Revista IAI. Presentación Riesgos

1
AuditoríaInterna · Especial 17 Jornadas de Auditoría Interna
En este número especial sobre las 17 Jornadas de Auditoría Interna
resumimos y hacemos balance de las diferentes ponencias que ofre-
cieron los líderes de auditoría interna y de otras disciplinas, a los casi
400 asistentes que acudieron de organizaciones de toda España los
días 21 y 22 del pasado mes de noviembre.
Podemos señalar que los títulos de las ponencias y sus ponentes
cuanto menos despertaron la inspiración y las ganas de superar las
posibles barreras y limitaciones a que nos enfrentamos en nuestras
entidades hoy en día.
Por ello, el Instituto de Auditores Internos de España a lo largo de
2013 seguirá ofreciendo, a través de sus múltiples actividades, las
fórmulas, herramientas y buenas prácticas para promover la innova-
ción y nuevas ideas que enriquezcan nuestro trabajo diario. Entre es-
tas actividades, está el Plan de Formación 2013 con la novedad de la
oferta de cursos e-learning que lanzará el Instituto en el primer cua-
trimestre del año. Un nuevo proyecto para que la formación se en-
cuentre accesible a todos nuestros socios.
En enero de 2013, ha entrado en vigor la nueva edición del Marco
Internacional para la Práctica de Auditoría Interna, el libro de cabece-
ra de todo auditor interno y la referencia de la profesión de auditoría
interna. Además a lo largo de este año publicaremos el Marco
Integrado de Control Interno actualizado (COSO III) del Committee of
Sponsoring Organizations of the Treadway Commission con cambios
sustanciales, adaptados a la realidad actual y mucho más práctico.
Por último, os dejo que disfrutéis, sobre todo a aquellos que no pu-
disteis asistir a las Jornadas, de esta visión resumida de lo que suce-
dió en las 17 Jornadas de Auditoría Interna.
José Manuel Muries
PRESIDENTE

7
Publicación del Instituto de Auditores Internos de España
Presidente: José Manuel Muries
Comisión Editorial:
Eduardo Hevia
Gabriela González-Valdés
Javier Faleato
José Manuel Muries
Coordinación:
Teresa Jiménez
Administración:
Mª Jesús Morcillo
Fátima Roldán
Santa Cruz de Marcenado, 33
28015 Madrid
Teléfono: +34 91 593 23 45
Fax: +34 91 593 29 32
iai@iai.es · www.auditoresinternos.es
BIENVENIDA
Tiempo de inspiración, deja volar tus ideas
José Manuel Muries
8SESIÓN DE APERTURA
La anticipación como clave en un entorno
cada vez más exigente
Ángel Cano
10SESIÓN PARALELA 1.1
El valor de la reputación y el impacto de
los riesgos sobre la marca
Adolfo Carpena · Enric Doménech
Riesgos en el área de Recursos Humanos
Francisco Fernández
Las 7 virtudes de un auditor interno
de éxito
Günter Meggeneder
Implantación de un Cuadro de Mando del
Fraude. Caso Práctico de Auditoría Continua y
herramienta integral de Gestión de Riesgos
Jordi Otero · Cristina Bausá
22SESIÓN GENERAL 2
Entusiasmo y superación
Carlos Soria
COSO 3: principales novedades en el marco
de control interno actualizado
Ramón Abella · Tamer Davut
Marketing de Auditoría Interna.
La experiencia de Mahou-San Miguel
Ángel Etreros · Javier Guerrero
28
32
48
SESIÓN PARALELA 5.1
Generando eficiencia desde la función
de Auditoría Interna
Diego Rodríguez · Patricia Méndez
La función de Auditoría Interna y los
Programas de Integridad Corporativa en Gas
Natural Fenosa
Carlos Ayuso
34SESIÓN GENERAL 3
Perspectivas macroeconómicas en el
entorno actual
Juan Iranzo
44SESIÓN DE CLAUSURA
Cómo ser una gran auditor internos
Philip Ratcliffe
51REUNIONES
52NOTICIAS DEL IAI
El liderazgo del auditor interno
Juan Díaz Carmona
El papel de la auditoría interna en los
procesos de integración de las entidades
financieras. La experiencia de Banco Sabadell
Nuria Lázaro
El Comité de Auditoría: una relación clave
para la función de Auditoría Interna
José Díaz Morales
Internacionalización de la función de
Auditoría Interna. La experiencia de EDP
Azucena Viñuelas
Prevención del riesgo de TI, cibercrimen y
otras amenazas
César Lorenzana
La definición de Key Risk Indicators.
La experiencia de FCC
José Ignacio Domínguez
Diseño: desdecero, estudio gráfico
Impresión: IAG, SL
Depósito Legal: M. 25210-1985
deja volar tus ideas

3
El evento más importante del año para los auditores internos, las 17 Jornadas de
Auditoria Interna, contó con 18 ponencias presentadas por líderes de Auditoría
Interna nacionales e internacionales, stakeholders y expertos en otras discipli-
nas.
En esta ocasión, reunimos en Madrid a casi 400 auditores internos bajo el lema
“Tiempo de inspiración, deja volar tus ideas”, para ayudarles a potenciar la crea-
tividad, la innovación y, en definitiva, a inspirarles a través de las experiencias y
buenas prácticas de nuestros ponentes. Además de proporcionar una oportuni-
dad única para el encuentro entre colegas de la profesión.
Ernesto Martínez, José Manuel Muries, Ángel Cano, José Luis
de los Santos y Juan Ignacio Ruiz Zorrilla
José Manuel Muries
en el acto de bienvenida
Philip Ratcliffe en la sesión de clausura
Ángel Cano durante la sesión de apertura

4
Agustín Rodríguez, Reyes Fuentes,
María Meléndez y Juan Carlos Peña
Fernando del Pozo, Juan Ignacio Ruiz Zorrilla,
Carlos Crespo y José Manuel Muries
Rafael del Río, Jesús Aisa y Eloy Paredes
Gregorio Hernández, Beatriz Cordero
y Miguel Ángel Gutiérrez
Miguel Ángel Matiacci
y Jesús Alberto González
Iker Spell
Enrique Summers, Juan Carlos Chávez y
Luis Lafuente
Patricia Méndez
Azucena Viñuelas
Enric Doménech, Adolfo Carpena y Ángel Juárez

5
Patrocinadores
y expositores

Patrocinador Oro
Patrocinador Plata
Patrocinadores
La ayuda de las las entidades patrocinadoras ha contibuido
decisivamente a hacer posible la celebraci—n de estas jornadas
GRACIAS

7
José Manuel Muries
PRESIDENTE. INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Tiempo de inspiración, deja volar tus ideas
En este contexto, los auditores internos están obligados a aumentar al máximo su profesionalidad. Tienen que mejorar lo que
mejor saben hacer: proporcionar aseguramiento y consulta; anticiparse a los riesgos; coordinar las líneas de control o su visión
de largo plazo. Por otro lado, a los empresarios les corresponde, “aplicar una transparencia radical”. Y por último, los legisla-
dores europeos y españoles deberán “proporcionar marcos regulatorios que generen la seguridad jurídica necesaria y hagan
de Europa y de España un zona donde invertir con confianza”.
En su discurso de bienvenida, José Manuel Muries –Presidente del Instituto
de Auditores Internos de España– repasó las responsabilidades
de los legisladores, los empresarios y los auditores internos para salir
de la crisis.
BIENVENIDA

8
SESIÓN
DE
APERTURA
Ángel Cano
CONSEJERO DELEGADO. BBVA
Ángel Cano, resaltó en su exposición la relevancia que tie-
ne la labor del auditor interno para el buen funcionamiento
de las entidades. Subrayó que el papel del auditor interno
es “fundamental” porque identifica las áreas que necesitan
mejoras, propone soluciones y ayuda a las empresas a que
sean más fuertes y más seguras, antes de que dichas áreas
se conviertan en amenazas que puedan desestabilizar la
actividad de la compañía. Además, señaló que es bueno
que haya controles y análisis a la banca, y abogó por que
este tipo de controles también se realicen en otros países.
Respecto a la situación económica actual, Ángel Cano des-
tacó que el futuro de Europa “pasa por más Europa” y que
se están dando pasos en la dirección correcta. Sobre Espa-
ña, el Consejero Delegado de BBVA resaltó que en los últi-
mos años se han emprendido muchas reformas y sigue
siendo necesario mantener el “espíritu reformador” para
SESIÓN
DE
APERTURA
El papel del auditor interno
es “fundamental” porque
identifica las áreas que
necesitan mejoras, propone
soluciones y ayuda a las
empresas a que sean más
fuertes y más seguras.
Ángel Cano
CONSEJERO DELEGADO. BBVA
La anticipación como clave
en un entorno cada vez más exigente

9
El futuro de Europa
“pasa por más Europa”
y se están dando pasos
en la dirección correcta.
salir de la crisis con un potencial cre-
cimiento por encima del resto de los
competidores.
Por último describió los cuatro ele-
mentos irrenunciables para un nuevo
modelo de éxito:
· La diversificación, imprescindible
para lograr la resistencia en cual-
quier entorno.
· La orientación a cliente. Es decir,
centrar el negocio en generar rela-
ciones estables y a largo plazo con
los clientes.
· Prudencia y anticipación, imprescin-
dibles en un entorno tan cambiante
· Principios y personas.
En definitiva, una industria financiera
diferente con grandes retos y grandes
oportunidades.
Resumen: Instituto de Auditores Internos de España

10
El valor de la reputación
y el impacto de los riesgos sobre la marca
En la valoración y percepción de la reputación cada vez son
más importantes la integridad y el cumplimiento de los
compromisos y de las expectativas. “La reputación funciona
como círculos de confianza y se construye desde dentro ha-
cia fuera. El éxito radica en gestionar las expectativas de
los stakeholders” (Corporate Excellence 2012).
Una Buena Reputación:
· Consigue mejores valoraciones y cotizaciones de la em-
presa.
· Incentiva la permanencia de los inversores.
· Apoya e impulsa la expansión en el mercado.
· Impulsa las recomendaciones positivas y el incremento
de las ventas.
Una Mala Reputación:
· Pérdida de confianza en los productos y servicios.
· Pérdida de confianza y lealtad de los empleados.
· Descapitaliza la empresa / Incrementa coste de capital.
· Genera rechazo y recomendaciones negativas.
· Impacta negativamente en los objetivos y en la marca.
Gestión del riesgo reputacional
Existen dos tipos, acelerador de otros riesgos –operacional–
y riesgo puro derivado de terceros. El riesgo reputacional es
muy transversal y sin propietario.
Pasos importantes a realizar en la gestión de riesgo reputa-
cional:
1. Establecimiento de la situación: identificar cuáles son
las fuentes de valor de la reputación de la compañía;
identificar quienes son los verdaderos stakeholders y
sus expectativas; establecer priorización entre los stake-
holders en función del nivel de influencia en los objeti-
vos y estrategia; analizar posibles desfases entre la re-
putación percibida por los stakeholders y la realidad.
SESIÓN
PARALELA
1.1
Adolfo Carpena
DIRECTOR GENERAL DE AUDITORÍA INTERNA. GRUPO CODERE
Enric Doménech
SOCIO. BDO
La reputación es algo que cuesta décadas construir y que se puede destruir en
un momento, quizá porque se basa en la confianza.
Análisis de la reputación
Fuente: Reputation Institute, 2011
Percepción
Realidad+-
+ -
-
+
+
+
-
-
+
-
Alto riesgo
2. Análisis de riesgos: identificación de eventos y/o acon-
tecimientos que pueden dañar la reputación de la com-
pañía; identificar los cambios de expectativas de los sta-
keholders y la falta de alineación entre objetivos y ex-
pectativas; evaluar la probabilidad de ocurrencia y su po-

