Auditoría Interna en la estrategia de negocio

El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.500 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.

LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.

El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el intercambio de conocimientos entre los socios.

ENCUENTRA TODOS LOS DOCUMENTOS DE LA FÁBRICA EN www.auditoresinternos.es

AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO

A U D I T O R Í A I N T E R N A

LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

MIEMBROS DE LA COMISIÓN TÉCNICA

COORDINACIÓN: Cristina Moya Rivero. MAPFRE.

Daniel A. Álvarez Rodríguez, CIA, ICA-CACN. CONTROL SOLUTIONS 360.

M. Ángel Arévalo Galán, EMBA, FRM, CIA, CFE, CRMA, CFSA, CESCOM, SCR. CAIXABANK.

Marcos Becerril de la Fuente, ROAC, CESCOM, IFCA. EY.

Raquel Cáceres Martín, CFE, TEAI, COSO-CI, COSO-ERM. GESTAMP.

Paula Camps Cadarso. TELEFÓNICA.

Álvaro Conde Herranz. NEINOR HOMES.

Tamer Davut, CIA, CRMA. PwC.

J. Enrique Díaz Menaya, CIA, CRMA, COSO-CI, ROAC. INDEPENDIENTE.

Pilar Durban Díez de la Cortina. CEPSA.

Antonio de Frutos Escobar, CIA, CRMA, ROAC, CFE, ECA. GRUPO BBVA.

María Galván Lamet. MUTUALIDAD DE LA ABOGACÍA.

Gonzalo García-Liñán Fragero. BDO.

Xabier López del Corral, CIA, CRMA. IBERDROLA.

Aida Molledo Álvarez. DELOITTE.

Annamaria Monaco. KPMG.

Mª de la Sierra Pérez García, CIA. MUTUA MADRILEÑA.

Carmen Rubio Laporta. INDEPENDIENTE.

Marzo 2021

Auditoría Interna en la estrategia de negocio

3

La actividad diaria de cualquier compañía, independientemente de su tama-

ño o sector, se guía por la estrategia, entendida como el camino para llegar

al objetivo final, que está determinada por la misión, visión y valores de la

empresa, definida por su órgano de gobierno e implementada por la Direc-

ción y sus empleados.

Por lo tanto, definir, desarrollar y hacer seguimiento de la estrategia es uno

de los procesos más importantes de cualquier entidad, y Auditoría Interna

debe dedicar tiempo y recursos a validar que los riesgos, inherentes a estos

procesos, son conocidos y están controlados.

Esta publicación recoge el trabajo de Auditoría Interna en la definición y se-

guimiento de la estrategia de la compañía, aportando una visión práctica so-

bre cómo abordar la auditoría del proceso estratégico con ejemplos y pautas

para el programa de trabajo. Auditoría Interna puede desempeñar el rol de

aseguramiento y/o asesoramiento en los procesos en los que se desarrolla la

estrategia, o bien el de asesor de confianza de la alta dirección y/o de los ór-

ganos de gobierno cuando sea suficientemente madura y con experiencia pa-

ra ello.

Es importante tener presente que tanto los riesgos como las pruebas que se

incluyen no son limitativos, sino que son una base que tendrá que ser adap-

tada al contexto, madurez y estructura de la compañía y de Auditoría Interna.

Desde el Instituto agradecemos el trabajo de la comisión técnica que ha ela-

borado esta publicación, que será de gran utilidad para los auditores inter-

nos.

Instituto de Auditores Internos de España

5

ÍndiceASPECTOS GENERALES DE LA ESTRATEGIA DEL NEGOCIO

Misión, visión y valores .............................................................................................. 07

Fases ................................................................................................................................ 07

· Definición de los objetivos estratégicos de la organización

· Desarrollo e implantación de la estrategia en la organización

· Monitorización y adaptación de la estrategia

Gestión de riesgos empresariales ............................................................................ 10

EL ROL DE AUDITORÍA INTERNA EN LA ESTRATEGIA DE NEGOCIO

El rol de aseguramiento del auditor interno ........................................................ 12

El rol del auditor interno como asesor de confianza ......................................... 13

¿CÓMO AUDITAR LA ESTRATEGIA DEL NEGOCIO?

Auditoría Interna de la definición de la estrategia ............................................. 15

Auditoría Interna de la implementación de la estrategia ................................. 15

Auditoría Interna de la monitorización de la estrategia ................................... 16

Guía de Auditoría Interna de la estrategia de negocio ..................................... 17

CONCLUSIONES

Beneficios para la organización .............................................................................. 20

Beneficios para Auditoría Interna ........................................................................... 21

BIBLIOGRAFÍA

06

11

14

20

23

Existen tantas matizaciones al concepto deestrategia1 empresarial como teóricos y pen-sadores se han interesado por esta materia,coincidiendo todos, al menos parcialmente, ensus definiciones. Aunando dos de las más ex-tendidas por su relevancia, podemos obtenerla siguiente:

“La estrategia empresarial es la determina-ción de los objetivos a largo plazo de una em-presa, así como la distribución necesaria delos recursos para alcanzar los mismos” (AlfredChandler y Kenneth Andrews, 1962) “…con-siste en desarrollar una amplia fórmula de có-mo la empresa va a competir, cuáles debenser sus objetivos y qué políticas serán necesa-rias para alcanzar tales objetivos” (Porter,1992).

Para adentrarse en el concepto de estrategiaempresarial es necesario hablar de la misión,de la visión y de los valores de una compañía,conceptos sin los que resultará muy difícil de-finir una estrategia exitosa, ya que no tendráun hilo conductor que le otorgue consisten-cia. Por ello, el desarrollo de una estrategiaimplica tener claro, antes de nada, cuál es lamisión de la compañía, los valores que guia-rán sus acciones y sus objetivos.

• La misión es una declaración sobre el pro-pósito o razón profunda de ser de una enti-dad. Dota de identidad a la compañía y ladistingue de otras similares. Debe ser claray comprensible.

• La visión es la declaración de las aspiracio-nes de la entidad de cara a su estatus futu-ro o lo que pretende lograr con el paso deltiempo. Para establecerla, es necesario re-flexionar sobre las expectativas de los dis-tintos grupos de interés, realizar un profun-do análisis de contexto, externo e interno,delimitar el apetito de riesgo de la entidady considerar la cultura de la compañía.

• Los valores clave son las creencias e idea-les de la entidad sobre lo que es correcto oincorrecto, aceptable o inaceptable. Influ-yen y guían el conjunto de la actividad dela compañía, condicionando las metas aperseguir y cómo se van a alcanzar. La co-municación clara y el impulso de estos va-lores, así como lograr que sean comparti-dos por todos los miembros de la organiza-ción, refuerza la coherencia y el carácter in-temporal de la misma, por lo que deben es-tar bien definidos e integrados en todas lasactividades de la compañía.

6

El desarrollo de unaestrategia implica,antes de nada, tenerclaro cuál es la misiónde la compañía, losvalores que guiarán susacciones y susobjetivos.

