auditoríainternaRevista editada poR el instituto de auditoRes inteRnos de españa

aioctubRe 2013 / año XXiX

las tres líneas de defensaUn modelo para que las compañías operen en condiciones óptimas

sugerencias......para leer, para comer, para escaparse, para recordar

10 preguntas a...robert B. Hirth Nuevo presidente de COSO

N104

entrevista Manuel Mueladirector de auditoría iNterNa de Barclays

¡cumplimos 30 años!

1 a. una reversión de tecnología obsoleta y adopción completa de TeamMate

b. un cambio fundamental en su enfoque de auditoria; especialmente el abandono de un sistema, reemplazándolo por TeamMate

c. un cambio en su uso o preferencia, especialmente en Sistemas de Gestión de Auditoría <La Revolución TeamMate>

❱ Primer sistema del mundo basado en Windows para la Gestión de Auditoría

❱ Primer Sistema de Gestión de Auditoria en introducir funcionalidades para Dispositivos Inteligentes

La Rev lución TeamMate ya está aquí.

El Líder Global en Gestión de Auditoria ❱ Evaluación de riesgos

❱ Planificación en base a riesgos

❱ Calendarización

❱ Contenido extensivo de Auditoria

❱ Papeles de trabajo electrónicos

❱ Encuestas

❱ Cuestionarios

❱ Escaneo de imágenes y Anotación

❱ Generación de informes automatizada ❱ Seguimiento completo de resolución

de incidencias

❱ Seguimiento de Horas y gastos

TeamMate sigue siendo el Líder en Innovación después de todos estos años:

# de departamentos de auditoria que adoptan TeamMate cada día

# de idiomas en que TeamMate está disponible

# de países donde se licencia TeamMate

# de auditores usando TeamMate cada día

# de CPD entregados en los últimos 3 años

Team Mate rev o lu tion, nombre \ tem-mat re-v -loo-sh ne e

1

14

105

90,000

104,000

VISITE TEAMMATESOLUTIONS.COM

O LLAME AL 932533618 / 659055806

TEAMMATE PRESENTA EL NUEVO SISTEMA TEAMMATE

CONTROLS MANAGEMENT (CM)

TeamMate CM ayudará a su organización a gestionar las actividades reguladas por SOX u otras actividades de gestión donde se requiera identificación, evaluación, pruebas e informes de certificación del Cumplimiento Normativo.

www.teammatesolutions.com/CM

NU

EVO

SIS

TEM

A T

EAM

MATE CONTROLS MANAGEMENT (CM

)

TeamMate CM ayudará a su organización a gestionar

las actividades reguladas por SOX u otras actividades de gestión donde

se requiera identificación, evaluación, pruebas e informes de certificación del Cumplimiento Normativo.

www.teammatesolutions.com/CM

“somos un Punto de encuentro Para comPartir exPeriencias”

josé manuel muries, Presidente

e l Instituto de Auditores Internos, nuestra casa profesional, cumple 30 años con buena salud, somos una institución viva, solvente y llena de proyectos. Cuando los 22 socios fundadores iniciaron este camino pusieron las bases de lo que hoy seguimos siendo: el punto de encuentro para que

los auditores internos españoles compartamos nuestra experiencia y nuestras mejores prácticas.

Punto de encuentro y profesionalización fueron el motor de la creación de nuestra institución, lo han sido de su consolidación y lo seguirán siendo en el futuro.

La crisis ha demostrado la necesidad de que empresas e instituciones refuercen sus sistemas de control y mejoren sus sistemas de gobierno para asegurar su supervivencia. Tenemos el reto de que los sistemas de control interno y gestión de riesgos se afiancen en las organiza-ciones en las que trabajamos y que nuestra función sea cada vez más valorada en las empresas y en la sociedad.

El Instituto de Auditores Internos tiene la oportunidad de acompañar a la profesión en este camino. La relación con las nuevas funciones de aseguramiento surgidas por la complejidad de los negocios en un contexto operativo global ocupará sin duda al IAI a medio plazo.

Decía Victor Hugo que el futuro tiene muchos nombres. Para los dé-biles es lo inalcanzable. Para los temerosos, lo desconocido. Para los valientes es la oportunidad.

Y oportunidades son lo que tenemos ante nosotros como profesión y como institución.

Un abrazo

ai 03

hilo directo

Diseño y realización: CD/ON Comunicación

Impresión: IAG, SL

Depósito Legal:M. 25210-1985

ai04

sumarioauditoríainterna

03 Hilo directo “Somos un punto de encuentro para compartir experiencias”

06 entrevista a Manuel Muela caMeno El director de auditoría interna de Barclays relata su día a día.

12 treinta aniversarioEl Instituto de Auditores Internos cumple años con 3.000 asociados.

16 diez preguntas a...Robert B. Hirth, presidente de COSO.

20 el Modelo de las treslíneas de defensa Seguirlo contribuye a actuar en condiciones óptimas.

24 gestión del riesgo de Hojas de cálculoCómo manejar con seguridad esta herramienta de trabajo.

28 custodia de la inforMación La relevancia de almacenarla y tratarla con todo el cuidado posible.

40 los lunes del instituto‘Apetito al Riesgo’, primer documento de la Fábrica de Pensamiento

42 reputación corporativa Carreras, Alloza y Carreras ofrecen las claves de este activo intangible.

44 sugerencias... ...para leer, visitar, degustar y recordar.

46 reflexión personal Eduardo Hevia dedica su carta a los profesionales del IAI.

ai

12. LA CASA DEL AuDItOR INtERNO NACIó EN 1983

32. LOS CONtROLES EN EMPRESAS DE SERvICIOS

36. LAS SIEtE LLAvES DE LA ESCRItuRA EFICAz

06. “AI DEBE ADOPtAR uN PAPEL PROtAGONIStA EN LA AGENDA DE LA ENtIDAD”

Presidente: José Manuel Muries

Comisión Editorial: José Manuel Muries

Javier Faleato Gabriela González-valdésJosé Gabriel Lumbreras

Administración: María Jesús Morcillo

Fátima Roldán

Santa Cruz de Marcenado, 33 28015 Madrid

teléfono: 91 593 23 45 Fax: 91 593 29 32

iai@iai.es www.auditoresinternos.es

N104

del instituto de auditores internos

años

C

M

Y

CM

MY

CY

CMY

K

SAFE-AUD-INTER-205X275-2012.pdf 1 12/17/12 5:09 PM

ai06

ai 07

Manuel lidera el equipo de Au-ditoría Interna de Banca Mino-rista de Barclays para Espa-ña, Portugal, Francia e Italia. Además, dirige la Región de Europa y Oriente Medio para la función en el Grupo Barclays.

Con 17 años de experiencia en el sector financiero, se incorporó a Barclays en el año 2005 como auditor senior, periodo en el que ha visto cómo el departa-mento crecía y se transformaba en un área de alto rendimiento. Ha liderado de forma efectiva trabajos de auditoría en diversas áreas de bancol en Europa, América, África y Oriente Medio, experiencia que le llevó a Barclays Egip-to para formar un equipo de auditoria interna en 2009.La experiencia y capacidad de gestión de Manuel le permitieron asumir la responsabilidad de dirigir la región de Europa y Oriente Medio en agosto de 2010. Entre sus éxitos destaca el establecimiento de equi-

pos locales en Italia y Francia con el objetivo de estar más cerca del negocio y cumplir con las expectativas de los reguladores. Recientemente, ha sido nom-brado miembro del Leadership Forum de Barclays Internal Audit (BIA) del Grupo Barclays en todo el mundo. Con anterioridad a Barclays trabajó en Ca-talunya Caixa, hoy Catalunya Banc, donde inició su carrera como empleado de sucursal para después, en 1998, incorporarse al departamento de Auditoría e Inspección ubicado en Madrid. Primero como auditor y luego como jefe de equipo, realizó auditorías de la red de sucursales por toda España Es Licenciado en Administración y Dirección de Em-presas por la Universidad Autónoma de Madrid, más-ter en Banca Corporativa y de Inversión por el IEB y desde 2009 cuenta con la certificación de auditor interno (CIA). Casado y con cuatro hijos, aprovecha el tiempo libre para estar con su familia y, si el clima lo permite, para dar largos paseos en bicicleta de mon-taña por las afueras de Madrid.

“AuditoríA internA debeAdoptAr un pApel

protAgonistA en lA AgendA estrAtégicA de lA entidAd”

Manuel Muela CaMeno

Director De AuDitoríA internA De

bArclAys

entrevistA

ai08

¿Cómo elabora y coordina el plan anual de Auditoría Interna? ¿qué inputs recibe?La elaboración del plan de auditoría es compleja y requiere el esfuerzo de muchos compañeros, tanto del departamento como de otras áreas del banco. El plan de auditoría sigue un enfoque basado en el riesgo, de acuerdo a los estándares de IIA: el proceso se inicia en el tercer trimes-tre del año y culmina con la apro-bación del Plan por parte de la Co-misión de Auditoría del Grupo. En el caso de España, el plan de auditoría lo aprueba la Comisión de Auditoría de Barclays Bank BBSAU, la filial de Barclays en España. A partir de él, nuestra actividad de auditoría continúa identificando los temas principales en los que nos queremos centrar. Lo primero es en-tender las prioridades estratégicas del banco, ya que los riesgos prin-cipales estarán, como no puede ser de otra manera, alineados con ellas. Por ello, resulta fundamental contar con el input del Comité de Dirección y de los miembros de la Comisión de Auditoría. El universo auditable abarca todas las líneas de producto y áreas funcionales del banco. Es importante compartir nuestra visión del riesgo inherente y el entorno de control de cada una de las unidades auditables con la Dirección para asegurarnos de que existe una visión compartida del riesgo. Asimismo, trabajamos estrechamente con nuestro auditor externo para enten-

der los riesgos a los que se enfrenta la industria.A lo largo del año, BIA monitoriza información de gestión producida por las áreas de control del banco, lo que nos indica qué áreas concentran más riesgo. Asimismo, contamos con los eventos de riesgo internos y de la industria. También es importante uti-lizar las publicaciones realizadas por los supervisores en las que se indican áreas de riesgo para el sector.Una de las tareas resultantes de la elaboración del plan de auditoría es definir los recursos adecuados para poder realizar las auditorías de ma-nera efectiva. En los últimos años, hemos visto que contar con audito-res más especializados por áreas nos ayuda a comprender los riesgos mejor y a elaborar informes mucho más valorados por la Dirección. Por ejemplo, en un entorno de cambio constante e innovación tecnológica exponencial, contar con auditores cuya experiencia se haya desarrollado en la gestión de proyectos o nuevas tecnologías es fundamental.

¿Qué buenas prácticas destacaría del departamento de auditoría inter-na que dirige?Estoy muy satisfecho por el resulta-do de la revisión externa de nuestra función por parte de EY, concluida el pasado agosto, y en la que se evalúa la conformidad con las normas de la profesión definidos por el Instituto de Auditores Internos. El informe describe a BIA como una función de

auditoría interna de alto rendimiento, muy respetada por la mayoría de la Dirección y los Consejeros no ejecu-tivos. El comentario general confirma la posición, autoridad e influencia que ejerce BIA en Barclays. Me gustaría destacar cuatro aspec-tos de BIA: Compañeros, Colabora-ción, Proceso y Desempeño. Estas áreas corresponden a los pilares de nuestra función o 4 P´s en inglés (People, Partnership, Process and Performance). Dentro del apartado Compañeros, nuestra visión es atraer y retener el mejor y más diverso talento para la función de auditoría interna. Tene-mos planes específicos de formación dentro de nuestra escuela interna, conocida como BIA Academy, donde buscamos formar a las nuevas incor-poraciones, así como a aquellos com-pañeros que asumen nuevas respon-sabilidades dentro del departamento. En BIA tenemos un objetivo muy claro como proveedor de talento a otras partes del banco, por lo que todos los directores de la función trabajan estrechamente con otras funciones y líneas de producto junto a Recursos Humanos para identificar y materiali-zar estas oportunidades. Asimismo, tenemos un programa de Guest Au-ditors, que permite contar durante un periodo de tiempo con compañeros del banco que quieran desarrollarse en aspectos de Gobierno y Control.La Colaboración con la Dirección y todas las áreas auditadas del banco es fundamental. Nuestro éxito está

“Lo primero es entender las prioridades estratégicas del banco, ya que los riesgos principales

estarán alineados con ellas"

entrevistAmanuel muela cameno

ai 09

entrevistAmanuel muela cameno

“Cada uno de los trabajos del plan de auditoría está asociado a uno o más de uno

de los pilares estratégicos de EDP”lA orGAniZAciÓn Barclays en España opera a través de dos divisiones de negocio: Banca Minorista, que comprende el negocio de banca de particulares y el negocio de Tarjetas, y la división de Banca Mayorista, a la que pertenece el negocio de Banca Corporativa, Banca de Inversión, Banca Privada y de Gestión de Activos.

bArclAys internAl AuDitLa filial de Barclays en España cuenta con un comité de Auditoría al que reporta el responsable de Auditoría Interna para España (Chief Internal Auditor). La auditoría interna del Grupo Barclays es una función de carácter global, que internamente se conoce como Barclays Internal Audit (BIA) y que emplea a casi 600 profesionales repartidos en más de 15 jurisdicciones. Trabajamos con una metodología única en todo el grupo y dependemos funcional y jerárquicamente tanto del comité de Auditoría del grupo como del consejero delegado, Antony Jenkins.

estructurA MAtriciAl En España, el responsable de Auditoría Interna reporta al presidente de la comisión de Auditoría de nuestra filial española. Trabajamos bajo una estructura matricial, es decir, combinamos esfuerzos con líneas de reporte por producto, por ejemplo en Banca Minorista, con áreas regionales por países en los que el Grupo Barclays está presente.

coMbinAr lo GlobAl con lo locAl Pertenecer a una función global nos permite acceder al conocimiento y a los recursos necesarios para desarrollar una labor mucho más efectiva. Nuestro reto es combinar las prioridades que marca el grupo con las necesidades locales. El apoyo a los equipos locales de BIA es fundamental para gestionar dicho reto.

biA y los supervisores La relación de BIA con los dos supervisores principales, Banco de España y CNMV, la calificaría de muy positiva. A medida que las nuevas exigencias para la tercera línea de defensa aumentan, la relación con el supervisor nos ayuda a entender la aplicación práctica de dichas medidas. Uno de mis objetivos prioritarios es asegurar que BIA cumple con las expectativas de los supervisores domésticos.

“Una comunicación continua y transparente ayuda a construir una relación de mutua

confianza que facilita el proceso de auditoría“

entrevistAmanuel muela cameno

ai10

basado en la capacidad de demostrar el valor aportado por los trabajos de auditoría interna en la mejora continua del entorno de control, cuyo fin último es la consecución de los objetivos del banco. Es normal y entiendo la dificultad con la que tradicionalmente se enfrenta una función de auditoría interna cuando los resultados de nuestras revisiones no son satisfactorios o discrepan de la autoevaluación del área auditada; pero una comunicación continua y transparente ayuda a construir una relación de mutua confianza que faci-lita el proceso de auditoría. Concreta-mente, a través de productos como la auditoría de los procesos de cambio y revisión de áreas que requieren cer-tificaciones externas de control son ejemplos de colaboración estrecha con el negocio fuera del ciclo habitual de auditorías.Las áreas de Proceso y Desempeño están muy ligadas entre sí. En los últimos 12 meses, hemos actualizado nuestra metodología. Hemos buscado un proceso más innovador y sencillo que se adapte mejor a las nece-sidades de los auditores internos, facilitando sus facultades para una emisión mucho más efectiva de las opiniones sobre el entorno de control. Por ejemplo, reducir las capas de revisión, mejorando y homogeneizan-do continuamente la calidad de los compañeros que trabajan en BIA. Por último, la evaluación del Desempeño de la función de auditoría interna ha experimentado cambios significa-

tivos. Medimos lo que hacemos de forma transparente y utilizamos unas métricas que consideran no solo aspectos puramente cuantitativos, sino también cualitativos en línea con las prioridades de Barclays (Balan-ced Scorecard). Esta disciplina nos permite tomar decisiones con más precisión para poder compartir con el Consejo y los reguladores las tareas que lleva a cabo BIA.