11
sible impacto sobre la reputación y la confianza; estable-
cer una priorización sobre su control, mitigación, infor-
mación e implantación de acciones.
Hay que considerar tanto riesgos internos (éticos y de
conducta como fraudes o malversaciones, directivos co-
mo incompetencia e incumplimiento de objetivos, ope-
rativos y de comportamiento) como riesgos externos
(derivados del sector y derivados de competidores o
empresas relacionadas
En resumen, hay que considerar la importancia de la cultura
corporativa, los sistemas de información para la priorización
de expectativas y el contraste con cumplimiento, poner én-
fasis en códigos de conducta, la importancia de los canales
de denuncia, la función de cumplimiento para asesorar, im-
plantar y supervisar, la transmisión de valores a través de la
formación y de la cultura de empresa.
El Grupo Codere, multinacional española referente del juego
privado, opera en 8 países en Europa y América. Gestiona
cinco áreas de negocio: terminales, salas de juego, puntos
de apuestas, hipódromos y juego on line. Además, es la
primera y única empresa que cotiza en bolsa desde 2007.
Para el Grupo Codere, la marca consigue una unidad de
imagen visual de la compañía, permite identificar correcta-
mente al Grupo por parte de su público de interés y contri-
buye a una mayor penetración comercial de la Empresa y la
posiciona.
Los riesgos identificados en Codere sobre la marca son: re-
clamaciones, noticias, seguridad, resultados, fraudes y las
redes sociales.
¿Qué hacen en la dirección de auditoría interna
del Grupo Codere para proteger la Marca
y la Reputación?
Encaminados a la cultura de la organización:
Revisar el cumplimiento de procedimientos.
Sesiones Informativas/formativas.
Comités de mejora y seguimiento.
Apoyo a proyectos de interés (código ético, gobierno cor-
porativo, etc.)
Evaluación constante del riesgo.
Encaminados al cumplimiento Regulatorio y Normativo:
Vigilancia de operaciones legítimas.
Documentación legal (Licencias, producto, etc.)
Marco contractual.
Marco fiscal, etc.
Los riesgos identificados sobre
la marca son: reclamaciones,
noticias, seguridad, resultados,
fraudes y las redes sociales.

12
Riesgos en el área de Recursos Humanos
Hoy más que nunca las organizaciones necesitan que di-
chos departamentos les ayuden en el proceso de transfor-
mación de los negocios, revisando valores y cultura, fomen-
tando el enfoque a resultados y asegurando unos niveles
de flexibilidad imprescindibles para hacer frente a una de-
manda cambiante potenciando la medición del desempeño
y gestión en base a evidencias que permita identificar a
nuestros mejores profesionales, teniendo muy presente que
la forma en que gestionemos hoy marcará el futuro de las
organizaciones.
En el informe “Creating People Advantage”, elaborado por
Boston Consulting Group, se recogen algunos de los retos a
los que ha de hacer frente la función de Recursos Humanos
en los próximos años. Destacan:
La escasez de talento y liderazgo por la que, a pesar de la
situación de desempleo que vivimos en España actualmen-
te, tendremos que competir por los mejores profesionales
con los denominados países emergentes y con aquellos
países que tradicionalmente han sido países con un potente
branding como empleadores (países anglosajones, Alema-
nia, etc).
La población activa es cada vez más mayor y la natalidad
en los países desarrollados es cada vez más baja. Lo que
en un futuro cercano provocará la convivencia de hasta seis
generaciones en las organizaciones con las implicaciones
que esto tendrá en las relaciones laborales y en la forma
de gestionar personas.
Las empresas son cada vez más globales y la gestión de
personas se debe plantear como una responsabilidad global
a la que ésta hace frente con un doble objetivo: por un la-
do, dotarse de los mecanismos capaces de gestionar la
complejidad resultante en términos de capacidad y eficien-
cia; por otro lado, definir políticas de gestión de personas
que sean capaces de abordar la diversidad y al mismo
tiempo mantener la conexión e identidad corporativa de las
organizaciones
El bienestar emocional de los empleados es ahora más
importante, teniendo muy presente que el salario es im-
portante pero hay mucho más... Compensación y benefi-
cios, conciliación, reconocimiento, desarrollo y oportunida-
des de carrera.
Dichos retos entre otros, solo se podrán gestionar si se
consigue establecer un nexo entre la estrategia de negocio
a largo plazo y la estrategia de gestión de personas.
Múltiples análisis muestran que se debe potenciar la rela-
ción entre estrategia, métricas y Recursos Humanos, y la
vía para ello pasa por la elaboración de un Plan Estratégico
SESIÓN
PARALELA
1.2
Francisco Fernández, CIA
DIRECTOR DE RECURSOS HUMANOS. CLÍNICA BAVIERA
Ante un entorno empresarial de cambios vertiginosos, los departamentos de
gestión de personas tienen más retos y a la vez más oportunidades que nunca.

13
de Gestión de Personas, cuya formulación exige compren-
der el impacto de la estrategia en la demanda de profesio-
nales, cuántos, cuándo y con qué competencias y, poste-
riormente, establecer acciones para tender los cuatro puen-
tes con la estrategia de negocio y ser capaz de medir su
evolución:
· Estrategia de captación: reclutamiento, selección, incorpo-
ración, branding y posicionamiento en el mercado labo-
ral.
· Estrategia de implantación de métricas: medición del ren-
dimiento individual y colectivo, y sistemas de recompen-
sas e incentivos.
· Estrategia de desarrollo de carrera profesional.
· Estrategia de afiliación: retención, conciliación de vida la-
boral, compromiso, motivación y responsabilidad social
corporativa.
Tal y como se mencionó al principio, son muchos los retos y
oportunidades que tienen los Departamentos de Gestión de
Personas para lograr ser los verdaderos “asesores” de las
organizaciones para los que trabajan, teniendo muy presen-
te que éste no es un camino que puedan realizar en solita-
rio dichos departamentos, necesitan de la colaboración de
los gestores de personas y equipos que, a la postre, son los
verdaderos responsables de personas.
El gran desafío de las empresas es alinear sus
procesos y sistemas de gestión de personas, con
la estrategia de la empresa, su cultura
y su misión. (Dave Ulrich, “Human Resources
Champions”).
El talento
y liderazgo se
están convirtiendo
en recursos cada
vez más escasos.
Resumen del ponente

14
Las 7 virtudes de un auditor interno de éxito
La función de Auditoría Interna tiene también que buscar nue-
vas direcciones. Ya no es sólo un instrumento del Director
General o del Director Financiero, sino que se está convirtiendo
en la función de aseguramiento para toda la organización.
Hoy en día, es clave que todas las actividades de auditoría in-
terna estén orientadas al riesgo y en coordinación y coopera-
ción con otras funciones como gestión de riesgos, cumplimien-
to y gestión de calidad. Para trasladar este nuevo papel a un
gráfico, el modelo de las tres líneas de defensa es la mejor
manera de describir el lugar que ocupa la auditoría interna en
la actualidad.
La actividad de Auditoría Interna no sólo tiene que trabajar de
una manera diferente; también tiene que demostrar su papel,
su propósito y su éxito de una forma más activa. El papel de la
Auditoría Interna como función de aseguramiento debe ser vi-
sible y bien aceptado en toda la organización. También las re-
gulaciones que piden la implementación de las funciones de
auditoría interna han contribuido a aumentar la visibilidad y la
importancia de la profesión.
Pero queda la tarea de todos los departamentos de auditoría
interna de cumplir con las expectativas de sus stakeholders de
forma permanente. De acuerdo con estudios recientes, una
gran mayoría de nuestros stakeholders todavía piensan que la
actividad de auditoría interna debe mejorar para poder ayudar
a alcanzar los objetivos del negocio.
Además, los auditores internos necesitan conocer exactamente
estos objetivos y su papel esperado. Todas las direcciones de
auditoría interna necesitan estar completamente alineadas con
los objetivos de negocio de su organización.
SESIÓN
PARALELA
2.1
Günther Meggeneder, CIA, CRMA
DIRECTOR DE AUDITORIA INTERNA DE ISTA INTERNACIONAL.
PRESIDENTE DEL INSTITUTO GLOBAL 2010-2011
Durante la última década, los
modelos de gobierno corporativo
de casi todas las organizaciones
han sufrido un cambio radical.
No sólo debido a los fallos en el
gobierno corporativo ocurridos a
principios del siglo XXI y a la
implementación de regulaciones
para reducir el riesgo de tales
asuntos, sino también debido
a la existencia de directivos más
activos, de los miembros del
Consejo y Comités de Auditoría y,
por último, por un incremento del
interés público en el gobierno
corporativo.

15
Existen Cinco Imperativos que deberían guiar a todas
las funciones de auditoría interna:
1. Mejora y aprovechamiento de un enfoque continuo de
los riesgos.
La expectativa más importante es que la auditoría inter-
na ayuda a prevenir sorpresas que no estaban la mente
de la dirección y el Consejo. Es fundamental una visión
innovadora hacia los riesgos futuros.
2. Aseguramiento sobre la efectividad de la gestión de
riesgos.
Es obvio que la gestión de riesgos no funcionaba co-
rrectamente cuando estalló la crisis financiera. Los ges-
tores de riesgos no vieron sus propias deficiencias, por
lo que definitivamente hay una necesidad de asegura-
miento de la gestión de riesgos. Y auditoría interna es
el recurso natural para ello.
3. Mejorar la habilidad en la recogida y análisis de datos.
La cantidad de datos en nuestras organizaciones está
creciendo rápidamente. Sin las herramientas adecuadas
de auditoria interna no es posible analizar tal cantidad
de datos. No importa si usamos las revisiones perma-
nentes de datos o si analizamos los datos cada vez que
se realice una auditoria interna, el análisis de datos de-
be ser una parte importante del trabajo de asegura-
miento.
4. Asegurarse un “asiento en la mesa”.
Sin saber qué está pasando en nuestra organización, no
podemos añadir valor y contribuir al alcance de nues-
tros objetivos. Por tanto, es un deber que formemos
parte del proceso de toma de decisiones. No desde un
papel operativo, sino desde una posición de asesores y
de fuente de información.
5. Solidificar nuestra experiencia para abordar los ries-
gos.
La función de auditoría Interna tiene que ser capaz de
trabajar con todos los departamentos de la organiza-
ción, no solo con el área financiera. Por tanto, los audi-
tores internos tenemos que adquirir experiencia en el
negocio y emplearla para crear recomendaciones para
mejorar la eficacia y eficiencia de las operaciones de
nuestra organización.
Para cumplir con las expectativas de nuestros stakeholders
con éxito, tenemos que:
• Estar totalmente integrados en el “C-Suite” como aseso-
res de confianza.
• Ser un recurso respetado de supervisión y previsión.
• Usar la tecnología más avanzada.
• Ser un imán para el talento con una profunda experiencia
en el negocio.
• Ser la “tercera línea de defensa”.
El futuro de la profesión de auditoría interna está en nues-
tras manos para definir nuestro papel dentro de las estruc-
turas de gobierno corporativo. Si fallamos en esto, nuestro
papel será definido por otros y esto constituiría una des-
ventaja para los auditores internos.
El futuro de la profesión de auditoria interna
está en nuestras manos para definir nuestro
papel dentro de las estructuras de gobierno
corporativo.
Resumen del ponente

