.

Comentarios de cómo lograr la eficacia y eficiencia en nuestras áreas de control y vigilancia. 

Los principales objetivos operativos o internos de una función de control interno, asumiendo que estos por supuesto deberán estar alineados a los objetivos estratégicos de la empresa, pero digamos que enfocados en la generalidad de una área de este tipo.  1) Generar valor, 2) Dejar de ser percibidos como costo, 3) Buscar una transformación en la percepción de lo que hacemos, que nos vean como parte importante del negocio y 4) Entender los objetivos de la empresa y alinear los de nuestras áreas para que realmente se genere valor.

Apegarnos a la estrategia de la empresa, colaborar con las demás áreas y en función a eso se desarrolla el mapa de acción. Hacer sociedad con las demás áreas de negocio y las otras áreas de control y vigilancia.

Las expectativas que se tienen de las áreas de control y vigilancia se resumen en: Darle al Consejo de Administración, los Comités y la Alta Administración la tranquilidad de que el sistema de control funciona de forma correcta. Para lograr esto ayuda que todos ellos confíen en la metodología de trabajo. Si se tienen objetivos claros, los riesgos asociados, los controles que los mitigan, el apetito de riesgo de la administración y equilibrar la cantidad de controles enfocándose en la calidad y que sean adecuados… no por tener más es mejor, al contrario, si el control resta agilidad entonces ya se está desalineado de la empresa…

Lo ideal es tener un tablero de control que nos indique cómo van las cosas, si se deben tomar precauciones al acelerar las operaciones, o al girar el rumbo de la empresa; si se tiene esa tranquilidad de la seguridad con que vamos caminando, el valor del sistema de control interno será bien percibido.

El sistema de control debe alinearse al momento que vive la empresa, a veces más estricto y a veces más agresivo por necesidades del negocio, siempre de la mano del adecuado monitoreo y aprobado por los órganos de gobierno y de la administración.

Las áreas de control interno deben ser proactivas, encontrar los controles preventivos, eso da más valor y tranquilidad en contra de la incertidumbre que se siente si solo se tienen controles reactivos o correctivos.

Algo que ayuda mucho a una empresa cuando adquiere otros negocios vía fusiones, adquisiciones, etc., es promover a que se adhieran y apeguen a su cultura organizacional. Estar abiertos a aprender de los demás, pero tener un sistema de control muy ligado a los valores de la empresa y robustecer con las experiencias de los que van llegando.

En el caso de las empresas de otros continentes, de diferentes países, con diferencias en idioma, cultura, etc. La mejor herramienta que han tenido es demostrar que se tiene conocimiento, que se usan las mismas bases teóricas y técnicas, pero además explicar las razones por las que se hace de esta manera, demostrar que es algo lógico y que genera valor. Siempre habrán retos específicos, pero en lo general si se hace la explicación de manera atractiva, hará sentido para los profesionistas de los diferentes lugares.

La evolución del área de control interno evoluciona dependiendo de las circunstancias de las empresas. Una manera de ir avanzando con las áreas de negocio es adecuar nuestro mensaje a su idioma. Encontrar la convergencia de lo que es su visión de riesgos con la visión de las áreas de control

El incorporar las herramientas tecnológicas es importante, empujar la incorporación de la empresa a la era digital no solo en la parte comercial sino también en el backoffice.

Fomentar la comunicación entre control interno, auditoría, ERM, cumplimiento, etc., para administrar esfuerzos y evitar duplicidad de funciones.

La preparación no solo sobre control interno o auditoría; Negocios, estrategia, gobierno corporativo, temas de vanguardia, tecnología, networking e intercambio de experiencias.

Un factor normal que se nos complica es que nuestro lenguaje es muy técnico, es recomendable utilizar un lenguaje menos aburrido, usar términos de las áreas de negocio y hacerlo sencillo.

Tres de las responsabilidades más importantes de las áreas de control interno son:

Recordar que la operación es la primera línea de defensa y áreas como control interno son consideradas en la segunda. Cada uno tiene sus propias responsabilidades respecto del sistema de control interno.

Explicar a las áreas de negocio claramente que ellos son responsables de los controles, identificar necesidades de capacitación en áreas o personas para que los asuman como propios y dar ejemplos de cuáles y por qué son los controles parte de su trabajo.

Existen empresas de todos tamaños y grados de madurez en las que debemos identificar la cultura organizacional, el perfil de los dueños, accionistas, administración, empleados, para que en función al perfil específico, se diseñe la comunicación referente al control interno, políticas, procedimientos, riesgos, apetito al riesgo, responsabilidades, etc.