1. El documento debe entenderse como una guía para la auditoría del proceso estratégico, haciendo referencia este tér-mino a las fases de definición, implantación y monitorización/actualización de la estrategia de una compañía. Porello, a lo largo del documento, cualquier referencia a “estrategia” deberá ser entendida como “proceso estratégico”que abarca las fases anteriormente señaladas.

Aspectos generales de la estrategiadel negocio

MISIÓN, VISIÓN Y VALORES

7

FASES DE LA ESTRATEGIA EMPRESARIAL

La estrategia empresarial es un proceso que abarca distintas fases y puede representarse gráfica-mente según la siguiente figura:

OBJETIVOSESTRATÉGICOS

DEFINICIÓNDE LA ESTRATEGIA

IMPLANTACIÓN Y EJECUCIÓNDE LA ESTRATEGIA

MONITORIZACIÓNDE LA ESTRATEGIA

Definición de objetivosestratégicos

1

Desarrollo de la estrategia2

Aterrizaje de la estrategiaen la organización

3

VISIÓN

MISIÓN VALORES

Ejecución de la estrategia 4

Establecimientode indicadores de desempeño 5

Análisis y reevaluaciónde la idoneidad de la estrategia 6

Son los que una compañía establece, conside-rando su misión y sus valores, para alcanzarsu visión. Representan la meta –desarrolladaa nivel estratégico– que una compañía esperalograr en el medio o largo plazo, normalmen-te entre 2 y 5 años2.

Para ser eficaces, tienen que contar con cier-tos atributos: estar destinados a un fin; ser al-canzables y poder derivarse de estrategias dela compañía; ser comprensibles, medibles,

oportunos y tener la capacidad de transfor-

marse en tareas concretas, así como poder

ubicarse en un horizonte temporal determina-

do.

Las VENTAJAS de determinar objetivos estra-

tégicos son:

• Ayudan a concentrar y conservar recursos

valiosos, y a trabajar conjuntamente de un

modo más adecuado.

“Sin estrategia, la organización es como un barco sin timón, da vueltas en círculos” (Joel Ross and Michael Kami) - IIA, In-ternational Conference, Dubai. Mayo 2018 - Auditing Strategic Objectives.

Definición Definición de los objetivos estratégicos de la compañía

2. MARTÍNEZ PEDRÓS, D.; MILLA GUTIÉRREZ, A. La elaboración del plan estratégico y su implantación a través del cuadrode mando integral. Ediciones Díaz de Santos. 2005

Analizar el contextointerno y externo de lacompañía y determinarsu apetito y toleranciaal riesgo sirven comobase para tomardecisiones estratégicas.

8

• Promueven la motivación e inspiración delos trabajadores, logrando mayores nivelesde compromiso y esfuerzo.

• Facilitan el alineamiento de los intereses delos diferentes stakeholders y miembros dela compañía.

• Permiten asegurar una mejor equidad e im-parcialidad en la asignación de incentivos.

• Contribuyen a comunicar de manera trans-parente al entorno y al mercado hacia dón-de se dirige la compañía.

El primer paso para definir los objetivos estra-tégicos y desarrollar las estrategias para lo-grarlos es la realización de un análisis ex-haustivo de su contexto interno y externoque le permita identificar, recopilar y analizarinformación relevante para este proceso.

• El análisis externo le ayudará a comprenderel entorno en el que actúa, pudiendo facili-

tar la identificación de amenazas potencia-les y de oportunidades. Puede realizarse através de estudios sectoriales, benchmarkde la industria, etc.

• El análisis interno le brindará informaciónsobre los recursos, medios, capacidades yhabilidades de los que dispone la compañíapara hacer frente al entorno. Para este aná-lisis se pueden utilizar diversos métodos yherramientas: análisis DAFO, análisis PEST,análisis KSF, etc.

Para la definición de los objetivos estratégi-cos, además de los resultados del análisis decontexto interno y externo realizado, la com-pañía tiene que determinar su apetito deriesgo y su nivel de tolerancia al riesgo; esdecir, el horizonte temporal y riesgo máximoque una entidad es capaz de soportar en laconsecución de sus objetivos, ya que sirvencomo base para la toma de decisiones estra-tégicas3.

3. Extraído de Definición e implantación de Apetito de Riesgo; LA FÁBRICA DE PENSAMIENTO, Instituto de AuditoresInternos de España (junio 2013).

Implantación Desarrollo e implantación de la estrategia en la compañía

Para poder convertir los objetivos estratégicosen acciones reales, se desarrolla el plan estra-tégico que incluye estos objetivos, de formaescalada, a lo largo de los distintos niveles dela compañía.

• La estrategia corporativa ocupa el primernivel en la escala de decisiones de la com-pañía. Decide el reparto de capacidades yrecursos, así como la creación de valor des-de las distintas partes de la compañía. Está

ESTRATEGIA DE NEGOCIOS

ESTRATEGIA CORPORATIVA

ESTRATEGIAS FUNCIONALES

ESTRATEGIAS OPERATIVAS

Fuente: IIA, International Conference, Dubai Mayo 2018 – Auditing Strategic Objectives.

9

reservada a los órganos de administración ya la alta dirección.

• La estrategia de los negocios se centra en

el camino que debe seguir cada unidad de

negocio, de forma alineada con la estrate-

gia corporativa, marcando patrones a se-

guir. Es necesario implantar estrategias per-

sonalizadas en función de los diversos bie-

nes y servicios generados en la compañía.

Es recomendable que participen los directo-

res y máximos responsables de estas unida-

des de negocio.

• Las estrategias funcionales y operativas,donde la estrategia se materializa en accio-

nes concretas, en función de las directrices

establecidas por la estrategia corporativa y

de las unidades de negocio. Se decide, de-

talladamente, el empleo de los recursos en

las distintas áreas y se busca la eficiencia

máxima en los procesos para alcanzar las

metas establecidas.

Estos niveles no tienen por qué estar presen-

tes en todas las compañías. En función de sus

dimensiones, diversificación de sus negocios o

estructura organizativa, algunos podrían no

resultar de aplicación.

Para una adecuada implantación de la estra-

tegia organizacional hay que realizar una pla-nificación presupuestaria de la misma, a fin

de:

· Garantizar que se dispone de recursos y

que éstos se distribuyen para los proyectos

de forma adecuada y eficiente.

· Controlar el rendimiento y el retorno de las

inversiones que se realicen.

· Aportar información valiosa para la toma

de decisiones.

La implantación de la estrategia requiere que

la compañía esté alineada y aúne todos sus

esfuerzos. Por ello, los órganos de administra-

ción y la alta dirección deberían comunicar la

estrategia y los objetivos de negocio a todos

sus stakeholders, a través de mensajes claros

y coherentes, reforzando la idea de que la

consecución de los objetivos forma parte de

las responsabilidades diarias de todos y son

fundamentales para alcanzar el éxito. Esto

permitirá que los mismos se vean reflejados

en los proyectos, iniciativas e indicadores de

seguimiento de las áreas, y supondrá una mo-

tivación para los empleados, quienes, en últi-

ma instancia, llevan a cabo las actividades y

les permitirá conectar con los valores y la vi-

sión corporativa.