Barclays ha tenido recientemente problemas de reputación que le ha llevado a hacer grandes cambios en el banco, ¿cómo ha afectado esto al área de Auditoría Interna?El grupo Barclays respondió con de-cisión a los problemas de reputación surgidos hace poco más de un año. Entre las medidas, el Consejo de la entidad encargó un informe externo al prestigioso abogado Anthony Salz, el Informe Salz, para analizar de for-ma objetiva e independiente valores, principios y estándares de nuestras operaciones, nuestra cultura y re-comendaciones de cambios. Tras la publicación del informe, en el que se pusieron de manifiesto fallos que en su mayoría afectaban a la industria en su conjunto, Barclays ha ratificado su compromiso firme de implantar todas sus recomendaciones. Desde entonces, son muchos los cambios producidos para restablecer la confianza de todos los que traba-jamos en Barclays, nuestros clientes, los accionistas y los reguladores. La Dirección y el Consejo del grupo se

han renovado y han llevado a cabo una profunda revisión estratégica. La Dirección lanzó el programa Trans-form para gestionar la profunda renovación y convertir a Barclays en el banco de referencia para nuestros clientes, empleados, accionistas, reguladores y gobiernos. Transform está constituido por diez proyectos que abarcan aspectos fundamentales como la cultura de control, evaluación del desempeño, revisión continua de las líneas de negocio, costes y relación con los reguladores.Naturalmente, estos cambios han afectado a nuestro departamento. El más inmediato ha sido que nuestro director de Auditoría Interna Global, Mike Roemer, lidera el proyecto de Control de Transform. El objetivo de este proyecto es diseñar un marco de control que sea considerado como mejor práctica por la industria y cum-pla con los requisitos y expectativas de los reguladores. Esta responsa-bilidad significa una demostración de apoyo y confianza por parte de la Dirección a nuestra función.A su vez, implica que todos los com-pañeros de BIA actúen de acuerdo con los valores de Barclays: Respeto, Integridad, Servicio, Excelencia y Res-ponsabilidad. En nuestro caso, tam-bién significa operar con la máxima profesionalidad y tener el coraje de informar sobre aquellas deficiencias de control significativas. Asimismo, la Comisión de Auditoría nos ha pedido que emitamos una opinión sobre la

entrevistAmanuel muela cameno

ai 11

el equipo“El equipo de Auditoría Inter-na de Barclays en Europa está formado por 34 compañeros de siete nacionalidades diferen-tes. Somos un equipo diverso y orientado a ser ejemplo de los valores de Barclays. La gran fortaleza de Barclays Internal Audit es la multiculturalidad

y la diversidad de experiencia acumulada por todos sus miem-bros. Con presencia en Madrid, Milán y Paris, trabajamos de forma muy coordinada. Para ello contamos con una sólida meto-dología cuyo foco es la comuni-cación, siempre abierta y franca a través de todos los niveles”.

cultura de control en el banco, algo innovador y sobre el que un grupo de compañeros de BIA ya ha comenzado a trabajar.

¿Qué grandes retos ve para los audi-tores internos del sector financiero a medio plazo?En mi opinión, hay dos fundamen-tales. En primer lugar, alcanzar y mantener la confianza del Consejo y de la Dirección, de forma que los equipos de Auditoría Interna adopten un papel protagonista en la agenda estratégica de la entidad. Para ello, hay que continuar demostrando que Auditoría Interna cuenta con profesio-nales altamente cualificados que son capaces de entender los fundamentos del sector. Asimismo, es importante desarrollar a los auditores internos en habilidades no solo técnicas sino tam-bién de relaciones personales dentro de la organización.Segundo, ser capaces de adaptar la función de Auditoría Interna a un entorno cada vez más exigente. Los organismos europeos EBA y ESMA son claros en las expectativas de la tercera línea de defensa, las cuales son cada vez más exigentes. Tenemos que entender y opinar sobre una foto más amplia y completa del entorno de control de las entidades. Un en-torno de control sólido, del cual Au-ditoría Interna es un pilar clave que ayuda a la compañía en su percepción externa por parte de numerosos gru-pos de interés, entre ellos los super-visores.

“Contar con auditores especializados por áreas nos ayuda a comprender los riesgos mejor y a elaborar informes mucho más valorados por la Dirección”

ai12

añosdel instituto de

auditores internos

ai 13

el pasado junio, el Instituto de Audi-tores Internos de España celebró el acto central de celebración del 30 aniversario de la

institución. Elvira Rodriguez, presi-denta de la Comisión Nacional del Mercado de Valores, asistió al acto que reunió a más de un centenar de personas: socios, expresidentes y miembros de antiguos comités directivos, representantes de insti-tuciones con las que el Instituto ha tenido contacto a lo largo de estos 30 años y muchos amigos. “Es un motivo de orgullo para to-dos los profesionales de la Audito-ría interna” aseguró Jose Manuel Muries, actual Presidente del Instituto de Auditores internos, “es un momento especial para recor-dar a los que nos han precedido.

Gracias al trabajo de muchos pro-fesionales a lo largo de estos años, el Instituto de Auditores internos es una institución solvente que está preparada para afrontar los retos de futuro de la profesión. El instituto de Auditores internos es, ha sido y será punto de encuentro imprescindible para el progreso de esta profesión”.

de los 22 socios fundadores a cerca de 3000 Dos de los 22 socios fundadores, Alfredo Hierro, expresidente, y Jesús García, exvicepresidente, se mostraron emocionados. “Es maravilloso ver esta realidad”, comentó Hierro. “Cuando fundamos el Instituto no podíamos imaginar dónde íbamos a llegar. Estamos orgullosos. Mucha gente ha traba-jado mucho para llegar aquí, afirmó Jesús García. “Queríamos emular

al Instituto de Auditores Internos americano que ya estaba muy desarrollado y casi, casi lo hemos superado” bromeó García.“Nuestros motivos eran profesio-nales, había departamentos de auditoría interna pero no se ejercía con homogeneidad, no había un método”, subrayó Alfredo Hierro. “Algunos de nosotros que trabajá-bamos en multinacionales ame-ricanas recibíamos la revista del Instituto internacional de Auditores internos y queríamos acercarnos a ellos, que ya tenían mucha expe-riencia y así lo hicimos... gene-ramos nuestro propio punto de encuentro para compartir buenas prácticas”, añadió Hierro.Hoy la institución, 30 años después, reúne a cerca 3.000 socios, audi-tores internos en las principales empresas e instituciones de todos los sectores económicos del país.

1. Panorámica general en los jardines de LASEDE. 2. De izda. a dcha., Inmaculada Salas y Ana María Gil (Tragsa), Javier Fernández (ADIF), Fernando de Pozo y Manuel de Alzúa (Amadeus), Fernando Ballesteros (Mutua Madrileña) y Gregorio Cuñado (Correos). 3. Ernesto Martínez (vicepresidente del IAI), José Manuel Muries (presidente del IAI), Elvira Rodríguez (presidenta de la CNMV), José Luis de los Santos (tesorero del IAI) y Juan Ignacio Ruiz Zorrilla (vicepresidente del IAI). 4. Elvira Rodriguez, en un momento de su intervención. 5. Andy Douglas (Control Solutions), Manuel de Alzúa (Amadeus), Alejandro Barroso (Plus Ultra) y Fernando del Pozo.

➊ ➋

➌ ➍ ➎

ai14

El 29 de septiembre de 1983, hace ahora 30 años, se fundó el Instituto de Auditores Internos de España. El mundo aún vivía la guerra fría; internet sólo existía en el ámbito académico y España era una joven democracia. Era el principio de la II legislatura con Felipe González en la presidencia del Gobierno y una situación económica y social muy difícil.Dice un proverbio chino “cuando bebas agua, recuerda la fuente”. Y siguiendo esa máxima, en este cumpleaños los agradecimientos más efusivos tienen que ser para los fundadores. Ellos fueron los precursores de una asociación

que quería, por encima de todo, situar a la profesión en el sitio que le correspondía. Encabezados por el primer presidente, Florentino Amez, lanzaron una idea, la moldearon y nos marcaron la ruta hacia el futuro.Desgraciadamente, el paso del tiempo es el enemigo silencioso del reconocimiento, pero todavía no ha pasado el suficiente para que nos olvidemos de aquellos socios que sembraron la semilla de la asociación y la cuidaron con mimo en sus primeros años.Hace 30 años, 22 auditores internos fundaron nuestro instituto y lo hicieron con dos propósitos fundamentales:

Crear un punto de encuentro donde compartir mejores prácticas en la auditoría interna,- en la que el mundo anglosajón tenía ya amplísima experiencia de más de 40 años. Querían hacer bien su trabajo: sabían que hacer bien la auditoría interna implica un método: es ejercer una profesión. Las motivaciones que llevaron estos 22 profesionales a la fundación del IAI siguen en el ADN de nuestra institución: punto de encuentro y profesionalización. Esta es la misión del IAI: ayudar a los auditores internos a ejercer profesionalmente.

años

del instituto de auditores

internos

la casa de los auditores internos

1. De izda. a dcha., Isidoro Jurado (Iberdrola), Aldara Redondo (Línea Directa), Raul Beltrán (Acciona) y José Enrique Díaz (Bergé). 2. Vanesa Martínez (Loterías y Apuestas del Estado), Carlos Echevarría (Grupo Mahou), Esperanza Marinar (FNMT) y Loreto Alonso (colaboradora del IAI). 3. José Miguel de Andrés (presidente de EY), Paulino García, (director del departamento de Informes financieros y corporativos de la CNMV), José Antonio Iturriaga (ex presidente del IAI) y Leandro Cañibano (presidente de AECA). 4. Jesús del Barco (director general de la Oficina Nacional de Auditoría), Maria Teresa Campos (directora del servicio de Auditoría Interna de AEAT), Margarita García (CNMV), Gregorio Cuñado (director de Auditoría Interna de Correos). 5. Presidentes del IAI : José Antonio Iturriaga, Alfredo Hierro, José Manuel Muries y Luis Aranaz.

➊

➌ ➎

➋

➍

ai 15

El Instituto de Auditores Internos de España tuvo su origen en una Asamblea Constituyente, presidida por Mr. Evans, y celebrada en Madrid el 29 de septiembre de 1983 en el Hotel Convención de Madrid. Fueron 22 miembros quienes colaboraron en su formación. Tras varios contactos y reuniones previas redactaron el documento de constitución del Instituto de Auditores Internos (IAI), adherido como Capítulo de Madrid, a The Institute of Internal Auditors Inc. (IIA) con sede en EE UU.

los Presidentes

1. Claudio Flabo (Credicoop), recibiendo el QA y Javier Faleato (IAI). 2. De izda a dcha. José Manuel Muries (presidente del IAI), Sonia Vicente (MMT), Marina Touriño (Touriño y Asociados), Daniel Ramos (Safe Consulting) y Raul Beltrán (Acciona). 3.Tomás Merola, María Teresa Campos, Vicente Peirats, los tres de AEAT con Javier Iniesta (Iberdrola). 4. Ana Guirado (Amadeus), Esperanza Mainar (FNMT), Ana María Martínez (AON), Javier Faleato (IAI). 5. Ernesto Martínez, Eloy Paredes, José Luis de los Santos y Javier Faleato.

➊ ➋

➌ ➍ ➎

alfredo Hierro

cómo nació el instituto

D. Florentino Amez CADAvieCo 1983-1984 (fallecido)D. AlFreDo Hierro CuenCA 1984-1985D. moisés miguel gAnDArillAs 1985-1986D. gAbriel muinelo morueCo 1986-1987 (Fallecido)D. eDuArDo HeviA vázquez 1988-1998D. José Antonio iturriAgA miñón 1998-2004D. luis ArAnAz zuzA 2004-2010D. José mAnuel muries 2010- actualidad

1o preguntas a…

ai16

robert b. HirtH Presidente de COSO

usted acaba de ser elegido presidente de Coso durante

los próximos tres años. ¿Cuáles son sus objetivos más inmediatos para su mandato?

En primer lugar, me gustaría re-saltar que es un honor servir en el Comité de COSO y especialmente haber sido nombrado presidente. Me gustaría agradecer a COSO la confianza que han depositado en mí, pero también, y muy importan-te, al Sr. David Landsittel, nuestro anterior presidente de COSO, por su destacado liderazgo. Landsittel supervisó todo el proceso de revi-sión del marco durante los últimos cuatro años y lideró la revisión de marco de control interno que efec-tuó PwC.Mis tres objetivos principales son: a) Introducir de una manera efec-tiva el marco Integrado de Control Interno COSO en el mercado de Estados Unidos y en el resto del mundo, incluyendo la traducción del marco a las lenguas más im-portantes del mundo. El español, por supuesto, es una de esas lenguas y el Instituto de Auditores Internos de España está liderando nuestros esfuerzos, traduciendo la actualización. También, realizaré presentaciones y discursos sobre el cambio del nuevo marco alrededor del mundo durante los próximos años para

darlo a conocer y ayudar a la gente y a las organizaciones a entenderlo para que pueda ser usado de una manera positiva y beneficiosa. b) Continuar con la misión de lide-razgo de COSO a través del desa-rrollo de trabajos de investigación adicionales sobre los temas rele-vantes relacionados con la gestión de riesgos, el control interno y la disuasión de fraude. COSO publicó recientemente dos valiosos informes; el primero, elaborado por Steve McNally, de Campbell Soup, describe un en-foque para hacer la transición al nuevo marco de control interno, y el segundo, realizado con EY, versa sobre cómo puede ser usado el ERM de COSO en relación a los riesgos de sostenibilidad. c) No perder de vista “Qué más podemos hacer” para promover nuestra misión y ayudar a las or-ganizaciones a mejorar sus ope-raciones, la gestión de riesgos, el control interno e impidiendo el fraude. Por ejemplo, una cuestión que deberemos abordar en los próxi-mos años será ¿deberíamos con-siderar la revisión del marco de COSO sobre la gestión de riesgos empresariales? Otra pregunta más inmediata po-dría ser ¿qué más necesitamos hacer para ayudar a las compañías en la transición hacia la actualiza-

ción del marco y cómo hacer para que esta transición se realice con éxito y sea beneficiosa?

¿en su opinión, cuáles son las principales ventajas que

las organizaciones obtienen de un sistema eficiente de control interno?

Un sistema eficiente y eficaz del control interno proporciona a cual-quier organización las siguientes ventajas:● Mayor éxito en la consecución de los objetivos en las áreas donde estos han sido fijados, comunica-dos y donde los controles internos están operando eficazmente para mitigar el riesgo relacionado con esos objetivos.● Aumento de la eficiencia de las operaciones y control sobre la tec-nología.● Mejora de la rentabilidad, ges-tión de riesgos y cumplimiento con leyes y regulaciones e información más confiable.● Incremento de la satisfacción del cliente y empleado.● Menores niveles de fraude.

Hay una demanda creciente de la sociedad que exige

más transparencia. ¿Cómo pien-sa usted que el incremento de transparencia corporativa bene-ficiará a la organización y qué

1

2

3

fue elegido Presidente de Coso Por unanimidad el 1 de junio de 2013 Con un mandato de tres años. Síguele en LinkedIn http://www.linkedin.com/pub/bob-hirth/5/b92/441

efecto tendrá sobre los sistemas de control interno?

Estudios recientes indican que la mejora en la transparencia orga-nizativa aumenta la satisfacción de los grupo de interés, clientes y em-pleados y en algunos casos hasta incrementa el valor de capitaliza-ción del mercado.En los Estados Unidos se requiere a todas las empresas cotizadas certificar que tienen un sistema eficaz de control interno sobre la información financiera externa. Esta certificación debe ser firma-da por el CEO (Director General) y el CFO (Director Financiero).Existe el riesgo de importantes multas e incluso penas de cárcel si se comprueba que esas certifi-caciones no son adecuadas. Este requisito, por supuesto, es parte de la ley Sarbanes -Oxley de 2002, específicamente la sección 404 y el marco COSO es la base usada por las compañías para hacer esta determinación. Mientras a todas las compañías cotizadas de EE UU se les exige realizar esta certificación en los informes anuales que presentan a la comi-sión nacional de valores (SEC), las grandes empresas (con una capi-talización superior a 700 millones de dólares) también deben tener esta certificación firmada por una firma de auditoría externa. China y Japón tienen requisitos similares, pero no idénticos.

¿Qué papel juega la auditoría interna en el sistema de con-

trol interno de una organización?

