auditoríainternaRevista editada poR el instituto de auditoRes inteRnos de españa

aijunio 2014 / año XXX

entrevista

evita los errores comunes al escribir informesEl auditor interno es un escritor a tiempo parcial

sugerencias......para leer, para comer, para hacer una escapada

10 preguntas a...paul Druckman Chief Executive Officer del IIRC

Pedro T.FominayaMuñozdIRECtOR dE audItORía IntERna dEl gRupO jazztEl

N106

relevo en la presidencia del iai

cómo implicar a los DirectivosEn las recomendaciones de Auditoría Interna

proteger la informaciónGarantías para preservarla por su valor estratégico

empresas “culpables”

Son responsables penalmente con la

nueva normativa

ernesto martínez recoge el testigo De josé manuel muries

Composici�n

C M Y CM MY CY CMY K

Diploma Oficial del IAI de España

4 horas CPE

La guía de 180.000 profesionales de todo el mundo

Imprescindible para el ejercicio de la Profesión

E - L E A R N I N G2013FORMACIÓN

potencia tu valor

Marco Internacional para la PrácticaProfesional de la Auditoría Interna

nuevo cursoe-learning

nuevo cursoe-learning

Composici�n

C M Y CM MY CY CMY K

Diploma Oficial del IAI de España

4 horas CPE

La guía de 180.000 profesionales de todo el mundo

Imprescindible para el ejercicio de la Profesión

E - L E A R N I N G2013FORMACIÓN

potencia tu valor

Marco Internacional para la PrácticaProfesional de la Auditoría Interna

nuevo cursoe-learning

nuevo cursoe-learning

AutoevAluAción del control(cSA)

ObjetivOsFacilitar la preparación para la obtención

de la certificación CCSA, aportando los conocimientos fundamentales

objeto del examen.Conocer una metodología respaldada

desde el Instituto Global para la evaluación de los controles enfocada al cumplimiento de los objetivos de negocio, aplicable tanto en los

procesos de gestión de riesgos y evaluación de controles, como en Auditoría Interna.

temariO

DeFInICIón, metoDoloGíA, enFoqueS y téCnICAS De lA AutoevAluACIón De Control.

DeSempeño orGAnIzACIonAl / objetIvoS De neGoCIo.

IDentIFICACIón y evAluACIón De rIeSGoS.

teoríA y AplICACIón Del Control.

CASoS práCtICoS, y exAmen De pruebA.

DestinatariOsAuditores internos de cualquier nivel.

profesionales que tengan implantado un procedimiento de autoevaluación de control o quieran conocerlo para su implantación.Auditores internos u otros profesionales

en proceso de preparación de la certificación CSA.

lAS normAS internAcionAleS pArA lA prácticA profeSionAl

de lA AuditoríA internA

ObjetivOsDominar el marco para la práctica profesional,

referente fundamental para todo profesional que desempeñe la actividad de Auditoría Interna.

Guía imprescindible en la interpretación y aplicación de conceptos, metodologías y

técnicas fundamentales para el buen desarrollo de la profesión.

temariO

DeFInICIón De AuDItoríA InternA.

CóDIGo De étICA.

normAS InternACIonAleS pArA el ejerCICIo proFeSIonAl.

ConSejoS pArA lA práCtICA.

DoCumentoS De poSICIonAmIento y GuíAS.

ejemploS práCtICoS.

DestinatariOsAuditores internos de cualquier nivel.otros profesionales que quieran tener

un conocimiento de la profesión de Auditoría Interna.

Auditores internos u otros profesionales en proceso de preparación de la certificación

CIA u otras certificaciones.

e-learning

transparencia, buen gobierno y compromiso ético

ErnEsto martínEz Presidente

Quiero comenzar esta sección agradeciendo mi nombramiento como Presidente del Instituto de Auditores Internos de España. Afronto este reto con ilusión y con confianza, ya que el punto de partida es la excelente labor de mi predecesor José Manuel Muries. Todo el equipo directivo esperamos

acrecentar la reputación de nuestra institución y nuestra profesión.

Recientemente hemos conocido los datos de la última encuesta del CIS en la que nuevamente la falta de claridad, de valores y principios, en definitiva de transparencia, se sitúa como una de las principales preocupaciones de los españoles. Una realidad que cada día es recogida por los medios de comunicación, que es una importante fuente de inestabilidad económica, política y social y que, sin duda alguna, contribuye negativamente a nuestra imagen más allá de nuestras fronteras.

La vacuna contra toda corrupción es la transparencia, el compromiso ético y una adecuada estructura de gobierno. Es deber de toda corporación, organización o institución, implantar efectivamente estos elementos, así como desarrollar de forma eficiente sistemas de control y gestión de riesgos que se adapten a los cambios operativos, apoyen la toma de decisiones y estén integrados en el gobierno corporativo de la organización.

Por tanto, es el buen gobierno, la piedra angular de la toma de decisiones, la correcta gestión de los riesgos y la transparencia. A su vez, el Auditor Interno es uno de los pilares fundamentales del buen gobierno corporativo. Nuestra función contribuye de un modo esencial a que en toda organización se logren los objetivos a largo plazo de forma ética, eficiente y sostenible.

Trabajar en proteger el valor de nuestras empresas e instituciones es la responsabilidad de cuantos nos dedicamos a esta profesión. Esta responsabilidad es hoy más importante que nunca. Para este reto tan crucial todos contamos con un gran aliado: el Instituto de Auditores Internos.

