no hace mucho, coincidí con uno de mis primeros auditados, el responsable del departamento financiero de una de las empresas del grupo en el que trabajaba. Por aquel entonces, yo empezaba como auditora interna en el grupo. Entre risas, recordamos anécdotas y me confesó lo que pensó cuando coincidió por primera vez con el equipo de auditoría interna: "¡Están aquí los de la Gestapo!". No es para menos, puesto que, como le sucedió a él, la mayoría percibe al auditor interno como el gran fiscalizador. Aquel que, enviado por el director general, busca bajo la alfombra incidencias o irregularidades para señalar responsables, con la única finalidad de investigar hechos y levantar acta. Pues bien, ésta es una de las posibles vertientes que puede adoptar la auditoría interna: la llamada auditoría del fraude. Se trata de aquella modalidad enfocada a realizar una composición de lugar sobre un problema detectado. Habitualmente, esa composición de lugar sirve como base para tomar decisiones únicamente sobre ese problema. No obstante, la visión actual de la auditoría interna no se limita a esta modalidad, sino que va más allá, puesto que los requerimientos de los distintos reguladores (como por ejemplo la CNMV) y las prácticas de buen gobierno empresarial están llevando a las organizaciones actuales a considerar como básico el control interno. Se engloban en control interno todos aquellos procesos establecidos por el Consejo de Administración y por la dirección diseñados para proporcionar un grado de seguridad razonable para conseguir: a) eficacia y eficiencia de las operaciones; b) fiabilidad, integridad y oportunidad de la información tanto financiera como no financiera; c) cumplimiento de las leyes, políticas y normas aplicables, tanto internas como externas; d) una adecuada gestión de los riesgos que pueden impedir a una sociedad sus objetivos estratégicos; y por último, e) la protección de sus activos. En este contexto, la auditoría interna asume el papel de examinar y evaluar el diseño y la efectividad del sistema de control interno para informar sobre su funcionamiento (habitualmente al Consejo de Administración o al Comité de Auditoría) y promover, en su caso, mediante recomendaciones de valor para el negocio, las mejoras oportunas para un control efectivo a un coste razonable. Auditoría interna no es un órgano ejecutivo, ya que no asume ninguna responsabilidad sobre las operaciones auditadas ni sobre la implementación de las mejoras que propone. Se trata más bien de un departamento formado por un equipo de profesionales especializado y centrado en el análisis y la evaluación de procedimientos para evaluar sus riesgos y controles asociados. Para analizar todos los procesos de la compañía, el auditor interno utiliza un mapa de ruta, es decir, un conjunto de herramientas que le permiten identificar dónde se localizan los riesgos de la organización, entre ellas se encuentra el denominado mapa de riesgos en el que, gráficamente, se pintan los riesgos y los procesos más y menos relevantes de la organización y que permite al auditor definir un plan de actuación plurianual para abarcar el más amplio abanico de procesos con mayor riesgo en el menor número de años posible. La elaboración y la actualización permanente de ese mapa de riesgos suele ser competencia y responsabilidad del departamento de control de riesgos, pero auditoría interna es quien le da validez final tras haber auditado cada una de las áreas de una organización empresarial. Los trabajos de auditoría siempre se realizan en base a una normativa interna disponible, a la realización de entrevistas con los responsables de los distintos procedimientos y a la realización de pruebas de detalle. La finalidad es poder conocer de primera mano cómo funciona la compañía. No existe una receta única que permita obtener el procedimiento óptimo; siempre depende del área a analizar, de las personas afectadas, del momento económico, de los recursos disponibles,… de un sinfín de condicionantes que es necesario incorporar al cocktail que permite generar recomendaciones útiles a la organización. Recomendaciones que, sobre todo, deben ser consensuadas, aceptadas, compartidas y compradas por el auditado puesto que será él quien deberá asumirlas como propias y ponerlas en funcionamiento. En definitiva, a modo de conclusión, la auditoría interna ofrece a la organización un punto de vista crítico y neutro, alejado del día a día que nos sume a todos en una inercia difícil de romper: la auditoría interna no es un fin en sí misma, sino un medio para conseguir que la organización optimice y mejore sus procedimientos.Por Marta Palacio , Responsable de Auditoría Interna de Criteria CaixaCorp