La definición de la auditoría interna por el Instituto de auditores inter-

nos le asigna un papel explícito en relación al control interno que puede variar, y de hecho varía por distintas razones. En primer lugar, el estatuto de au-ditoría interna aprobado por la Di-rección y el Consejo de Administra-ción determinará en cierta medida su enfoque. En segundo lugar, otros factores como la madurez de la compañía, la capacidad de gestión, grado de regulación, etc. ayudarán a establecer y aclarar el papel específico que la auditoría interna debe asumir en relación al sistema de control interno de una organización. Y retomando la definición del Insti-tuto de Auditores, la función de au-ditoría interna debe tener un papel en el sistema del control interno de forma que “añada valor” para los grupos de interés.

¿Cree que el sector público / estado / gobierno ha enten-

dido la importancia de la auditoría interna?

Sí, en general creo que el sector público entiende la importancia del control interno. Lo que es importante ahora es asegurarse de que está familiari-zado con la nueva actualización del sistema de control interno COSO y considera la forma en que se pue-de adaptar para ayudar a mejorar aún más sus sistemas de control interno sobre las operaciones, el cumplimiento y todas las formas de actividades de información. Estoy seguro de que encontrarán que la nueva revisión del marco de control interno COSO tiene algunas mejoras y conceptos actualizados que serán beneficiosos para ellos.

La organización que ahora preside acaba de aprobar

una actualización de su marco de control interno. ¿Qué llevó a la necesidad de esta actualización y cuáles son los aspectos clave que el nuevo marco proporciona?

Después de veinte años de utili-zación del marco original de 1992, el Comité COSO sintió que había llegado el momento de revisarlo por el cambio de condiciones que se ha producido. Bajo el liderazgo del principal autor, PwC, así como las aportaciones del Comité COSO, un comité asesor independiente y los comentarios públicos, se identifica-ron los cambios claves. Además, los comentarios de la gente sugirieron encarecidamente que el marco debe ser revisado pero no ser reno-vado completamente.Algunos de los cambios en el en-torno desde 1992 hasta 2102 que fueron considerados incluían:● Las expectativas de supervisión del gobierno.● La globalización de los mercados y las operaciones.● Los cambios y una mayor comple-jidad en los negocios.● Complejidad de las leyes, normas y reglamentos.● Las expectativas de la competencia. ● Dependencia e involucración de las tecnologías.● Las expectativas en relación con la prevención y detección del fraude.Un aspecto clave del marco re-visado es su enfoque “basado en principios”, que aclara y añade una estructura adicional a los atributos de control interno en el marco de 1992 a través de la identificación de los 17 principios fundamentales de control interno. La definición básica

ai 17

4

5

6

La función de auditoría interna debe tener un papel en el sistema del control interno de forma que

“añada valor” para los grupos de interés

1o preguntas a… robert b. HirtH

de control interno en el marco de 1992 se ha mantenido, así como las importantes funciones de juicio y el seguimiento del cambio. Los lec-tores también encontrarán que el “cubo COSO” se ha mantenido, aun-que con ligeras modificaciones.

¿Cuáles son los principales riesgos asumidos por una

organización que no tiene audito-ría interna?

Sin una actividad de auditoría interna eficaz, una organización estará ex-puesta a éstos y otros riesgos:● La falta de una función objetiva para considerar los riesgos críticos así como proporcionar asegura-miento en áreas clave para la Di-rección y el Consejo.● Operaciones ineficientes y posi-bles lagunas en el área de cumpli-miento sobre regulaciones así como un control pobre de la tecnología de la información.● Menor fiabilidad en informes in-ternos, externos, financieros y no financieros.● Una cultura corporativa menos efectiva.● Posiblemente, reclamaciones por un sistema de gobierno ineficaz.● Políticas, procedimientos y contro-les pobremente comunicados, que no son probados ni entendidos ade-cuadamente.● Mayor riesgo de fraude● Y, posiblemente, un gobierno orga-nizativo ineficaz.

¿Ha servido la actual crisis económica para resaltar las

debilidades de control interno en las organizaciones o, por el

contrario, ha servido como justi-ficación para el fortalecimiento de los sistemas de control interno existentes?

La crisis financiera mundial, que comenzó alrededor de 2008 y que continúa en varios lugares en dife-rentes grados, remarcó los puntos débiles en el control interno y las fortalezas de los controles de ries-gos más significativos de las orga-nizaciones. Es muy importante re-cordar que no existe un sistema de control interno que proporcione una seguridad absoluta. Todas las orga-nizaciones seguirán enfrentándose a muchos riesgos procedentes de distintas fuentes a los que tendrán que hacer frente de manera efectiva a través de buenos programas de gestión de riesgos, de la excelencia y competencias de las personas, así como a través de controles internos eficaces y buen gobierno. Además, todas las organizaciones necesitan revisar continuamente los cambios y modificar sus sistemas de control interno en función de esos cambios.

¿Ve los sistemas de control internos homogéneos entre

empresas como algo positivo? ¿o es recomendable que éstos sean diseñados ad hoc en función del sector o de las necesidades indivi-duales de la empresa?

Cualquier sistema de control inter-no tiene que tener como objetivo ser eficaz. Las organizaciones ne-cesitan personalizar sus sistemas para tener en cuenta las diferencias en distintas localizaciones, en los procesos, las capacidades de las

personas y otros aspectos diferen-tes para que estos sistemas sean eficaces. El marco COSO reconoce claramente que no existe una “ta-lla única” en el sistema de control interno. El cubo COSO lo muestra específicamente ya que se puede dividir en función de localizaciones, divisiones, unidades... Otro aspecto clave del marco es el uso del juicio profesional por parte de la dirección en el diseño y evaluación de sus sis-temas de control interno. Me gus-taría utilizar las palabras “control interno adaptado adecuadamente” en lugar de “diseño ad hoc”.

¿Cuáles son las característi-cas profesionales clave de un

gran auditor interno?

Algunas de las características profe-sionales fundamentales son:● En primer lugar y ante todo, la integridad y los valores éticos.● El escepticismo profesional y la curiosidad.● Excelente capacidad de escucha y comunicación.● Un fuerte deseo de mejorar conti-nuamente sus propias habilidades y capacidades.● Estar concienciado y abierto a los cambios en el control interno, así como a los factores externos.● Las habilidades técnicas correctas necesarias para hacer el trabajo, in-cluyendo las tecnológicas y las certifi-caciones, ya sean necesarias o no.● Un fuerte interés en efectuar cam-bios positivos en su organización.Y, por supuesto, me gustaría añadir un conocimiento preciso y completo de la revisión del Marco Integrado de Control Interno COSO.

9

10

8

Todas las organizaciones seguirán enfrentándose a muchos riesgos procedentes de distintas fuentes y

tendrán que hacerlos frente de manera efectiva

ai18

7

Composici�n

C M Y CM MY CY CMY K

que te permiten hacer simulacros de examen en tiempo real, ver los resultados y la justificación de las respuestas

Para más información, contacta con el Instituto · www.auditoresinternos.es

Simula

Te facilitamos la mejor herramienta

Más de 2.000 nuevas preguntasadaptadas al nuevo formato de examen · septiembre 2013

Disponible en Junio de 2013

19 PubliCIA.indd 19 14/10/13 22:04:35

El origen de la especie humana remite a dos perspectivas: la visión científica, que lo sitúa como uno más en la evolución biológica de los organismos

vivos de la Tierra, y la visión mítica y religiosa, que lo concibe como un acto de voluntad de uno o varios dioses. La Teoría de la Evolución de las Espe-cies, de Darwin, es a la evolución del hombre, y en general de los organis-mos vivos, lo que desde el punto de vista empresarial es el Modelo de las Tres Líneas de Defensa (en adelante 3LoD) al desarrollo de la estructura de control en las empresas. El 3LoD es el actual modelo para que las compañías operen en condiciones óptimas de acuerdo a la legalidad y estándares profesionales existentes, y que se ha ido conformando como resultado de la evolución natural de las empresas y su entorno económico y social. Este modelo será válido hasta que esas circunstancias vuelvan a cambiar y sea preciso adaptarlo.Por su aparente complejidad, la es-tructura que conlleva este modelo no es susceptible de generación espon-tánea en una organización. Veremos que no deberíamos considerar las líneas de defensa del modelo 3LoD como entes en sí mismos a reproducir en cada empresa, sino como caracte-rísticas o elementos que debe reunir toda estructura de control, indepen-dientemente de las dimensiones de la

compañía en que se constituya. En el presente documento se anali-zará cómo encaja el modelo 3LoD en el mundo empresarial, de modo que a pesar de que exista como modelo preconcebido de control, y que así se recoja en nuestra prensa e incluso en la legislación, no es la empresa la que se adapta al modelo, sino el modelo el que se adapta a cada empresa.

El modEloEl modelo anglosajón 3LoD ha ido creciendo en respaldo y aplicación a lo largo de los últimos años. Es una herramienta útil para explicar y demostrar los diferentes papeles de los responsables en los procesos de gestión y control empresarial (corpo-rate governance) y la relación entre ellos. Adicionalmente, es el modelo que deberían tener las empresas para lograr una estructura de control óptima a las circunstancias que las determinan (regulatorias, de mercado, estándares de calidad, seguridad de la información, etc.). Vamos a analizar cada una de las tres líneas de defensa:■ La primera línea de defensa se ubica en los gestores responsables de las operaciones de negocio, al ser los que mejor conocen los puntos fuertes y débiles de la actividad que desarro-llan, los riesgos internos y externos a que se encuentra sometida, pudiendo valorar controles y medidas aplicables para mitigarlos.■ La segunda línea de defensa la constituye la gestión de riesgos, junto

con otras funciones como la de veri-ficación del cumplimiento normativo (compliance) o la de análisis de la ca-lidad de los procesos. Estas áreas se encargan de gestionar los riesgos de forma eficiente, así como de facilitar y verificar la implantación de medi-das para mitigarlos. Adicionalmente, ayudan a los gestores a reportar esta información en la organización, posibilitando el logro de los objetivos establecidos en la empresa en cada momento.■ Y la tercera línea de defensa, la función de auditoría interna, asesorará a los miembros del Consejo de Admi-nistración y mandos intermedios so-bre la gestión de los procesos, basán-dose en la información de los riesgos existentes y el modo en que operan las otras dos líneas de defensa.Estos tres pilares cubrirían los ele-mentos que constituyen la base del control interno y la gestión de riesgos dentro de la empresa. Adicionalmente, debe tenerse en cuenta la creciente implicación en los temas de control interno de la alta dirección y los mayores requerimien-tos del Comité de Auditoría y Control. A ello ha contribuido la mayor presión legal (incluso penal) en caso de cum-plimiento deficiente de sus funciones de gestión y supervisión, lo cual es especialmente palpable en la Ley Sarbanes-Oxley. Esto ha hecho que en algunos foros se hable de los Comités de Auditoría y Control como la cuarta línea de defensa.

ai20

Alicia Herrera García

“No es el más fuerte de las especies el que sobrevive, tampoco es el más inteligente el que sobrevive. Es aquel que es más adaptable al cambio” Charles Darwin (1809 - 1882), científico británico que elaboró la teoría de que todas las formas de vida se han desarrollado mediante un proceso de selección natural.

El modElo dE lAS 3 lÍNEAS dE dEFENSA ¿NACE o SE HACE?

Finalmente, nos quedan dos factores más: el auditor externo, que debe aportar sus comentarios sobre los estados financieros de la empresa, y el marco regulatorio y normativo en que operan las empresas.Hasta aquí la teoría; pero vamos a revisar el modelo desde la reali-dad empresarial. Del modelo 3LoD se puede comprobar en diferentes publicaciones que los profesionales comparten su validez, pero cuestionan que por su complejidad sea aplicable a todas las empresas. Si analizamos la evolución de algunas de estas corporaciones vemos que la adopción del modelo tampoco es automática, sino que ha surgido tras un proceso de evolución paralelo al crecimiento del negocio e influenciado por factores como la implantación de adelantos tecnológicos, los requeri-mientos del accionariado, la cultura empresarial, los condicionamientos del sector o la regulación del mercado o del país/países de ubicación.

La evolución en la configuración del modelo dependerá de las necesidades de control, que variarán según las características internas de la empresa (tipo de actividad, número de sucur-sales y empleados, etc.) y externas, entendiendo por éstas las corres-pondientes a las condiciones del país (ej. índice de corrupción, grado de desarrollo) y sector de actividad (ej. estándares profesionales).También dependerá de los recursos disponibles para atender las necesida-des de control.Es un hecho para todas las empresas la necesidad de una estructura de control interno como una forma de supervivencia, independientemente de los condicionantes que la influyan al adoptarla. Partiendo de esta base, para facilitar el entendimiento del mo-delo 3LoD, deberíamos hablar de las características o elementos comunes a toda estructura de control: La primera sería la de los controles por los propios gestores. La segunda,

ai 21

El modElo dE lAS 3 lÍNEAS dE dEFENSA ¿NACE o SE HACE?

La Teoría de la Evolución de las

Especies de Darwin es a la evolución del hombre, y en

general de los organismos vivos,

lo que desde el punto de vista

empresarial es el Modelo de las Tres Líneas de Defensa

al desarrollo de la estructura de

control en las empresas

lAS trES lÍNEAS dE dEFENSA

ai22

El pasado mayo, la presidenta de la Con-federación Europea de Institutos de Auditores Internos (ECIIA), Marie Helene Laimay y el de los Tribuales de Cuentas de Europa (EUROSAI), G.D’Oliviera Martins, renovaron el acuerdo que

impulsa la coordinación y la cooperación entre Audi-tores Internos y Entidades

Fiscalizadoras Superiores (EFS) en el sector público. Además, se acordó crear un grupo para establecer cómo utilizar el trabajo de la auditoria interna en las revisiones de las EFS.La reunión fue promo-vida por el presidente del Tribunal de Cuentas

de España y Secretario General de EUROSAI, Ramón Álvarez de Miranda, y el Vicepre-sidente del Instituto de Auditores Internos de España y miembro del Management Board del ECIIA, Juan Ignacio Ruiz Zorrilla.

ECIIA y loS trIbuNAlES dE CuENtAS EuropEoS, máS uNIdoS

De

inte

rés.

..incluir mecanismos de supervisión de las operaciones y la tercera, la garan-tía de independencia de los procesosCuando se asume un modelo como el 3LoD se deben considerar las líneas de defensa no como entes separados, sino como las características funda-mentales de una estructura de control óptima, que permita gestionar los riesgos en toda la organización. Un modelo de control bien diseñado debe posibilitar que el ambiente de control sea asumido por toda la organización.

lA vArIEdAd dENtro dE lA ESpECIE objEto dE EStudIo Siguiendo la terminología empleada por Darwin, las empresas serían una especie de organismo vivo, y como tal, nacen, crecen, se desarrollan y se adaptan al medio o mueren. Y en ese proceso, se van adecuando a las circunstancias que les toca vivir. Esto es quizá más palpable en las grandes corporaciones, a las que vamos a considerar una variedad dentro de la especie empresarial.Tomemos el ejemplo del Grupo Tele-fónica, que en 2012 tenía presencia en 25 países, un promedio de 285.000 empleados, un importe neto de cifra de negocios de 30.980 millones y 312 millones de clientes. Como se ve en el cuadro de la siguiente página, Telefó-nica es el resultado de una historia de más de 85 años de transformación. Desde el punto de vista de negocio, se

han realizado cambios en la estrategia para adaptarse a las demandas del mercado, las de los accionistas y los requerimientos de los reguladores. Desde el punto de vista de la función de control interno, en su transforma-ción se han tenido en cuenta los cam-bios legales en los países donde opera y los estándares profesionales. Vamos a realizar una selección de hi-tos que han configurado la estructura de Control Interno. La empresa cuenta desde su creación con estructura de control por la influencia de ser una compañía con capital americano. Esa estructura se inició con la unidad de Intervención, que aglutinaba las funciones de auditoría, contabilidad y supervisión de operaciones como los pagos. Siguiendo el modelo 3LoD, tendríamos los pilares de las 3 líneas de defensa, estando especialmente reforzada la segunda línea, la super-visión, encarnada por la Intervención, cuyo objeto era primordialmente la segregación de funciones entre Teso-rería y los gestores. En el período 1965-1989, los cambios en la empresa marcan el área de con-trol interno: se produce la automati-zación del servicio telefónico, se desa-rrolla una política industrial, se logra la independencia comercial y se cotiza en la Bolsa de Nueva York. Paralela-mente, Auditoría Interna se constituye como ente propio e independiente de Intervención. En 1999, tras el informe

Olivencia y la constitución de Telefó-nica S.A., se crea la Comisión de Au-ditoría y Control de TSA. En el período 2000-2004 se aprueba por el Consejo de Administración la estructura de Auditoría Interna, para adaptarse a la estructura global del Grupo. Si comparamos el modelo 3LoD, con-siderando cada línea de defensa como un ente, con el modelo de control existente en la actualidad en Telefóni-ca, podemos identificar las tres líneas de defensa. Pero lo que subyace en los cambios que ha sufrido control interno en este grupo empresarial son los elementos sobre los que se ha articu-lado su evolución y que actúan como generadores de valor, elementos que coinciden con las tres características que una estructura de control interno debe de tener en toda empresa, inde-pendientemente de su tamaño.