Todo el equipo de nuestro instituto estamos comprometidos y listos para ayudaros en este reto. Esperando saludaros personalmente muy pronto, os envío un saludo afectuoso.

ai 03

hilo directo

Diseño y realización: CD/ON Comunicación

Impresión: IAG, SL

Depósito Legal:M. 25210-1985

ai04

sumarioauditoríainterna

03 Hilo directo Transparencia, buen gobierno y compromiso ético

06 relevo en la presidencia del instituto Ernesto Martínez recoge el testigo de José Manuel Muries.

12 seguridad de la información en las comunicacionesAuditoría Interna debe obtener garantías de que se preserva.

16 entrevista a pedro tomás fominaya muñozDirector de Auditoría Interna del Grupo Jazztel.

22 nueva normativa sobreresponsabilidad penalAuditoría Interna tendrá que prevenir los potenciales delitos tras la reforma.

26 diez preguntas a... Paul Druckman, CEO del IIRC.

30 directivos y auditoría internaCómo potenciar su implicación en las recomendaciones.

34 errores de escritor amateur Frases interminables, usos y abusos de comodines, saber vs erudición...

38 los lunes del institutoLa revolución del cloud computing en el análisis de riesgo y control

42 otra mirada La de Miguel Angel Serrano sobre el libro Pensar rápido, pensar despacio .

44 sugerencias... ...para leer, visitar, degustar y recordar.

46 reflexión personal Eduardo Hevia dedica su carta a las pequeñas y medianas empresas.

ai

22. LA NuEvA LEy PuEDE CONLLEvAR MuLTAS CONSIDERAbLES

30. LAS METAS SE ALCANzAN MEJOR CuANTO MáS TRAbAJO SE COMPARTE

34. uN AuDITOR INTERNO ES, EN PARTE, uN ESCRITOR

16. “APROvECHAR LOS RETOS IMPuLSA NuESTRA PROFESIóN”

12. AI DEbE vELAR POR LA INFORMACIóN ESTRATéGICA

Presidente: Ernesto Martínez

Comisión Editorial: Ernesto Martínez

Javier Faleato Gabriela González-valdésJosé Gabriel Lumbreras

Administración: María Jesús Morcillo

Fátima Roldán

Santa Cruz de Marcenado, 33 28015 Madrid

Teléfono: 91 593 23 45 Fax: 91 593 29 32

iai@iai.es www.auditoresinternos.es

N106

1 a. una reversión de tecnología obsoleta y adopción completa de TeamMate

b. un cambio fundamental en su enfoque de auditoria; especialmente el abandono de un sistema, reemplazándolo por TeamMate

c. un cambio en su uso o preferencia, especialmente en Sistemas de Gestión de Auditoría <La Revolución TeamMate>

❱ Primer sistema del mundo basado en Windows para la Gestión de Auditoría

❱ Primer Sistema de Gestión de Auditoria en introducir funcionalidades para Dispositivos Inteligentes

La Rev lución TeamMate ya está aquí.

El Líder Global en Gestión de Auditoria ❱ Evaluación de riesgos

❱ Planificación en base a riesgos

❱ Calendarización

❱ Contenido extensivo de Auditoria

❱ Papeles de trabajo electrónicos

❱ Encuestas

❱ Cuestionarios

❱ Escaneo de imágenes y Anotación

❱ Generación de informes automatizada ❱ Seguimiento completo de resolución

de incidencias

❱ Seguimiento de Horas y gastos

TeamMate sigue siendo el Líder en Innovación después de todos estos años:

# de departamentos de auditoria que adoptan TeamMate cada día

# de idiomas en que TeamMate está disponible

# de países donde se licencia TeamMate

# de auditores usando TeamMate cada día

# de CPD entregados en los últimos 3 años

Team Mate rev o lu tion, nombre \ tem-mat re-v -loo-sh ne e

1

14

105

90,000

104,000

VISITE TEAMMATESOLUTIONS.COM

O LLAME AL 932533618 / 659055806

TEAMMATE PRESENTA EL NUEVO SISTEMA TEAMMATE

CONTROLS MANAGEMENT (CM)

TeamMate CM ayudará a su organización a gestionar las actividades reguladas por SOX u otras actividades de gestión donde se requiera identificación, evaluación, pruebas e informes de certificación del Cumplimiento Normativo.

www.teammatesolutions.com/CM

NU

EVO

SIS

TEM

A T

EAM

MATE CONTROLS MANAGEMENT (CM

)

TeamMate CM ayudará a su organización a gestionar

las actividades reguladas por SOX u otras actividades de gestión donde

se requiera identificación, evaluación, pruebas e informes de certificación del Cumplimiento Normativo.

www.teammatesolutions.com/CM

ai06

ai 07

LA CONTINUIDAD COMO PUNTO DE PARTIDA

ErnEsto MartínEz / José ManuEl MuriEs

RELEvO EN LA PREsIDENCIA

DEL INsTITUTO

ENTREvIsTA

ERNEsTO MARTíNEz: “Tenemos un plan estratégico desde finales de 2013, estamos poniendo en

marcha iniciativas que empezarán a dar frutos y hay que ver si se van cumpliendo

objetivos o hay que cambiar algo”.

JOsé MANUEL MURIEs: “Me voy satisfecho porque uno tiene

que ser consciente que en cuatro años da tiempo a hacer lo que se ha hecho, y porque sé que se va a seguir trabajando en los proyectos que ya están iniciados”.