Las personas son, en definitiva, el verdadero

motor para que la entidad logre sus objetivos

en todos los ámbitos. Constituyen un elemen-

to diferenciador en las compañías en las que

son un eje central estratégico. Esta comunica-

ción hay que fortalecerla con planes de de-

sarrollo de competencias, objetivos individua-

les y programas de incentivos consistentes

con los objetivos estratégicos.

No hay que olvidar la comunicación, si se

considera adecuada, hacia otros grupos de in-

terés de la compañía.

Los medios de comunicación interna de la es-

trategia pueden ser muy diversos: celebracio-

nes de reuniones anuales con todos los em-

pleados, reuniones con los responsables de

las áreas operativas, sistemas de información

en cascada, publicación de mensajes en la in-

tranet, etc.

Los órganos deadministración y alta

dirección debencomunicar la estrategia

y los objetivos denegocio a los

empleados.

Para monitorizar la evolución de la estrategiacorporativa, hay que definir y aplicar un ade-cuado sistema de control que permita dar se-guimiento a dos aspectos:

• El grado de consecución y desviación so-bre lo esperado para los hitos temporalesdefinidos.Esta monitorización se podrá realizar me-diante la implementación de indicadores deseguimiento medibles, adecuados y confia-bles que permitan la pronta detección deposibles desviaciones para poder adoptarlas medidas correctivas necesarias.

• Validez de las hipótesis y premisas utiliza-das en la fase de definición de la estrate-gia. En el contexto altamente cambiante en elque operan nuestras compañías, es necesa-rio cuestionar, periódicamente, si las mis-mas siguen siendo válidas (nuevos datosexternos/internos, información del cuadrode mando, cambios en el entorno competi-tivo y normativo, nuevas oportunidades yamenazas, etc.). Esto permitirá modificar,

matizar y reformular aquellos aspectos delplan estratégico (tanto a nivel corporativo,como a nivel de negocio, funcional u opera-cional) con el aprendizaje adquirido, inclu-yendo, si es necesario, nuevas estrategias.

Asimismo, es relevante analizar los posiblesriesgos estratégicos, aquellas amenazas quepodrían hacer peligrar la consecución de losobjetivos de la compañía y/o la misión centralde la entidad, para poder gestionarlos.

Por último, y considerando que una descone-xión entre la formulación de la estrategia y suejecución podrían provocar el fracaso en laconsecución de los objetivos, es recomenda-ble que la compañía se cuestione periódica-mente si las operaciones están bajo control ysi la estrategia se está ejecutando de maneraadecuada.

En esta fase, podría ser recomendable el esta-blecimiento, en las compañías en las que sucapacidad o volumen de recursos se lo permi-ta, de una oficina de gestión de la estrategiaque contribuya a gestionar la brecha entre laambición y el desempeño real.

10

Es recomendable que lacompañía se cuestioneperiódicamente si lasoperaciones estáncontroladas y si laestrategia se ejecutaadecuadamente.

Monitorización Monitorización y adaptación de la estrategia

GESTIÓN DE RIESGOS EMPRESARIALESUno de los principales marcos vigentes parala gestión y control interno de los riesgos esCOSO ERM 2017. Es una actualización delMarco Integrado de Gestión del Riesgo Em-presarial publicado en 2004, que pone demanifiesto la importancia de tener en cuentael riesgo, tanto en el proceso de definición dela estrategia, como en la ejecución del de-sempeño.

Este marco permite, entre otros aspectos, ob-tener una mayor comprensión del valor de lagestión del riesgo empresarial al definir y lle-var a cabo la estrategia. También, mejorar laalineación entre el desempeño de actividadesy la gestión del riesgo empresarial para per-feccionar la definición de objetivos de desem-peño y el mejor entendimiento del impactoque el riesgo pueda tener en estos.

11

Se resume en un conjunto de 20 principios or-ganizados en torno a cinco componentes in-

terrelacionados, que se muestran en la si-guiente figura:

MISIÓN, VISIÓN Y VALORES CLAVE

DESARROLLODE LA ESTRATEGIA

FORMULACIÓN DE OBJETIVOSDE NEGOCIO

IMPLANTACIÓNY DESEMPEÑO

MEJORA DELVALOR

GESTIÓN DEL RIESGO EMPRESARIAL

Revisión y Monitorización

Información,Comunicación y Reporte

DesempeñoEstrategia yEstablecimiento de Objetivos

Gobiernoy Cultura

1. Ejerce la Supervisión de Riesgos a través del Consejo de Administración

2. Establece Estructuras Operativas

3. Define la Cultura Deseada4. Demuestra Compromiso

con los Valores Clave5. Atrae, Desarrolla y Retiene

a ProfesionalesCapacitados

6. Analiza el Contexto Empresarial

7. Define el Apetito al Riesgo8. Evalúa Estrategias

Alternativas9. Formula Objetivos de

Negocio

10. Identifica el Riesgo11. Evalúa la Gravedad del

Riesgo12. Prioriza Riesgos13. Implementa

Respuestas ante los Riesgos

14. Desarrolla una Visión a nivel de Cartera

15. Evalúa los Cambios Significativos

16. Revisa el Riesgo y el Desempeño

17. Persigue la Mejora de la Gestión del Riesgo Empresarial

18. Aprovecha la Información y la Tecnología

19. Comunica Información sobre Riesgos

20. Informa sobre el Riesgo, la Cultura y el Desempeño

La adhesión a estos principios puede propor-cionar a la alta dirección y al consejo una ex-pectativa razonable de que la compañía en-tiende y se esfuerza por gestionar los riesgosasociados con su estrategia y sus objetivos.Como buena práctica, y dada la importancia

de este marco como referencia internacional-mente reconocida, se recomienda la incorpo-ración y utilización de la metodología COSO-ERM 2017 en los enfoques de Auditoría Inter-na que se desarrollan en los siguientes apar-tados.

Fuente: Coso. Gestión del Riesgo Empresarial. Integrando Estrategia y Desempeño (2017).

El rol de Auditoría Interna en la estrategia de negocio4

El auditor interno, por su formación y expe-riencia en identificación de riesgos y contro-les, así como por la visión global de la compa-ñía de la que habitualmente dispone, puedeaportar un importante valor adicional a los ór-

ganos de gobierno y la alta dirección, en rela-ción con el sistema de gobierno y de controlde los riesgos asociados al proceso de defini-ción, implantación y supervisión de la estrate-gia de la entidad.

4. Debe tenerse en cuenta la existencia de sectores de actividad en los que la actividad de Auditoría Interna pueda estarregulada y no sea adecuado la realización de este tipo de actividades.

Podemos observar el rol del auditor internoen el proceso estratégico de negocio desdedos puntos de vista complementarios:

• El rol de aseguramiento.

• El rol de asesor de confianza y creador devalor en la estrategia.

Con independencia de cuál de estos dos rolesasuma Auditoría Interna, para su éxito siem-pre resultará clave una comunicación bidirec-

cional fluida con los órganos de gobierno y laalta dirección.

Por último, consideramos esencial la adopcióny aplicación de las medidas de salvaguardade la independencia de la actividad de Audi-toría Interna, según lo establecido en el grupode Normas del epígrafe 1100 del Marco Inter-nacional para la Práctica Profesional de la Au-ditoría Interna (MIPPAI).

