle a la función de auditoria interna un repositorio que tiene en cuenta
identificación, documentación y establecimiento de prioridades entre los riesgos, la
identificación de las áreas responsables por esos riesgos y las actividades de control
clave diseñadas para gestionar o mitigar dichos riegos. Estas herramientas
documentan además el universo de auditoría, reúnen información sobre diferentes
áreas de dicho universo y se utilizan para evaluar los riesgos específicos para dichas
áreas. Aun más, estas herramientas ayudan a priorizar la cantidad de riesgos que un
 
área específica genera a la organización, lo cual determina la frecuencia con que se la
audita. En consecuencia, las prioridades resultantes del universo de la auditoría
deciden el presupuesto, la programación, el plany los requerimientos de recursos.
3. Obtención de datos

Con frecuencia el auditor interno debe revisar grandes cantidades de datos. Esto puede
resultar muy difícil y consumir mucho tiempo si no se cuenta con la ayuda de la
tecnología. De la misma manera, las muestras pueden ser eficaces, prácticas y
privilegiadas. El muestreo puede también limitar la habilidad del auditor interno para
extraer conclusiones efectivas. En dichos casos, las herramientas para la obtención de
datos pueden resultar indispensables debido a que tienen en cuenta el 100%, lo que
permite obtener resultados y conclusiones definitivos. Además, estas herramientas
pueden utilizarse como fuente de alimentación para la supervisión continua o la
detección de fraudes y los esfuerzos de prevención. Son recomendables el uso de
software como ACL e IDEA; y paquetes de Business Intelligence como QlikView.
4. Auditoría Continua

Las herramientas de supervisión automática, similares a las aplicaciones para la
obtención de datos, le permiten a la función de auditoría interna llevar a cabo de forma
más eficiente la auditoría continua ya que posibilitan la supervisión y evaluación de
grandes cantidades de datos (información). Si no se contara con este tipo de
herramientas esto no seria posible no práctico. La auditoría continúa a diferencia de las
auditorías periódicas, son todos los métodos utilizados por la función de auditoría
interna para llevar a cabo las actividades relacionadas con la auditoría de manera más
constante. Los Departamentos de Auditoría Interna de alto rendimiento maximizan el
uso de la tecnología para mejorar la eficiencia, efectividad y calidad de las operaciones,
a través de realizar revisiones en tiempo real o aseguramiento continuo:
1. Evaluar la población completa en la búsqueda de errores o transacciones inusuales.
2. Determinar de operaciones duplicadas.
3. Implementar de sistema de alerta para detectar incumplimiento con leyes y
regulaciones aplicables. 4. Búsqueda de coincidencias entre información relativa a suplidores y empleados, tales como dirección, números telefónicos, número registro fiscal o de identidad, etc. 5. Identificar oportunamente errores conciliación mayor general y cuentas auxiliares. 6. Verificar de cálculos intereses, cambios no autorizados de tasas o porcentajes por encima del establecido. 7. Detectar empleados ficticios incluidos en nómina. 8. Dar seguimiento abusos, en cobro de horas extraordinarias excesivas o pagos de compensaciones salarias y rembolsos de gastos fuera de los parámetros normales. 9. Realizar pruebas secuencia numérica cheques, recibos, facturas y ordenes compra. 10. Búsqueda de fraudes: Sobre-estimación beneficios, ventas ficticias, diferencias en tiempo, costeos inapropiados, errores valuación, sub-estimación pasivos o gastos.  
IX. LA MEDIDA

De acuerdo con la Guía para la práctica "Measuring Internal Audit Effectiveness and
Efficiency" del IIA Glogbal, la efectividad y eficiencia de un Departamento de Auditoría
interna puede evaluarse a través de considerar:
 El nivel de contribución al amejoramiento de los procesos de gestión de riesgos,
control y gobierno corporativo.  Apoyo al logro de los objetivos claves del negocio.  Evaluación del progreso contra plan de actividad de auditoría.  Incremento productividad del personal.  Aumento efectividad proceso auditoría.  Implementación de un número mayor de planes de acción para mejorar procesos.  Razonabilidad de la planificación y supervisión del proceso.  Efectividad en satisfacer las necesidades de partes interesadas en el trabajo de  Resultados de revisiones externas de aseguramiento de calidad y programa de mejoramiento de la calidad del trabajo.  Efectividad en el desarrollo del trabajo.
 Claridad en la comunicación.
Modelo Medición Desempeño - Medidas Cuantitativas y Cualitativas:

Comité Auditoría
Proceso Auditoría
Encuesta Satisfacción Gerencia/
Preocupaciones sobre riesgos Auditados
Cobertura riesgo Aportes al Plan Auditoría Encuesta Satisfacción % de recomendaciones Terminadas versos % de recomendaciones No. observaciones implementadas por fecha importantes por auditoría Normas Práctica
Tiempo tomado desde el Importe de ahorros Profesional
inicio hasta el final Cumplimiento Normas y originados por auditoría Productos Departamento
Cambios implementados Prioridades Leyes/Políticas
Técnicas Aseguramiento Innovación y Aptitudes
Nivel experiencia del personal Horas entrenamiento por auditor % personal con designaciones relevantes No. Innovaciones implementadas No. Procesos Mejorados % de eventos de riesgo sorpresivos  
Debemos de buscar nuevas formas de cuantificar el valor agregado del departamento,
ahí radica la importancia del Balance ScoredCard.
Balance ScoreCard – Cuadro de Mando Integral
La idea final es desarrollar un dashboard que le permita implementar medidas de desempeño que se relacionen de forma directa con los objetivos principales del departamento. Un ejemplo del tipo de medidas y tiempo de revisión de las mismas puede ser el siguiente:  
X. 5 ASESINOS DE LA EFICIENCIA

La eficiencia—y a menudo incluso la supervivencia— no dependen sólo del esfuerzo
realizado, sino también de que se realice en la forma correcta. Y la metamorfosis que
tiene lugar en la profesión de auditoría interna requiere liderazgo primero y
competencia técnica después. Es por esa razón que a continuación compartimos
situaciones, que podría limitar enormemente los resultados de nuestro trabajo.
1. Sobre-auditar demasiado (uso de un alcance muy amplio). Los auditores más
diligentes tienden a tener serios problemas por establecer un alcance muy amplio, lo cual incrementa la posibilidad de que el riesgo se escape de las manos y que los proyectos de auditoría tomen mucho tiempo para ser completados. Siempre tenemos la tentación de auditor más en vez de reducir el alcance. Debemos de emplear el juicio profesional para balancear el riesgo y los recursos limitados.
2. Auditar Solo (no buscar ayuda a tiempo). Los auditores experimentados, tienden
en muchas ocasiones a sobre-estimar sus habilidades técnicas y trabajar solos sin la ayuda de un experto. En algunos casos es claro que podríamos necesitar ayuda de un experto como el área impositiva o de tecnología de información, pero podrían existir áreas o divisiones del negocio que se pueden evaluar de forma más efectiva si empleados un equipo con conocimientos multidisciplinarios.
3. Olvidarnos de agregar valor. Todos sabemos que la auditoria interna no
solamente trata de señalar lo que esta mal, si no que por el contrario es acerca de ayudar a nuestros clientes a alcanzar sus objetivos. Por lo que debemos de estar alertas para identificar oportunidades de mejora que se podrían estar perdiendo. Debemos diseñar el enfoque del trabajo para agregar valor, en vez de alinear el mismo en la detección de errores pequeños.
4. Perder la vista de los riesgos. Si su planificación esta basada en el enfoque del
trabajo desarrollado el año pasado, sin tomar en consideración que los riesgos y las circunstancias del negocio cambian, usted puede estar seguro que los resultados del trabajo no serán iguales a los del año pasado, serán peores, debido a que fallará en la identificación de riesgos y oportunidades; y peor aun, su posibilidad de agregar valor será mucho menor que en el pasado. Un gerente que había sido detectado cometiendo un fraude, en una ocasión dijo: "Auditoría interna no era un problema. Yo siempre sabia que no regresarían durante un año, y sabia que ellos buscarían cuando regresaran".
5. No incluir al cliente. No consultar al cliente cuando identificamos una situación,
existen equipos de auditoría interna que invierten semanas en la cuantificación y análisis de un posible hallazgo, solamente para darse cuenta en la reunión de cierre que existe un control mitigante que corrige la situación. No trabaje solo de forma unilateral. Tenga presente que la vida, por naturaleza, es interdependiente. Tratar de lograr la máxima eficiencia por la vía de trabajar solo es como tratar de jugar al tenis con un palo de golf: la herramienta no se adecúa a la realidad.  
XI. CONCLUSIÓN - SIN EXCUSAS

"Ser el más rico del cementerio no es lo que más me importa. Acostarme por la
noche y pensar que he hecho algo genial. Eso es lo que más me importa."
Steve Jobs - Fuente: Wall Street Journal (1993). Somos responsables de nuestra
propia eficiencia, por lo que es fundamental para la eficiencia operar los cambios de
paradigma necesarios para constituye la base de la eficiencia y la efectividad, no existe
un camino mucho mejor, un modo más efectivo que asumir nuestra responsabilidad,
por lo que tenga presente:
Considérate el máximo responsable de los resultados que generes. Culpar a los
demás o a la mala suerte no es más que una excusa. Si te sitúas como responsable de
lo que te ocurre, serás capaz de emprender acción para solucionarlo.

Valores. Saber que somos responsables —con «habilidad de respuesta»— es
fundamental para la eficiencia y la existencia de valores, y el mantenernos firmes en
ellos nos ayuda a conseguir las metas. Los valores deben ser nuestra "biblia" a la que
debemos recurrir en caso de duda o conflicto. En ellos encontraremos la solución.