Llegó la hora del cambio. Tras cuatro años de mandato, José Manuel Muries ha traspasado los papeles a su sucesor, Ernesto Martínez, con el

convencimiento de que el nuevo presidente del Instituto va a dar continuidad a un proyecto en el que ambos han trabajado codo con codo.

ai08

En este cara a cara, cabe preguntarse qué consejos se deben dar al nuevo presidente. “Creo que no los necesi-ta. Hemos hablado

poco de este cambio. Alguna cosa sí le he dicho: que esto impone mucho al principio, por la carga de respon-sabilidad, por el tiempo que hay que dedicarle, que parece que es mucho; pero, luego, las cosas son mas senci-llas y mas fáciles de llevar. Quizás, el primer consejo que le daría es que no se tiene por qué preocupar, porque tiene detrás un gran equipo que se va a ocupar del día a día. Los otros temas son muy llevaderos y muy gra-tificantes”, afirma José Manuel. Reconoce que se va con nostalgia, que continuaría ”porque el cargo enriquece desde un punto de vista personal, por la gente que conoces y, después, por-que ves que el Instituto va creciendo y que, aunque cada presidente deja su impronta, existe una continuidad. Ese es el gran activo del Instituto”.Pero se va satisfecho porque, aun-que ha habido cosas que no ha dado tiempo a hacer, “uno tiene que ser consciente de que en cuatro años da tiempo a hacer lo que se ha hecho…“, no le cabe la menor duda de que los proyectos iniciados van a continuar.

“No va a haber borrón y cuenta nueva. Ahora, entro en un periodo de hiberna-ción total, soy socio del Instituto, como uno más, y no voy a estar en ninguno de sus órganos. El comité directivo está muy cualificado y es profesio-nal y no va a necesitar ni consejos ni ayudas. Aunque estoy a su disposición, obviamente para lo que necesiten”.En un ejercicio de retrospectiva, Mu-ries destaca especialmente dos cosas de su mandato: “En mi primer lugar, que el Instituto ha salido indemne de la crisis, cosa que no era fácil. Han sido cuatro años de crisis económica muy intensa en España y, al principio del mandato, teníamos una cierta preocupación de que se mermasen los ingresos de esta institución. Y eso no ha ocurrido, sino todo lo contrario. El Instituto ha pasado por esos años con éxito. El segundo aspecto que destacaría es que no teníamos publi-caciones propias, las que teníamos eran traducciones del Instituto Global del inglés al castellano y creíamos, y estaba en el plan estratégico, que se-ríamos capaces de crear comisiones técnicas que produjeran documentos muy apegados a lo que interesa al mercado español y, además, hechos por profesionales españoles. A finales del 2012, pusimos en marcha estas seis comisiones técnicas con un gran éxito. Eso ha tenido un efecto

práctico que es la publicación de los documentos de la Fábrica del Pensamiento, hechos por auditores y profesionales españoles con temas que preocupan al mercado español”. Otro hito que Muries resalta especial-mente es el éxito que supuso la con-ferencia europea que se celebró en el 2011. “Contó con una gran asistencia, más de 700 personas de muchos países. Teníamos el compromiso de que fuera un éxito no tanto desde el punto de vista económico sino reputa-cional, de que el Instituto español era capaz de organizar un evento de estas características, y fue un gran éxito”. Y el último, más personal, que ha que-rido resaltar es que “el Instituto me ha permitido ampliar mi abanico de amigos: creo que es una buena cosa que uno pase por una institución y se lleve grandes amigos”.

TRAsPAsO DE PAPELEsErnesto Martínez sabe bien lo que le espera, porque desde el año 2003 viene trabajando estrechamente con José Manuel Muries. De carácter “re-servado en general” como él mismo se define, confiesa tener muchos gustos y aficiones, “me gusta la literatura, leer poesía, filosofía, historia. Me gus-ta viajar, me encanta la música (tengo abono en la ópera), el flamenco, el jazz, y la pintura. Pero, por desgracia,

ENTREvIsTAErnEsto MartínEz / José ManuEl MuriEs

Al llevar tiempo como vicepresidente con José Manuel Muries y sentirse muy identificado con lo que se ha hecho, Ernesto Martínez define esta nueva etapa como “una continuidad”.

ai 09

ENTREvIsTAErnEsto MartínEz / José ManuEl MuriEs

EL NUEvO PREsIDENTEEstudió Ciencias Económicas y Empresariales en el Colegio Universitario de Estudios Financieros, vinculado a la banca y a la empresa y, más tarde, Filosofía y Ciencias de la Educación, “muy útil porque te hace ser ordenado a la hora de enfocar los problemas y a preguntarte las cosas y utilizar la cabeza metódicamente”.

Profesionalmente, su trayectoria ha estado ligada siempre a la auditoría y a áreas relacionadas con control. “He trabajado en auditoría externa, en consultoría, en auditoría interna, en áreas de control de riesgo… Mi perfil es muy auditor; pero he tenido la suerte de trabajar en el Grupo Santander que ha cambiado y evolucionado mucho en una época en la que había expansión e internalización del grupo: de ser un banco importante, pero español, ha pasado a ser uno de los grandes bancos del mundo y he tenido la oportunidad de poder hacer muchísimos proyectos, viajar a muchos países, auditar en muchos sitios y hacer trabajos muy diferentes. Ha sido muy enriquecedor”.