12

EL ROL DE ASEGURAMIENTO DEL AUDITOR INTERNOAuditoría Interna debe conocer a fondo la es-trategia de la entidad y tener en cuenta losobjetivos y los riesgos estratégicos en la pla-nificación de su tarea de aseguramiento, dan-do respuesta a una de las preocupacionesmás importantes del consejo de administra-ción y de la alta dirección.

Según la Norma 2110 del MIPPAI, “la Audi-toría Interna debe evaluar y hacer recomen-daciones apropiadas para mejorar los proce-sos de gobierno de la entidad para:

- tomar decisiones estratégicas y operativas

- supervisar el control y la gestión de los ries-gos”, entre otras.

En esta línea, la Norma 2130.A1 indica que“la Auditoría Interna debe evaluar la adecua-ción y eficacia de los controles en respuesta alos riesgos de gobierno, operaciones y siste-mas de información de la compañía, respectoa lo siguiente:

- Logro de los objetivos estratégicos de lacompañía”, entre otros.

Estas normas dejan claro que Auditoría Inter-na debe incluir la estrategia y los riesgos es-tratégicos dentro de los servicios de asegura-

miento que proporciona. Los riesgos estraté-gicos forman parte del conjunto de riesgos alos que se enfrenta la compañía y no se po-dría entender que una Auditoría Interna basa-da en riesgos no tuviera en cuenta que la es-trategia y los objetivos de negocio puedenverse afectados por potenciales eventos deriesgo.

El expresidente del Consejo de Administracióndel Instituto de Auditores Internos Global, An-ton Van Wyk, en un artículo del IIA publicadoen 2014, señalaba que una de las responsabi-lidades más importantes de Auditoría Internaes entender la estrategia de la compañía y losriesgos asociados.

Resulta complejo dar una idea exacta de có-mo desarrolla Auditoría Interna su función deaseguramiento respecto de la estrategia de lacompañía. En concreto, ¿debe intervenir eva-luando la idoneidad de las hipótesis utilizadasen la formulación y el contenido de la estrate-gia? o ¿debe sólo participar en la evaluaciónde su adecuada implementación o en su eva-luación y control, supervisión y recalibración?Si bien esto va a depender de cada compañíay de las características y capacidades de Audi-

Auditoría Interna debeincluir la estrategia ylos riesgos estratégicosdentro de los serviciosde aseguramiento queproporciona.

13

La auditoría de laestrategia puede

abarcar elaseguramiento sobre

riesgos estratégicos y lasupervisión del proceso

de planificación yseguimiento de la

estrategia.

toría Interna con las que cuente, la auditoríade la estrategia podría abarcar trabajos deaseguramiento sobre riesgos estratégicos dela compañía (auditoría sobre los riesgos estra-tégicos), así como la auditoría sobre el proce-so de planificación y seguimiento de la estra-tegia (auditoría sobre los procesos estratégi-cos, que constituye el alcance de este docu-mento).

En principio, Auditoría Interna puede interve-nir en todas las fases del proceso estratégico,aunque parece más intuitivo que, en la defini-ción de su alcance, se limite a evaluar si losriesgos estratégicos están correctamente defi-nidos, si los planes estratégicos se han trasla-dado adecuadamente a los planes operativosy si el modelo de gobierno corporativo de la

compañía es el más adecuado para su imple-mentación. Así proporcionaría aseguramientoa los órganos de gobierno sobre la efectividadde la estrategia y el funcionamiento del siste-ma de control interno para mitigar los posi-bles riesgos que le afecten.

Es imprescindible conocer si los objetivos es-tratégicos han sido considerados por el con-sejo de administración al definir el apetito deriesgo de la compañía, si éstos se sustentanen procesos adecuados, si existen controles yalertas, y si se puede trazar su eficacia. Tam-bién se deberían analizar los procesos de co-municación interna de la estrategia para ase-gurarse de que haya sido bien entendida yque cada parte de la compañía conoce lo quetiene que hacer durante su implementación.

EL ROL DEL AUDITOR INTERNO COMO ASESOR DE CONFIANZAPodemos definir al auditor interno como unasesor de confianza5 cuando se trata de “…un profesional experto con conocimientosprofundos de sectores específicos, capaz degenerar soluciones integrales para la mejoracontinua de los negocios que, además, está ala vanguardia de la información, la tecnolo-gía, los negocios, la economía, y que prestasu ayuda para facilitar el crecimiento del ne-gocio…”.

Adicionalmente, un departamento de Audito-ría Interna que tiene este nivel de madurez,“presta servicios de valor añadido y un aseso-ramiento proactivo y estratégico para el nego-cio que va mucho más allá de la mera ejecu-ción eficiente y eficaz del plan de auditoría”.

Con estas definiciones, puede decirse que ac-tuar como asesor de confianza en la estrate-gia de negocio sería el hito máximo que el Di-rector de Auditoría Interna (DAI) y su departa-mento pueden alcanzar dentro de la compa-ñía en la que prestan sus servicios.

La oportunidad de participar con éxito en larevisión de procesos estratégicos con un rolde asesor de confianza se fundamenta en lossiguientes factores:

• Grado de madurez de la Auditoría Interna ydel DAI, así como el nivel de conocimientode su equipo en este ámbito concreto.

• Percepción que tengan el consejo de admi-nistración y la alta dirección sobre AuditoríaInterna, en relación con esta materia.

5. Más allá del aseguramiento. El auditor interno como asesor de confianza; LA FÁBRICA DE PENSAMIENTO, Institutode Auditores Internos de España (2017).

• Regulación de la actividad que desempeñala compañía (entidades altamente regula-das –actividades de seguro, entidades ban-carias, etc.–, versus las que no).

• La madurez del gobierno corporativo de lacompañía y, dentro de este, la madurez desu proceso estratégico.

Algunas de las actividades de asesoramien-to y de revisión que se podrían aportar desdela Dirección de Auditoría Interna en su rol deasesor de confianza –siempre cumpliendocon las medidas de salvaguarda sobre expe-riencia, conocimiento e independencia men-cionadas anteriormente– son:

• La consideración de todos los riesgos estra-tégicos en el plan.

• La adecuación de los procesos y procedi-mientos de la compañía a la ejecución efec-tiva del plan estratégico.

• La fiabilidad, integridad y razonabilidad delos indicadores propuestos para la mediciónde la consecución del plan, y que sean me-dibles y relacionen factores homogéneos.

• La inclusión de variables con un alto gradode dependencia interna y no de factoresexógenos a la compañía.

• La no existencia de objetivos parciales quegeneren un conflicto entre la consecuciónde ambos, por ser contradictorios.

• La consideración de los errores y causasque motivaron en el pasado la no consecu-ción del plan o de sus objetivos parciales(lecciones aprendidas).

14

Cómo auditar la estrategia del negocio

Antes de definir el programa de auditoría pa-ra revisar el diseño, la implantación y la moni-torización de la estrategia del negocio, hayque recordar que –con independencia de larealización de una auditoría específica al res-pecto– Auditoría Interna vela y apoya la con-secución de los objetivos estratégicos al esta-blecer su plan de auditoría con base en losprincipales riesgos de la compañía, entre losque se contemplan los riesgos estratégicos.