CoNCluSIóN SobrE El modElo ¿NACE o SE HACE?Tras revisar el caso del Grupo Tele-fónica, vemos que la estructura de control existente desde 1924 se ha ido adaptando de acuerdo a diferentes condicionantes internos y externos hasta llegar a tener su configuración actual, coincidente con la que se pres-cribe en el modelo 3LoD.Toda estructura de control nace y evo-luciona de acuerdo con las circunstan-cias que envuelven la transformación de una empresa.

lAS trES lÍNEAS dE dEFENSA

ai 23

El Consejo de Ministros ha dado el visto bueno al proyecto de ley del nuevo Código Penal que endurece las penas por corrupción y amplía la responsabilidad de las personas jurídicas a las sociedades mercantiles

públicas. Prevé la sanción de los directivos de entidades donde se cometan delitos por falta de adopción de medidas de prevención. La existencia de un sistema de control interno eficaz será considerado como eximente.

AprobAdo El proyECto dE lEy dEl NuEvo CódIGo pENAl

Las empresas del Ibex 35 han incrementado el cumplimiento del Código Unificado respecto al ejercicio anterior. Así se recoge en el Informe anual de Gobierno Corporativo de la CNMV de 2012. Las sociedades del Ibex

siguen el 91,6% de las reco-mendaciones y cinco de ellas cumplen el 100%. Al tiempo, el porcentaje de consejeros independientes se ha incre-mentado en casi dos puntos y el número de consejeras ha crecido un 8%.

lAS CotIzAdAS ESpAñolAS AvANzAN EN buEN GobIErNo

Hitos en eL controL interno deL grupo teLefónicaEN EL GRUPO TELEFÓNICA

Se constituye en Madrid la CTNE, participada por ITTEl estado español toma el 79,6 % de las acciones de la CTNESe logra la independencia jurídica (1945)La CTNE es la primera empresa de España (100.000 accionistas, 32.000 empleados)

Automatización del servicioDesarrollo de una política industrial. Independencia comercialInicio de las comunicaciones por satélitePuesta en servicio de la primera Red de Transmisión de Datos de EuropaSe instala el teléfono 10 millonesEmpieza a cotizar en la Bolsa de Nueva York

Entrada de Sudamérica (Chile, Perú y Argentina)Se lanza Moviline (telefonía móvil analógica)Se lanza Movistar (telefonía móvil digital)

Inicios de Infovía (internet comercial)Se privatiza TelefónicaLanzamiento de ADSL (acceso fijo de banda ancha)

Ampliación de presencia en Sudamérica (con foco en Brasil)

Reenfoque de la estrategia al crecimiento estableLanzamiento de Imagenio (Televisión digital)

Adquisición de Cesky Telecom y activos de O2 (UK, Alemania e Irlanda)Adquisición de la licencia de comunicaciones de Eslovaquia (2006)Afianzamiento de Colombia, Chile y BrasilAlianzas industriales (Italia Y China)

Cambio de estrategia: constitución de T. DigitalAdquisición de Hansenet (Alemania), Jajah (Israel) y Tuenti (España)

Ampliación de presencia en AsiaAdquisición de licencia móvil en Costa Rica

EN CONTROL INTERNO DEL GRUPO

Se constituyen las áreas de Intervención e Inspección (1924)

Auditoría Interna se constituye como ente propio e independiente

Constitución de la Comisión de Auditoría y Control de TSARevisión de Auditoría TI del cumplimiento de la LOPD

Establecimiento del Régimen, Código Ético y Estatuto Funcional de Inspección y Auditoría Interna

Se desarrolla la función de Intervención en Telefónica SA

Aprobación de la estructura global de Control InternoEstablecimiento del sistema de control del riesgo basado en la autoevaluaciónAplicación del CSA (Control Self Assessment)Auditoría Interna interviene en los trabajos de cumplimiento de la Ley Sarbanes – Oxley

Nuevo modelo de riesgos

Desarrollo de un sistema automatizado de supervisión continuaControl Interno coordina la verificación del cumplimiento de la Ley de Responsabilidad Penal de las Empresas

EN ESTÁNDARES PROFESIONALES Y LEGALES

Fundación del Instituto Internacional de Auditores (1941)

Constitución del Instituto de Auditores de España (1983)

LOPDInforme Olivencia: Los Consejos de Administración deben asumir la función general de supervisión

COSO: Establecimiento de un sistema de gestión de riesgos

Ley Sarbanes – OxleyLey de Reforma del Sistema FinancieroLey de Transparencia de las Sociedades Cotizadas

Informe Aldama: Informe anual sobre Gobierno Corporativo

Directiva 2006/43/CE del Parlamento Europeo

COSO: monitorización continua (2012)Reforma del Código Penal Español: responsabilidad penal solidaria de las empresas

1924-1964

1965-1989

1990-1994

1995-1999

2000-2004

2005-2008

2009-2013

Fuente: Intranet de Telefónica SA (Acerca de Telefónica: Magnitudes e Historia)

Hoy en día, todo usuario profesional de un ordenador utiliza hojas de cálculo, ya sea para llevar un control presupuestario, valorar

una inversión o hacer una conciliación bancaria. La hoja de cálculo ha sido, es y seguirá siendo una herramienta utilizada por todos.

Ventajas de la Hoja de cálculo Las hojas de cálculo aportan in-negables beneficios tanto desde el punto de vista del coste, como del de su flexibilidad y rapidez en las operaciones. Incluso disponen de capacidades gráficas que hacen la presentación de la información más amigable. Se encuentran presentes en casi todos los ámbitos de una organi-zación, especialmente en el finan-ciero y el contable. La información reflejada en los Estados Financieros se nutre de información generada en otros procesos de la organización, siendo casi tan crítico el traslado de esa información como la calidad en sí del propio dato que estamos trasladando.

Existen diferentes herramientas para gestionar la información. Los ERP’s permiten vincular la información de las áreas de la organización (RRHH, producción, proveedores, finanzas, etc.), facilitando su tratamiento y agregación. Pero es casi seguro que, a lo largo de la cadena de generación y recopilación de información financiera, aparecerá alguna hoja de cálculo con información crítica para el proceso.

¡ooops, me He equiVocado!En los últimos años se han produ-cido circunstancias que no conviene perder de vista. Tras la quiebra de Lehman Brothers, por ejemplo, una entidad financiera adquirió por error una serie de activos de esa com-pañía porque envió a los abogados que gestionaban la compra una hoja de cálculo que contaba con celdas ocultas no protegidas. Otro ejemplo: Kodak incrementó sus pérdidas en nueve millones de dólares en el tercer trimestre de un ejercicio de-bido a un exceso de ceros detectado en la hoja utilizada para calcular indemnizaciones de sus extraba-jadores. Recientemente, el estudio Crecimiento en tiempos de deuda,

ai24

Se dice que Solo una eSpecie tiene probabilidadeS de Sobrevivir a un holocauSto nuclear: la cucaracha.creemoS que hay otra coSa que también Sobreviviría: la hoja de cálculo. en eSte caSo la explicación no eS científica, Sino práctica.

Andy Douglas y Jesús Lafita Control Solutions

gestión del riesgo de Hojas de cálculo

ai 25

una referencia para implementar las políticas de austeridad de la UE, tomaba como base un análisis de datos realizado en una hoja de cál-culo que, por un misterioso error, no tenía en cuenta la totalidad de los datos recopilados.

¿por qué ocurre?Existe un ciclo de vida para el desa-rrollo de sistemas de información que se debería seguir minuciosamente para reforzar el control interno. Por desgracia, ese ciclo no se sigue nor-malmente en el caso de las hojas de cálculo. El departamento de sistemas de información, por ejemplo, se hará responsable del módulo de aprovisio-namiento del ERP corporativo, pero generalmente no se hará responsable de los modelos de hojas de cálculo,

siendo el usuario final quien se pre-ocupe de la integridad de su modelo y sus datos. Esto, desde el punto de vista de Auditoría Interna, debe considerarse como un riesgo para la organización, puesto que nadie se hace responsable de proporcionar aseguramiento sobre esas aplicacio-nes y los datos usados para la toma de decisiones.

¿compliance?Este riesgo no ha escapado a los reguladores. En España, para las organizaciones con valores cotiza-dos, se hace referencia directa en el documento de trabajo del SCIIFF a la necesidad de control sobre los sistemas y aplicativos, incluidas las hojas de cálculo, que se usan en la generación de la información para los estados financieros. Lo mismo para SOX. Solvencia II y Basilea requieren asegurar la calidad del dato empleado en los modelos utilizados.

riesgosLas principales situaciones de riesgo asociadas a las hojas de cálculo pue-den clasificarse en tres categorías:1/ Fraude, derivado de la falta de procesos de control sobre la hoja de cálculo, incrementando la posibilidad de manipular, borrar y esconder los datos sin el debido control. 2/ Información para la toma de decisiones, empleo de información errónea en procesos de toma de decisiones, así como la posibilidad de difundir información pública falsa. Existen tres tipos de causas: el aplicativo (importar datos erróneos o con parámetros incorrectos, exceso

de entrada de datos manuales, mala utilización de la función cortar/pegar, cambios imperceptibles en celdas, vínculos rotos, etc), los errores en la lógica de la propia hoja de cálculo (formulaciones incorrectas, referen-cias circulares, formato de celdas, etc) o los errores de uso (funciones incorrectas, rangos y referencias, etc).3/ Seguridad, debilidad derivada del uso de las hojas de cálculo, así como la continuidad del negocio, si éstas son realmente claves.

controlesUn buen auditor exigiría que sus sistemas de información dispongan, como mínimo, de los siguientes controles:1/ Control de Accesos, para definir y restringir el acceso, los derechos y los privilegios.2/ Control de Versiones, para ase-gurar la correcta identificación de la hoja actualmente en producción.3/ Control de Cambios, para definir el proceso a seguir para monitorizar cualquier cambio en una hoja crítica.Y, adicionalmente, podría exigir que hubiera evidencia de controles rela-cionados con el desarrollo, con una documentación mínima, controles sobre los datos de entrada, la se-guridad y la integridad, controles de verificación sobre los datos de salida, que exista una adecuada segregación de funciones y que exista una política robusta de respaldo y archivo. Como auditores internos, la pregunta a realizar es si las hojas de cálculo críticas de nuestra organización tienen los controles suficientes para el riesgo que suponen.

Como auditores internos, la

pregunta a realizar es si las hojas de

cálculo críticas de nuestra organización tienen los controles

suficientes para el riesgo que suponen

ALgunos eJempLos De uso De LAs hoJAs De cáLcuLo

Consolidación contable

Provisiones de impuestos

Conciliación de cuentas

Cálculo de valoraciones

Cálculo de ganancias/pérdidas de activos fijos

Analítica de antigüedad de deuda

Ciclo presupuestario

Cálculos de amortizaciones

Estimaciones y forecast

Transacciones con tipo de cambio

Viabilidad de inversiones

Análisis financieros

gestión del riesgo de la Hojas de cálculo¿Cómo mitigar el riesgo que suponen las hojas de cálculo? A diferencia de un ERP, que normalmente tendrá una única arquitectura y marco de control, la propia naturaleza de las hojas de cálculo, donde cada una es un programa o aplicación desarro-llada por el usuario final, dificulta el proceso porque el universo puede ser muy amplio.El proceso de establecimiento de con-troles para las hojas de cálculo puede dividirse en las siguientes fases:1/ IdentIfIcar el unIversoAntes de implementar una política de gestión de hojas de cálculo debemos descubrir el universo de hojas de cálculo (decimos descubrir a propósito, porque los resultados suelen ser un auténtico descubrimiento). Este proceso es potencialmente maratoniano y recomendamos el empleo de herramientas tecnológicas para hacerlo más fácil. Nuestro rigor de auditor nos llevará a identificar no solo las hojas principales de un proceso, sino todas las interdepen-dencias y anidamientos de distintas hojas. La causa raíz de una debilidad de control interno puede estar muy escondida. Un punto importante al identificar el inventario crítico es que se trata de una foto en un momento dado de tiempo. Por su propia natura-leza, las hojas de cálculo se encon-

trarán en constante evolución y, por tanto, pueden necesitar una monitori-zación continua.2/ valorar el rIesgoSeguidamente, se ha de evaluar el riesgo que suponen para la organiza-ción. De nuevo, recomendamos el uso de software especializado para dotar de eficiencia al proceso. la complejidad: cuanto más compleja es la hoja, mayor es la probabilidad de que se produzcan errores y, por consiguiente, mayor es la necesidad de establecer controles. el tipo de hoja de cálculo. Cuanto más cercana sea la hoja de cálculo al pro-ceso de reporte financiero y de toma de decisiones, mayor es el riesgo y la necesidad de establecer controles.

priorizar y definir controlesExisten diferentes controles a aplicar en las hojas de cálculo; desde contro-les muy básicos (el de acceso o el de versiones) hasta otros más sofisti-cados como el control de inputs o el análisis de la lógica de la propia hoja. A medida que el riesgo de la hoja suponga una mayor importancia, deberán aplicarse medidas de control más avanzadas

tipos de control asociados a las Hojas de cálculo.Auditoría Interna debería incluir en su plan los trabajos de evalua-ción de eficacia y eficiencia de los

controles aplicados sobre las hojas de cálculo, al tratarse de ele-mentos clave en la generación de información relevante para todos los procesos de la organización y, en particular, para el proceso de información financiera. Para ello, Auditoría Interna debería disponer de recursos y conocimientos adecuados, teniendo en cuenta la estructura del propio departamento. Puede ocurrir que, al tratarse de una materia bastante técnica, ciertos de-partamentos no cuenten con el cono-cimiento y las habilidades necesarias para este tipo de trabajos, por lo que, siguiendo las recomendaciones de las Normas Internacionales para la Practica Internacional de la Auditoría Interna, puede recurrirse a expertos externos.Consideramos que el control interno y la mitigación del riesgo se produ-ce de manera óptima cuando una organización establece políticas y procedimientos para la gestión de las hojas de cálculo, cuando man-tiene un inventario de hojas críticas y cuando ha implementado formal-mente medidas de control sobre ellas, preferentemente de carácter automático.De manera complementaria, se en-cuentran disponibles en el mercado herramientas tecnológicas y software especializado para la realización de auditorías automáticas e imple-

ai26

gestión del riesgo de Hojas de cálculo

La nueva Ley de Em-prendedores ya es una realidad. Aprobada por el pleno del Congreso a mediados del pasado septiembre, la espe-rada norma pretende potenciar la actividad emprendedora como motor de crecimiento y

base del empleo. Entre las muchas novedades que incorpora destaca la creación del emprende-dor de responsabilidad limitada o la introduc-ción de un nuevo tipo societario, la Sociedad Limitada de Formación Sucesiva. Ésta se cons-

tituye sin capital mínimo y su régimen jurídico es idéntico a las de las SRL, excepto por algunas obli-gaciones encaminadas a garantizar una adecuada protección de terceros. La nueva ley introduce, asimismo, el concepto de IVA de caja por el que

los empresarios pagarán este impuesto cuando co-bren la factura. Además, se crea un mecanismo de negociación extrajudicial de deudas de empresa-rios. Se podrán pactar quitas de hasta el 25% de los créditos y moratorias de hasta tres años.

emprendedores de responsabilidad limitada

De

inte

rés.