no tengo tiempo para todo. La solución es el hobby sucesivo: este es el año de tal… y te dedicas más a eso….”. Y, además, tres niños para restarle tiempo a sus aficiones. “Sí te limitan un poco, pero me encanta jugar con ellos, contarles cuentos..”. El nuevo presidente define esta nueva etapa de continuidad, “hay que tener en cuenta que llevo tiempo de vicepre-sidente con José Manuel, una persona muy dialogante, muy sensata y no dada a imponer su criterio, y creo que todo lo que se ha hecho en estos años lo he hecho yo también y me siento plenamente identificado. Tenemos un plan estratégico que aprobamos en Comité a finales de 2013, ahora esta-mos poniendo en marcha iniciativas que empezarán a dar frutos, habrá que evaluar si vamos cumpliendo objetivos o hay que ajustar algo”. Considera que el gobierno corporativo que tiene el Instituto está razonablemente bien planteado, que tiene los órganos adecuados y que su funcionamiento es eficaz, “pero, en tu primer año de presidencia, y como también lo hizo José Manuel, es necesario aprender de la experiencia y hacer algún ajuste. A corto plazo lo único que hay que hacer, aparte de los nombramientos norma-les, que tampoco son grandes cambios: cubrir una vacante, el nuevo vicepre-sidente…, seguir mejorando tanto la gestión como el gobierno, el Consejo asesor, alguna comisión concreta como el comité de auditoría, por ejemplo, y el funcionamiento del comité directivo para que esté enfocado a cuestiones estratégicas”.

EL PLAN EsTRATégICOConsidera que esto sería lo primero de la lista; pero el plan estratégi-co es su caballo de batalla. “Poner iniciativas en marcha, ver qué cosas funcionan y qué objetivos no se están cumpliendo, en definitiva, hacer se-guimiento. Tienen que ser ideas que vayan surgiendo de la realidad del

“El auditor interno ha de tener una formación integral, no sólo conocimientos técnicos sino abrirse a otras perspectivas de la empresa”

ENTREvIsTAErnEsto MartínEz / José ManuEl MuriEs

ai10

Instituto y de su día a día. Hay cosas que han quedado claras, como que el Instituto es un punto de encuentro, un semillero de buenas prácticas. Pero esa etapa ya está realizada. Ahora estamos en otra en la que tenemos que ser la voz con más fundamento de la profesión. Que ante todos, ante la sociedad en general, los regula-dores, los supervisores, nuestros socios, tengamos contenido técnico, planteamientos y enfoques de mode-los de auditoría interna que podamos compartir y extender a los socios. En esta tarea están las distintas comisiones que se establecieron y, por último, la formación. Habrá otra fase en la que las empresas pasarán por una época de más alegría en el gasto, si realmente se va superando la crisis, en la que van a tener nuevos retos, nuevos proyectos y, desde el Instituto, tenemos que acompañar a los departamentos de auditoría en esta nueva época”.

Más PROTAgONIsMOAfirma que ya ha quedado claro que el auditor interno es necesario. “Es el momento de crecer la profesión paralelamente a como lo harán las empresas y que crezcamos de forma saludable. Desde el Instituto les ayudaremos a crecer con planes de formación, con cursos más específi-cos, con contenido técnico, con nuevas iniciativas”. Ernesto Martínez también destaca la consolidación de la presencia del Instituto español en los órganos de de-cisión tanto del Instituto Global como del Europeo. “Tenemos que capitali-zar y adaptar las distintas iniciativas globales a la realidad de España. Es

un reto para los próximos años: ser capaces de ofrecer nuevos productos, nuevos servicios y acompañar a los distintos departamentos de auditoría interna en lo que marque el Instituto Global”. Un debate que también considera importante para los próximos años es cómo se debe relacionar el auditor interno con las demás funciones de control de la empresa. “Hasta ahora, hemos puesto mucho foco en que el auditor interno tiene que estar ahí, que es necesario. Se va avanzando en el papel del auditor interno con su comité de auditoría.... Hay distintas líneas de control en las empresas y creo que es muy relevante que haya bastantes funciones de aseguramien-to. Ahora, hay que ver cómo se hace para que todo esté bien coordinado y funcione de forma eficiente. Se ha puesto mucho énfasis en la indepen-dencia de juicio y criterio del auditor interno en relación con esto, en que tenga una opinión diferenciada de las otras áreas. Está claro que somos independientes; pero tenemos que bajar más a la arena y poder trabajar codo con codo con otros departa-mentos de la empresa para que no seamos solo alguien que recomienda cosas, sino que ayudemos a que se implanten en las empresas y que, al final, el buen gobierno sea mejor. Esa es la nueva etapa que tiene el auditor interno”.Respecto a la profesión y los cambios que ha experimentado en los últimos años, José Manuel Muries opina que “ahora no sé si son departamentos más grandes, pero sí son más res-petados. El buen indicador de que la profesión ha mejorado muchísimo en

estos años es que antes era muy difícil incorporar a un miembro al comité di-rectivo. En los últimos ocho o diez años ha cambiado. Es un indicador de que la profesión está en auge. No quiere decir que haya que dormirse. Hay que traba-jársela día a día en cada empresa”.

EL AUDITOR INTERNO IDEALY en cuanto a las características que tiene que tener el auditor inter-no, para Ernesto Martínez, la más llamativa es “que tiene que ser muy valiente, que tiene que tener mucho coraje. Valiente porque, en teoría, le pagan para que dé su opinión, que no tiene que ser necesariamente la del consenso y esto no siempre es fácil. Además, tradicionalmente se ha he-cho hincapié en que el auditor interno es una persona prudente, equilibrada, razonable, con sentido común. Ahora, también tiene que tener mucha capacidad de comunicación porque se trabaja con opiniones que se expre-san mediante informes o presenta-ciones, y hay que dominar los medios de comunicación internos para hacer llegar el mensaje a las personas adecuadas con el énfasis adecuado. El auditor interno también debe tener capacidad de influenciar. Tiene que decir su opinión, decirla con justeza y ser capaz de persuadir para que al final cambien las cosas”. Por último, considera que el auditor interno ha de entender y compren-der los negocios en los que actúa la empresa y sus riesgos, “ y ha de tener una formación integral, no sólo conocimientos técnicos sino abrirse a otras perspectivas de la empresa. Es lo que tiene que cambiar en el futuro”.