Cuando se vaya a realizar esta auditoría esimportante gestionar adecuadamente las ex-

pectativas de los órganos de gobierno y de laalta dirección. El aseguramiento que propor-cione el auditor interno sobre el adecuado di-seño, implementación y monitorización de laestrategia, y sobre la cobertura de los riesgosestratégicos asociados, no debe confundirsecon aportar aseguramiento sobre el éxito deesta.

El objeto de este apartado es establecer unaguía sobre los principales puntos a revisar du-rante la auditoría, diferenciando cada una delas fases del ciclo de vida de la estrategia del

15

Los riesgos y pruebasrecogidas en este

documento no son decarácter limitativo, por

lo que deberán seradaptados por cada

compañía.

negocio: definición, implementación y monito-rización de la estrategia. Auditoría Interna po-dría decidir abordar la auditoría de estas tresfases de forma integral o revisar exclusiva-mente alguna de ellas.

Los riesgos y pruebas recogidas en este docu-mento no son de carácter limitativo, sino quepretenden ofrecer ideas y marcar una base,para luego adaptarlos o complementarlos enfunción de las características, contexto, madu-rez y estructura de cada compañía. Asimismo,

estos aspectos de la compañía se tendrán encuenta al interpretar los resultados y emitirlas recomendaciones o sugerencias de mejo-ra.

Por último, es necesario recordar que, tanto elgrado de involucración como el posible rol deAuditoría Interna (asesor estratégico con laaplicación de las debidas salvaguardas o co-mo proveedor interno de aseguramiento) de-penderá, en gran medida, de la fase que sedecida abordar.

AUDITORÍA INTERNA DE LA DEFINICIÓN DE LA ESTRATEGIA

Tiene como objetivo principal aportar asegu-ramiento o asesoramiento (en función del roladoptado), en relación con:

• El alineamiento de los objetivos estratégi-cos con la misión, los valores y la visión dela entidad, así como verificar que los mis-mos sean comprensibles, medibles, capacesde ser transformados en tareas concretas yde ubicarse en un horizonte temporal deter-minado.

• El adecuado sistema de gobierno y controldel diseño de la estrategia, así como el pro-ceso seguido para la toma de decisiones:· análisis del contexto interno y externo;· identificación de ventajas competitivas y

factores de éxito; · definición de los modelos de negocio;

· evaluación para la selección de las estra-tegias considerando su razonabilidad, suaceptabilidad y su adecuación;

· y concreción en un plan estratégico ate-rrizado en estrategias de negocio y fun-cionales, asociado a presupuestos anua-les.

Asimismo, puede aportar valor contrastan-do la integridad y razonabilidad de las hi-pótesis y los datos utilizados para la tomade decisiones.

• La correcta identificación de los riesgos es-tratégicos a los que está expuesta la com-pañía, incluyendo las potenciales medidasmitigadoras asociadas, así como su inclu-sión en el marco de apetito de riesgo.

Definición

AUDITORÍA INTERNA DE LA IMPLEMENTACIÓN DE LA ES-TRATEGIAImplantación

Es uno de los aspectos más complejos de lagestión de las compañías, que requiere unaadecuada estructura organizativa, elevadas

capacidades organizativas y de liderazgo, unaapropiada labor de comunicación y una bue-na coordinación de todas las áreas del nego-

cio/entidad. La implantación de la estrategiacomprende el conjunto de actividades y ta-reas requeridas, planificadas en un horizontetemporal concreto, para ponerla en marchacon el fin de alcanzar los objetivos operativosy estratégicos fijados.

En este contexto, el auditor interno puedeproporcionar asesoramiento o aseguramientosobre la adecuación del sistema de gobierno yde control de los riesgos relacionados con laimplantación de la estrategia, comprobando,entre otros, los siguientes aspectos:

• Que se haya realizado una adecuada asig-nación de roles y responsabilidades paraacometerla, que se hayan establecido lasacciones de comunicación necesarias paraque todos los implicados comprendan supapel y que exista coordinación entre lasáreas implicadas.

• La bondad y alineación de las acciones pro-puestas y los hitos temporales establecidoscon las estrategias corporativas, de negocio

y funcionales definidas, así como que sehaya realizado una asignación eficaz de re-cursos para su consecución.

• El establecimiento de indicadores o medi-das de seguimiento de diferente naturalezaque permitan tener un control objetivo so-bre si dichas acciones están alcanzando losobjetivos operativos y estratégicos fijadosen la fase de definición de la estrategia, asícomo las expectativas de los stakeholdersde la compañía:

· Internos: beneficio neto, cuota de merca-do, desarrollo de nuevos productos, esta-blecimiento en nuevos mercados, etc.

· Externos: cotización de la acción, encues-tas a clientes y proveedores, valoraciónde la organización en RRSS, etc.

• La fijación de incentivos o retribuciones va-riables, si se aplica en la compañía, quecontribuyan al logro de los objetivos opera-tivos, de negocio o estratégicos.

Es importantecomprobar laalineación de lasacciones propuestasestablecidos con lasestrategiascorporativas, denegocio y funcionalesdefinidas.

16

AUDITORÍA INTERNA DE LA MONITORIZACIÓN DE LA ES-TRATEGIAMonitorización

Tiene como objetivo principal la revisión y el

seguimiento de la estrategia de negocio defi-

nida, evaluando que la misma sigue siendo

válida en el transcurso del tiempo.

El auditor interno puede aportar asesoramien-

to o aseguramiento comprobando:

• Que exista un adecuado sistema de super-visión y control que permita a la entidad te-ner una visión constante sobre el grado deconsecución de los objetivos estratégicos,sobre si dichas estrategias siguen siendoválidas (en su totalidad o parcialmente), si

las acciones e hitos temporales están con-tribuyendo a lograr los objetivos fijados, osi, por el contrario, es necesario realizar unareformulación o recalibración de alguno deestos aspectos.

• La idoneidad de los roles y responsabilida-des asignadas en relación con la monitori-zación de la estrategia; del reporte a la altadirección, a los órganos de administración ya los principales responsables de las áreasfuncionales; del proceso de toma de deci-siones (modificación de la estrategia, esta-blecimiento de acciones correctivas, etc.) y

17

de los planes de comunicación de la mar-cha de la estrategia o de posibles cambiosen la misma.

• La calidad de los datos y la existencia desistemas de información adecuados pararealizar la monitorización de la estrategia.

• La adecuada ejecución de la monitorizaciónde la estrategia empresarial, a través del re-cálculo de los indicadores, de los datos delos cuadros de mando, de los grados de con-secución de los objetivos operativos y estra-tégicos, así como de otras medidas de segui-miento que puedan haberse establecido.

RIESGOS EN LAS DIFERENTES FASES DEL PROCESO ESTRATÉGICO

Sistema de gobierno inadecuado, que lleve ala toma de decisiones erróneas en relacióncon la estrategia de negocio o que no permi-ta que la misma se concrete en planes de ac-ción y objetivos operativos.

No consideración de los riesgos de la com-pañía en la definición de la estrategia.