Una actividad que ayuda a hacer conciencia en la gente es transmitirles que no se va a controlar a las personas, se controlan los procesos, identificar en conjunto con ellos las actividades que realmente se requieren blindar y cuáles sólo harán más lento el proceso sin agregar valor.

Los órganos de gobierno deben establecer los objetivos y las áreas de control y vigilancia, pueden ayudar a traducir esto al lenguaje de proceso con el fin de llegar a la gente y explicarles lo que la administración necesita de cada puesto. Que exista una alineación de objetivos de los dueños, órganos de gobierno, administración, control y vigilancia,  y de ahí hacia todas las personas.

Hacer una segmentación de a qué niveles se llevará la información y diseñar un plan de comunicación específico para que se llegue con las palabras apropiadas y que sean entendibles.

El mejor control es el que no se ve. Otra herramienta para mejorar la “evangelización” son los valores y cultura de la empresa. Lograr que los colaboradores tengan un perfil ético sólido para que cada quién en su ámbito, al hacer las cosas correctas por su propia ética, permiten que los controles sean más de confianza, sin que dejen de existir validaciones o “sensores” que avisan si hay desviaciones que debieran ser sancionadas.

Contar con documentación que establezca “las guías” de comportamiento para hacer el trabajo en cada puesto y cada área, considerar el apoyo de las herramientas tecnológicas ya que éstas dan solidez a los controles y facilitan la accesibilidad y actualización de los lineamientos.

Hacer políticas en lenguaje sencillo y dirigido a los puntos esenciales sin que se conviertan en pergaminos interminables de muchas hojas donde se pierde el mensaje.

Contar con un canal de comunicación que publique los nuevos lineamientos o las modificaciones de los ya existentes, debido a que son muy dinámicos. Lograr que las mismas áreas avisen de los cambios que se requieren y hacer alianza con TI que nos avisen si se piden cambios que afecten el control interno.

Hay que creer en el valor que generamos y asegurarnos de demostrarlo.

A continuación les comparto una breve descripción de varios elementos básicos que en mi opinión, deben considerarse al diseñar e implementar una área de auditoría interna.

Un buen marco de referencia a utilizar son las normas internacionales para el ejercicio profesional de la auditoría interna, emitidas por el Instituto de Auditores Internos y complementar esos lineamientos con una buena mezcla de análisis y experiencia para hacer el área a la medida de las necesidades actuales del negocio y monitorear la forma en que debe ir evolucionando con la empresa.

Lo dividí en 6 temas:

Gobierno: La manera de alinear los estatutos de la Función con los del Comité de Auditoría, asegurándonos que se establece de manera precisa el rol que jugará auditoría interna en la empresa de acuerdo a sus necesidades y en coordinación con la agenda de trabajo de los órganos de gobierno. 

ERM: La función de auditoría interna utiliza la evaluación de riesgos de la empresa como input para sus actividades, dicha evaluación se sugiere que, al menos al inicio, se haga por la administración o que participemos en conjunto con ellos a fin de limitar la posibilidad de quedar cortos en el entendimiento de los riesgos más importantes por falta de conocimiento de la operación.

Estrategia: Asegurarnos que la estrategia de la función de auditoría interna esté en línea con los objetivos estratégicos de la empresa y verificar que los de cada área en particular también están dirigidos en ese sentido. 

Administración: La función de auditoría interna debe contar con sus políticas y procedimientos internos que establezcan la manera en que se realizará el trabajo por los integrantes del equipo. En este plan se determina la mecánica de elaboración del plan anual de auditoría interna basado en los riesgos más relevantes de la empresa y considerando el nivel de madurez de la compañía, a fin de que exista congruencia de lo que la empresa necesita y el valor que se generará desde la trinchera de los auditores.

Proceso: Cada proyecto calendarizado, debe planearse y supervisarse conforme al manual operativo de la función; contar con programas de trabajo que incluyan pruebas de control y sustantivas, sobre controles manuales y  automáticos, enfocados en auditar la manera en que se mitigan los riesgos más relevantes donde se pudiera tener un mayor impacto negativo y con alta probabilidad de materializarse. Una vez identificadas las deficiencias, monitorear que la empresa las corrija mediante el seguimiento de los planes de remediación correspondientes.

Personal: En mi opinión, es el recurso más importante de todas las empresas y todas las áreas. Se recomienda contar con la estructura organizacional adecuada incorporando profesionales de diferentes disciplinas y combinar sus experiencias para generar valor de manera más integral. Es importante establecer la forma en que se evaluará el desempeño y asignar la responsabilidad a cada miembro del equipo de su propio desarrollo en cuanto a mejorar habilidades y conocimientos. 