ENTREvIsTAErnEsto MartínEz / José ManuEl MuriEs

ai 11

UN MENsAJE PARA LOs sOCIOs

UN MENsAJE PARA LOs sOCIOs

ERNEsTO MARTíNEz “Que tengan confianza,

porque todo el equipo directivo seguirá trabajando para hacer

crecer el Instituto y que, además de lograr la excelencia, los socios lo perciban en su día a día. Les ayudaremos a ser

mejores profesionales. Para eso trabajaremos…”

JOsé MANUEL MURIEs“Yo mandaría un mensaje de absoluta tranquilidad. Que el Instituto sigue en muy buenas

manos, que va a seguir creciendo como lo ha hecho en los últimos

años. Nos debemos de sentir todos muy orgullos de la institución

que tenemos que, en mi modesta opinión, es modélica y ejemplar…”

LA SEGURIDAD DE LA INFORMACIÓN

EN LAS COMUNICACIONES

ai12

La evolución de las Tecno-logías de la Información y Comunicaciones (TIC), y su incorporación al entorno empresarial, han traído consigo la

automatización de las actividades críticas de los procesos de negocio que conforman la cadena de valor de las organizaciones.Las ventajas de la adopción de esta infraestructura TIC son evidentes. Por un lado, la optimización de la eficien-cia operativa de estos procesos de negocio, presentando mejores ratios o indicadores en la consecución de los objetivos planteados por la dirección. Por otro lado, la participación en el fe-nómeno de globalización y, por tanto, la apertura en nuevos mercados, que supone la presencia de la entidad en internet.La posibilidad de aprovechar estas ventajas ha supuesto un gran esfuer-zo por parte de las organizaciones (grandes, medianas y pequeñas) por adaptar su modelo de negocio a las nuevas tecnologías, abriéndose camino y posicionándose en este nuevo concepto de la Sociedad de la Información.Sin embargo, y desafortunadamente, no todo son ventajas. Esta virtua-lización del modelo de negocio, y centrando la cuestión en los aspectos relativos a la gestión de las comu-nicaciones, ha supuesto una altera-

ción drástica de los procedimientos habilitados por la organización para el intercambio de la información entre los propios empleados, así como con clientes, proveedores y, en general, cualquier figura partícipe de dicho modelo de negocio.Si a esta circunstancia se suma el dinamismo inherente al sector de las TIC, y la aparición de nuevos elementos para el procesamiento, almacenamiento e intercambio de la información de negocio, tales como tablets, smartphones, etc., junto con la afirmación de que internet no pue-de ser considerado como un canal de comunicación fiable, se alcanzan dos conclusiones principales:l La entidad necesariamente tiene que hacer uso de esta infraestructura de comunicaciones, puesto que queda justificada desde el punto de vista de la operativa de negocio.l Desde una perspectiva de riesgo, se encuentra frente a un entorno en el que diariamente aparecen nuevas amenazas que derivan en escena-rios de riesgo para la información de negocio.Es aquí, justamente, donde la función de Auditoría Interna desempeña un papel prioritario. El hecho de tener que proporcionar una seguridad razo-nable sobre el logro de los objetivos de la organización, y todo ello bajo un enfoque de gestión de los riesgos existentes a tales efectos, provoca

que, indefectiblemente, deba super-visar la correcta implantación de un sistema de control interno que pueda evolucionar y adaptarse de forma continua a la incorporación paulatina de estas nuevas tecnologías de comu-nicaciones.Para ello, será necesario que identi-fique, evalúe y gestione los diferentes riesgos que pudieran derivarse de dicha actuación.A día de hoy, el sistema de control interno propuesto para la seguridad física de la información de negocio parece haber alcanzado el nivel de madurez suficiente como para mitigar cualquier escenario de riesgo de acceso por parte de personal no autorizado. Sin embargo, y siendo el valor estratégico de la información de negocio el mismo con independencia del soporte utilizado para su proce-samiento, almacenamiento o inter-cambio, todo parece indicar que dicho sistema, en muchos casos, todavía precisa de una mayor focalización en la adopción de mecanismos de segu-ridad que permitan mitigar determi-nadas situaciones de riesgo.Prueba de ello es la indeterminación que existe en ciertas organizaciones en cuanto al acceso y tratamiento de la información de negocio a través de tablets o smartphones corporativos o personales, o el intercambio de infor-mación con terceros haciendo uso del servicio de correo electrónico.

ai 13

La función de Auditoría Interna debe obtener garantías razonables de que el valor estratégico de

la información de negocio en términos de seguridad se preserva, con independencia del soporte

utilizado para su almacenamiento, tratamiento o intercambio con terceros.

Pablo González MelgarCISA, CISM, CGEIT, CRISC

SEGURIDAD DE LA INFORMACIÓN EN LAS COMUNICACIONES

ai14

La reforma de la Ley de Sociedades de Capital, aprobada recientemen-te por el Consejo de Ministros, contempla que los consejos de adminis-tración de las empresas serán los responsables de determinar la política de gestión de riesgos fis-

cales. Para Hacienda, es una forma de evitar que los consejeros desconoz-

can las decisiones que se tomen en este sentido. Además, el consejo deberá aprobar expresa-mente las operaciones de especial trascendencia tributaria y responsabili-zarse de sus resultados ante los accionistas, ase-gurando unas prácticas

de gobierno corporativo adecuadas.También se incluye como nueva fución de la comisión de auditoría su-pervisar la eficacia de los sistemas de control de riesgo fiscal y la deter-minación de la estrategia tributaria de la empresa.