16
Implantación de un Cuadro de Mando del Fraude
Caso Práctico de Auditoría Continua y herramienta integral de Gestión de Riesgos.
Las Áreas de Auditoría Interna se plantean en estos mo-
mentos diferentes inquietudes:
- Mapa de Riesgos: Disponer de un mapa de riesgos inte-
gral para la organización, que se pueda consultar y man-
tener permanentemente actualizado.
- Indicadores de detección del fraude: Ya no es suficiente
con hacer “instantáneas” de las diferentes sucursales/áre-
as de la organización, que no son representativas de lo
que sucede en el día a día, sino que es necesario implan-
tar una auditoría continua e indicadores que permitan la
detección de irregularidades, especialmente en cuestión
de fraude.
- Eficiencia y aportar un valor diferencial a la organiza-
ción: Hay que hacer muchas tareas con muy poca gente,
y además, aportar valor añadido, que no es siempre fácil.
- Formación y puesta al día del departamento. El auditor
interno tiene que estar al día, en todos los nuevos proce-
sos/sistemas de la organización, evolución tecnológica, e
incluso nuevas técnicas de fraude. Puede contar para ello
con expertos externos en co-auditoría para aprovechar el
conocimiento externo y poder continuar después interna-
mente con las técnicas implantadas.
Control Interno y Fraude
La sustracción de activos es uno de los fraudes más habi-
tuales cometidos por los propios empleados en las empre-
sas. Un empleado comete fraude impulsado por (1) el sen-
timiento de que la empresa le debe algo, (2) la presión
económica del entorno y (3) la oportunidad que proporcio-
SESIÓN
PARALELA
2.2
Jordi Otero · HEAD OF INTERNAL AUDIT CONTINENTAL EUROPE. CINESA
Cristina Bausá, CIA, CRMA, CISA, CISM, CGEIT, CRISC ·
SENIOR MANAGER GRC. MAZARS
Uno de los valores añadidos que la Dirección de Auditoría Interna puede
aportar a la organización, es su colaboración en la gestión de riesgos
y detección del fraude, a través de técnicas de auditoría continua.
na el conocimiento de la existencia de un control interno
débil en la organización.
No todos los empleados están dispuestos a cometer fraude:
Una parte de ellos, atendiendo sus valores éticos nunca co-
meterían un fraude, por lo que pueden desempeñar fiel-
mente puestos de supervisión del control interno y de audi-
toría interna entre otros. Otra parte desafortunadamente
siempre lo están intentando, y estas personas mejor que no
formen parte de la organización, por lo que técnicas caligrá-
ficas como las vistas en “Los lunes del Instituto” nos podrí-
an ayudar a detectarlo. Y finalmente el resto, dependerá
otra vez del nivel de control interno que tengamos implan-
tado en la organización.
El fraude en CINESA
CINESA es actualmente la cadena de cine nº 1 en Europa y
4ª a nivel mundial. Es propiedad de Terra Firma, y es pro-
pietaria de 230 cines en España, Portugal, Italia, Alemania,
Austria, Irlanda y UK. Su actividad gira alrededor de 2.144
pantallas, y en 2011 llegaron a vender 79,2 MM de tickets.
Sólo en España tienen más de 1.400 empleados.
Él Área de Auditoría Interna de CINESA utiliza técnicas como
son los confidentes, la auditoría presencial convencional y
participa internamente de forma activa en la detección del
fraude, la gestión de los riesgos e implantación de una au-
ditoría continua que aporte eficiencia y efectividad a través
de la herramienta de MAZARS.
Problemas a los que se enfrentan:
- Cines repartidos por toda la geografía nacional.

17
- Personal joven y muchos estudiantes que después van a
querer cambiar de trabajo.
- Alto porcentaje de fijos, pero con salario que no llega a
mileurista.
- Cobros principalmente en efectivo, y mucha tentación de
llevarse un billete al bolsillo.
- La pérdida de empleo por la comisión de un fraude, no
llega a disuadir.
Algunos ejemplos de indicadores de fraude en TAQUILLA (si-
milares al BAR):
- Comparativas del número de entradas a precio entero, re-
ducido y cero, en un periodo de tiempo determinado.
- Número de entradas y precio medio por transacción res-
pecto al de sus compañeros.
- Analizar en detalle el impacto de las promociones por ci-
ne y empleado, detalle de fiestas de cumpleaños realiza-
das en cada cine, etc.
- Análisis del sistema de pago: efectivo, tarjeta, voucher,
etc, entradas devueltas por taquillero/a, entradas reim-
presas, etc.
Metodología para implantar un Cuadro
de Mando de Gestión del Fraude
La metodología aplicada para ir obteniendo los indicadores
de fraude, puede aplicarse a cualquier sector de actividad,
y abarcaría las siguientes fases:
1. LISTA DE INDICADORES
- Lista de fraudes posibles. Sacamos la lista en función
de cada cargo/puesto en la organización, valorando
la probabilidad de que se produzca según la oportu-
nidad y los controles.
- Definimos el número de indicadores que se van a
monitorizar y priorizamos su implementación por tipo
de fraude, cargo, y nivel de riesgo que cubre.
2. ANÁLISIS DEL DICCIONARIO DE DATOS
- Conocer o solicitar al Área Informática el Diccionario
de Datos en diferentes Sistemas y su significado.
- Se debe analizar la viabilidad de extraer los datos
necesarios, de una forma periódica.
- Contar con herramientas de análisis de datos o simi-
lar, para realizar el análisis de forma repetitiva y ágil.
- Definiremos cada indicador: frecuencia, quién lo ana-
liza y asociación con el diccionario de datos, etc.
3. ANÁLISIS PREVIO E IMPLEMENTACIÓN DEL INDICADOR
Haremos una última verificación de que la información
que nos aporta el indicador es significativa, y nos reve-
la posibles irregularidades respecto al fraude asociado.
Implementaremos el indicador para que se ejecute pe-
riódicamente y se integre dentro del Cuadro de Mando
de Gestión de Fraudes, consultable por la Dirección a
través de la herramienta informática.
En muchas ocasiones nos encontraremos con problemas
de calidad de los datos, que derivarán en un plan de
acción en los Sistemas de Información. Este no es un
punto negativo, al contrario, aunque sí puede retrasar la
implantación del indicador.
4. MEJORA CONTINUA Y RETROALIMENTACIÓN
No sólo hay que analizar los indicios detectados, dese-
char los falsos positivos y documentar los resultados, si-
no que habrá que detectar cuándo un indicador deja de
ser útil y por lo tanto hay que promover otro indicador.
El futuro: la Autoevaluación del Control Interno
La autoevaluación de control es un método para ayudar a
la organización a lograr sus objetivos de negocio. Los
auditores internos pueden utilizar el CSA para obtener
información relevante acerca de riesgos y control, al
focalizar el plan de auditoría en áreas de alto riesgo y
motivando una mayor colaboración por parte de gerentes
operativos y el equipo de trabajo. Resultado: MEJORAR
EFICIENCIA. Este será el siguiente paso para CINESA y
probablemente para muchos de los lectores de esta
revista.
CINESA y MAZARS han tenido la oportunidad de
trasladar su experiencia conjunta en la elabora-
ción del Mapa de Riesgos de la compañía, (…) y
a futuro la implantación de una Autoevaluación
del Control Interno.
Resumen de los ponentes

18
Prevención del Riesgo de TI, Cibercrimen
y otras amenazas
Las redes facilitan acceso ilegal a la información, ataques a
sistemas informáticos públicos y privados, distribución de
contenidos ilícitos y otros delitos como blanqueo de capita-
les mediante el uso de Internet, o el ciberterrorismo. Este
fenómeno es lo que se conoce como cibercrimen o delin-
cuencia informática.
Al objeto de hacer frente a estas amenazas, la Guardia
Civil, además de otras Unidades, dispone del Grupo de
Delitos Telemáticos (en adelante GDT); cuyos cometidos se
centran en investigaciones sobre los llamados delitos infor-
máticos y los fraudes en el sector de las telecomunicacio-
nes.
El Cibercrimen como tal abarca un amplio espectro de con-
ductas relacionadas con la informática y las comunicacio-
nes. Así pues, y tal y como se recoge en el Convenio sobre
Ciberdelincuencia del Consejo de Europa (Budapest, 2001),
es posible agrupar todas ellas en cuatro grandes áreas: di-
fusión de pornografía infantil, delitos relacionados con la
propiedad intelectual, y fraudes y estafas; denominando a
estas tres categorías como los delitos informáticos en sí.
Adicionalmente, reconoce una cuarta categoría a la que de-
nomina como delitos relacionados con la intrusión en sis-
temas informáticos y el robo o destrucción de datos, en-
tendiendo como tales lo que comúnmente se denomina
“hacking”, siendo esta última la que resulta de mayor inte-
rés desde el punto de vista de las auditorías internas/ex-
ternas de seguridad.
El concepto romántico de “hacking”, perseguidor de ideales
por medio de llamadas de atención efectuadas en sistemas
informáticos ajenos, ha evolucionado a su lado más perver-
so. Las ventajas lucrativas que permite el dominio de las
nuevas tecnologías no escapan a nadie, y menos a aquellos
que ven un mercado laboral plagado de “cerebros” que
impedirá, posiblemente, su acceso a un puesto de trabajo
digno.
Por supuesto, las redes criminales organizadas no son aje-
nas a ello, y tratan de buscar autores mediales a sus fecho-
rías cada vez más meditadas y provechosas.
Inherente a este desarrollo criminológico, existe una proble-
mática que afecta a la obtención de información y eviden-
cias electrónicas. En este orden de cosas, respecto a la ad-
quisición y preservación de las evidencias, la problemática
reside en garantizar la integridad del dispositivo original.
Este procedimiento puede realizarse mediante el uso de
herramientas (hardware) o aplicaciones (software) que pro-
SESIÓN
PARALELA
3.1
César Lorenzana
GUARDIA CIVIL. GRUPO DE DELITOS TELEMÁTICOS
La Sociedad en general confía en las tecnologías de la información y
la comunicación. Sin embargo, la creciente dependencia en dichas tecnologías,
está acompañada de una también creciente vulnerabilidad a la intrusión
criminal y otras malas prácticas.

19
porcionan sistemas de integridad, y permiten mantener las
evidencias originales completas e inalteradas.
Mayor complejidad presentan los casos en los que dicho
soporte original no puede permanecer intacto, debido, por
ejemplo, a que el dispositivo afectado no se puede apagar.
En estos casos se hace necesario establecer una cadena de
custodia documentada de manera apropiada, sobre la ima-
gen forense, tanto como haya sido creada, en la mayoría
de los casos será asimilada a la evidencia tradicional, y así
se asumirá que no ha sido manipulada. Pero esto también
se puede poner en duda en algunas situaciones, cuando
una cadena de custodia regular mantenida por un investi-
gador forense privado se pueda considerar como demasia-
do débil. En estas situaciones, un tercero de confianza
(usualmente gubernamental) debería encargarse de mante-
ner los soportes originales.
Por otro lado, es necesario señalar la incipiente necesidad
de cooperación entre los investigadores y los analistas y/o
auditores forenses. El aumento en la capacidad de almace-
namiento de los dispositivos ha provocado la imposibilidad
de obtener la totalidad de la información en un plazo acep-
table de tiempo. Por ello, resulta vital la participación de
los investigadores, para que sean éstos los que dirijan al
analista/auditor hacia la información que resultaría de inte-
rés para la investigación. De esta manera, sería posible re-
ducir los plazos de procesamiento de los datos, logrando
una mayor eficacia y eficiencia en el análisis forense de los
dispositivos.
Además de lo anterior, destaca sobremanera la complejidad
de adaptar el lenguaje técnico a términos fácilmente enten-
dibles por profanos en la materia. En este mismo sentido
es relevante la dificultad de interpretar las evidencias elec-
trónicas, ya que éstas no son fácilmente reconocibles como
sucede con las evidencias tradicionales. En este caso, se
trata de datos en formato binario (1´s y 0´s) almacenados
en un soporte mediante el uso de corrientes electromagné-
ticas y/o impulsos eléctricos o luminosos, que deben ser
interpretados por aplicaciones concretas o por usuarios con
conocimientos técnicos.
Por último, una de las principales armas para la luchar con-
tra las ciberamenazas es la “inteligencia colectiva”, enten-
diendo como tal el intercambio de información, conoci-
miento, experiencias, y buenas prácticas en lo que se refie-
re a la seguridad de la información. Esta premisa, por todos
conocida y compartida, entra en conflicto con las políticas
de confidencialidad y competitividad actuales. Al objeto de
aunar estos dos aspectos, se hace necesaria la existencia
de una tercera entidad confiable, que se convierta en la de-
positaria de la inteligencia “individual”, y la convierta en
“colectiva”; y que al mismo tiempo ejerza una labor de
coordinación entre los actores implicados en la gestión de
los incidentes de seguridad. De esta manera se permitiría el
flujo multilateral de información, evitando la duplicidad de
esfuerzos, y potenciando el profundo conocimiento de las
amenazas actuales y la forma en que éstas se materializan.
Además, mediante la notificación y denuncia de estos inci-
dentes se logrará acabar con la “sensación de impunidad”
que se ha generado en torno a los mismos ante la ausencia
de acciones legales contra los responsables; acciones que,
por otro lado, únicamente son posibles a instancia de los
afectados. Igualmente, de esta manera, se pondría fin a las
estrategias actuales consistentes en mitigar, corregir y silen-
ciar; estrategias que se han mostrado ineficaces hasta la fe-
cha.
Una de las principales armas para la luchar contra
las ciberamenazas es la “inteligencia colectiva”.
Resumen del ponente