Falta de definición de la estrategia funcional.

Objetivos incorrectos.

Falta de alineación de los objetivos indivi-duales o retribuciones variables con los obje-tivos estratégicos.

Estructura organizativa no adecuada para laconsecución de los objetivos estratégicos.

No consideración de todos los destinatarios(Grupos de interés) de la estrategia.

Falta de alineamiento de la estrategia con lacultura organizacional y la misión, visión yvalores.

Falta de consideración del entorno interno yexterno (Análisis de competencia y clientes).

Incumplimientos e Intereses particulares.

No incorporación en el proceso de decisión alas áreas y personas pertinentes.

Falta de relevancia y empoderamiento de laestrategia.

No integridad del plan estratégico y falta decredibilidad.

Recursos insuficientes o inadecuados parallevar a cabo la estrategia.

Sistema de gobierno inadecuado, que llevea la toma de decisiones erróneas en rela-ción con la estrategia de negocio.

No monitorización de los riesgos estratégi-cos.

Falta de herramientas soporte para la moni-torización de la implementación.

Inadecuado seguimiento continuo de la im-plantación de la estrategia funcional y denegocio / Intrascendencia de su cumpli-miento.

Falta de alineamiento entre los objetivosoperacionales y los objetivos estratégicos.

Falta de recursos o falta de estructura nece-saria para llevar a cabo la estrategia.

Incorrecto traslado / comunicación de la es-trategia.

Inadecuado sistema de gobierno.

No reevaluación periódica de las hipótesisde partida / Ausencia de mecanismos co-rrectivos / Inflexibilidad de la estrategia.

Errores o falta de fiabilidad de la informa-ción.

Incumplimiento de los objetivos marcados.

Falta de actualización de los objetivos.

Falta de actualización de los recursos o dela estructura.

Falta de actualización de la comunicaciónde la estrategia.

GUÍA DE AUDITORÍA INTERNA DE LA ESTRATEGIA DE NEGOCIO

DEFINICIÓN DE LA ESTRATEGIA IMPLANTACIÓN Y EJECUCIÓN MONITORIZACIÓN DE LA ESTRATEGIA

18

ACTIVIDADES DE REVISIÓN EN LAS DIFERENTES FASES DEL PROCESO ESTRATÉGICOÁREASA

AUDITAR

Verificar el cumplimiento de las funcio-nes definidas en el reglamento del con-sejo, Comisión de Auditoría, comité dedirección, etc.

Analizar la idoneidad del proceso de to-ma de decisiones relativas al diseño dela estrategia.

Verificar la aprobación del plan estraté-gico, por parte del consejo de adminis-tración y, en su caso, de otros órganosde gobierno.

Analizar las políticas/manuales/directri-ces en la entidad que definan el procesoa seguir para definir la estrategia.

Verificar la existencia de informes o do-cumentos con destinatarios establecidos.

Verificar el cumplimiento de las funcio-nes definidas en el reglamento del con-sejo, Comisión de Auditoría, comité dedirección, etc.

En el caso de haberse definido comités,grupos de trabajo, etc. para toma dedecisiones, verificar que son operativos.

Revisar que se han tenido en cuentaestas políticas/manuales en la ejecuciónde la estrategia.

Verificar que los reportes se han elabo-rado y enviado en tiempo y forma a losdestinatarios internos y externos.

Valorar el correcto funcionamiento delos diferentes órganos de gobierno y,en su caso, proponer cambios.

Valorar el correcto funcionamiento delos diferentes comités, grupos de traba-jo, etc. y, en su caso, proponer cambios.

En caso de actualización del plan, veri-ficar su aprobación por el consejo yotros órganos de gobierno (si fuera ne-cesario).

Verificar la supervisión que se lleva acabo del cumplimiento de estas políti-cas/manuales/directrices.

Verificar que los reportes cumplen sufunción y, en su caso, sirven como inputpara la modificación de la estrategia.

DEFINICIÓN DE LA ESTRATEGIA IMPLANTACIÓN Y EJECUCIÓN MONITORIZACIÓN DE LA ESTRATEGIA

SIST

EMA

DE G

OBI

ERN

O

Verificar que se ha realizado un análisisinterno y externo para la definición de laestrategia, en el que se han tenido encuenta todos los riesgos que puedanafectar, así como todos los grupos de in-terés y se han elaborado planes de res-puesta.

Verificar que se ha tenido en cuenta enla definición de la estrategia la política /norma de apetito al riesgo de la entidad.

Hacer seguimiento a la evolución de losriesgos.

Auditar los planes de respuesta.

Verificar que los riesgos se reevalúan y,en su caso, se modifican los planes derespuesta.

Verificar que la política / norma de ape-tito al riesgo de la entidad se revisa pe-riódicamente.

HIPÓ

TESI

S

Verificar que los objetivos estratégicosestán alineados con la visión, misión yvalores de la entidad.

Verificar que no existe riesgo culturalrespecto de la estrategia y/o que se haestablecido un plan de gestión del cam-bio.

Verificar que en la definición de los obje-tivos se incluyen indicadores para su me-dición.

Verificar la realización de las accionesdel plan de gestión del cambio.

Verificar que los objetivos tienen vincu-lados unos indicadores de medición yque estos se calculan con la periodici-dad establecida.

Verificar que el plan de gestión delcambio se actualiza.

Verificar que se realiza una correcta su-pervisión de los objetivos.

OBJ

ETIV

OS

Verificar la integridad y la calidad de lasfuentes de datos utilizados para definirla estrategia.

Verificar la integridad y la calidad de lasfuentes de datos utilizados para ejecu-tar la estrategia.

Verificar la integridad y la calidad de lasfuentes de datos utilizados para super-visar o, en su caso, modificar la estrate-gia.

CALI

DAD/

INTE

GRI

DAD

DEFU

ENTE

S DE

DAT

OS

Actividades en las que el auditor puede actuar como Asesor de Confianza.

19

ACTIVIDADES DE REVISIÓN EN LAS DIFERENTES FASES DEL PROCESO ESTRATÉGICOÁREASA

AUDITAR

Verificar que se han fijado unos indica-dores ligados a la retribución variable yque están claramente definidos y sopor-tados.

Verificar que el cálculo de los indicado-res se ha hecho correctamente y que elresultado se ha tenido en cuanta en elcobro de la retribución variable.

Actualizar, en su caso, la definición delos indicadores ligados a la retribuciónvariable.

DEFINICIÓN DE LA ESTRATEGIA IMPLANTACIÓN Y EJECUCIÓN MONITORIZACIÓN DE LA ESTRATEGIA

RETR

IBUC

IÓN

VARI

ABLE

Actividades en las que el auditor puede actuar como Asesor de Confianza.

Verificar la existencia de un plan defini-do para el despliegue de la estrategia(proyectos, acciones, calendario, reorga-nización de recursos, etc.).

Comprobar que existen mecanismospara garantizar una adecuada coordi-nación de las áreas que participan en eldesarrollo de la estrategia.

Auditorías “tradicionales” de segui-miento de proyectos, inversiones, TI,etc.

Verificar que existe una supervisión delas tareas/acciones definidas y, en casode necesidad, se revalúan.