..

ai 27

gestión del riesgo de Hojas de cálculo

Mario Alonso ha sido elegido presidente del Ins-tituto de Censores Jurados de Cuentas de España el pasado mes de julio. Tam-bién han sido nombrados los integrantes de la Co-misión Permanente: José

María Bové, vicepresidente-primero; Jaume Carreras, vicepresidente segundo; Javier López-Guerrero, se-cretario general; Luis Ruiz de Huidobro, vicesecretario, e Ignacio García-Zozaya, tesorero.

mario alonso, presidente de los censores de cuentas

Los directivos de primer nivel de las grandes corpo-raciones europeas perciben, incluido el bono a corto plazo, entre 1,3 y 1,4 millones de euros brutos al año. Un direc-tor general de una empresa mediana gana en España

158.000 euros. Estas son algunas conclusiones de un estudio realizado por la firma de selección de directivos Pedersen&Partners. El infor-me señala que el salario base global se ha incrementado un 5,5% en el último año.

sueldos millonarios para los directiVos europeos

mentación de políticas de control aplicadas a las hojas de cálculo, que suponen un importante ahorro de tiempo y de recursos

conclusiónEl riesgo de las hojas de cálculo existe y es importante, aunque muchas orga-nizaciones no sean conscientes.Las entidades subestiman con fre-cuencia el riesgo que supone este tipo de aplicaciones, puesto que sitúan su responsabilidad en el ámbito del usuario final y ésta se diluye a lo largo de la organización. Las entidades suelen carecer de políticas y procedi-mientos específicos para la gestión del riesgo de las hojas cálculo. A nuestro juicio, como con cualquier otro riesgo, deben aplicarse medidas de gestión y de control específicas sobre este tipo de riesgos, que ayuden a mitigar los impactos que pudieran generar. El método básico debería contar con las siguientes etapas:1/ Inventariar el universo de hojas de cálculo en la organización.2/ Valorar el riesgo asociado a cada una de ellas, en función de su comple-jidad y su utilidad para la organización.3/ Priorizar las hojas críticas y aplicar distintos niveles de control según su riesgo asociado.Incluir la evaluación de la eficacia y eficiencia de los controles de las hojas de cálculo en el alcance de los traba-jos de auditoría interna.

cuADro riesgo y mADurez madurez de la gestion de riesgos de hojas de cálculo

Conservar las hojas de cálculo en un servidor central seguro y en subcarpetas restringidas a grupos de personal con responsabilidades similares.

Asegurar que solo las versiones de las hojas de cálculo actualizadas y aprobadas están siendo utilizadas cuando son guardadas, siguiendo las convenciones de nombre establecidas. Incluir el nombre y la ruta.

Supervisar, revisar, aprobar y comprobar todos los cambios realizados en una hoja de cálculo, tales como la adición de nuevas fórmulas, columnas, filas, formato, así como la introducción de mejoras en el diseño.

Las hojas de cálculo deben disponer de procedimientos de documentación actualizados que expliquen brevemente los objetivos del negocio, los objetivos técnicos y todas las funciones de la hoja de cálculo. Asimismo, deben disponer de instrucciones de uso.

Definir claramente las funciones de los usuarios, autorizaciones y responsabilidades para los temas relacionados con la propiedad, la revisión y el uso. Incluir esta información en las propias hojas de cálculo.

Desarrollar un proceso periódico de copia de seguridad de las hojas de cálculo para que la información precisa se almacene de forma segura.

Mantener en una unidad diferenciada del servidor y ordenador un histórico de archivos que no sean susceptibles de actualización y bloquearlos como “solo lectura”.

Inspeccionar la lógica de las hojas de cálculo críticas. Esta revisión debería ser realizada por alguien distinto al usuario o el desarrollador de la hoja de cálculo y ser documentada e incluida en la hoja de cálculo.

Asegurar que los datos incluidos en las hojas de cálculo están seguros mediante la protección de celdas, de hojas de cálculo, de libros y/o de directorios, así como ocultar fórmulas y datos restringidos.

Asegurar la exactitud e integridad de todos los datos introducidos (entradas manuales o descargas). Dependiendo de la fuente esto puede incluir referencias cruzadas a otros sistemas, documentos físicos, etc. Incluir esta información en la hoja de cálculo, tomando nota de las fuentes utilizadas para la referencia cruzada. Esto incluye la utilización de tablas de consultas y colores para identificar las áreas de entrada de datos.

control de acceso

control descrIpcIón

control de versiones

control de cambios

segregación de funciones

Inspecciones de lógica

Backups

archivo

control de inputs

seguridad e integridad de información

documentación

ai28

La reLevancia de La custodia y aLmacenamiento de La información

eL papeL de auditoría internamarc muntañá vergés

CISA, CISM, PMPAuditor Interno de TI en Mutua Universal.

todo dependerá de nuestro negocio y de la criticidad que puedan tener dichos documentos en el mercado en el que operemos. A menudo,

la sabiduría popular se encarga de recordarnos que “la información es poder”, y el poder es dinero, el obje-tivo por el que se mueven casi todas las compañías.La normalidad en el tratamiento de determinada información provoca que, con frecuencia, se pierda la sensibilidad hacia la misma y, por ende, la atención que se le presta a su custodia y/o almacenamiento. Si nuestro negocio es una cadena de supermercados, una factura de nuestro proveedor de latas de refres-co puede resultar crucial, ya que el precio reflejado en ella puede haber sido fruto de un largo proceso de negociación y ser parte de una estra-tegia de mercado. No obstante, para el personal de administración es un documento de trabajo más, pudiendo no apreciar el riesgo que supondría para el departamento de compras que dicho documento llegara a ma-nos de la competencia.La reflexión sobre la importancia de la información en cada compañía es un ejercicio que debe ser realizado de forma regular por parte de la dirección. No tener identificada la

ai 29

todos estaremos de acuerdo en que la divulgación de la historia clínica de un paciente supone un riesgo legal y reputacional para cualquier negocio del ámbito sanitario. pero... ¿resulta igual de delicado perder una factura que nos facilita un proveedor o una lista de potenciales clientes?

información crítica o sensible para el negocio, tanto por su importancia en el desarrollo del mismo como por las leyes que la regulan, implicará no po-der adoptar las adecuadas medidas para protegerla.

Los atributos de La informaciónA grandes rasgos, y sin entrar en tecnicismos ni clasificaciones más extensas propuestas por normativas y estándares varios, la información bien custodiada y almacenada debe contar con los siguientes atributos básicos, independientemente del

soporte en el que se encuentren (in-formático, papel, etc.) (ver cuadro).En el momento en que uno o varios de estos atributos fallan sobre una determinada información, la utilidad de la misma puede verse comprome-tida y, por consiguiente, dificultar el funcionamiento del negocio o la toma de decisiones sobre el mismo.

diseño de un pLan de auditoríaDado que no es frecuente encontrar compañías que tengan desarrolladas completamente políticas y normas en este ámbito, el análisis de riesgos

confidencialidad

integridad

disponibilidad

Acceso a la información únicamente por parte de las personas que cuentan con la adecuada autorización para acceder a la misma.

La información no ha sido alterada ni se ha producido manipulación alguna sobre la misma, se mantiene exactamente tal cual fue generada.

La información está disponible para aquellas personas, procesos, aplicaciones, etc. que deben tener acceso a la misma.

Extravío de documentos, equipos informáticos, charlas en sitios públicos, difusión no autorizada por un empleado, etc.

Borrado o manipulación de determinada información, de forma intencionada o accidental, por parte de un empleado.

No localización de un documento en archivo central o de un fichero en un servidor concreto.

atributo descripción ejemplo de fallo

custodia y aLmacenamiento de La información

ai30

la comisión nacional de la competencia (cnc) impuso multas por un total de 454 millones de euros entre septiembre de 2012 y septiembre de 2013, un 87% más que en el ejercicio anterior, según los datos de su ‘memoria de actividades

2012-2013’. el número de empresas inspeccionadas casi se cuadruplicó du-rante dicho periodo, hasta llegar a 113, frente a las 31 del año anterior.en este periodo llegaron 75 expedientes de los que 34 concluyeron con sanciones, 31 archivados,

cinco quedaron no acredi-tados y otros cinco acaba-ron por la llamada “termi-nación convencional”. de los 34 que concluyeron en sanciones, por las infracciones cometidas se impusieron multas por un total de 454.108.294 euros. se trata de casi el

doble (87,6% más) que en el mismo periodo del año anterior. son datos de la última memoria de la cnc, organismo que desaparece al integrarse en el nuevo superregula-dor, la comisión nacional de los mercados y la competencia (cnmc).

competencia dupLicó Las muLtas en su úLtimo ejercicio

De

inte

rés.

..previo al diseño del programa de trabajo se debe basar en la identifi-cación de:● Leyes y regulaciones de aplicación en esta materia.● Políticas, normas y procedimientos internos.● Posibles clasificaciones y niveles de información existentes.● Repositorios y herramientas de tratamiento de información, tanto a nivel informático como en soporte papel.● Flujos de información, hacia o desde la compañía como procesos internos de la misma.Una vez recabada dicha informa-ción, es de gran utilidad elaborar un diagrama de los diferentes flujos de entrada, tratamiento/almacenamien-to y salida de información y sobre qué soportes se produce, identifican-do también los actores implicados. Llegados a este punto, podremos constatar la complejidad del circuito de información de nuestra compa-ñía y estaremos en disposición de definir el alcance a cubrir por parte de Auditoría Interna. Para cada uno de los soportes o flujos recogidos en el alcance, se deberán identificar los controles existentes, así como otras medidas adoptadas por la compañía en pro de la adecuada custodia y almacenamiento de la información. En base a esta imagen, podremos

identificar si existe alguna ausen-cia de control notable y, para los existentes, podremos desarrollar pruebas de diseño, implementación y eficacia operativa. Para la iden-tificación de los eventos, riesgos y controles puede ser de gran ayuda pensar en cómo se ven afectados los atributos de la información descritos anteriormente.

pLanteamiento deL trabajo de campoNo existe una receta infalible para este tipo de auditorías, ya que, en gran medida, muchos de los con-troles dependen de la sensibilidad y voluntad del personal de la com-pañía respecto a la criticidad de la información. Un enfoque básico de Auditoría Interna se debería basar, como mínimo, en las siguientes fases o etapas, proporcionando a continua-ción algunos ejemplos de pruebas potenciales (ver cuadro).El objetivo final de estas pruebas es poder opinar sobre la madurez de la percepción del riesgo por parte de la dirección de la compañía, así como el cumplimiento de las directrices marcadas por todo el personal y la eficacia de los posibles controles implantados.

principaL probLemática asociadaEl hecho de que el informe recoja as-pectos de mejora y/o recomendacio-nes a menudo transversales, puede hacer surgir la duda sobre a quién dirigir las mismas. Este tipo de pro-yectos debe ir enfocado a la dirección, de modo que asuma como propia la preocupación por la custodia y el almacenamiento de la información, al tratarse de un activo estratégico para cualquier compañía.

No existe una receta infalible para este tipo de auditorías,

ya que muchos de los controles

dependen de la sensibilidad y voluntad del personal de la

compañía

custodia y aLmacenamiento de La información

ai 31

la cnmv ha publicado una guía para elaborar el informe de gestión de las cotizadas para mejorar la información que incluyen. es un marco de referencia voluntario de buenas prác-ticas sobre su contenido y

formato, que ofrece infor-mación sobre la compañía que no tiene cabida en los estados financieros. la guía puede consultarse en http://www.cnmv.es/docportal/publicaciones/grupo/guia_gral.pdf.

impuLso a La información financiera de Las cotizadas

un estudio de la comisión europea sobre el déficit recaudatorio de los estados miembros en materia de iva indica que en 2011 se perdie-ron 193.000 millones de euros por incumplimiento de la nor-mativa o la no recaudación del

impuesto. el informe facilita datos sobre la diferencia entre el iva adeudado y el recau-dado en 26 estados de la ue entre 2000 y 2011; también se exponen los principales factores que contribuyeron a este déficit.

pérdidas muLtimiLLonarias en La recaudación deL iva

etapa 1: identificación de poLíticas/normativas de apLicación

etapa 2: vaLoración deL niveL de concienciación

etapa 3: vaLidaciones técnicas o de campo

ObjetivODeterminar el grado de concienciación respecto a la custodia y almace-namiento de información por parte de la compañía a través de la emisión de directivas y conciencia-ción a alto nivel.

ObjetivOAnalizar el grado de conocimiento o difusión de las iniciativas recogidas en políticas, normas o pro-cedimientos internos por parte de los empleados, así como de los riesgos asociados.

ObjetivOValidar el cumplimien-to de los controles y normativas/procedimien-tos implantados en la compañía por parte de los empleados, así como de los riesgos asociados.

ejemplOs de pruebas● Identificación de normas/procedimientos al alcance de los empleados.● Análisis de actividades de formación o de concienciación respecto a la materia.● Entrevistas a la dirección enfocadas a determinar la percepción de los riesgos asociados.● Revisión de procedimientos operativos de destrucción de documentación en papel y/o soportes o equipos informáticos.

ejemplOs de pruebas● Encuestas a mandos intermedios para conocer las implicaciones operativas de las medidas vigentes o la ausencia de ellas.● Entrevistas a empleados de diferentes departamentos y/o perfiles para validar los conocimientos y los hábitos en custodia y almacenamiento de la información.

ejemplOs de pruebas● Análisis de la tasa de almacenamiento de información en disco duro respecto a unidades de red.● Análisis de la utilización de dispositivos de alma-cenamiento USB.● Análisis de la información contenida en equipos pendientes de destrucción o donación.● Análisis del número de mesas de trabajo que disponen de información sensible fuera del horario laboral.● Análisis del número de armarios sin cerrar o con la llave puesta que tengan información sensible fuera del horario laboral.

Si el riesgo descrito en el informe de auditoría es percibido por las máximas instancias, las iniciativas de subsanación que en él se recojan ten-drán su respaldo y, por consiguiente, se conformarán los equipos interde-partamentales que sean necesarios para implementarlas.

beneficios de estos tipos de auditoríaLa ejecución de auditorías internas sobre la custodia y almacenamiento de la información:● Facilita el cumplimiento de leyes o normas relacionadas como, por ejemplo en España, el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) o Esquema Nacional de Seguridad (ENS).● Incita a la dirección de la compañía a plantearse el valor de su informa-ción y los escenarios posibles a los que se podría enfrentar, ayudando a la concienciación de otros riesgos asociados a la falta de confidenciali-dad, pérdida de competitividad en el mercado, etc.● Al tratarse de una temática trans-versal, que preocupa a la dirección, pero que afecta a todo el personal de la compañía en su manera de traba-jar, el proyecto aumentará el nivel de conciencia sobre la importancia de la información corporativa a todos los niveles.

La declaración sobre normas de auditoría número 70, que se desarrolló en 1992, es una norma de EE UU emitida por el Instituto Americano

de Contadores Públicos (AICPA). El principal objetivo de este estándar era proporcionar al auditor financiero la evidencia suficiente sobre el nivel de control interno implantado dentro de una organización de prestación de servicios, que ha sido subcontratada por el cliente.Al planificar una auditoría sobre los estados financieros del cliente, los auditores pueden realizar los procedi-mientos de revisión del control inter-no en la organización de servicio o basarse en el informe de otro auditor. Pero para las organizaciones de servicios (outsourcing), constituye en muchas ocasiones una carga adicio-nal el hecho de atender diferentes requerimientos de múltiples audito-res de cada organización cliente. Sin embargo, el disponer de un in-forme del auditor de servicio asegura que todas las organizaciones a las que prestan servicio y sus auditores tengan acceso a la misma informa-ción y, en muchos casos, es suficien-te para satisfacer las necesidades de

los auditores de las organizaciones cliente.