20
La definición de Key Risk Indicators.
La experiencia de FCC
Para ello, es importante la implantación de un modelo de
Gestión Integral de Riesgos, donde el uso de los indicado-
res de riesgo (KRI), es una herramienta muy útil para la
detección temprana de los riesgos y por tanto, una buena
alarma para poder analizar la eficacia de los controles que
los mitiguen.
La gestión de los riesgos, varía dependiendo de la comple-
jidad de la organización. En un Grupo multinacional como el
de Fomento de Construcciones y Contratas (FCC), con pre-
sencia en 54 países, con más de 90.000 personas trabajan-
do, con una cartera portfolio de clientes y proyectos muy
diversificada en Infraestructuras, energía, servicios, etc. se
complica notablemente la gestión de los potenciales ries-
gos que se pueden identificar en las distintas compañías
del Grupo.
COSO define Riesgo como “la posibilidad de que ocurra un
hecho que afecte de modo adverso o negativo a la conse-
cución de los objetivos de la Sociedad”, por tanto, un buen
Modelo de Gestión de Riesgos, tiene que tener entre sus
principales objetivos: identificar dichos hechos potenciales
negativos, definir el nivel de tolerancia al riesgo que se es-
tá dispuesto a aceptar, y proporcionar una seguridad razo-
nable a los Órganos de Gobierno de la Organización, para
que el riesgo se mantenga dentro de los niveles tolerables
definidos. En otras palabras, el Modelo va a ayudar a la
gestión del efecto de la incertidumbre sobre los objetivos,
minimizando las perdidas, optimizando recursos y aprove-
chando las oportunidades, convirtiéndose así en una herra-
mienta útil para la toma de decisiones.
Como todos sabemos, en la estrategia de gestión del riesgo
tenemos diversas opciones: evitar el riesgo, mitigar el ries-
go, compartir el riesgo, o asumirlo plenamente.
En este Modelo de Gestión, los Indicadores de riesgo (KRI)
cobran especial relevancia para poder identificar señales de
alerta temprana sobre la posible materialización de unos
hechos negativos que puedan afectar a la consecución de
mis objetivos, y además definiendo los niveles de toleran-
cia, por encima de los cuales, es necesaria la realización de
un plan de acción con acciones concretas para mitigar el
riesgo.
En el Grupo FCC, están implantando un Modelo de Gestión
Integral de Riesgos, donde los Indicadores se encuentran
imbricados en el mismo a través de diversos componentes:
1. Elaboración de los Mapas de Riesgos de todas Áreas de
Negocio/Corporativas del Grupo y actualizarlos anual-
mente. Al menos contendrán: la descripción de los ries-
gos, su valoración en términos de probabilidad e im-
pacto, controles/ procedimientos que los mitigue, valo-
ración de la eficiencia de los controles y propietario del
riesgo.
SESIÓN
PARALELA
3.2
José Ignacio Domínguez Hernández, CRMA
DIRECTOR DE GESTIÓN DE RIESGOS. GRUPO FCC
En los momentos de inestabilidad y complejidad económica, se hace cada vez
más necesaria una correcta gestión del riesgo en las organizaciones, que ayude
en la toma de decisiones estratégicas y también en las de los procesos
operativos.

21
2. Elaboración de un Plan de Acción para cada uno de los
riesgos considerados Críticos, definidos por la Curva de
Criticidad, con objeto de mitigarlos. Incluirá, para cada
uno de los riesgos críticos, uno o varios indicadores de
seguimiento de riesgo (KRI), así como el umbral o tole-
rancia al riesgo, por encima del cual, entendemos que
se ha materializado el efecto negativo.
3. Nombramiento de un Coordinador de Gestión de Ries-
gos en cada Área, que se encargará de canalizar toda
la información relativa a la gestión de riesgos de las
distintas Áreas y será el enlace con la Dirección de Ges-
tión de Riesgos Corporativa.
4. Realización de un Procedimiento específico de Gestión
de Riesgos en cada Área de Negocio/Corporativa del
Grupo, como herramienta para la toma de decisiones.
Dicho procedimiento de Gestión, debe también incluir
herramientas de evaluación del riesgo, a la hora de la
toma de decisiones operativas de esa Área. Para ello,
se utilizarán parámetros e indicadores de riesgo que
ayuden a evaluarlos.
5. Información periódica a los Órganos de Gobierno del
Grupo sobre la materialización de los riesgos más sig-
nificativos. Es decir, cuando los indicadores de riesgo
han informado que se han sobrepasado los umbrales
de tolerancia para un determinado riesgo.
6. Creación de un Comité de Riesgos en cada Área del
Grupo, para la correcta gestión, supervisión y segui-
miento de sus riesgos. Entre sus funciones estarán velar
por el adecuado cumplimiento de los procedimientos
de Gestión de riesgos y realizar el seguimiento de los
Indicadores de Riesgo para aquellos riesgos materiali-
zados o que pudieran serlo en un futuro.
7. Aplicación informática para la gestión de Riesgos,
adaptada a la complejidad de la organización
8. Supervisión de toda la política de control y gestión de
riesgos por la Comisión de Auditoría y Control. Entre sus
funciones estarán fijar los umbrales o tolerancia al ries-
go y realizar el seguimiento de los Indicadores de
Riesgos para comprobar que no superen la tolerancia
definida.
A la hora de diseñar un buen conjunto de indicadores de
riesgo, es necesario identificar los parámetros relevantes
que proporcionen una visión clara de los objetivos que tie-
ne la organización. Por tanto, hay que relacionar indicado-
res de riesgo críticos con objetivos y con eventos que pue-
dan afectar de manera negativa a la consecución de los
mismos. Con ello se consigue focalizar a la Alta Dirección
en la dirección realmente relevante para la toma de deci-
siones.
Si se analizan las causas primarias e intermedias que han
conducido a que se de un riesgo, también se pueden iden-
tificar indicadores en cada una de esas etapas del evento, y
proporcionar información temprana, que explique lo que
acaba de ocurrir, y que sirva de experiencia para prevenirlo
en un futuro.
Los elementos esenciales que deberían tener unos buenos
indicadores de riesgos (KRI) serían: deben basarse en prác-
ticas o pruebas comparativas establecidas sólidamente, de-
ben desarrollarse consistentemente en toda la organización,
deben proporcionar una perspectiva no ambigua e intuitiva
del riesgo señalado, deben permitir hacer comparaciones
medibles a lo largo del tiempo y entre unidades de nego-
cio, deben dar la oportunidad de evaluar puntualmente el
rendimiento de los titulares de los riesgos y deben consu-
mir recursos de manera eficiente.
Los indicadores de riesgo tienen una interrelación clara con
el cuadro de mando, pero hay que distinguir entre indica-
dores de situación (KPI) y de Riesgo (KRI). Los primeros in-
forman de hechos ocurridos y los segundos alertan de for-
ma temprana y anticipan problemas potenciales.
Los indicadores de riesgo son una buena herramienta para
la toma de decisiones en las Organizaciones. Al ser indica-
dores de alerta pueden mejorar los procesos, el entorno de
trabajo, y por tanto los resultados de las Compañías. Ade-
más deben estar imbricados en el Modelo de Gestión de
Riesgos y ser consistentes para toda la organización.
Los indicadores de riesgo son una buena
herramienta para la toma de decisiones en
las Organizaciones.
Resumen del ponente

22
Entusiasmo y superación
Además de ser la primera persona en el mundo en hacer cumbre en el
Dome Khang (7.260 metros), ha ascendido a las siete cumbres más altas
de los 7 continentes: Elbruz (Europa-1968), MacKinley (America del
Norte-1971), Aconcagua (América del Sur – 1986), Everest (Asia-2001),
Mont Vinson (Antártida – 2007), Carstensz (Oceanía – 2010) y Kilimanjaro
(Africa – 2010).
Es la persona de más edad que ha hecho cumbre en el K2 (8.611 me-
tros), Broad Peak (8.047 metros), Makalu (8.463 metros), Manaslu (8.163
metros) y Lhotse (8.516 metros).
La ascensión al K2 (8611m) con 65 años, algo que solo Diemberger ha-
bía intentado con 54 años y, más recientemente, una ascensión solo y
sin oxígeno al Makalu (8463m), han supuesto una revolución en la forma
de pensar sobre el “himalayismo”.
Sin embargo, la gran aportación potencial de Carlos es el ejemplo prácti-
co de que a una edad avanzada, en el siglo XXI, se tiene una vida plena
física, mental y espiritualmente.
SESIÓN
GENERAL 2
Carlos Soria
ALPINISTA
Carlos Soria es el único alpinista en el mundo
que ha escalado nueve montañas de más de
8.000 metros después de cumplir los 60 años.
La ponencia estuvo orientada a
trasmitir el ánimo de superación,
el trabajo en equipo, el espíritu de
supervivencia, afrontar las
dificultades, admitir los cambios y
afrontarlos con valentía.
Los consejos lanzados para tener
entusiasmo y superarnos en los
momentos actuales son no perder
ilusión en tu trabajo, hacer bien las
cosas y actuar con sentido común.

24
COSO 3: principales novedades
en el marco de control interno actualizado
En Noviembre de 2010, COSO anunció su intención de ac-
tualizar el Marco de Control Interno. La actualización persi-
gue dar respuesta a las nuevas expectativas sobre la res-
ponsabilidad y competencias de los gestores de las organi-
zaciones, y adaptar el Marco original a los cambios que se
han producido en los modelos de negocio, derivados de la
globalización, de la utilización de nuevas tecnologías, del
aumento de las exigencias que parten de la regulación apli-
cable y del incremento de las demandas de los grupos de
interés sobre la prevención y detección del fraude.
La actualización pretende ampliar el alcance del Marco de
Control Interno original, para centrarse no sólo en el repor-
ting financiero externo, sino también en el reporting de ín-
dole no financiero y en el reporting interno, respondiendo
así a las necesidades de los distintos Grupos de Interés.
Adicionalmente, tiene como objetivo facilitar el uso y la
aplicación del Marco, definiendo principios para cada uno
de los componentes de Control Interno, que faciliten la im-
plantación, mantenimiento y supervisión de un Sistema de
Control Interno efectivo.
En Diciembre de 2011 se sometió a consulta pública el pri-
mer borrador del Marco de Control Interno. A raíz de los co-
mentarios recibidos, la Comisión Treadway decidió adaptar
el borrador original. En Septiembre de 2012 se sometió el
documento “Compendium” a consulta pública, junto con la
nueva versión del borrador del Marco. Tras la última recep-
ción de comentarios y la posterior adaptación del Marco a
partir de los mismos, se espera que COSO publique la ver-
sión definitiva en el primer trimestre de 2013.
Los cinco componentes de Control Interno no varían con
respecto al Marco original de 1992. No obstante, en el
Marco actualizado se introducen cambios clave, como el de-
sarrollo de los componentes en 17 principios y de estos
principios en puntos de enfoque, que pretenden ayudar a
las organizaciones a comprender y aplicar el Marco actuali-
zado, abarcando todos los aspectos relevantes de un Siste-
ma de Control Interno.
En el Marco actualizado se enfatiza la relevancia de la inte-
gridad y los valores éticos. Una organización que establece
y mantiene un adecuado entorno de control es más fuerte
a la hora de afrontar riesgos y conseguir sus objetivos. La
cultura y los valores de cada organización deben ser pro-
mulgadas en primer lugar por el Consejo de Administración,
por lo que se destaca la necesidad de establecer líneas de
comunicación y reporting claras de las Comisiones al Con-
sejo y viceversa.
En cuanto a la evaluación de riesgos, el Marco actualizado
aclara que la gestión de riesgos abarca la identificación, el
análisis y la respuesta a los mismos, incluyendo nuevos cri-
terios de análisis, tales como “velocidad” y “persistencia”.
La velocidad se refiere a la rapidez con la que un riesgo im-
pacta en la organización una vez se ha materializado, mien-
tras que la persistencia hace referencia a la duración del
impacto después de que el riesgo se haya materializado. La
SESIÓN
PARALELA
4.1
Ramón Abella Rubio Æ SOCIO ASSURANCE MADRID. PWC
Tamer Davut, CIA, CRMA Æ DIRECTOR. PWC