Todo lo anterior debe estar basado en los principios fundamentales de la páctica de auditoría interna, cuya efectividad dependerá del alto nivel de integridad, competencia y diligencia profesional que demuestren los miembros del equipo, mediante su ejecución objetiva y libre de influencias en cada proyecto ejecutado. También dependerá de la adecuada estrategia de la función alineada a los objetivos de la empresa y enfocada en vigilar los riesgos más altos que la pueden afectar mediante análisis profundos y con visión de futuro. Es responsabilidad del líder del área y del Comité de Auditoría asignarle recursos suficientes, vigilar la calidad de su trabajo y evaluar la comunicación efectiva de los resultados que ayuden a la empresa a mejorar sistema de control interno.

Conversación sobre la ciberseguridad con Andrés Velázquez (Twitter @cibercrimen y Facebook @avelazquez.csi).

Ciberseguridad tiene que ver con administración de riesgos. Nuestra vida entera es una administración de riesgos. Los riesgos en sí, no se conocen como tal y sis darnos cuenta lo que pasa es que los tenemos controlados.

Es importante distinguir la ciberseguridad de la seguridad de la información, pero además es necesario poder explicarlo a la alta administración de tal manera que se sensibilicen de lo que es. Si lo dejamos solo como responsabilidad de TI genera un conflicto de interés y una limitación de alcance por la falta de entendimiento profundo de los procesos de negocio.

La ciberseguridad debe ser un tema del negocio, no del área de TI. Por ejemplo en la pandemia la administración en algunas empresas lo que hizo fue pedir a TI que activara los VPN’s, en lugar de haber realizado un análisis concienzudo de todos los riesgos que implicaría el trabajo remoto para proteger la información, la operación y se implementaran controles para seguir trabajando de buena manera. Respecto del Plan de Continuidad de Negocio, las empresas que habían incluido el riesgo de pandemias en su evaluación, se enfocaron en seguridad física, de los empleados, etc. pero no habían incluido lo necesario para que las operaciones no se detuvieran.

Ahora que los Consejos de Administración y Comités están leyendo más del tema de ciberseguridad una actividad importante es traducir el lenguaje técnico a lenguaje de negocio, explicar situaciones concretas que pudieran tener consecuencias en caso de no implementar ciertas actividades, herramientas y controles. 

En términos de lo que se describe en la página del “Observatorio de ecomerce” se puede explicar la seguridad de la información es un todo y la ciberseguridad es una parte. La seguridad de la información incluye las medidas y conceptos de protección de información y datos de valor de la empresa. La ciberseguridad incluye prácticas de ataque, controlar y atacar para validar que los controles protegen a la empresa. 

La seguridad de la información se basa en técnicas, herramientas y metodologías de seguridad. El obtener certificaciones como ISO 27001 no es necesariamente suficiente. Es indispensable entender qué se debe proteger de la organización y desarrollar una estrategia que se conecte con la ciberseguridad. 

Ciberseguridad es un tema estratégico, es importante ubicar esta área en la estructura organizacional evitando los conflictos que se generan, por ejemplo, si queda en TI o Finanzas o Control Interno, se sugiere que reporte al Director General. De esa manera los esfuerzos y recursos que se inviertan en estos temas serán estratégicamente puntualizados.

Recomendaciones para incrementar nuestro conocimiento de ciberseguridad y cómo aplicarlo en nuestro trabajo:

Sensibilizarnos y ayudar a que el personal de las empresas y nuestras propias familias aprendan sobre el tema de ciberseguridad, estamos expuestos y hay que ser incrédulos de las cosas para estar protegidos.

Como resultado de la implementación del modelo de Las tres líneas de defensa en la gestión y control de riesgos efectivos, emitido por el Instituto de Auditores Internos; las organizaciones disminuyen la batalla continua de señalar qué departamento o función de trabajo hace o no hace las tareas relacionadas con el sistema de control de la compañía.

En el episodio anterior platicamos con Oscar de la Fuente - Director de Auditoría Interna en la empresa ICONN, con quien comentamos de manera general de qué se trata el modelo, quiénes conforman la primer línea, cuáles son sus responsabilidades y qué áreas y puestos conforman la segunda línea de defensa. A continuación les presento la segunda parte de nuestra conversación.

Respecto de la segunda línea de defensa, comúnmente conocida como Control Interno, existen diferentes funciones de la gestión de riesgos como por ejemplo:

En cuanto a la tercera línea de defensa, donde se ubica el área de auditoría interna, lo principal es auditar e informar. Es posible hacer labores de consultoría pero se requiere estar muy claros de la manera en que se llevará a cabo sin afectar la independencia que la caracteriza.