DESP

LIEG

UE

PROY

ECTO

S/AC

CIO

NES

/REC

URS

OS

Verificar que en la definición de la estra-tegia se define un presupuesto para sudesarrollo.

Revisar que se asigna un presupuestocoherente a cada objetivo/proyecto...del plan estratégico.

Verificar que se revisa el presupuestoasignado y, en caso de desviaciones, setoman las medidas necesarias.

PRES

UPU

ESTO

Verificar que se ha definido un plancompleto de comunicación de la estrate-gia tanto a nivel interno como externo.

Revisar que el plan de comunicación sedesarrolla en tiempo y forma.

Comprobar por medio de encuestas declima laboral o similares, el conocimien-to de la estrategia por parte de los em-pleados.

Revisar que se supervisa la ejecución yla efectividad del plan de comunica-ción.

COM

UN

ICAC

IÓN

SISTEMA DE GOBIERNO

Las responsabilidades relativas al diseño de la estrategia: · no están definidas de forma clara y precisa.· no se comunican adecuadamente.

RIESGOS

· La formalización del plan estratégico incluye un apartado específico en el que se definen las responsabilidadesde los intervinientes.

· El gobierno del proceso contempla cómo se van a comunicar las responsabilidades y, en su caso, el proceso dediscusión / aceptación de las mismas.

CONTROLES

· Verificar que el plan estratégico contempla la definición formal de las responsabilidades de los intervinientes enel proceso.

· Tomar parte en el proceso y verificar que las responsabilidades son comunicadas y asumidas.

PRUEBASDE AUDITORÍA

Ejemplos

Analizar la idoneidad del proceso de toma de decisiones relativas al diseño de la estrategia

20

OBJETIVOS

· Alguno de los objetivos no tiene indicador asociado.· Definición incorrecta del indicador asociado a un objetivo que le invalida como referencia.· No se ha definido al responsable de obtener el indicador.· Cálculo incorrecto del indicador por ser interpretables los criterios de definición del mismo.

RIESGOS

· La discusión de cada objetivo debe incluir la de su indicador.· Cada indicador debe estar sujeto a un proceso de discusión y acuerdo entre las partes involucradas en el proce-

so.· Para cada objetivo debe identificarse un responsable unívoco de su cálculo (aunque puedan participar varias

personas, el responsable será único).· Definición de un gobierno del proceso que contemple una oficina responsable de la definición de los criterios

que sirva, además, como solucionador de dudas, así como un supervisor del cálculo.

CONTROLES

· Revisar el plan estratégico verificando que todos los objetivos tienen un indicador asociado y el responsable desu cálculo.

· Evaluar el gobierno del proceso para determinar si las responsabilidades sobre la definición y supervisión de losindicadores están definidas y se están ejerciendo.

· Revisar el correcto cálculo de los indicadores, tanto en lo relativo a la fuente de datos utilizada como a la co-rrecta aplicación de los cálculos definidos.

PRUEBASDE AUDITORÍA

Verificar que en la definición de los objetivos se incluyen indicadores para su medición

ConclusionesLa auditoría sobre el proceso de planificación y seguimiento de la estrategia de la compañía tienemúltiples beneficios para la misma, así como también para Auditoría Interna.

BENEFICIOS PARA LA COMPAÑÍAEl primero es incorporar al proceso de defini-

ción, implantación y seguimiento de la estra-

tegia a un “agente” independiente y con vi-

sión global de la compañía, su cultura, proce-

sos, sistemas de información, etc. Auditoría

Interna contribuirá aportando mayor estanda-

rización y solidez al proceso estratégico, ha-

ciendo, entre otras labores, de garante de la

realización de todos los análisis, contrastes,

aprobaciones internas y de que las hipótesismanejadas son razonables y tienen un sopor-te, entre otras cosas.

Otra aportación es la extensión de la culturade “gestión de riesgos” al proceso estratégi-co. Auditoría Interna tiene en su ADN la ges-tión en clave de riesgos y, analizando la estra-tegia con ese prisma, ayudará a que se defi-nan y adopten medidas de mitigación de los

21

riesgos, lo que redundará en una mayor pro-babilidad de éxito de la estrategia.

También es importante que la alta dirección ylos órganos de gobierno se den cuenta de

que cualquier proceso de la compañía es au-ditable y de que Auditoría Interna añade valoren áreas que pudieran considerarse alejadasde sus responsabilidades básicas.

6. La misión de Auditoría Interna, recogida en el Marco Internacional para la Práctica Profesional de la Auditoría Inter-na, establece que “Auditoría Interna tiene la misión de mejorar y proteger el valor de las organizaciones proporcio-nando aseguramiento objetivo, asesoría y conocimiento basado en riesgos”.

7. Ver apartado 3.1 de este mismo documento.

BENEFICIOS PARA AUDITORÍA INTERNAExisten equipos de Auditoría Interna que ela-boran sus planes anuales de actividad paradar respuesta a los riesgos de la compañía,muchos de los cuales emanan de su plan es-tratégico. Sin embargo, estos equipos consi-deran la estrategia como un input preestable-cido e incuestionable y no se han parado avalorar la estrategia en sí misma. Pero, tantola Misión6 de Auditoría Interna como las Nor-mas Profesionales7 establecen que AuditoríaInterna debe incluir la estrategia.

Creemos conveniente hacer una pausa en es-te ciclo “evaluar riesgos - elaborar plan anual- realizar plan anual” para incorporar al mis-mo auditorías de la estrategia, lo que redun-dará en importantes beneficios para AuditoríaInterna:

• Permitirá dar un paso sustancial para queAuditoría Interna se convierta en “asesorde confianza” de la alta dirección y de losórganos de gobierno de la compañía.

• Supondrá pasar de la realización de audito-rías de cuestiones operativas (proyectos,procesos, control interno, sistemas de infor-mación, etc.) a la realización de auditorías

de cuestiones de carácter estratégico, apor-tando un importante salto cualitativo en lacomplejidad de las pruebas a realizar, en lacategoría de los interlocutores y en la im-portancia de los posibles findings y planesde acción correspondientes.

La realización de este tipo de auditorías pue-de ser una de las actuaciones más complejasque puede afrontar Auditoría Interna, tantopor su visibilidad como por las competenciastécnicas requeridas. En este sentido, AuditoríaInterna debe reforzar sus propios controles in-ternos de calidad para evitar la materializa-ción de este riesgo y para aplicar las corres-pondientes medidas de salvaguarda de su in-dependencia.

Posiblemente, habrá interlocutores que en-tiendan que el proceso de planificación estra-tégica no esté dentro de las responsabilida-des de Auditoría Interna. En ese caso, reco-mendamos seguir un proceso gradual deasunción de responsabilidades:

1. Realización de auditorías operativas.Mientras Auditoría Interna no haya alcan-zado un alto grado de madurez en la rea-

22

lización de este tipo de auditorías (con loque implica de conocimiento de la com-pañía, procesos, riesgos, sistemas de in-formación, etc.) no debería plantearse au-ditar el proceso de planificación estratégi-ca. Es importante demostrar, en primer lu-gar, el valor de Auditoría Interna para irprogresivamente incrementando la com-plejidad de los trabajos de auditoría hastallegar a las cuestiones estratégicas.