25
Dirección debe entender la tolerancia al riesgo de la organi-
zación y evaluar si existen mecanismos adecuados para la
identificación y el análisis de riesgos.
El Marco de 1992 ya recogía el concepto de fraude, pero la
versión actualizada incrementa de manera considerable el
análisis del fraude y lo incluye además como uno de los
diecisiete principios de Control Interno, ampliándolo de ma-
nera explícita, añadiendo al fraude relacionado con el re-
porting, aquel que puede darse en relación con la custodia
de activos y con la corrupción.
En relación con las actividades de control, se entienden las
mismas como acciones establecidas por políticas y procedi-
mientos y se considera la evolución de la tecnología, dife-
renciando entre controles automáticos y Controles Gene-
rales de Tecnología. Además, se enfatiza la importancia de
la calidad de la información y el impacto que la tecnología
tiene en la misma.
El Marco actualizado incluye también una clarificación en
cuanto a las actividades de monitorización (evaluaciones
continuas e independientes). Asimismo, concede relevancia
a la consideración del uso de proveedores externos y el im-
pacto de las externalizaciones en los Sistemas de Control
Interno.
COSO ha mantenido también los tres objetivos del Marco
original (operaciones, reporting y cumplimiento), ampliando
el alcance que inicialmente se había establecido para el ob-
jetivo de reporting, para contemplar el reporting tanto de
carácter financiero como no financiero y el reporting a nivel
externo e interno.
La actualización del Marco profundiza además en el esta-
blecimiento de objetivos a nivel de operaciones, cumpli-
miento y reporting, y considera que se deben definir los
objetivos de negocio, como condición previa a los objetivos
de Control Interno.
En definitiva, los cambios introducidos en el Marco de Con-
trol Interno lo adaptan a las circunstancias actuales de las
compañías, facilitando la implantación de Sistemas de Con-
trol Interno adecuados y aplicados a todos los niveles de
las organizaciones y dando respuesta a las cada vez mayo-
res exigencias de los grupos de interés.
En el Marco actualizado se
enfatiza la relevancia de la
integridad y los valores éticos.
Una organización que establece
y mantiene un adecuado
entorno de control es más
fuerte a la hora de afrontar
riesgos y conseguir sus
objetivos.

26
Marketing de Auditoría Interna.
La experiencia de Mahou-San Miguel
Todo eso y más está dispuesto a hacer el equipo de Audi-
toría Interna del Grupo Mahou-San Miguel para mejorar la
percepción de la imagen del auditor interno.
En 2007, cuando nació la función de Auditoría Interna en el
Grupo Mahou-San Miguel, se planteaban el reto de cómo
reducir la carga negativa de la imagen que lleva impresa la
profesión. De hecho. muchos departamentos que no habían
estado expuestos a ningún tipo de auditoría externa o in-
terna hasta entonces, no alcanzaban a entender para qué
hacía falta la función de Auditoria Interna en el Grupo, con
lo bien que habían ido las cosas siempre sin ella.
Algo tenían que hacer para conseguir que se viera a los au-
ditores internos como profesionales competentes. Para que
confiasen en ellos y apreciaran su trabajo, contaban con
dos ventajas, la primera era el equipo –ya que el 75% pro-
venía de la casa– y la segunda era el apoyo de la Presi-
dencia del Consejo y de la Dirección General.
Esto les dio tranquilidad y confianza, y les permitió lanzarse
a crear su propio estilo, adaptando informes, recomendacio-
nes, planes, etc., a las características de las personas que
forman el Grupo con el objetivo de que les escucharan y
les entendieran mejor. En algún caso supuso una mayor im-
plicación y asumir roles por encima de los propios, pero
merecía la pena.
No podían perderse los conciertos de “Estrategia”, “Ries-
gos”, “Nuevos Negocios”, “Gobierno Corporativo”, “Cum-
plimiento”, etc. Para ello debían dar a conocer sólo sus
mejores creaciones, que causaran impacto de verdad y con
sonidos pegadizos como Riesgos, Control, Buenas Prácticas.
El proceso de creación de marca Auditoría Interna
del Grupo Mahou- San Miguel partió del
“Cómo nos ven” y el “Qué queremos destacar”,
y fueron improvisando y haciendo camino.
Lo primero que hicieron fue pedirle ayuda a su colega de
Marketing del Grupo, quien les indicó que lo suyo no tenía
arreglo. Ante esa respuesta se tiraron a la piscina y afronta-
ron su primera Campaña, que fue la propia presentación del
Departamento al resto de la Organización.
De la mano de Dirección General se recorrieron todos los
centros de trabajo del Grupo, mostrando qué era Auditoría
Interna. Apoyándose en dos pilares: su filosofía de trabajo y
el equipo humano. Ya les conocían… el siguiente paso era
asentar los cimientos del Control Interno en la Compañía.
Seguramente ésta fue una de las campañas más duras, ya
SESIÓN
PARALELA
4.2
Ángel Etreros
DIRECTOR DE AUDITORÍA INTERNA. GRUPO MAHOU-SAN MIGUEL
Javier Guerrero, CIA
GERENTE DE AUDITORIA INTERNA. GRUPO MAHOU-SAN MIGUEL
Los ponentes decidieron utilizar la imagen de KISS para iniciar la presentación
sobre Marketing de Auditoría Interna. La razón es simple, pretendían captar la
atención de la audiencia desde el primer momento, con el atuendo, la música
de rock y la letra de la canción (se presta más atención a un grupo musical
que a un auditor interno).

27
que cambiar de mentalidad, hacer reflexionar, y aceptar
nuevas responsabilidades es algo que siempre cuesta mu-
cho en cualquier compañía.
Auditoría Interna presentó el Control Interno en todos los
Comités de Departamentos, utilizando el símil de la Fór-
mula 1 e insistiendo en que sólo trabajando juntos y con un
objetivo común se puede alcanzar la gloria. El lema de la
campaña fue “El Control Interno lo hacemos todos”.
La constitución del Comité Ético en el Grupo, que se realizó
en 2009, sirvió para actualizar el Código de Conducta y lan-
zar una nueva campaña de comunicación, que fueron pre-
sentando en cada centro de trabajo –junto con RRHH y apo-
yados, nuevamente, por Dirección General.
Para el equipo de Auditoría Interna del Grupo Mahou-San
Miguel, presentar temas tan delicados con humor les gusta,
aunque sin restar importancia o seriedad al tema que tra-
tan, puesto que también se vieron obligados a realizar ac-
ciones que en ocasiones dañaban su popularidad.
En 2011 revisaron el cumplimiento del Código de Conducta
respecto a “Confidencialidad, Orden y Limpieza”, entre
otros puntos. Cuando presentaron los resultados, algunos se
sintieron ultrajados. “Craso error”, ya que dieron excesiva
publicidad a los malos resultados, y eso a nadie le agrada
que se haga público.
La siguiente campaña fue presentar a cada Comité de De-
partamento su Mapa de Riesgos. Para ello, podían hablar
de una forma técnica, explicando el método teórico de
construcción de un mapa o poner un ejemplo contando una
historia personal. El método del ejemplo fue el elegido.
Auditoría Interna insistió que aunque no los veas, o creas
que los tienes controlados, los riesgos siempre están ahí,
como los fantasmas. Además sólo te acuerdas de ellos
cuando aparecen y te llevas un susto de muerte. Los mayo-
res riesgos suelen producirse por la propia estupidez de la
condición humana.
La última campaña que han abordado ha sido la del SCIIF. A
Auditoría Interna del Grupo Mahou-San Miguel les ha costa-
do hasta que se ha arrancado, pero no podían estar sin re-
visarlo y por ello han perseguido al Departamento Finan-
ciero día y noche sin tregua. Han insistido por activa y por
pasiva, incluso se colaron en la comida de Navidad de 2011
de dicho departamento para recordárselo en forma de vi-
llancico.
En su opinión, después de cuatro años, todo lo realizado ha
merecido la pena. La confirmación de ello la tuvieron me-
diante una encuesta realizada por RRHH, para valorar el
Arraigo de Valores y el Estilo de Liderazgo dentro de los
distintos departamentos del Grupo, los cuales se valoraban
unos a otros. De dicha encuesta les sorprendieron dos co-
sas: la primera, que en el apartado de valores, en todos
ellos estaban en la franja del notable, y la segunda, que su
propia valoración del departamento estaba sólo un poco
por encima de la percepción externa del mismo.
Pero lo que más les llamó la atención fue que en el aparta-
do de “desarrollo personal y de equipos” valoraban los
otros departamentos la función de auditoría interna por en-
cima de su percepción, haciendo del departamento un lu-
gar muy atractivo para trabajar y desarrollarse.
El balance de todo lo conseguido es muy positivo, si se tie-
ne en cuenta que son una empresa familiar, que no cotiza
en bolsa, pero que tiene como principales objetivos cumplir
con todas las obligaciones legales y formales exigidas para
cualquier empresa cotizada.
Es importante plantearse en todo momento: ¿Qué estás dis-
puesto a hacer para mejorar la imagen de Auditoría inter-
na?
De la mano de Dirección General se recorrieron to-
dos los centros de trabajo del Grupo, mostrando
qué era Auditoría Interna. Apoyándose en dos
pilares: su filosofía de trabajo y el equipo humano.

28
Generando eficiencia
desde la Función de Auditoría Interna
Todavía a muchas organizaciones les cuesta percibir el valor
que la función de Auditoría Interna puede aportarles. Lo pri-
mero que debemos preguntarnos como auditores internos
es si nosotros mismos estamos convencidos de que pode-
mos generar valor y si es así, nos toca ser motores del
cambio cultural, venciendo las barreras a las que nos en-
frentamos.
La eficiencia es eficacia con el mínimo consumo de recur-
sos, no tiene sentido ahorrar costes si dejamos de cumplir
con los objetivos. Lo que posiciona especialmente a la fun-
ción de auditoría interna para generar eficiencia es su inde-
pendencia y su visión global del negocio. Ambos atributos
le facultan para poder conocer mejor que ningún otro en la
organización: Detectar qué procesos pueden ser mejorados
en este sentido, qué sinergias pueden aprovecharse y qué
ahorros pueden abordarse sin que otras áreas o procesos
sean perjudicados.
La clave es, por un lado cambiar la forma de mirar en los
trabajos de siempre y por otro, abordar proyectos nuevos
con el objetivo específico de aprovechar oportunidades para
mejorar la eficiencia.
Por ejemplo, en una revisión tradicional de contratos, verifi-
caríamos su vigencia, su aprobación y firma, si procede, mi-
raríamos si ha sido revisado en tiempo y forma por aseso-
ría jurídica, comprobaríamos la adecuada descripción de
servicios y, en general, si es acorde con las políticas de la
firma. Es decir, nos centraríamos en el cumplimiento. Con
un enfoque dirigido a la generación de eficiencia, además,
tendríamos en cuenta, por ejemplo, si se están ejecutando
las penalizaciones correspondientes conforme a los acuer-
dos de nivel de servicio (ANS) establecidos y analizaríamos
si estas penalizaciones y ANS son adecuados o podrían en-
durecerse en futuras contrataciones. Adicionalmente consi-
deraríamos si el seguimiento de los servicios es adecuado,
si se emplea para la evaluación de los proveedores estraté-
gicos y si el resultado de estas evaluaciones es tenido en
cuenta para la renegociación de los contratos.
Pero… ¿esto es realista? Existen ciertas limitaciones que
podrían dificultar la materialización de este tipo de proyec-
tos o la modificación parcial del enfoque que estamos plan-
teando.
• No nos podemos permitir apuntar en la dirección equivo-
cada, hacia revisiones tradicionales de procesos en los
que no hay mucho margen de mejora. Debemos asegu-
rarnos de que los proyectos que queremos acometer son
realmente aquellos en los que podemos tener un mayor
potencial de ahorro o mejora operativa. Tendremos que
revisar, y ser muy críticos con nuestro plan de auditoría
SESIÓN
PARALELA
5.1
Diego Rodriguez Roldán, CISM, CGEI, CRISC
SOCIO DE AUDITORIA INTERNA, RIESGOS Y CUMPLIMIENTO. KPMG
Patricia Méndez, CIA
SENIOR MANAGER DE AUDITORIA INTERNA, RIESGOS Y CUMPLIMIENTO DE KPMG
El entorno económico actual, el crecimiento de los requisitos regulatorios, la
internacionalización de las operaciones o la necesidad de diversificación de la
oferta son, hoy en día, algunas de las grandes oportunidades y de los grandes
riesgos de las organizaciones. En este entorno, surge la preocupación
generalizada de cómo mejorar las operaciones para generar más valor.
Una manera de generar valor es ganar en eficiencia.