REFORMA DE LA LEy DE SOCIEDADES DE CApItAL

De

inte

rés.

..terceros no autorizados no pueden tener acceso a la información de negocio transmitida.l Integridad: verificar que la infor-mación de negocio transmitida no ha sido alterada en el transcurso de la comunicación.l Autenticación: garantizar la identi-dad de los que se comunican.l Disponibilidad: verificar que la información puede ser transmitida cuando se precisa.l No repudio: garantizar la acción de comunicación (proceso de emisión y recepción).l Trazabilidad: garantizar el registro de la acción de comunicación (autor, fecha, actividad, etc.).La formalización de este proceso previo de valoración de la información en términos de seguridad por parte de los propietarios de la informa-ción, permitirá que Auditoría Interna, posteriormente, pueda evaluar si el sistema de control interno implantado para la gestión de las comunicaciones permite garantizar los distintos valo-res planteados para las dimensiones de seguridad, según la información que se pretenda transmitir en cada caso.En estos términos, por ejemplo, supóngase que determinada informa-ción de negocio ha sido caracterizada con unos niveles de confidencialidad elevados. En tal caso, es evidente que Auditoría Interna contará con el

En estos casos, no parece haberse alcanzado la implantación del sistema de control interno oportuno mediante la adopción de políticas y procedi-mientos de actuación de obligado cumplimiento, o la implantación de tecnologías de seguridad que permi-tan gestionar los riesgos asociados al tratamiento de la información de negocio en tales escenarios.Asumiendo el valor que aporta esta infraestructura de comunicaciones en la consecución de los objetivos de ne-gocio, es preciso que Auditoría Interna establezca una planificación de las distintas actuaciones necesarias con el objeto de revisar y plantear mejoras sobre el sistema de control interno habilitado.Estas actuaciones debieran garantizar el uso correcto de tales dispositivos y servicios, según el valor estratégi-co de la información de negocio en términos de seguridad.En este sentido, por tanto, será necesario plantear un primer objetivo de valoración de la información de negocio en términos de las distintas dimensiones de seguridad existentes, ya que, sólo de esta forma, se podrá identificar el sistema de control inter-no preciso para garantizar la seguri-dad de las comunicaciones.Las dimensiones principales de segu-ridad que debieran ser consideradas serían las siguientes:l Confidencialidad: garantizar que

Hay que plantear un primer objetivo de valoración de la información de

negocio en términos de las distintas

dimensiones de seguridad

existentes.Sólo así se podrá identificar

el sistema de control interno preciso

para garantizar la seguridad de las comunicaciones.

SEGURIDAD DE LA INFORMACIÓN EN LAS COMUNICACIONES

ai 15

El pasado 2 de abril, el IAI celebró el 3 Foro del Sector Distri-bución. Durante una mañana, directores de Auditoría Interna de este sector compartieron mejores prác-

ticas y retos comunes a su industria.

FORO DEL SECtOR DIStRIbUCIÓN

La Comisión Europea ha iniciado una consulta pública (hasta el próximo 15 de agosto) sobre la Estrategia de Responsabilidad Social de las Empresas (RSE). Pretende recabar información sobre logros, deficiencias y retos

de futuro de las actividades en esta materia. El resultado se tendrá en cuenta para la sesión plenaria de noviembre. Las respuestas se enviarán a través del cuestionario online: http://ec.europa.eu/eusurvey/runner/CSR-Survey_2014

LA CE ANALIZA LOS REtOS FUtUROS DE LA RSE

criterio oportuno para valorar si los controles o medidas de seguridad actualmente implantados para el intercambio de dicha información por correo electrónico, o su consulta a través de una tablet, son suficientes o es necesario reforzarlos para garanti-zar tales niveles de confidencialidad.En este último caso, por tanto, podrá proponer la consideración de protoco-los de cifrado de la información o me-canismos de refuerzo sobre el control de acceso a la misma (medidas de autenticación de usuarios basadas en contraseñas y dispositivos físicos como tokens o tarjetas, cortafuegos que limiten el acceso a un grupo reducido de usuarios, etc.).Por tanto, parece evidente que sin la ejecución de este proceso previo de valoración de la información de nego-cio en términos de seguridad, siempre se mantendrá el grado de indetermi-nación comentado con anterioridad. Y, sin este proceso, Auditoría Interna no contará con los criterios forma-les establecidos por la organización para poder determinar si el sistema de control interno existente ofrece garantías suficientes de seguridad en las comunicaciones, o es preciso reforzarlo con la adopción de nuevas medidas.Ahora bien, también es cierto que para poder evaluar si el sistema de control interno existente ofrece garantías suficientes en cuanto a

preservar los valores establecidos para las distintas dimensiones de seguridad, es necesario que el equipo de auditoría tenga conocimiento del conjunto de tecnologías de segu-ridad existentes para garantizar tales dimensiones (mecanismos de identificación y autenticación de usuarios, protocolos de seguridad en las comunicaciones, sistemas de cifrado de información, uso de firmas digitales, etc.)*. Este conocimiento de las tecnologías de seguridad para las comunicacio-nes permitirá que el equipo auditor pueda evaluar, desde una perspectiva de riesgo, la situación actual de su organización en esta materia. Solo en estos términos tendrá sentido que la función de Auditoría Interna pueda tratar el ámbito de la seguridad de la información y, consecuente-mente, obtenga garantías razonables de que determinada información de negocio se encuentra debidamen-te securizada, ya sea porque está archivada en armario ignífugo cerrado con llave, sea consultada de forma correcta a través de un Smartphone o sea enviada por correo electrónico, garantizando su valor de seguridad a cualquier partícipe del modelo de negocio.