Los nuevos estándaresEn diciembre de 2009, en reconoci-miento de la necesidad de un están-dar internacional de un nivel similar al SAS 70, el Comité Internacional de Normas y Estándares de Auditoría (IAASB) emitió la Norma Internacio-nal sobre Aseguramiento nº 3402 (ISAE 3402) titulada Informes de Aseguramiento sobre los Controles en una Organización de Servicios. En abril de 2010, AICPA refleja esta norma mediante la emisión de la Declaración sobre Normas de Ates-tiguamiento nº 16 (SSAE 16), titulado Informe sobre los Controles en una Organización de Servicios. Ambos son efectivos para los períodos de reporte a partir del 15 de junio de 2011, por lo que el informe SAS 70 ha dejado de ser relevante después de esa fecha.Los nuevos estándares son muy pare-cidos al SAS 70, y ambos permiten al auditor de una organización de servicios realizar dos tipos diferentes de intervenciones:Tipo 1. El auditor de la organización de servicios informa acerca de la objetividad en la descripción del sis-tema de control interno, hecha por la administración de la organización de

ai32

eL informe sobre Los controLes en empresas

de servicios

Juan LuqueSocio, ROAC, CRMAGovernance, Risk & ComplianceMAZARS AUDITORES

cristina bausáSocia, CIA, CISA, CRMAGovernance, Risk & ComplianceMAZARS AUDITORES

isae 3402

Estamos en una creciente especialización y deslocalización de los servicios en las organizaciones. Los Centros de Servicios Compartidos, y en general las empresas prestadoras de servicios, necesitan unos criterios homogéneos para la evaluación de su control interno y unos informes independientes que puedan aportarse y aceptarse en las auditorías de sus clientes, y que cubran todas sus exigencias y particularidades, evitando así repetidas revisiones de sus procesos y controles.

servicios; así como sobre la suficien-cia sólo en el diseño de los controles para alcanzar los objetivos de control descritos, para una fecha específica.Tipo 2. El auditor de la organiza-ción de servicios informa acerca de la objetividad en la descripción del sistema de control interno, hecha por la administración de la organiza-ción de servicios; así como sobre la suficiencia en el diseño y la eficacia en la operación de los controles, para alcanzar los objetivos de control des-critos, durante un período de tiempo específico.

La descripción deL sistema de controL internoA diferencia de las SAS 70, en la que la organización de servicios debe propor-cionar una descripción de los contro-les, las nuevas normas ISAE 3402 y SSAE 16 requieren de una descripción más completa del sistema de control de la organización de servicios. En este sentido, la descripción del Sistema de Control debe incluir:● Objetivos de control y controles relacionados.● Aspectos del marco de control in-terno de la organización alineado con COSO: evaluación de riesgos, informa-ción y comunicación, monitorización y el entorno de control.

● Los tipos de servicios prestados, incluidas las diferentes clases de transacciones procesadas.● Los controles compensatorios perti-nentes de las entidades usuarias.● Procedimientos y registros relacio-nados con los servicios prestados, incluido el inicio, autorización, regis-tro, procesamiento y corrección de las transacciones.● Cualquier cambio en el sistema durante el período cubierto por el informe.● Hechos y condiciones relevantes adi-cionales a las transacciones.● El proceso utilizado para elaborar reportes y otra información para las entidades usuarias.Muchas organizaciones de servicio que han obtenido reportes bajo SAS 70 en el pasado, pueden encontrar que sus descripciones actuales ya sa-tisfacen los requisitos de las nuevas normas (ver cuadro final). Para los reportes Tipo 2 de SAS 70, el informe sobre la descripción y la suficiencia del diseño de los controles abarca una fecha determinada que, normalmente, se consideraba el úl-timo día del período de presentación de reportes. Sin embargo, requieren de la opinión sobre el diseño de los controles para todo el período que se examina.

Los controLes en organizaciones de servicios (soc) tipo 1, 2 y 3SSAE 16 realiza una nueva clasifica-ción de los informes sobre los Con-troles en Organizaciones de Servicios (SOC), que tienen por objeto propor-cionar información para hacer frente a los riesgos asociados a un servicio externalizado, complementarios a la propia información financiera. Las nuevas categorías que se han elabora-do para corregir estos malos usos son:1/ SOC1 – Informe sobre los contro-les en una organización de servicios alrededor de la información financiera del usuario. Se trata de un informe del 16 de SSAE.2/ SOC2 – Informe sobre los contro-les en una organización de servicios alrededor de la seguridad, disponibi-lidad, integridad en el procesamiento, confidencialidad o privacidad.3/ SOC3 – Informe sobre la confianza en organizaciones de servicios, co-múnmente conocidos como SysTrust.Los informes SOC1 y SOC2 parecen ser similares; sin embargo, el reporte tiene un alcance diferente. El informe SOC2 involucra específicamente a uno o más de los 5 principales atributos del sistema:A) Seguridad: El sistema está protegi-do en contra de acceso no autorizado.

ai 33

isae 3402. Los controLes en empresas de servicios

ai34

El nuevo indicador puesto en marcha por la Comisión Europea está destinado a medir hasta qué punto las ideas que proceden de sectores innovadores pueden plasmarse en el mer-cado, creando mejores empleos y promoviendo la

competitividad en Europa. Los países de la UE que ocupan las primeras posi-ciones (Suecia, Alemania,

Irlanda y Luxemburgo) lo deben a sus buenos resultados en algunos o todos de los siguientes ámbitos: una economía con un elevado porcentaje de sectores intensivos en conocimiento, empresas innovadoras de rápido crecimiento, número

elevado de patentes y exportaciones competiti-vas. La UE obtiene buenos resultados en compara-ción con otros países no miembros. Suiza y Japón están a la cabeza, pero la UE se sitúa más o menos a la par con EE UU en re-sultados de la innovación.

La ce pone en marcha un nuevo indicador de innovación

De

inte

rés.

..B) Disponibilidad: El sistema está dis-ponible para su operación y uso según los términos contratados o acordados.C) Integridad en el procesamiento: El procesamiento del sistema es comple-to, correcto, oportuno y autorizado.D) Confidencialidad: La informa-ción clasificada como confidencial es protegida de acuerdo a los términos contratados o acordados.E) Privacidad: La información perso-nal es recolectada, usada, retenida, divulgada y eliminada en conformidad con los criterios definidos en los Prin-cipios de Privacidad Generalmente Aceptados (GAAP) emitidos por AICPA.Existen dos tipos de reportes: el Tipo 1 y el Tipo 2.

eL nuevo requerimiento de ‘aseveración’ por parte deL administradorSimilares a los requisitos de Sarba-nes-Oxley, SSAE 16 e ISAE 3402 re-quieren de la aseveración por escrito de la administración de la organiza-ción de servicio acerca del alcance y objetivos de contratación de un auditor de servicio. Esto implica la asignación de responsabilidades adicionales a la administración de las organizaciones de servicios. En el marco de las nuevas normas, las intervenciones de los auditores de servicio estarán “basadas en las

aseveraciones”, por lo que la admi-nistración requiere proporcionar una declaración por escrito.Algunos aspectos destacados de la aseveración de la administración son:● Se incluirá la descripción del siste-ma y se documentará el informe.● Debe basarse en criterios adecua-dos que la administración elija para hacer su aseveración e indicar cuáles son los criterios utilizados.● Un auditor de servicio no está auto-rizado a emitir un informe cuando no cuenta con dicha aseveración.● La administración debe tener una base razonable para su aseveración, lo que puede lograrse a través de actividades de monitorización con-tinua que proporciona evidencia del diseño y la eficacia operativa de los controles.

servicios a su vez subcontratadosLas nuevas normas permiten a las organizaciones de servicios describir el uso de cualquier servicio subcon-tratado, ya sea a través del método inclusivo, o el método de separación. Si la administración opta por utili-zar el método inclusivo por el que la descripción del sistema incluye los controles en la organización subcon-tratada; la administración de la orga-nización de servicio debe determinar

si los controles en las organizaciones subcontratadas están adecuadamente diseñados y/o funcionan con eficacia. Por lo tanto, con el fin de hacer esta determinación y en apoyo a su propia aseveración, la administración tendría que obtener una declaración por es-crito de la organización subcontratada.

apLicación en españaMediante Resolución del Instituto de Contabilidad y Auditoría de Cuentas, de 31 de enero de 2013, se encuentra en período de información pública la adaptación de la Norma ISAE 3402 (NIA 402) para su aplicación en Espa-ña en cuanto a las consideraciones relativas a una entidad que utiliza una organización de servicio.¿Qué hacer para estar preparado? Po-demos ir preparándonos para mejorar nuestro Sistema de Control Interno, e ir documentándolo para abordar una posible Auditoría en base a ISAE 3402 o SSAE 16. Además, ir abordando las siguientes actividades:● Determinar el tipo de reporte y el estándar que se va a aplicar.● Revisar la descripción actual de los sistemas y controles para validar si es adecuada. Implantar una Gestión del Control Interno y de Riesgos efectiva.● Revisar los estándares para obtener el conocimiento adicional acerca de los requerimientos.

isae 3402. Los controLes en empresas de servicios

ai 35

La Organización Inter-nacional del Trabajo (OIT) denuncia que de los 3.000 millones de trabajadores que hay en el mundo, 2.000 millones no tienen un em-pleo decente ya que carecen de derechos y de protección

social. Entre 40 y 50 millones de jóvenes buscan empleo cada año sin encontrarlo, por lo que solo para man-tener la actual cifra de paro juvenil haría falta crear 250 millones de nuevos empleos cada cinco años.

dos tercios de Los empLeos en eL mundo son precarios

La Comisión Europea destinará 660 millones de euros a financiar actividades de investigación de máximo nivel. Se concederán subven-ciones de hasta 3,5 millones por investigador. Británi-cos, alemanes, franceses,

holandeses e italianos son los colectivos más numerosos. La edad media es de 53 años y las mujeres son una minoría. A la convocatoria se presen-taron casi 2.400 solicitudes, lo que supone el 4,5 % más que el año anterior.

660 miLLones de euros para La aLta investigación

COMPARATIvA DE ESTánDARES SSAE 16 Y ISAE 3402

ssae 16 isae 3402

Si un auditor de servicio se da cuenta de que existen desviaciones, como resultado de actos intenciona-dos por personal de la organización de servicio, el auditor de servicio deberá evaluar el riesgo de que la descripción del sistema de la empresa de servicio no se presente adecuadamente y que los controles no estén correctamente diseñados o no funcionen con eficacia.

Las desviaciones no pueden ser consideradas como anomalías al realizar las pruebas de control.

El auditor de servicio puede utilizar la asistencia directa del auditor interno de la organización de servicio.

Los eventos posteriores a la fecha del informe deben darse a conocer, si la naturaleza e importancia es tal que su divulgación sea necesaria para impedir que el informe hacia los usuarios induzca a un error.

El informe incluye una declaración que restringe su uso para la administración de la organización de servicio, las entidades usuarias del sistema de la organización de servicio y los auditores de la organización cliente.

Requiere que la documentación de la intervención sea completada, a más tardar, 60 días después de la emisión del informe.

La administración de la organización de servicio debe proveer al auditor una confirmación por escrito de su reconocimiento y aceptación de la responsabilidad al término de la intervención.

Si la confirmación no es entregada, el auditor puede abstenerse de opinar o retirarse de la intervención.

La norma SSAE 16 tiene ciertos requerimientos adicionales para los reportes de los auditores de servicio que van más allá de los requerimientos de ISAE 3402.

Actos intencionales

Anomalías

Asistencia directa

Eventos posteriores

Uso restringido

Cierre de documentación

Aceptación y continuidad de la intervención

Abstención de opinión

Elementos de reporte

No existe requerimiento

Permite considerar como anomalías las desviaciones identificadas en las pruebas de los controles, siempre que no sean representativas de la población.

No se ha considerado.

No existe requerimiento.

La norma no exige la inclusión de una declaración que restringe el uso del informe, pero no prohíbe la inclusión de la declaratoria de uso restringido. Solo se requiere una declaración que indique el uso previsto por el usua-rio y sus auditores.

Especifica que la documentación debe ser completada de manera oportuna, pero no especifica un número máximo de días para completarla.

No se requiere del reconocimiento, pero sí de la confirmación por escrito.

ai36

EscribE claro

para quE tE EntiEndan y

corto para quE tE lEan

El autorMiGuEl JanEr boEt

Miguel Janer es licenciado en Ciencias de la Información, master en Educación Secundaria y Bachillerato por la Universidad Internacional de Valencia.

Actualmente imparte cursos de escritura eficaz en el Instituto de Auditores Internos y en el Campus Financiero de BBVA. Ha trabajado como periodista económico en Actualidad Económica y la Gaceta de los Negocios. Profesor de Oratoria y

Comunicación y de Lengua y Literatura, imparte talleres literarios y cursos de escritura eficaz para empresas. También es conferenciante.

Ha escrito “Todo queda en familia, cien años de oligarquía financiera en España” (La Esfera de los Libros, 5.000 ejemplares vendidos), “Marketing de Pareja”

(Editoriales Granica y Perramón, más de 15.000 ejemplares vendidos en España y Latinoamérica) y “Ama a tu socio, como a ti mismo” (Editorial Planeta).

Ha colaborado como asesor de estilo en los libros: “¿Hay algún hombre en casa?”, del catedrático de Psicopatología Aquilino Polaino Llorente (Edesclé), y “La

Perfumista”, del perfumista catalán Ramón Monegal (Planeta).

Llaves de escritura eficaz

un informe es como ponerle la guinda o el lazo”, me decía un auditor en una ocasión; cuando en realidad la escritu-ra es la mitad del trabajo.Truco: la redacción física del informe no puede tener solo una o dos entradas en la agenda. Cualquier texto largo se escribe por etapas y necesita diversos momentos: horas, días, semanas para hacerlo. Las etapas para redactar un texto son: reflexión, estructura, revi-sión, corrección y embellecimiento. Solo los grandes genios del lenguaje, como Julio César o Charles Dickens, son capaces de escribir un buen texto de un tirón. El resto tenemos que es-cribirlo por etapas, dejando reposar el trabajo entre una y otra.

Se ha terminado el trabajo de campo y hemos empezado a escribir. Hemos presentado la primera versión al jefe o a un compañero, y nos la han de-vuelto con un: “Dale otra vuelta para mejorarlo”. Para alguien que escribe no hay nada tan odioso: ¿hacia arriba? ¿hacia abajo?; ¿por dónde doy la vuel-ta? ¿por dentro o por fuera? Truco: Cuando escribimos es siem-pre, siempre, siempre, siempre para que alguien nos lea. Hay unas pregun-tas muy simples para que le demos esa vuelta a nuestro texto: 1. ¿por qué escribo este informe, quién me va a leer, qué le interesa o le

ai 37

El laberinto tiene 7 puertas con sus 7 llaves

1ª Escribe

con tiempo y agenda

2ªEscribe… pero para que te lean

3ªOrganiza

tu texto

4ªSujeto + Verbo +

Predicado

5ªLa

maravilla de los verbos

6ªPule,

Recorta…Mejora

7ªEnriquece lo quae has

escrito

El auditor interno es en realidad un escritor a tiempo parcial. Se le exigen “dotes de ex-presión oral y escrita para una presentación clara y objetiva de

informes y opiniones”. Escribir con eficacia es una cuestión técnica. El método de las Llaves de escritura eficaz pone a su disposición técnicas y trucos fáciles de entender y aplicar, que mejoran la eficacia comunicativa de sus textos en poco tiempo. Un auditor interno, cuando escribe, quiere que le entiendan y le atiendan. Escribir por escribir es de locos. Se-gún una comisión técnica del IAI para elaborar un informe sobre la Auditoría Interna de las Tecnologías de la In-formación, una de las habilidades del profesional del sector es “tener dotes de expresión oral y escrita para la presentación clara y objetiva de infor-mes y opiniones”. Por ejemplo, el 77% de los destinatarios de los informes de sistemas son directores generales o de auditoría, profesionales que en-tienden lo justo de la jerga interna del mundo de los sistemas. En la empresa, se publican miles de páginas de informes al año y se gastan miles de horas en difundir informa-ción. Gran parte de lo que se publica no despierta nuestro interés. ¿Por qué? No es cuestión de falta de empe-ño o profesionalidad. Es que muchas veces no es fácil entender lo que se

lee. Amontonar palabras es sencillo. Escribir algo comprensible, es otro cantar. Significa manejarse con la gramática, ortografía, sintaxis, estilo, la teoría del texto… El método de las Llaves de la escri-tura eficaz, que imparto desde hace cinco años en el Instituto de Audito-res Internos, y desde al año pasado en el Campus Financiero del BBVA, muestra el camino para los profe-sionales de la auditoría interna. Hay puertas que atajan la ruta. Es senci-llo: localizas la puerta, coges la llave, la metes en la cerradura, giras, mue-ves la manilla, empujas y pasas. Porque un auditor interno es un escri-tor a tiempo parcial y necesita mane-jar las técnicas y mecánicas básicas de estilo de un escritor profesional. El método de la Llaves de la Escritu-ra Eficaz pone a su alcance técnicas básicas y de trucos del español escrito fáciles de entender, asimilar y aplicar. Con el ejercicio y la repetición mejora de forma significativa la eficacia de la comunicación escrita en poco tiempo.