29
interna; mirarlo con los ojos de nuestros principales
“clientes”, el Comité de Auditoria y de la Dirección, te-
niendo en consideración la estrategia establecida por
ellos. Debemos enfocarnos hacia la realización de pro-
yectos que, en nuestra organización, verdaderamente
aprovechen la oportunidad de mejorar los procesos o de
ahorrar costes, y que nos permitan mejorar nuestra ima-
gen y afianzar el posicionamiento de la organización.
• Debemos analizar si contamos con las habilidades nece-
sarias:
- Nivel: El equipo debe ser capaz de interactuar ‘pun-
tualmente’ con los profesionales de la compañía a to-
dos los niveles. Dirección, Administración, Producción,
Etcétera. Además debe ser capaz de realizar entrevis-
tas con estos profesionales y revisar documentación en
todos los idiomas, y desde las diferentes culturas, en
los que opera la compañía.
- Especialización: El equipo debe tener la especialización
necesaria para entender y evaluar ‘puntualmente’ to-
das las áreas clave de la compañía. Finanzas, Costes
Tecnología, Legal, Regulación, Fiscal, ..etcétera.
- Tamaño: El equipo debe ser capaz de abarcar ‘puntual-
mente’ todas las áreas y geografías clave de la compa-
ñía.
- Actualización y Adaptación al Cambio: El equipo debe
estar ‘puntualmente’ al día sobre las nuevas regulacio-
nes, estrategia, y procesos de la compañía.
Si no se cuenta con las habilidades necesarias el reto
surge sobre cómo conseguirlos y al evaluar las distintas
fórmulas de “sourcing”.
El “internal sourcing”, emplear recursos de las áreas de
negocio de la compañía para ejecutar determinados tra-
bajos que requieren especialización nos garantiza el co-
nocimiento del negocio y de la cultura de la organiza-
ción, pero en ocasiones podría limitar nuestra indepen-
dencia.
El “outsourcing” completo de determinados proyectos,
garantiza la independencia y nos aporta la especializa-
ción necesaria, pero puede salirse de nuestros presu-
puestos y perdemos el conocimiento de la cultura de la
organización que tendrían los recursos internos, además,
podría decirse que perdemos el control directo sobre el
trabajo y los resultados.
El “co-sourcing” nos permite mantener el control sobre
el trabajo y el empleo de equipos mixtos, con recursos
internos y externos nos permite contar con la especializa-
ción requerida sin perder el conocimiento del negocio y
la cultura de la organización. Por otro lado, también pue-
de resultar costoso y puede requerir un esfuerzo de
“venta interna” para justificar la utilidad de cada proyec-
to y conseguir presupuesto.
Por último, el “Skillsourcing”, es una fórmula de co-sour-
cing más flexible y de menor coste, que puede permitir a
contar con el recurso ideal para cada ocasión, sin necesi-
dad de realizar un esfuerzo de venta interna para cada
uno de los proyectos especiales que se quieran realizar.
• Para conseguir que la comisión de auditoría apruebe un
proyecto específico es necesario contar con argumentos
convincentes, el hablar de generar eficiencia puede ser
por sí mismo un buen reclamo, pero en ocasiones las co-
misiones pueden requerir pruebas tangibles y estimacio-
nes realistas de ahorros. Para ello puede optarse por rea-
lizar proyectos piloto de pequeño presupuesto que ayu-
den a la auditoria interna a contar con argumentos sóli-
dos frente a la comisión.
• Una mala percepción de la auditoria interna por la expe-
riencia pasada de los clientes auditados, podría influir
negativamente en la decisión de la organización sobre si
confiarnos o no la realización de proyectos de eficiencia.
• Un mal posicionamiento de Auditoria Interna o una pobre
relación con el Comité no propiciará el encargo de revi-
siones de eficiencia a la Auditoria Interna en estos casos
la organización tenderá a pensar en cómo hacerlo con
sus propios medios, o buscará consultorías que apoyen
directamente a las áreas de negocio afectadas.
En resumen, debemos revisar nuestro Plan de auditoría, pa-
ra enfocarnos hacia proyectos que aporten valor generando
eficiencia, debemos hacer lo que le interesa a nuestros
“clientes”. Debemos abordar estos proyectos al menor cos-
te y con la mejor calidad, contando con los mejores recur-
sos disponibles. Debemos también trabajar sobre la manera
en que comunicamos los resultados obtenidos para mejo-
rar nuestro posicionamiento en la organización.
Lo que posiciona
especialmente a la
función de auditoría
interna para generar
eficiencia es su
independencia y su
visión global del
negocio. Resumen de los ponentes

30
La función de Auditoría Interna
y los Programas de Integridad Corporativa
en Gas Natural Fenosa
La formulación de estas políticas y planes por parte del pri-
mer Órgano de Gobierno de la Compañía no es gratuita ni
facial, sino que responde a la importancia que se le da en
nuestra Compañía a la aplicación de la Ética en los negocios
y en nuestra interacción diaria con nuestros grupos de inte-
rés.
Existe una máxima irrefutable en la gestión empresarial
que dice que todo lo que es importante debe medirse, para
poderlo después gestionar, controlar, supervisar y cambiar
si fuera necesario. En Gas Natural Fenosa se han estableci-
do los Programas de Integridad Corporativa con el objetivo
de medir, gestionar y asegurar el cumplimiento del compro-
miso de ÉTICA e INTEGRIDAD, compromiso importante que
está en la propia estrategia de la Compañía.
En una reflexión previa de cómo puede medirse el compor-
tamiento ético de las organizaciones, hay que incidir que al
ser la ética un intangible es muy difícil poderla cuantificar
en función de su aportación anual a los resultados o al pa-
trimonio de las compañías, por lo que hay que ir hacia
otras formas de medición, como pueden ser los Índices de
Responsabilidad Social (Dow Jones Sustanabiliy Index, o el
Ftse4good, p.e.) o las propias memorias de Responsabilidad
Corporativa elaboradas en base a Norma GRI con indicado-
res sociales, medioambientales y de gobierno corporativo
comunes a todas las empresas y algunos sectores, que per-
miten la comparación homogénea entre organizaciones.
Otras formas de medición podrían ser las sanciones por co-
rrupción derivadas de la normativa legal internacional (cada
vez más dura como son los casos del Foreign Corrupt
Practices Act, en USA o el Brivery Act en Reino Unido) o de
la propia legislación nacional a raíz de la entrada en vigor
de la Reforma del nuevo Código Penal en España. Además
hay que considerar la demanda cada vez mayor de la so-
ciedad y de los diferentes grupos de interés exigiendo que
las organizaciones compatibilicen la rentabilidad de los ne-
gocios con la ética empresarial, siendo ya muchos los inver-
sores que a la hora de decidir sus carteras tienen cada vez
más en cuenta la responsabilidad social y la calidad del
managment de las empresas, utilizando para ello los indica-
dores de medición comentados anteriormente.
Los principales Programas de Integridad Corporativa en Gas
Natural Fenosa son:
• Modelo de Prevención de Delitos
• Políticas anti-fraude y anti-corrupción.
• Políticas de Derechos Humanos.
• Modelo de Gestión del Código Ético
El Modelo de Prevención de Delitos (implantado como con-
secuencia de la entrada en vigor de la nueva Reforma del
Código Penal en España) y las Políticas anti fraude y corrup-
ción, están basados en el modelo de control interno defini-
do por el Committee of Sponsoring Organizations of the
SESIÓN
PARALELA
5.2
Carlos Ayuso
DIRECTOR DE AUDITORÍA INTERNA. GAS NATURAL FENOSA
En Gas Natural Fenosa el compromiso con la ÉTICA e INTEGRIDAD está presente
en la declaración de Misión, Visión y Valores, los Planes Estratégicos y la
Política de Responsabilidad Corporativa del Grupo, todos ellos formulados o
aprobados por su Consejo de Administración.