En referencia al rol de los auditores externos y otros diferentes participantes, algunas de las funciones principales son:

Algunos temas importantes que ayudan a implementar con éxito este modelo:

El documento de "Las tres líneas de defensa en la gestión y control de riesgos efectivos", emitido por el Instituto de Auditores Internos, aborda uno de los desafíos más comunes en la gestión y el control de riesgos que es el  mejorar la comunicación sobre estos temas, aclarando los roles y deberes esenciales de los múltiples departamentos y divisiones operativos, así como las múltiples funciones de auditores internos, especialistas en gestión de riesgos, oficiales de cumplimiento, investigadores de fraude y otros profesionales de las áreas de control y vigilancia. En este episodio les comparto la primera parte de mi conversación con Oscar de la Fuente - Director de Auditoría Interna en ICONN, esperando la encuentren interesante y les aporte algo en sus conocimientos generales de nuestras especializaciones.

El modelo de las 3 líneas de defensa es un marco de referencia o guía que sirve para definir la estructura de roles y responsabilidades que gestionan el control interno, buscando hacerlo de manera eficaz en las organizaciones encaminado a generar valor y proteger a la empresa.

Arrancando con la primera línea de defensa, a continuación se listan una serie de consideraciones que deben tenerse en mente al implementar este modelo en una empresa:

Para la segunda línea de defensa, es necesario mantener en mente lo siguiente:

Las personas que trabajamos en las áreas de control y vigilancia y en general cualquier profesionista de los diferentes departamentos operativos, administrativos, financieros, jurídicos, etc., tenemos la responsabilidad de desarrollar nuestro trabajo de la mejor manera y en el menor tiempo posible en beneficio de nuestro equipo y de los objetivos de las empresas; para lo cual, es de gran utilidad contar con herramientas tecnológicas que nos ayuden a ser más precisos, eficientes y mejorar la calidad de lo que entregamos como resultado de nuestro trabajo.

En este episodio platiqué con Alfonso Cornejo que es un experto en identificar y utilizar herramientas tecnológicas que causan impacto directo en beneficio de las personas y los negocios. A continuación les comparto los tips y consejos que mencionamos en la conversación y que considero son de gran valor para mejorar, consolidar e incluso acelerar la evolución de nuestro trabajo en las áreas de control y vigilancia, como platicamos en un episodio anterior, pero empezando por nosotros mismos de manera individual. 

Herramientas para no quedar obsoletos en nuestra carrera profesional tenía dos componentes… “1) hay que mantener nuestra mentalidad siempre en estado BETA, pensar en nosotros como un trabajo en proceso e invertir diariamente en nosotros mismos y 2) Desarrollar un conjunto de habilidades empresarial y adaptativo”... 

Herramientas para mejorar nuestro desempeño mediante el uso de la tecnología en cuanto a la administración de nuestro tiempo:

Herramientas para tener más información de nuestra industria, profesión, de la competencia, noticias de actualidad que debamos considerar:

Herramientas para presentar nuestro trabajo con un mayor impacto que reflejen nuestro profesionalismo y capte mejor la atención de las contrapartes:

Cada empresa tiene diferentes valores y necesidades, depende de la industria, leyes, regulaciones, planes de crecimiento, perfil de dueños, accionistas, administración, etc. Todas y cada una de ellas determinan su propósito específico pero todas sin excepción seguramente tienen en su definición la generación de valor, mejorar las operaciones y ayudar a la empresa a lograr sus objetivos. En este episodio platicaré con nuestro invitado sobre nuestro punto de vista de cuál debe ser el propósito de una área de auditoría interna, el estatus actual y hacia dónde puede y debe evolucionar para no limitar su posibilidad real de cumplir con el propósito para el cual fue creada.

Considero que una parte fundamental de las responsabilidades de las áreas de control y vigilancia, es mantenernos alertas de las diferentes situaciones que pueden afectar a las empresas para las que laboramos. Si bien las recomendaciones enfocadas a la falta de documentación son el pan de cada día, la inefectividad de autorizaciones, el control de accesos, etc. son temas importantes; también vale la pena revisar si desde estas trincheras estamos al pendiente de que el negocio crezca y de encontrar en nuestra red de contactos y de información, opciones y soluciones que quizás la administración por estar al pendiente de la operación puede haber pasado por alto.

En el audio encontrarán nuestro punto de vista acerca de:

¿Cuál es el estatus actual de las áreas de auditoría interna?

¿Cuál es su propósito?

Los que más saben de los riesgos en la operación, son las mismas personas que operan

Nuestro riesgo de obsolescencia en las áreas de control y vigilancia

¿Qué necesitamos evolucionar?

La innovación como parte de nuestro ADN

Innovar no es solo tecnología

Adaptabilidad

Requerimos una nueva interpretación de las normas de auditoría