* Consejo para la Práctica 1210-1 del Marco Internacional para la Práctica Profesional de la Auditoría Interna.

El conocimiento de las tecnologías de seguridad para las

comunicaciones permitirá que el equipo auditor pueda evaluar,

desde una perspectiva de

riesgo, la situación actual de su

organización en esta materia.

ai06

ai 17

P edro Fominaya se incorporó al Gru-po Jazztel en octubre de 2008 como director de Auditoría Interna. Cuan-do le encomendaron la misión de crear el departamento y hacerlo crecer en el entorno del plan de ne-gocio expansivo que tenía el Grupo,

sabía que se encontraba ante un reto apasionante. Cuenta con 14 de años de experiencia en el mundo de la auditoría. Durante los cinco primeros desarrolló su trabajo como auditor externo en Deloitte, realizando, fundamentalmente, auditorías financieras en empre-sas del sector de medios de comunicación y energé-ticas. En esta primera etapa, tuvo la oportunidad de tener el primer contacto con el mundo de la auditoría interna, realizando un proyecto de implantación de la función de auditoría interna en uno de sus principa-les clientes.Fue en julio de 2005 cuando se incorporó como au-ditor interno al Grupo Prisa, en el que desarrolló su experiencia internacional realizando proyectos de auditoría interna en diferentes países de Latinoamé-

rica, Estados Unidos y Portugal, donde el Grupo tenía inversiones.Ya durante los seis últimos años, ha dirigido el de-partamento de Auditoría Interna del Grupo Jazztel, en una etapa de crecimiento exponencial del Grupo y con el apasionante reto de crear y consolidar el de-partamento en este entorno, teniendo presente en todo momento el papel estratégico que la función de Auditoría Interna debía tener en el Grupo Jazztel. Para ello, ha contado con el apoyo del consejo y del comité de auditoría, que tenía muy presente que este crecimiento tenía que ir acompañado de un entorno de control interno y aseguramiento adecuado. Es licenciado en Administración y Dirección de Empre-sas por la Universidad Comercial de Deusto y, en su afán y compromiso con el marco internacional para la práctica profesional de la auditoría interna, cuenta con diferentes certificaciones internacionales otorgadas por el Instituto de Auditores Internos Global (CIA, CRMA, CCSA). Casado y con dos hijos, aprovecha el tiempo li-bre para dedicarlo a su familia, disfrutando con ellos de sus dos principales pasiones: el mar y la montaña.

“AProvechAr los retos imPulsA

nuestrA Profesión”

PEDRO TOMÁS FOMINAYA MUÑOZ

Director De AuDitoríA internA Del

gruPo jAzztel

entrevistA

ai18

Jazztel ha tenido un crecimiento muy significativo en los últimos años, entrando a formar parte del Ibex 35 el año pasado En su opinión ¿cuál ha sido la clave de este creci-miento?Sin duda, las claves del éxito de Jazztel las enmarcaría en cuatro aspectos: la flexibilidad de la estruc-tura de su organización, que permite adaptarse a un sector tan dinámico; el equipo directivo y de profesiona-les, con una plantilla joven que se encuentra muy comprometida con el proyecto; la pasión por el cliente, el valor principal que mueve a la orga-nización, y, por supuesto, el éxito del Grupo Jazztel no se entiende sin una cultura de gestión de riesgos muy potente, que se origina en el consejo y se traslada a lo largo de toda la organización. Este hecho permite realizar una gestión de los riesgos a todos los niveles.

En este entorno, ¿qué papel juega la función de Auditoría Interna y cómo se relaciona?En Jazztel, el comité de auditoría está formado por consejeros exclu-sivamente independientes y, como función de Auditoría Interna, depen-demos directamente de éste. De esta forma, el consejo apuesta por una función de auditoría totalmente inde-pendiente y objetiva.Por otro lado, en Jazztel se encuen-tran muy definidas las Tres líneas de defensa en el modelo de gestión de riesgos. La primera línea, formada

por el consejero delegado y el comité ejecutivo, identifica y gestiona los riesgos, establece acciones para miti-garlos, asigna responsables y fechas objetivo de cumplimiento y realiza seguimiento, al menos semanal, de la evolución de las acciones. Esta gestión es supervisada por las áreas operativas o comisiones creadas ad hoc que conforman la segunda línea (comité de tecnología, comité de seguridad, áreas de planificación y control…).Auditoría Interna se posiciona en la compañía como una tercera línea, que aporta aseguramiento indepen-diente de la gestión de los riesgos que realiza la primera y supervisa la segunda, bien concluyendo sobre el diseño de las acciones, bien sobre el cumplimiento de éstas. Tras seis años desde la creación de la función y de trabajar por su crecimiento y posicionamiento dentro de la orga-nización, actualmente, la función de auditoría se encuentra plenamente integrada, conociendo los diferentes stakeholders de la función, su rol en el modelo de gestión de riesgos.