31
Treadway Commission (COSO), siendo el máximo responsa-
ble de su supervisión la Comisión de Auditoría y Control.
Para ello, la Comisión dispone de la función de auditoría in-
terna, que realiza una supervisión alineada con las mejores
prácticas de gobierno corporativo y basada principalmente
en el análisis del diseño de los modelos y en la evaluación
de los riesgos y controles, y de la supervisión externa reali-
zada por experto independiente. En ambos modelos, los
responsables de los controles certifican anualmente el fun-
cionamiento razonable de los mismos.
La Política de Derechos Humanos se ha formulado para dar
respuesta a los compromisos de “INTERÉS POR LAS PERSO-
NAS” y “ÉTICA e INTEGRIDAD” que aparecen en nuestra
Política de Responsabilidad Corporativa. En concreto se han
establecido 10 compromisos con los derechos humanos,
“medidos” a través de indicadores con objetivos anuales
que son seguidos por el Área de Recursos Humanos y el
Comité de Reputación Corporativa, con reporte a la Alta
Dirección de la Compañía. En este caso, la función de audi-
toria interna supervisa la fiabilidad de la información sopor-
te de los citados indicadores, que forman parte a su vez de
los indicadores GRI de nuestro Informe de Responsabilidad
Corporativa, supervisado también en su totalidad por exper-
to independiente.
La función de auditoría interna en Gas Natural Fenosa lidera
el Modelo de gestión del Código Ético, lo cual supone a
nuestro entender un hecho diferenciador y novedoso res-
pecto otras organizaciones.
El Modelo tiene los siguientes componentes:
• Código Ético: Formulado por el Consejo de Administración
en el que se establecen las pautas de comportamiento
que deben regir el desempeño profesional de todos los
empleados del Grupo, incluido Presidente, Consejero De-
legado y Alta Dirección.
• Comisión del Código Ético: Responsable de la divulgación
y de velar por el cumplimiento del Código. Para ello ges-
tiona y supervisa los sistemas de salvaguarda del Código
que se describen a continuación. Esta Comisión está pre-
sidida y dirigida por el Director de Auditoría Interna con
el objeto de asegurar su objetividad e independencia.
Ello es posible en Gas Natural Fenosa, ya que la función
de Auditoría Interna tiene dependencia y reporte a
Presidente, Consejero Delegado y Comisión de Auditoría
y Control.
Con las únicas funciones de divulgación se han constituido
Comisiones locales en aquellos países con un volumen de
actividad y empleados significativos.
La Comisión del Código Ético reporta sus actividades a la
Comisión de Auditoría y Control que es la máxima respon-
sable de la supervisión del compromiso “ÉTICA e INTEGRI-
DAD”. Para ello se han definido una serie de indicadores
que “miden” la actividad de la Comisión así como el cum-
plimiento del citado compromiso. Dichos indicadores están
alienados con los establecidos en el Informe de Responsa-
bilidad Corporativa bajo la Norma GRI, que como se ha co-
mentado con anterioridad está supervisado en su totalidad
por experto independiente.
• Sistemas de salvaguarda:
• Canal de denuncias: Canal a través del cual, empleados y
proveedores pueden realizar consultas o notificar incum-
plimientos del Código, de buena fe, de forma confiden-
cial y sin temor a represalias. Para asegurar la confiden-
cialidad, el canal tiene medidas de seguridad adecuadas
y el único receptor de las comunicaciones en primera ins-
tancia es el Presidente de la Comisión del Código Ético. El
canal es único para todos los países en los que la
Compañía desarrolla sus negocios.
• Procedimiento de declaración anual por parte de todos
los empleados del Grupo, conforme han leído, compren-
den y cumplen el Código Ético.
• Curso on-line sobre el Código Ético de obligado cumpli-
miento para todos los empleados, en el que se estable-
cen casos prácticos vinculados con nuestra actividad.
Como conclusión podemos decir que si la Ética es importan-
te en vuestras compañías, ésta debería forma parte de la
estrategia, debería ser un compromiso formal del primer
Órgano de Gobierno de la Compañía, y como todo lo impor-
tante debería medirse, para luego poderlo gestionar, con-
trolar y supervisar. Si a lo anterior añadimos las demandas
cada vez mayores de los diferentes grupos de interés para
que las organizaciones compatibilicen la rentabilidad con la
ética empresarial y que el riesgo de comportamientos no
éticos se incrementa en momentos como los actuales, mar-
cados por la crisis económica, una mayor competencia y
más exigencia en el cumplimiento de objetivos, se puede
concluir que las funciones de auditoría interna debemos
estar muy atentas e incluir en nuestros planes de auditoría
la revisión del comportamiento ético en sus organizaciones,
y que al ser la ética un intangible de medición compleja,
deberemos aplicar procedimientos de auditoria o supervi-
sión creativos o alternativos a los tradicionales, como es el
caso de Gas Natural Fenosa, que vayan más allá de la ges-
tión de un canal de denuncias y de la evaluación del riesgo
de fraude.
Resumen del ponente

32
AuditoríaInterna
deja volar tus ideas
El miércoles 21 de Noviembre tuvo lugar la
Fiesta del Auditor Interno en una emblemá-
tica sala madrileña “El cielo de Pacha
Madrid”.
Después del cóctel, los asistentes disfruta-
ron bailando al ritmo de la mejor música
del momento.

33
Especial 17 Jornadas de Auditoría Interna

34
Perspectivas macroeconómicas
en el entorno actual
La globalización es una gran oportunidad y la única salida
de la crisis que tiene la economía española es a través de
la exportación. Dado el alto nivel de sobreendeudamiento
que tenemos las empresas, las familias y el sector público
en España, lo que no podemos es endeudarnos más. El cre-
cimiento del PIB se tiene que producir a través de la expor-
tación –afortunadamente ya está ocurriendo– y no a través
de un crecimiento intenso del consumo y la inversión.
La globalización es una oportunidad: hay nuevos clientes y
nuevos productos. Sobre todo teniendo en cuenta que se
está produciendo un gran cambio de modelo en el creci-
miento chino que también empieza aplicarse en el indio.
Ambos países se están desarrollando y, por tanto, consu-
men más. ¿Qué es lo que importan? Los bienes y servicios
de mayor valor que proceden de Estados Unidos, Japón,
Alemania, Francia… y ahí es donde España tiene que ir pe-
netrando cada vez con más intensidad.
La globalización es consecuencia de las Tecnologías de Infor-
mación y Comunicación, que representan una revolución
económica y fundamental, que no sólo ha permitido globali-
zar el mercado de bienes, sino que también se pueden
prestar servicios a miles de kilómetros de distancia en tiem-
po real, lo que permite una mejora enorme de eficiencia.
En un entorno globalizado es necesario ser competititvo. Si
hubiéramos respondido a la globalización adecuadamente,
no estaríamos pasando por la crisis actual. Los grandes fa-
llos que nos han llevado a esta situación son:
· Fallos de mercado. Ha fallado la información que no ha
sido ni transparente ni simétrica.
· Fallo en los Bancos Centrales que han aplicado políticas
monetarias muy expansivas. Los tipos de interés nunca
deben ser negativos en términos reales y menos que es-
ta situación se mantenga en el tiempo porque genera in-
centivos perversos al sobreendeudamiento. Además, ha
habido problemas de supervisión bancaria.
· Fallo de la razón o el sentido común. No es consistente
ningún modelo que se base en la revalorización de los
activos.
Por tanto, la crisis no se debe a la globalización. A corto
plazo se pueden ver oportunidades a nivel mundial, la eco-
nomía va a seguir creciendo, según el FMI, pero con una
cierta desaceleración.
El primer objetivo de las empresas españolas es pensar ca-
da vez más en los mercados asiáticos e iberoamericanos.
El problema fundamental está en Europa, que se está las-
trando en su competitividad, no está llevando a cabo políti-
cas para ser más competitiva en un mundo global, ha ac-
tuado de una manera neonacionalista y no ha respondido
correctamente a la crisis.
En el caso de España, es necesario recortar el gasto público;
ser más competitivos; realizar una reforma financiera que
agilice el crédito; restaurar la unidad de mercado; adecuar
las infraestructuras a nuestras necesidades; mejorar nuestra
innovación; adecuar la formación al mercado laboral y tener
cuidado con el valor inmobiliario.
En definitiva, el perfil de crecimiento español a corto plazo
es que en verano de 2013, la economía española dejará de
caer en términos intertrimestrales y en ese momento se
puede empezar a generar, si se ha producido el ajuste del
sector público de empleo antes, algo de crecimiento de em-
pleo vinculado al turismo. En ese punto se vería un creci-
miento moderado de la economía española.
SESIÓN
GENERAL 3
Juan Iranzo
DECANO. COLEGIO DE ECONOMISTAS DE MADRID
VICEPRESIDENTE. INSTITUTO DE ESTUDIOS ECONÓMICOS

36
El liderazgo del auditor interno
Sin embargo, no es frecuente encontrar espacios que traten
acerca de la formación y características que requiere el per-
fil humano y personal de un auditor interno adaptado a un
entorno global. Esta circunstancia seguramente no es fruto
del desconocimiento ni de la desconsideración, sino que, es
un aspecto que se da por supuesto como base de las cues-
tiones técnicas.
Si nos detenemos a pensar en el perfil humano que requie-
re un auditor interno, rápidamente vendrán a nuestra men-
te los valores que son propios de la profesión. Es fácil que,
en un momento u otro, consideremos el concepto de lide-
razgo. El liderazgo es un concepto basado en valores, ase-
veración que, en el caso de un auditor interno, es especial-
mente evidente.
Si repasamos el concepto de liderazgo, concluiremos sin di-
ficultad que, para dirigir con éxito una organización, los co-
nocimientos técnicos de sus responsables pueden ser nece-
sarios pero, en ningún caso, son suficientes. Por eso no es
difícil encontrar en la historia empresarial múltiples ejem-
plos en los que el liderazgo efectivo –o su ausencia- ha si-
do la clave determinante del éxito -o fracaso- de negocios
de todo tipo y tamaños.
En el caso de la auditoría interna no es distinto. Las unida-
des de auditoría interna deben ser un referente en las or-
ganizaciones, algo que será absolutamente imposible sin el
ejercicio de un liderazgo adecuado.
En general, la verdadera medida del líder de una organiza-
ción viene dada por la capacidad de influir positivamente
en los demás, hasta el punto que las posibilidades de éxito
y la eficiencia, de personas y organizaciones, vienen deter-
minados por la capacidad de liderazgo, que no conviene
confundir con el concepto gerencial, pues el liderazgo no lo
dan ni la posición ni el poder.
Al hablar de liderazgo estamos hablando de verbos como
inspirar, delegar, motivar, transmitir, respetar, escuchar, co-
municar, observar; estamos tratando conceptos como con-
fianza, ejemplaridad, trabajo en equipo, formación, espíritu
de servicio, visión, autoconocimiento, propósito de vida, va-
lores, barreras, estrategias.
Todos esos verbos y conceptos están presentes en un líder
de auditoría interna. Desde un punto de vista personal, va-
lores como la humildad, la prudencia o la discreción son in-
herentes al líder generador de confianza.
La confianza es la esperanza positiva de que otra persona
no se comportará de forma oportunista. Una comunicación
efectiva puede sembrar una relación de confianza que con-
venza al auditado del valor y la ayuda que el auditor apor-
tará a su gestión. El auditor habrá conseguido el respeto a
su persona y a su función.
SESIÓN
PARALELA
6.1
Juan Díaz Carmona
DIRECTOR DE AUDITORÍA INTERNA. TELEFÓNICA PERÚ
Cuando asistimos a congresos que abordan las distintas disciplinas de la Auditoría
Interna, es frecuente asistir a presentaciones sobre aspectos técnicos, presenciar
ponencias sobre desarrollos o herramientas que contribuyen a mejorar la eficiencia
en la utilización de los recursos para mejorar las metodologías y resultados del
ejercicio de una auditoría interna moderna; todo ello en foros que comparten su
mejor conocimiento en búsqueda de compartir las mejores prácticas de la profesión.

37
En un enfoque profesional o social, no habría liderazgo en
ausencia de una comunicación efectiva que facilite la con-
fianza necesaria para sembrar el respeto a la función y a
las personas, básico para conseguir la colaboración de toda
la organización, elemento motor de la agilidad como factor
innovador de una auditoría moderna y multicultural.
Es interesante comparar, con una sencilla consulta en inter-
net, la imagen que se tiene de un auditor interno con la vi-
sión del líder de auditoría interna que aquí se defiende.
La visión del líder de auditoría interna que aquí se presenta
es la de una gran persona, con espíritu de servicio y consi-
derado con los demás, con su cultura y con su labor; un re-
ferente en la organización, posición que se consigue a tra-
vés del respeto, del ejemplo, del conocimiento, del rigor y
de la experiencia; un observador, con gran capacidad de es-
cucha; un profesional con vocación y con pasión; un comu-
nicador, empático, generador y merecedor de confianza,
multicultural, con capacidad de adaptación a los distintos
ámbitos organizacionales y culturales; un colaborador con
su equipo y con sus pares y, al tiempo, inspirador de cola-
boración interna y externa; un legítimo transmisor de valo-
res, mentor y formador de sólidos e íntegros equipos de
trabajo; un profesional ágil y dinámico, para poder respon-
der a la velocidad de los cambios de la tecnología y de los
mercados; un innovador, generador de nuevos conceptos y
procedimientos de auditoría, que se adapten a las necesi-
dades de una realidad tan cambiante, impulsor de nuevos
modelos de auditoría preventiva; un garante de controles
internos eficientes que catalicen los procesos. En definitiva,
un generador de valor para las personas y para las organi-
zaciones.
Alcanzar esta visión de la auditoría interna no es fácil, y no
está exenta de barreras que dificultan su materialización.
Entre las principales barreras, están las relacionadas con las
consecuencias de la burocracia innecesaria o los controles
ineficientes en los procesos de las empresas.
La resistencia al cambio es otra de las principales barreras,
en personas y organizaciones, que impide la adaptación,a
una velocidad adecuada, al entorno y a las circunstancias.
Un líder de auditoría interna se relaciona constantemente
con el resto de la organización, con sus clientes, con las
corporaciones, con comités de auditoría, con la alta direc-
ción de las empresas, con el auditor externo, con su equipo
de trabajo…, la falta de cooperación será una barrera que
impedirá el éxito y conducirá a la deriva.
Cuando las personas y, por ende, las organizaciones confun-
den conceptos como la gerencia y el liderazgo, constituyen
una importante barrera que desaprovecha el talento exis-
tente generando jefes que no son líderes.
Los gerentes ejercen la autoridad derivada del poder que
les confiere su rango en la organización. El poder de los lí-
deres deriva de la legitimidad que se les reconoce, de su
capacidad para ver más allá que los demás y de sus posibi-
lidades de influir positivamente en las personas y en las or-
ganizaciones.
Cuando una organización no tiene un liderazgo adecuado,
pondrá al frente de un equipo al que posiblemente sea un
buen técnico sin dotes de líder; de esta forma perderá a un
buen profesional y nombrará a un mal jefe.
Desde un punto de vista personal, la arrogancia, la prepo-
tencia y la soberbia son las principales barreras que impi-
den alcanzar la visión descrita de un verdadero líder de au-
ditoría interna.
Otra barrera es la falta de equilibrio en las personas, entre
su estado físico, familiar, laboral, afectivo y espiritual. La
falta de este balance agota las posibilidades y el potencial
de los recursos humanos de una empresa.
La realidad se transforma a una velocidad de vértigo.La
adaptación exige el cambio.No hay cambio sin innovación.
No hay innovación sin colaboración y, cuando todos colabo-
ran, todos forman parte de Auditoría Interna.
Resumen del ponente
Las posibilidades
de éxito y
la eficiencia, de
personas y
organizaciones,
vienen
determinados por
la capacidad
de liderazgo.
Una comunicación efectiva puede sembrar una
relación de confianza que convenza al auditado
del valor y la ayuda que el auditor aportará a su
gestión.