Cuando un auditor empieza un trabajo, coge la agenda para programar viajes, reuniones, trabajo de campo, etcétera... y deja para el final lo que a veces puede convertirse en lo más complicado: la redacción física del informe. “Escribir

1ª LLAVE Escribir También

nEcEsiTa dE agEnda

2ª LLAVE la comunicación

ai38

la presencia de las mujeres en los altos puestos directivos sigue siendo escasa en toda Europa. Éstas solo representan un 16% de los consejeros de las empresas cotizadas en bolsa de toda la uE. El dato es aún más

llamativo si se analiza el porcentaje de mujeres situadas en la cúpula de las empresas, ya que solo llega al 3% el porcentaje de mujeres en los órganos de toma de decisión, según un reciente informe de la Fundación Ideas. Sin

embargo, en esa media existen importantes diferencias por países, oscilando desde el 4% en Malta hasta el 25% en Finlandia. Pero la brecha de género no es solo empresarial. también alcanza al ámbito político. En la uE,

las mujeres no superan el 24% en los parlamen-tos nacionales ni el 26% en los gobiernos. En el caso del Parlamen-to Europeo, el porcentaje no alcanza el 35% y solo un tercio de los comi-sarios de la Comisión Europea son mujeres.

cotizadas En la uE: solo El 3 % tiEnE prEsidEntas

De

inte

rés.

..gustaría leer a ese quién, qué quiero yo que entienda ese quién…?2. ¿cómo es mi lector, qué sabe y qué no sabe de lo que le voy a contar, cómo puedo captar su atención…?3. ¿me entenderá, le interesa lo que digo, cuánto tiempo me dedicará…?4. ¿cómo tengo que escribir: formal, informal, especializado, divulgativo…?Es muy importante pensar en la per-sona que leerá nuestro texto de forma muy visual y cotidiana, con ejemplos concretos y prácticos, para responder acertadamente las preguntas: por ejemplo, si sabemos que a nuestro jefe le gusta Steve Jobs, pondremos una cita textual de su última biografía.

Los profesionales que escriben libros de texto de español dicen que un texto es una unidad de sentido, significa “una sola cosa”. Un texto bien escrito también tiene unidad y se la da su estructura.Habitualmente, los informes de audi-toría son como actas notariales de lo que sucede dentro de la empresa o en una de sus áreas. Pero todo informe tiene un resumen ejecutivo y unas conclusiones y recomendaciones. La eficacia comunicativa de este compen-dio depende mucho de su estructura.

Truco: los antiguos griegos utilizaban uno muy sencillo:1. Empiezo escribiendo: hablaré de “tres cosas”, y escribo la “1ª cosa es”, la “2ª cosa es” y la “3ª cosa es”.2. Comienzo a hablar, de forma más extensa de la 1ª. Después, hablo y desarrollo la 2ª.Y por último, la 3ª.3. Termino volviendo a recordar la 1ª, 2ª y 3ª cosas, pero ahora de forma un poquitín más desarrollada.No importa que la primera vez escriba literalmente: “Voy a hablar de 3 cosas, la 1ª es…”. Cuando revise, puedo pres-cindir de esos conectores argumenta-les y unir las frases directamente.Ceñirse a solo tres ideas aporta tres beneficios: por parte del que escribe, porque me obligo a seleccionar la información realmente importante, a restringir radicalmente el número de ideas que puedo exponer; para el que lee, porque facilita el recordar; y desde el punto de vista de la comunicación, porque ayuda a centrar la atención en lo que realmente nos interesa.

En la vida siempre hay alguien (o algo) que “hace”, “padece” o “es” “alguna cosa” de una forma “determinada”… Lo mismo en un texto y una frase. Te-nemos que escribir con Sujeto + Verbo

+ Predicado. Da igual que hablemos de un sistema de acceso de usuarios, del control de mantenimiento de una red de cajeros automáticos o del mé-todo de contabilidad de existencias en un almacén. Todo puede reflejarse bajo esta sencilla fórmula sintáctica. De todas formas, es más fácil decir escribe con “sujeto + verbo+ predica-do”, que localizar o usar bien cada uno de estos elementos en una frase. Truco:1. Escribo siempre con frases cortas.2. Mejor de una línea que de dos.3. Y nunca jamás, de más de dos lí-neas. Así las frases se ordenan solas con su sujeto + verbo + predicado.Pero ojo, cuando escribimos un texto acortando las frases, empiezan a pro-ducirse muchas repeticiones de pala-bras: por ejemplo, el núcleo del sujeto. No importa, en las siguientes correc-ciones evitaremos las repeticiones con el diccionario, los sinónimos y algunas sencillas oraciones copulativas y su-bordinadas.

Una de las palabras más importantes que utilizamos cuando escribimos es el verbo. Y ¿cuánto tiempo dedicamos a pensar en los verbos? El verbo no es ese habitante aburrido de las tablas

Llaves de escritura eficaz

5ª LLAVE piEnsa En los vErbos

3ª LLAVE EsTrucTura (organiza)

Tu TExTo

4ª LLAVE EsTrucTura básica dE la oraToria En casTEllano

ai 39

El Grupo Interguber-namental de Expertos sobre el Cambio Climático (IPCC) acaba de presentar su último informe sobre la ciencia relativo al clima en el que señala, de manera inequívoca, que el

cambio climático efecti-vamente está ocurriendo. El documento confirma que hay al menos un 95% de certeza de que las actividades humanas son la principal causa de este fenómeno.

la Mano dEl hoMbrE Es la causa dEl caMbio cliMático

GrI (Global reporting Iniciative) ha encargado al Comité asesor técnico el desarrollo de indicadores sobre discapacidad, para incluirlos en las guías GrI, y que estudie el proceso más apropiado para su ela-

boración e implementación. la decisión es resultado de la campaña del Comité Español de representantes de Personas con Discapaci-dad (CErMI) y la Fundación oNCE en colaboración con KPMG.

la discapacidad sErá incluida En las Guías Gri

de conjugación con el que nos macha-caron en el colegio. Los verbos son que yo “soy” un crack, porque “tuve” un buen profesor de escritura eficaz… A partir de ahora, cada vez que revisemos un texto, tenemos que observar los verbos que utilizamos; pensar por qué utilizamos esa forma verbal en lugar de otra y si podemos… mejorarla.Truco: reglas básicas para utilizar bien los verbos:1. Cuando escribimos, no podemos cambiar del pasado al presente o del presente al pasado sin una razón jus-tificada.2. Casi siempre es mejor una forma simple que una compuesta: mejor decir “jugué” que “estuve jugando”…3. Es mejor una forma personal (las lle-van los pronombres yo, tú, él, nosotros, vosotros o ellos) que una no personal (infinitivos terminados en –ar, -er- ir; o gerundios, en -ando o –iendo). 4. Siempre que podamos, prescindire-mos de las perífrasis: es mejor decir “entro” que “voy a entrar”…5. Siempre que podamos, evitaremos las oraciones impersonales (las que no tienen sujeto) o las pasivas (aquellas en las que el sujeto es el que sufre la acción del verbo)6. Por último, si tenemos que usar algunas vez una oración pasiva, utili-zamos las conocidas como “pasivas reflejas”, las que se escriben con el pronombre “se”.

Cuando creemos que hemos termi-nado el informe de auditoría, llegó el momento de recortar. Se trata de con-seguir lo que decía Tom Wolfe: “Escribe claro, para que te entiendan, y corto, para que te lean”. Las cinco primeras llaves buscan la claridad; la sexta, que nos atiendan. Truco: reducimos el 25% su extensión en líneas, sin tocar nada esencial del contenido. Solo puliendo. Y después llega el pega: repasamos las expresiones para evitar repeticiones de palabras, precisar su contenido o signi-ficado y buscar alguna que suene bien. 1. No repetir una palabra (o familia de palabras) en menos de tres líneas seguidas; buscamos sinónimos o ideas afines en el diccionario.2. Analizar atentamente esas palabras que llamamos “conectores” que sirven para unir frases o párrafos, y pensar si son necesarios. Expresiones como: por tanto, de esa manera, para qué, ya que, el de allí… y muchíiiiiiiiiiiiiisimas más.3. Y, al fin, recapacitamos sobre todas la palabras técnicas o especializadas ¿de verdad es absolutamente necesario e imprescindible utilizar algunos de esos palabros?A veces, confundimos extensión con calidad. Nada más falso. Una frase de

twitter puede ser más significativa o hermosa que una tesis doctoral o una novela. En la escritura eficaz, igual que en un buen informe de auditoría interna, se trata de que el idioma sea invisible: lo que tiene que aflorar con fuerza es el contenido, las ideas e intenciones del autor; no el elenco de recursos gramático-ortográfico-literarios-textuales con que nos regala un especialista.

Llegó el momento de enriquecer el texto: las frases que a lo largo del método hemos simplificado, ahora podemos volver a alargarlas y embe-llecerlas. ¿Y, para volver al principio de frases largas…, todo este rollo?, nos preguntaremos. Sí. Antes de empezar el método amontonábamos palabras igual que se amontonan ladrillos, con más o menos orden, pero simplemente montón. Ahora, ya podemos construir ventanas, dinteles, torreones, cúpulas. Si para llegar aquí hemos simplificado todos los aspectos de los que hemos hablado, ya tendremos edificados los muros de nuestra casa. Ahora comple-témosla para que sea habitable.Pero esto ya forma parte del curso avanzado y probablemente de otro artículo.

6ª LLAVE corTa y pEga

7ª LLAVE para qué sirvE

la sinTaxis

El Instituto de Auditores Internos ha dado a co-nocer la guía “Apetito al Riesgo”, herramienta que ayudará a las orga-nizaciones a definir los niveles de riesgo que están dispuestas a asu-mir y que éstos estén alineados con sus objeti-vos empresariales. Es el primer documento de la Fábrica de Pensamiento, el laboratorio de ideas que ha puesto en marcha el IAI con el objetivo de estudiar temas relaciona-dos con el buen gobierno y la gestión de riesgos de las empresas de habla hispana. El presidente del IAI, José Manuel Muries, se felicitó por la puesta en marcha de esta iniciativa que “generará informes de rigurosa calidad técni-ca, llenará un vacío en el estudio de estas materias

y aprovechará el talento de muchos profesionales españoles”. El documento es toda una novedad porque “aborda este concepto como un instrumento de gestión”.

La gerente de Riesgos de Repsol y coordinadora del trabajo, Teresa Gil, ante un foro repleto de auditores internos de las principales compañías españolas, insistió en su importancia: “La defini-ción del apetito al riesgo por parte de una empresa no garantiza el éxito, pero sin ella toda empresa está abocada al fracaso”.La guía expone los con-ceptos principales, las distintas utilizaciones, las metodologías de aproxi-mación y cálculo y una propuesta esquemática sobre cómo implantar el apetito de riesgo en una organización. Según David Comellas, responsable de proyectos de Consultoría y de la implantación y coordinación del Sistema Interno de Gestión de Riesgos Corporativos de Mutua Universal y copre-

sentador en el IAI, “hasta ahora no existía un do-cumento en español que definiera qué es el apetito de riesgo y que analizara y describiera su implanta-ción en la gestión de una organización”.En la elaboración de este documento han parti-cipado 11 expertos del área de auditoría interna de las empresas Repsol, Mapfre, Mutua Universal, Deloitte, NH Hoteles, Telefónica, EY, PwC y Control Solutions.

los lunes del institutoEL INSTITUTo DE AUDIToRES INTERNoS DE ESPAñA CoNTINUA CELEbRANDo SUS REUNIoNES CoN EL objETIvo DE TRATAR NovEDADES Y TEMAS DE INTERéS

[ Madrid, 23 de junio de 2013 ]

El InstItuto dE AudItorEs IntErnos prEsEntA lA guíA “ApEtIto Al rIEsgo”

Patrocinado por MAPFRE, es el primer documento emitido por la Fábrica de Pensamiento

ai40

Es una herramienta para que las empresas

sepan cómo definir el nivel de riesgo

aceptable en relación con sus objetivos de

negocio

José Manuel Muries, presidente del IAI:

“Esta iniciativa llenará un vacío en el buen gobierno y la gestión

de riesgos de las empresas españolas”

El Instituto de Auditores Internos se ha propuesto analizar la implantación de la función de cumpli-miento en el seno de las empresas españolas.Por ello, el Instituto dedicó a esta cuestión el último encuentro mensual “Los Lunes del IAI” en el que invitó a Caridad Saboya, directora de Administra-ción y de Control Interno del Grupo VIPS. Durante su intervención, Saboya dio a conocer los aspectos más relevantes de la im-plantación de la función de cumplimiento en su empresa.En vIPS, según señaló Sa-boya, la motivación inicial

para implantar esta fun-ción fue cubrir los riesgos penales y legales a los que estaban expuestos. Sin embargo, en una segunda fase, fueron conscientes de que era mucho más que una obligación legal: “Nos ha ayudado a gestio-nar la compañía de ma-nera más diligente y con estándares de calidad más altos y a responder mejor ante terceros. En definiti-va, instaurar esta función nos ha permitido ordenar y estructurar la casa de cara a un buen gobierno y una buena reputación”.En este proceso, según la directora de Administra-ción y de Control Interno

del Grupo vIPS, el papel del auditor interno es crucial: “Es experto en control interno y debe actuar como el impulsor del proyecto”. Saboya reconoce que la función debe contar con el apoyo absoluto desde el más alto nivel, el consejo de administración: “Sólo así llegará hasta el último empleado”, subraya.La función de cumpli-miento y las herramientas que han de ponerse en marcha para llevarla a cabo es una de las prácti-cas anglosajonas que en España se han visto im-pulsadas por la reforma del Código Penal de 2010.

Esta reforma establece, entre otros cambios, res-ponsabilidad penal para las personas jurídicas.Para saber cuáles son las áreas de cumplimiento de una compañía, en primer lugar hay que elaborar un mapa de sus riesgos lega-les en el que se tenga en cuenta la normativa del país y las áreas de nego-cio en las que trabaja. En este momento, muchas compañías de todo tipo de sectores se encuen-tran en pleno proceso de implantación de esta práctica.

La reforma del Código Penal, que establece responsabilidad penal para las personas jurídicas, impulsa la función de cumplimiento en las empresas españolas

más allá del sector financiero donde ya lleva años implantada.

los lunes del instituto[ Madrid, 1 de octubre de 2013 ]

lA ExpErIEncIA dEl grupo VIps En El EstAblEcImIEnto dE lA funcIón dE cumplImIEnto.

Dicha función conduce a una mejora del gobierno corporativo en las empresas españolas.

Caridad Saboya: “La función de

cumplimiento nos ha permitido ordenar la

casa de cara a un buen gobierno y una buena

reputación”

ai 41

otra mirada

La reputación corporativa se ha convertido en uno de los recursos más prometedo-

res para la gestión empresa-rial. La oportunidad de com-petir por la buena reputación ha impulsado el nacimiento de un nuevo liderazgo basa-do en el reconocimiento que los stakeholders otorgan a una empresa, institución, país o profesional. Algunas de las experiencias más innovadoras para afron-tar estos retos y oportunida-des nacieron en España hace diez años, con la creación del Foro de Reputación Corpo-rativa (creado en 2002) y el Instituto de Análisis de Intan-gibles (creado 2004), que se unieron creando Corporate Excellence en junio de 2011.Corporate Excellence – Cen-tre for Reputation Leadership es un laboratorio de ideas sin ánimo de lucro en torno a la gestión de la reputación, la marca, la comunicación y los asuntos públicos. Ha sido creado por BBVA, CaixaBank, Iberdrola, Repsol, Santander y Telefónica (como patronos natos) y cuenta con la aso-ciación de algunas de las empresas públicas y privadas españolas más relevantes, como Adif, Agbar, Bankinter, Correos, Danone, DKV, El Corte Inglés, Gas Natural Fenosa, Mapfre y Renfe. Este conjunto de empresas

emplean a más de 750.000 personas, están presentes en 80 países y suman una capitalización bursátil que representa más del 50% del IBEX 35. El nombre de este laborato-rio de ideas expresa la idea de innovación que encierra la gestión de la reputación. Es un centro de liderazgo reputacional (Centre for Reputation Leadership) que, mediante la gestión de la re-putación, consigue transfor-mar a las empresas en orga-nizaciones excelentes (Cor-porate Excellence). Fieles a esta visión, las empresas que conforman esta organización afirman su posicionamiento al emplear el lema corpora-tivo Leading by Reputation que responde a los retos de competencia del nuevo ciclo económico de la economía de los intangibles y de la reputa-ción, en el que las empresas y las organizaciones compe-tirán por ganarse la confian-za y el favor de sus grupos de interés.Corporate Excellence – Cen-tre for Reputation Leadership es una fundación única en su categoría en el mundo que genera conocimiento apli-cado, introduciendo nuevos modelos y herramientas de gestión de los intangibles en las organizaciones y com-partiendo conocimiento en torno a la gestión de intan-gibles con el resto del tejido

ai42

REPUTACION CORPORATIVACARRERAs, ALLOzA y CARRERAs NOs INTROdUCEN EN EL CARáCTER CIENTífICO dE LA REPUTACIóN CORPORATIVA.