Motivo. La motivación influye enérgicamente en su efectividad, por lo que debemos
tener un motivo, una razón por la que trabajar de forma constante hacia nuestra meta,
debemos trabajar hacia la mejora del producto para que de forma continúa, siempre
recuerde que: "Si sólo nos une ganar dinero, acabaremos desayunando Prozac."
Alex Rovira
Mensaje. Tu vida es tu mensaje para el mundo, asegúrate que el mismo sea
inspirador. En palabras de George Bernard Shaw:
"El verdadero goce de la vida, es ser utilizado con un propósito que uno mismo
reconoce como importante. Es ser una fuerza de la naturaleza, y no un
montoncito febril y egoísta de malestares y molestias que se queja de que el
mundo no se consagra a hacerlo feliz. Soy de la opinión de que mi vida pertenece
a toda la comunidad, y de que mientras viva es mi privilegio hacer por ésta todo
lo que pueda. Cuando muera, quiero estar completamente agotado. Pues cuanto
más duramente trabajo, más vivo. Gozo de la vida por la vida misma. Para mí la
vida no es una pequeña vela. Es una especie de antorcha espléndida que por el
momento sostengo, con fuerza, y quiero que arda con el mayor brillo posible
antes de entregarla a las futuras generaciones".
El año pasado el mundo perdió a uno de los grandes pensadores de esta época,
Steven R. Covey, es por esta razón que terminamos este trabajo con la frase final de
su libro más importante "Los Siete Hábitos de la Gente Altamente Efectiva":

"No somos seres humanos teniendo una experiencia espiritual. Somos seres
espirituales teniendo una experiencia humana" Pierre Teilhard de Chardin
 
XII. INFORMACIÓN EXPOSITOR
Nahun Frett, MBA, CIA, CCSA, CRMA, CFE, CPA
Vicepresidente Auditoría Interna
Central Romana Corporation, Ltd.
Es un experto en auditoría interna y gestión de
riesgo; conferencista y consultor internacional
con una amplia trayectoria avalada de más de
veinte años experiencia en auditoría interna y
externa. Es un motivador nato de equipos
multidisciplinarios de auditoría, ha desarrollado
conferencias, entrenamientos y talleres sobre
mejores prácticas auditoría interna, gestión de
riesgo, gobierno corporativo, cambio
organizacional, liderazgo y auto-evaluación de
control en más de 15 países.
Posee una fuerte formación académica en
negocios y finanzas:
Master en Administración de Negocios (MBA) de
la Université du Québec á Montréal, Canadá;
Contador Público Autorizado (CPA) egresado de la Universidad Autónoma de Santo Domingo (UASD) y; Postgrado en Contabilidad Impositiva en la
Universidad Autónoma de Santo Domingo.

Tiene las siguientes certificaciones profesionales por The Institute of Internal Auditors
(IIA): Certified Internal Auditor (CIA), Certification in Control Self-Assessment (CCSA);
Certification in Risk Management Assurance (CRMA); y también es Certified Fraud
Examiner (CFE) por Association of Certified Fraud Examiners.
Actualmente es Vicepresidente de Auditoría Interna del Central Romana Corporation,
Ltd. El Central Romana es una empresa agroindustrial con 100 años, principalmente
productora de azúcar y cuyo origen se remonta al año 1912, para sus operaciones
agrícolas, industriales, turísticas y otras, el Central Romana emplea alrededor de
25,000 personas, siendo el mayor empleador privado en la República Dominicana.
Adicionalmente es Catedrático de la Asignatura de Auditoría Interna en el Programa
Internacional de Maestría de Auditoría y Gestión de Control realizado por la
Universidad de Valencia España en UNAPEC República Dominicana.
Creative Commons - Nahun Frett - Octubre 2013
Creemos en la divulgación del conocimiento como fuente de crecimiento, por lo que el contenido de este material técnico debe ser usado bajo el criterio de una licencia Creative Commons (CC), esto quiere decir que usted puede usar los datos e informaciones de esta presentación, siempre y cuando, no venda o cambie los mismos; y presente el crédito correspondiente del autor. Para comunicarse con Nahun Frett, favor enviar un email a [email protected]. Espero que visites frecuentemente mi Blog: http://nahunfrett.blogspot.com/
Es un lugar en el cual comparto mejores prácticas, ideas y sugerencias de alto impacto
respecto a la profesión de auditoría interna, de forma innovadora, creativa y entretenida.
En ese lugar encontraras información relevante y actualizada sobre: Auditoría, Control
Interno, Gestión de Riesgo, Gobierno Corporativo, Auto-Evaluación de Riesgo y Control.

Source: http://www.ebg.edu.gt/wp-content/themes/ebg/pdf/corerif/presentacion_07.pdf