38
El papel de la auditoría interna en los
procesos de integración de las entidades
financieras. La experiencia de Banco Sabadell
Introducción
Banco Sabadell tiene una clara metodología de integración
elaborada como resultado de los diferentes procesos de in-
tegración de entidades financieras que se han realizado du-
rante los últimos años, y que plantea la conveniencia de
estructurar adecuadamente el proceso de integración, me-
diante la involucración de los distintos órganos de gobierno
y participantes destacando principalmente:
- El Comité de Integración, compuesto por las principales
Direcciones Generales del Banco. Realiza la coordinación
y ejecución unificada del programa de integración, vali-
dación de objetivos y recursos, aprobación de iniciativas
a desarrollar, reporte y propuestas a la Comisión Ejecutiva
del Banco.
- La Oficina Técnica de Integraciones y Fusiones (OTIF),
formada por un equipo mixto de profesionales de ambas
entidades (especializados en procesos de transformación
y proyectos de integración tecnológica y operativa). Rea-
liza tareas de coordinación y seguimiento.
La Dirección de Auditoría Interna, por su parte, tiene la
responsabilidad de supervisar la razonabilidad en la asun-
ción de riesgos durante todo el proceso y efectuar assu-
rance sobre el sistema de control del proyecto y su ade-
cuada ejecución.
Auditoría Interna en un proyecto de integración
Para abordar con éxito la auditoría de un proceso de inte-
gración hay que realizar en primer lugar un buen análisis
de riesgos del proyecto.
Los principales factores a considerar durante el análisis pre-
liminar de riesgos que soportará el Plan de Auditoría son
los que se derivan de:
• Condicionantes estratégicos del negocio con impacto en
la estrategia de integración de sistemas: políticas de
marcas, productos, filiales, operativas, fusión/cierre de
oficinas, etc.
• Recursos Humanos: convivencia de los procesos de rees-
tructuración con el proceso de integración, diferencias de
metodologías de trabajo y cultura de empresa.
• Diferencias en las metodologías, equipos e infraestructu-
ras logísticas y operativas.
• Movimientos significativos de migración y transformación
de datos.
• Entorno de presión por el cumplimiento de los plazos de
finalización del proyecto.
El siguiente paso consiste en definir con claridad el alcance
y enfoque del proyecto de auditoría, mediante la combina-
ción de dos enfoques complementarios:
1. Revisión del sistema de Control Interno del proyecto
Este enfoque implica la revisión de los siguientes aparta-
dos:
• Requerimientos funcionales. Revisión del proceso de
análisis por comparación realizado por los diferentes res-
ponsables funcionales entre las entidades que se van a
integrar (Entidades Objetivo), de procesos y aplicaciones
de similar naturaleza con el objetivo de identificar y ana-
lizar las diferencias funcionales entre el catálogo de pro-
ductos y servicios de las Entidades a integrar.
SESIÓN
PARALELA
6.2
Nuria Lázaro
DIRECTORA DE AUDITORÍA INTERNA. BANCO SABADELL

39
En esta fase el objetivo de auditoría es determinar si se
han considerado adecuadamente todos los impactos co-
merciales, operativos, técnicos y organizativos, así como
la suficiencia de las alternativas propuestas para cubrir
estas diferencias funcionales.
• Procesos de migración, contabilidad y cuadre. Asegurar
que el diseño de los procesos de migración garantiza que
no se pierden ni alteran datos operativos ni contables
mediante la verificación de la suficiencia de los cuadres
de migración.
• Plan de aceptación. El proceso de aceptación es crítico y
consiste en la definición y ejecución del plan de pruebas
que debe garantizar que los desarrollos realizados tienen
la calidad suficiente para que sean implantados con éxito.
La Auditoría Interna en este apartado debe valorar la
completitud y formalización de los planes de prueba
elaborados por los usuarios para validar el correcto fun-
cionamiento de las aplicaciones:
· Existencia de un plan de pruebas con fechas, objetivos
y resultados esperados.
· Calidad, completitud y grado de formalización del plan
de pruebas.
· Resultados de las pruebas tras su ejecución.
· Correcto registro y categorización de las incidencias de-
tectadas.
· Plan de acción establecido para su subsanación.
• Plataformas tecnológicas. En este punto es necesario uti-
lizar procedimientos de auditoría informática que permi-
tan validar, entre otros, los siguientes aspectos:
· La escalabilidad de las plataformas y de las conexiones
y comunicaciones para asegurar que soportan el tráfico
estimado.
· Las políticas de acceso a datos.
· La existencia de entornos de pruebas suficientemente
dimensionados, replicando el entorno real.
· Medidas de seguridad en el tratamiento y envío de la
información a migrar.
· Los niveles de autorización y documentación asociados
a la gestión de cambios.
· La existencia de entornos de contingencia para cubrir
posibles eventualidades durante el proceso de migra-
ción.
• Planes de Comunicación y Formación. Revisar que se rea-
liza correctamente la comunicación del proceso a emple-
ados y clientes de las entidades y se proporciona la for-
mación necesaria sobre productos y aplicaciones.
En este apartado resulta especialmente relevante asegu-
rar que se realiza un adecuado proceso de gestión del
cambio durante todo el proceso. Las integraciones son
procesos complejos debido a las diferencias culturales y
de metodología de trabajo. Para realizar una buena inte-
gración es fundamental asegurar la cohesión del equipo
y la integración cultural.
Aquí la auditoría puede jugar un papel relevante como
agente dinamizador del cambio, constituyendo un vehí-
culo transmisor de la cultura de control del Banco a lo
largo del proceso de integración.
2. Ejecución de validaciones independientes
La revisión del sistema de control del proyecto se comple-
menta con otro tipo de validaciones de auditoría basadas
en el tratamiento masivo de datos que proporciona seguri-
dad a la dirección del proyecto acerca de que los riesgos
más significativos del mismo están adecuadamente contro-
lados.
Adicionalmente, este tipo de validaciones contribuyen de
forma decisiva a cubrir otros riesgos residuales derivados
de la identificación de potenciales errores en la migración
de datos que no han sido identificados durante las pruebas
de cuadre, al tratarse en su mayoría de datos extra-conta-
bles (fechas de alta/renovación de productos, tipo de tribu-
tación, límites de tarjetas, idioma cuentas, etc.) pero que,
de no detectarse a tiempo, podrían comportar riesgos repu-
tacionales/legales para la entidad.
Conclusiones
Resumidamente las principales claves para abordar con éxi-
to una auditoría de un proyecto de integración serían las si-
guientes:
• Enfoque a los riesgos relevantes del proyecto de inte-
gración.
• Combinación de diversas técnicas de auditoría que per-
mitan asegurar el adecuado control de los riesgos del
proyecto.
• Definición del ámbito temporal de la auditoría que debe
coincidir con el propio del proceso de la integración, des-
de su diseño hasta las etapas posteriores al día de la in-
tegración.
• Juego de Equipo: equipo multidisciplinar de auditoría con
recursos de las dos entidades para asegurar la bondad de
todo el proceso (origen-destino).
• Auditoría como agente dinamizador del cambio constitu-
yendo un vehículo transmisor de la cultura de control del
Banco a lo largo del proceso de integración.
Resumen de la ponente

40
El Comité de Auditoría: una relación clave para
la función de Auditoría Interna
La agenda actual de temas de los Comités de Auditoría in-
cluye multitud de asuntos en los encontramos, como punto
en común, la necesidad de dar la mayor confianza, a efec-
tos internos y externos, a la información generada por las
compañías. El Comité de Auditoría tiene un papel funda-
mental en la existencia de Sistemas adecuados de Control
Interno y Gestión de Riesgos.
El Mapa de las principales relaciones del Comité de Audito-
ría, de forma resumida, es el siguiente:
de tipo financiero, operativo, de cumplimiento y estratégi-
cos).
Las responsabilidades del Comité de Auditoria han ido am-
pliándose y actualmente incluyen, de forma general, las si-
guientes:
• Supervisar la elaboración e integridad de la información
financiera, requisitos normativos, perímetro de consolida-
ción y principios contables.
• Revisar periódicamente los sistemas de control interno y
gestión de riesgos.
• Velar por independencia y eficacia de auditoría interna.
• Establecer y supervisar un canal de comunicación de irre-
gularidades, especialmente financieras y contables.
• Propuestas de selección, nombramiento, contratación y
sustitución del auditor externo. Recibir del auditor externo
información sobre el plan de auditoría y sus resultados.
Verificar que la Dirección considera sus recomendaciones
• Asegurar la independencia del auditor externo.
• Favorecer la integración de la auditoría externa en los
Grupos.
Los Comités de Auditoría se apoyan en las funciones de Au-
ditoría Interna. Auditoría Interna ha encontrado en esta si-
tuación una oportunidad para elevar su papel dentro de las
organizaciones y actuar, de forma efectiva, reportando di-
rectamente a los consejeros de los Comités de Auditoría.
Entender las diferentes funciones del Comité de Auditoría y
buenas prácticas en cada una de esas funciones es una
SESIÓN
PARALELA
7.1
José Díaz Morales
SOCIO DE AUDITORIA INTERNA, GESTIÓN DE RIESGOS Y GOBIERNO
CORPORATIVO. ERNST & YOUNG.
Comité de Auditoría
Consejo
Direcciones Ejecutivas
Auditoría Interna Auditoría Externa
El Comité de Auditoría ha sufrido una gran transformación en los últimos años.
Esta situación se ha producido dentro de los cambios experimentados en las
prácticas de Gobierno Corporativo que, en muchos casos, han derivado en la
asignación de nuevas tareas y responsabilidades a este Comité.
El Comité de Auditoría, como órgano de apoyo del Consejo,
informa al mismo de los resultados de sus actividades. Para
ello recurre a las Direcciones de las áreas analizadas y se
apoya en la Auditoría Externa (para obtener confianza en la
calidad de la información financiera) y la Auditoría Interna
(para supervisar los sistemas de control interno y gestión
de riesgos en un sentido amplio, incluyendo los objetivos

Revista IAI. Presentación Riesgos

Revista IAI. Presentación Riesgos

Recommended

Recommended

More Related Content

What's hot

What's hot (9)

Viewers also liked

Viewers also liked (20)

Similar to Revista IAI. Presentación Riesgos

Similar to Revista IAI. Presentación Riesgos (20)

Revista IAI. Presentación Riesgos