BiBlioteca corporate excellence – liD eDitorial

reputación corporativa

ai 43

empresarial y el mundo académico en torno a seis áreas de actividad: Reputa-ción, Marca, Comunicación, Asuntos Públicos, Métricas y Formación.Con el objetivo de ayudar a las empresas y los profesio-nales a crear marcas fuertes y con buena reputación, capaces de competir en los mercados globales, Cor-porate Excellence – Centre for Reputation Leadership ha creado, en alianza con LID Editorial, la Biblioteca Corporate Excellence cuya última obra es Reputación Corporativa.El texto nos asoma y aden-tra en el fenómeno psico-social de la reputación cor-porativa y hace un recorrido histórico desde la aparición de este concepto hasta que consigue consolidar su carácter científico gracias a las métricas y los modelos para su gestión. Se trata de un compendio de todas las investigaciones y aportacio-nes científicas en la materia analizadas desde una triple perspectiva, la financiera, la psicológica y la socioló-gica gracias a los campos de especialidad de sus tres autores: Ángel Alloza (psi-cólogo), Enrique Carreras (sociólogo) y Ana Carreras (economista).En los últimos años, el panorama empresarial ha evolucionado hacia un mo-

delo que pone de relieve la importancia de los intangi-bles como instrumento de gestión y creador de valor clave para las compañías. En este sentido, la obra que ponen en nuestras manos Enrique Carreras, Ángel Alloza y Ana Carreras apa-rece en un momento muy oportuno, en un momento de transición en el que las empresas están obligadas a reinventarse y desarrollar una capacidad diferenciado-

ra para atraer inversiones, retener clientes y emplea-dos, y construir mayores niveles de satisfacción, fidelidad y confianza hacia sus productos y marcas.Impulsar la buena reputa-ción supone perseguir la excelencia en todos los com-portamientos y actuaciones de la empresa, y después comunicarlo a los grupos de interés, en cuya mente se forman los territorios de marca y donde las per-

cepciones se convierten en actitudes estables, en otras palabras, en buena reputa-ción. Las empresas que han decidido liderar por su bue-na reputación, son aquellas que han introducido en su gestión una dinámica de es-cucha activa de sus grupos de interés. Someterse al es-crutinio de los stakeholders, a lo largo del tiempo y con-siderando de forma holística las áreas fundamentales de la gestión, es un proceso que inevitablemente con-duce a la puesta en marcha de planes de mejora y a la excelencia empresarial.Reputación Corporativa representa la ruta hacia la buena reputación. A lo largo de la obra el lector encontrará las claves para llevar a cabo la gestión de los intangibles entendiendo que el futuro sostenible de las organizaciones a largo plazo, para convertirse en auténticos lideres y en or-ganizaciones excelentes en su campo de actividad, ya no significa liderar por tamaño o por cualquier otra variable financiera. De lo que se trata es de ser líderes en reputa-ción. Conseguir ser la más respetada, la más admira-da, la que despierta más empatía y, por tanto, la que consigue un mayor respaldo y comportamientos favora-bles por parte de todos sus grupos de interés.

LAs 8 CLAVEs A LAs qUE REsPONdE REPUTACIóN CORPORATIVA

➊¿Cuál es el concepto más adecuado para medir y

gestionar la reputación?➋

¿Cuáles son los procesos racionales y emocionales por los que la reputación se convierte en comportamientos de apoyo u oposición?

➌¿Cómo se convierte la reputación en lealtad y en

creación de valor?➍

¿Cuál es el modelo de gestión organizativa más adecuado para la reputación?

➎La reputación permite establecer el balance adecuado entre legitimidad y diferenciación

➏¿Existen múltiples reputaciones o podemos hablar

de una reputación global?➐

Un cuadro de mando con indicadores para cada dimensión de la reputación y un indicador global de

la reputación corporativa➑

¿Cuál es el futuro de la reputación?

ENRIqUE CARRERAs Profesor de la Facultad de Económicas y Empresariales de la Universidad CEU San Pablo

ANA CARRERAs Doctora en Ciencias Económicas y Empresariales por la Universidad CEU San Pablo

áNgEL ALLOzA Director general en Corporate Excellence - Centre for Reputation Leadership, es licenciado en Psicología por la UCM y PCD por el IESE.

los autores:

sugerencias...

ai44

...Para leer ...Para comer

López Torrents nos sor-prende con un documen-

tado relato de la transición financiera española, desde la vieja Bolsa de corrillos y ba-randilleros a los analistas fi-nancieros, las sociedades de valores y los bancos de inver-sión. Es el relato de cómo se forjaron los emprendedores que hoy ocupan puestos cla-ve. Descubre facetas inéditas de personajes públicos como Francisco González (BBVA), Ignacio Garralda (Mutua Madrileña) o César Alierta (Telefónica), y da a conocer cómo se crearon empresas como AB Asesores, Beta Capital, Renta 4, FG Valores o Ibersecurities, que tuvieron una influencia decisiva en el desarrollo del país.

“De la bolsa a la gloria”

RESTAURANTE VILLA MAGNA

INNOVACIÓN eN VeRDe

Este analista económi-co nos sumerge en un

relato corto pero intenso, divertido pero realista, con un trasfondo íntimo pero didáctico. Cuenta su vivencia personal en París hace más de 20 años: cómo vivir en esa jungla sin apenas recursos, organizarse y, como las hor-migas, construir un pequeño ecosistema donde incorporar mejoras, propuestas y posi-bilidades. Según sus pala-bras: “Lo que allí pasó me conecta directamente con mi determinada manera de ver la empresa y la manera de vivirla, y, por supuesto, quien quiera podrá ver el origen de un emprendedor”.

EDITORIAL: EDICIONES DESTINONº DE PÁGINAS: 200

PRECIO: 18,90€

MANUEL LÓPEZ TORRENTS

“Una hormiga en París: Por qué los grandes éxitos empiezan con

una pequeña victoria”

MARC VIDAL

EDITORIAL: ALIANZA EDITORIALCOLECCIÓN ALIENTANº DE PÁGINAS: 104

PRECIO: 12,00€

RESTAURANTE VILLA MAGNA

Pº DE LA CASTELLANA, 2228046 MADRID

RESERVAS:91 587 12 34

villamagna@villamagna.es

Una Estrella Michelín, un concepto innovador, la gas-

trobotánica, y un amplio bagaje son las señas de identidad de este chef que ha cambiado el restaurante que lleva su nom-bre, en Aranjuez, por los fogo-nes de uno de los hoteles más lujosos y exclusivos de Madrid, el Villa Magna. A Rodrigo de la Calle no le falta ilusión para trabajar en este nuevo reto; ni optimismo, porque, como dice, “aquí lo tengo más fácil, con un equipo de más de 20 personas, sólo tengo que preocuparme por cocinar. Se acabó ocuparme de pagos a los bancos, pro-veedores, nóminas…. Mi única preocupación es estar a la al-tura del hotel”. Se ha propuesto renovar completamente la carta del restaurante para darle su toque personal, ese toque verde que le lleva a utilizar productos de temporada y evitar aquellos que no son sostenibles ecológi-camente. Su propuesta incorpo-ra platos vegetales, en línea con el concepto que le hizo famoso, la gastrobotánica. Como suge-rencia, nos indica: “Una nueva versión de nuestra ostra con caviar cítrico, un plato que hi-cimos en 2005 y que ha sido la imagen de ese concepto durante los últimos años”. Precio medio entre 60 y 75€.

Rodrigo de la Calle apuesta por los alimentos sostenibles y ecológicos.

El restaurante renueva su carta con muchas y apetitosas sugerencias.

Rondaba el año 1985 cuan-do veía la luz el primer

número de la revista Audito-ría Interna. Dos años después de constituirse el Instituto de Auditores Internos, la revista iniciaba su andadura con el objetivo de ser un medio de comunicación de todos los avatares de la profesión. En este apartado, resucitamos algunas de las “píldoras” que salpicaban las páginas de aquellos primeros números no exentos de humor:• Cómo lograr que los papeles

de trabajo no se amontonaran era motivo de un artículo que nos venía de fuera. Walter Brown Jr., miembro del IA. Inc. (USA), daba las pautas para elaborar documentos de forma clara y concisa.• Un hecho real: “Investigacio-nes realizadas en Japón indican que los roedores son la tercera causa más frecuente de averías en ordenadores. Parece ser que las ratas son atraídas por las vi-braciones sonoras de 24 KHz de las fuentes de energía. Incluso alguien ha diseñado un cazarra-

tones ultramoderno, que utiliza un generador de 24 KHz para atraer a los roedores, que al acercarse son succionados por

una aspiradora hacia una bolsa que contiene dióxido de carbo-no”. Que se sepa, el invento aún no ha sido patentado.

...Para viajar

ai 45

El otoño trae una renova-ción de olores que invita

a descubrir rincones. Para los amantes de los buenos caldos, un plan perfecto es un paseo por la Rioja Alavesa, delimitada por el río Ebro y la sierra de Cantabria, que la resguarda de los vientos del norte y le otorga un microcli-ma. Su paisaje está dominado por los colores de sus viñe-dos, que cambian en cada época del año, y su actividad está ligada a la cultura del vino y la buena gastronomía. Un recorrido por estos para-jes debe incluir estos encla-ves indispensables: Elciego, Laguardia y Samaniego.

ELciEgoPalacetes del XVII y bodegas recorren este pueblo medie-val dominado por una imagen que ya es característica: la si-lueta multicolor de las Bode-gas Marqués de Riscal. dónde dormir:Elciego HotelDirección: Norte, 1Teléfono: 945 60 65 97email: reservas@elciegohotel.comH/D: 80€ + IVA (fin de semana) H/I: 60€+ IVA (fin de semana)qué visitar:La Ciudad del Vino. Bodegas Marqués de Riscal: complejo diseñado por el arquitecto Frank Gehry que acoge hotel, restau-

lA RIOjA AlAVesA UN PASEO ENTRE VIñEDOS

rante, spa y salas de convencio-nes, junto a la bodega de 1858, una de las más antiguas de La Rioja. Reservas: 945 18 08 88 email: reservations.marquesde-riscal@luxurycollection.com

LagUaRdiaCapital de la zona, es una pintoresca y pequeña po-blación a 18 kilómetros de Logroño. El casco antiguo peatonal invita a pasear hasta la casa palacio del fabulista Samaniego, hoy oficina de turismo y en cuyo sótano se encierra la bodega El Fabu-lista.dónde dormir:El castillo El colladoDirección: Paseo El Collado, 1 Teléfono: 945 62 12 00email: hotel@hotelcollado.comPrecio medio habitación: 125€qué visitar:Las Bodegas Ysios sorprenden en medio del paisaje por ser una edificación espectacular, obra de

Santiago Calatrava.Dirección: Camino de La Hoya, 5 Teléfono: 945 60 06 40email: visitas.ysios@pernod-ricard.com

saManiEgoA 10 kilómetros de Laguar-dia, este pueblo muestra su estampa más característica a la sombra de la iglesia de Nuestra Señora de la Asun-ción, antigua fortaleza a cuyo cobijo se aprieta su conjunto de casas. dónde dormir:Palacio de samaniegoDirección: Constitución, 12Teléfono: 945 60 91 51email: recepción@palaciodesa-maniego.comH/D: 88€ H/I: 77€qué visitar:Bodegas Baigorri. Levantada por el arquitecto Iñaki Aspiazu, es como una caja de cristal encaja-da en el terreno. Teléfono: 945 609 429

...Para recordar

bodEgas MaRqUés dE RiscaL

bodEgas ysios

3O ANIVERSARIO: ORGULLOSOS DE SER PROFESIONALES

Al cumplirse el 30 aniversario de la existencia en España del Instituto de Audito-res Internos (IAI), destaca por encima de cualquier otro logro conseguir que el ejercicio de esta actividad sea una profesión adecuadamente normada y regu-lada, culminación de un largo proceso. Referido al caso de España, conseguir la sólida realidad que hoy es la auditoría interna no ha sido fácil; para ello se

hacía necesario que esta función adquiriera el reconocimiento y la relevancia que hoy se la concede y que entonces no tenía ni siquiera en las compañías en las que existía. En los años 60 y 80, gran parte de su tiempo se utilizaba como auxiliar y colaborador de la auditoría externa, para la realización de los informes de los estados financieros de las empresas que auditaban. Era preciso conseguir la identificación, personalidad y contenido propios de la concepción más actual de la auditoría interna, lo cual exigía que las direcciones de las em-presas tuvieran un claro conocimiento de sus objetivos y posibilidades para ayudar al buen gobierno de las compañías.

La creación del Instituto de Auditores Internos en España, cuyo 30 aniversario gozosamen-te celebramos, es su consolidación. Contribuyó decisivamente a fortalecer la posición y la categoría profesional de los auditores internos dentro de las organizaciones empresariales. Se iniciaba así la concepción de la auditoría interna como una nueva profesión; es decir, una actividad profesional para cuyo ejercicio se precisaba una cualificación adecuada y la formación especializada, y reconocida en todo el mundo para conseguir la capacitación de auditor interno profesional.

En este sentido, el Instituto estableció una primera titulación, denominada auditor interno diplomado (AID). Posteriormente, al vincularse con el instituto global The Institute of Inter-nal Auditors (IIA) que agrupa a más de 120 institutos de auditoría interna en los países de-sarrollados, nuestro instituto fue autorizado para poder preparar y examinar a los auditores españoles que deseaban profesionalizarse y capacitarse como tales dentro a través de la certificación CIA. Únicamente, había que enviar el resultado de los exámenes, consistentes en baterías de test de conocimientos y aptitudes, a la supervisión y aprobación del IIA.En la actualidad, los departamentos de auditoría interna existen en todas las empre-sas españolas importantes, y en todas aquellas cuyos responsables conocen la decisiva aportación de esta función al control interno y al buen gobierno corporativo. Todas están asociadas a nuestro Instituto, que mantiene con ellas una corriente continua de informa-ción, comunicación, seminarios formativos, conferencias sobre temas referidos al control, a la transparencia y gobierno, etcétera. En este sentido, los directores de auditoría interna de las grandes empresas se relacionan con los consejos de administración a través de sus comités de auditoría, o directamente con los propios consejos, figurando en la estructura organizativa de dichas entidades con la más alta calificación laboral, a niveles similares a los de sus altos ejecutivos. Además, gozan de la plena confianza del consejo y disponen de total libertad para el ejercicio de sus funciones y de completa independencia para la formu-lación de sus recomendaciones.

Todo lo que acabamos de exponer anteriormente no hubiera sido posible sin la existencia de nuestro Instituto, y sin el prestigio que a lo largo de estos 30 años que estamos celebran-do ha conseguido, como una institución de representación y desarrollo de la profesión de auditoría interna, plenamente incardinada en la actividad económica y social española.

ai46

Eduardo HEvia, Presidente de Honor AID, CIA.

Reflexión peRsonal

ConseguIr lA sólIDA reAlIDAD que Hoy es lA AuDItoríA InternA no HA sIDo fáCIl

Composici�n

C M Y CM MY CY CMY K

Diploma Oficial del IAI de España

4 horas CPE

La guía de 180.000 profesionales de todo el mundo

Imprescindible para el ejercicio de la Profesión

E - L E A R N I N G2013FORMACIÓN

potencia tu valor

Marco Internacional para la PrácticaProfesional de la Auditoría Interna

nuevo cursoe-learning

nuevo cursoe-learning

02 ACFYD.indd 1 13/10/13 11:25:40