2. Realización de auditorías sobre el pro-ceso de planificación estratégica. Esconveniente comenzar a realizar este tipode auditorías en un plan estratégico encurso, de forma que los primeros informesen esta materia se puedan ver como máspropios de Auditoría Interna y, una vezconsolidado este rol, ser capaces de con-tribuir en la definición del siguiente cicloestratégico. Por ello, recomendamos reali-zar las auditorías estratégicas en el si-guiente orden:

1º Auditorías internas de implementa-ción de la estrategia (página 16).

2º Auditorías internas de monitorizaciónde la estrategia (página 17).

3º Auditorías internas de definición de laestrategia (página 16).

Por último, si Auditoría Interna quiere conver-tirse en asesor de confianza y conseguir un“asiento en la mesa8” debe tener en cuentauna última reflexión: independientemente defactores como la proactividad de Auditoría In-terna en solicitar la ansiada invitación a “lamesa”; de lo que establezcan las Normas Pro-fesionales o la Misión de Auditoría Interna; desu acceso directo a la Comisión de Auditoría,etc.; solo la alta dirección o los órganos de go-bierno pueden otorgar dicha invitación. Y paramerecerla, es imprescindible que desde Audi-toría Interna se aporte valor en todas nuestrasactuaciones y seamos reconocidos por losclientes internos en nuestras compañías.

8. “Conseguir un asiento en la mesa” debe interpretarse como “asistir a las reuniones del Comité de Dirección”.

23

BibliografíaARTÍCULOS EN BOLETINES DE NOTICIAS, BLOGS, ETC.

• BALKARAN, L. The importance of auditing your company’s strategic plan. EDPACS, Vol. 54. Septiembre,2016.

• CHEN, A. Auditoría Interna: Su socio estratégico del negocio. Blog & Noticias IAI. Mayo 2016.

• GAVAN, V. How to audit your business Strategy. Maximum International Insights. Septiembre 2016.

• ARINI, M. The Institute of Internal Auditors Dubai-Auditing Strategic Objectives. Mayo 2018.

• NEILSON, G; MARTIN, K; POWERS, E. The Secrets to Successful Strategy Execution; Harvard Business Re-view. Junio 2008.

LA FÁBRICA• Instituto de Auditores Internos de España. LA FÁBRICA DE PENSAMIENTO. Definición e implantación de

Apetito de Riesgo, 2013.

• Instituto de Auditores Internos de España. LA FÁBRICA DE PENSAMIENTO. Más allá del aseguramiento. Elauditor interno como asesor de confianza, 2017.

NORMAS• THE IIA-GLOBAL. Marco Internacional para la Práctica Profesional de la Auditoría Interna. 2017.

• COSO. Enterprise Risk Management. Integrating with Strategy and Performance. Executive Summary.2017.

ARTÍCULOS DE REVISTAS• CAREY, A. How to audit your business strategy. Triarchy Press.

• CHAMBERS, R. Global ambition. Getting a seat at the table. View from IIA Global. p. 5

• MELLALIEU, P.J. Auditing the strategic plan. Managerial Auditing Journal (MCB University Press), Vol. 7Nº1, 1992 p. 11-16.

• JOYCE, J.M. Auditing strategic risks. Practical Insights from international Audit Leaders. IIA CBOK. 2018.

LIBROS, INFORMES Y ESTUDIOS• THE IIA-GLOBAL. Global perspectives and insights: Elevating Internal Audit’s strategic impact. 2016.

• IIA NETHERLANDS & KPMG. Discussion paper: Strategy-related auditing. Exploratory research on the con-sideration of strategic risk and organizational strategy in internal audits. June 2015.

• EXPERIS FINANCE (MANPOWER GROUP). Auditing strategic risks: Turning risk into opportunity. 2014.

• KPMG Australia. Internal Audit and strategy – a vital connection. Septiembre 2016.

• IIA AUDIT EXECUTIVE CENTER. Knowledge Brief: Auditing Strategic Risks. 2016

• CHARTERED INSTITUTE OF INTERNAL AUDITORS. Strategy. Diciembre 2018.

• CHAMBERS, R. Trusted advisors: Key Attributes of Outstanding Internal. 2017

• MARTÍNEZ PEDRÓS, D.; MILLA GUTIÉRREZ, A. La elaboración del plan estratégico y su implantación a tra-vés del cuadro de mando integral. Ediciones Díaz de Santos. 2005

PRESENTACIONES• ARIDI, M. Auditing strategic objectives. IIA International conference. 2018.

Instituto de Auditores Internos de España

Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es

Depósito Legal: M-7214-2021

ISBN: 978-84-122588-2-0

Diseño y maquetación: desdecero, estudio gráfico

Propiedad del Instituto de Auditores Internos de España. Se permite la reproducción total o parcial y la comunicación

pública de la obra, siempre que no sea con finalidades comerciales, y siempre que se reconozca la autoría de la obra

original. No se permite la creación de obras derivadas.

OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO

AUDITORÍA INTERNA DE LA GESTIÓN DE PROYECTOS

Gestionar un proyecto implica planificar, organizar y dirigir el

conjunto de procesos y operaciones diseñados para manejar el

proyecto de inicio a fin. Este documento, basado en la

metodología PMBOK del Project Management Institute (PMI),

ayudará al auditor interno a afrontar la auditoría de un proyecto

en sus diferentes fases, áreas de conocimiento y procesos.

MÁS ALLÁ DEL ASEGURAMIENTO. EL AUDITOR INTERNO COMO

ASESOR DE CONFIANZA

La labor de Auditoría Interna abarca mucho más que el asegu-

ramiento clásico: examina hechos, identifica mejoras, emite reco-

mendaciones… Este documento define los roles de asesoramiento,

identifica áreas y cualidades para llevarlos a cabo, y marca los

límites y riesgos cuando Auditoría Interna realiza estas tareas.

DEFINICIÓN E IMPLANTACIÓN DEL APETITO AL RIESGO

Expone los conceptos principales, las utilizaciones, metodologías de

aproximación y cálculo, y una propuesta esquemática sobre cómo

implantar el apetito de riesgo en una organización.

MARCO DE RELACIONES DE AUDITORÍA INTERNA CON OTRAS

FUNCIONES DE ASEGURAMIENTO

Aborda la necesidad de realizar un mapa de aseguramiento que

proporcione una visión global de las actividades de control llevadas

a cabo por las distintas funciones de aseguramiento coordinadas

por Auditoría Interna.

Definir, desarrollar y hacer un seguimiento de la estrategia es uno de los

procesos más importantes de cualquier compañía, y Auditoría Interna

debe dedicar tiempo y recursos a validar que los riesgos inherentes a

estos procesos son conocidos y están controlados.

Este documento recoge el trabajo de Auditoría Interna en la definición y

seguimiento de la estrategia de la compañía, describe los posibles roles

que puede desempeñar respecto a la estrategia de negocio, y aporta

una visión práctica de cómo ejecutar dichos roles en las distintas fases

del proceso estratégico.