En el desempeño de este rol que co-menta ¿cómo se elabora y coordina el plan anual de Auditoría Interna? ¿Qué inputs recibe?Entendemos que el plan de auditoría marcará el valor que aportamos a la organización a lo largo del año y, por lo tanto, es un proceso muy re-levante que llevamos a cabo durante los últimos meses del año. En toda

función, pero más en departamentos de auditoría pequeños, la maximiza-ción de los recursos, y acertar en la elección de los proyectos, es la clave para aportar valor a la compañía. El plan es aprobado por el comité de auditoría. La elaboración se inicia con el proceso de actualización anual del mapa de riesgos. Tras un proceso de elaboración y definición de las nece-sidades de la compañía en este sen-tido, desde Auditoría Interna hemos implantado una metodología de docu-mentación y actualización periódica del Mapa de Riesgos. El resultado final es un documento que incorpora los principales riesgos identificados por las diferentes direcciones ejecu-tivas,, donde los diferentes directores ejecutivos y el consejero delegado identifican y valoran los riesgos más significativos para el ejercicio siendo el resultado supervisado por el co-mité de auditoría y aprobado por el consejo de administración. Esa prio-rización es la que, desde Auditoría Interna, utilizamos para planificar los proyectos que vamos a realizar. Estos proyectos de naturaleza más estraté-gica conllevan el peso más relevante dentro del plan de auditoría. Por ejemplo, desde el año pasado incor-poramos el proyecto de FTTH al plan, enmarcado dentro de nuestra función de aseguramiento.Adicionalmente, incluimos proyectos de revisión de aspectos relacionados con el cumplimiento y la información financiera, como supervisión del SCIIF, Corporate Defense o Fraude.

“El éxito de Jazztel no se entiende sin una cultura de gestión de riesgos muy potente, que se origina en el

consejo y se traslada a toda la organización. ”

entrevistApedro tomás fominaya muñoz

ai 19

entrevistApedro tomás fominaya muñoz

“Cada uno de los trabajos del plan de auditoría está asociado a uno o más de uno

de los pilares estratégicos de EDP”El Grupo Jazztel nace en 1997. Es un operador de servicios de telecomunicaciones que presta sus servicios en España, principalmente en los segmentos de residencial, donde ofrece servicios de telefonía fija, banda ancha fija y móvil, por medio de una amplia gama de productos que hacen uso de sus redes DSL y FTTH, y en los segmentos de empresas y mayoristas. Cotiza en la bolsa española desde el año 2000 y, desde 2013, es parte del Ibex 35 con una capitalización de 2.700 millones de euros.Jazztel se ha caracterizado por un crecimiento sostenible del negocio, con una facturación de 1.044 millones en el ejercicio 2013, pasando de 582.000 clientes de banda ancha en

2009 a 1.450.000 a cierre de 2013, contando, además, con 1.166.000 clientes de servicios móviles. Actualmente, apuesta por la alta velocidad, habiendo lanzado, en enero de 2014, su nueva cartera de servicios FTTH. La compañía alcanzará una cobertura de tres millones de hogares, a través de un contrato de co-inversión de despliegue con Telefónica. El actual Plan de Negocio 2013-2017 contempla alcanzar los 1.950.000-2.000.000 clientes de banda ancha y 2.300.000-2.500.000 clientes de servicios móviles y unos ingresos entre 1.500-1.600 millones de euros.Las oficinas centrales de Jazztel se encuentran ubicadas en Madrid (Alcobendas) y concentran 559 empleados

en las diferentes direcciones ejecutivas: Tecnología, Financiero, Ventas, Marketing, Cliente, Mayorista, Legal y Regulatorio, Recursos Humanos y Comunicación. Adicionalmente, cuenta con 3.545 empleados distribuidos en sus centros de atención al cliente en Guadalajara (España), Chile y Colombia, los cuales son gestionados desde las oficinas centrales de Madrid.

lA función De AuDitoríA internA

La función de Auditoría Interna de Jazztel depende jerárquicamente del comité de auditoría, formado exclusivamente por consejeros independientes.El departamento se caracteriza por ser una función muy enfocada al negocio y al cumplimiento de los objetivos del plan estratégico, desde una perspectiva independiente y objetiva. La función está ubicada en las oficinas centrales de Madrid (Alcobendas) y tiene contacto directo con las diferentes áreas de negocio, las direcciones ejecutivas y el consejero delegado. Esta dimensión de la compañía les permite adquirir un elevado conocimiento de los controles que se realizan por cada una de las áreas de la compañía y tener una visión integral del negocio.

lA orgAnizAción

“Trabajamos por el compromiso de una relación a largo plazo con el auditado, dentro

del ámbito win-win”

entrevistApedro tomás fominaya muñoz

ai20

¿Qué buenas prácticas destacaría del departamento de auditoría inter-na que dirige?Destacaría, en primer lugar, la adop-ción desde un inicio de las mejores prácticas y normas de IAI y la implanta-ción de un modelo de auditoría orienta-do al negocio y basado en riesgos. Desde un punto de vista de comuni-cación, trabajamos por el compro-miso de creación de una relación a largo plazo con el auditado, dentro del ámbito del win-win. Destacamos el desempeño satisfactorio de las prácticas del auditado y, en todo mo-mento, gestionamos sus expectativas. A modo de ejemplo, con independen-cia del informe final que recoge las conclusiones del proyecto, durante el proceso de auditoría mantenemos una comunicación continua con el audita-do, involucrándole en la percepción de la mejora de la recomendación, hecho que permite una mayor adecuación de su implantación, y hacerlo en tiempo, en un sector muy dinámico.Por supuesto no puedo dejar de destacar la versatilidad, flexibilidad y adaptación del departamento a los diferentes proyectos que realizamos.Aprovecho para mencionar que par-ticipo, junto con otros colegas de la profesión, en la comisión técnica de Buenas prácticas para departamen-tos de auditoría pequeños, dentro de la Fábrica del Pensamiento del IAI. Nuestro afán es trasladar nuestra experiencia y mejores prácticas al resto de compañías que puedan estar como nosotros, y animo desde aquí a

su lectura tras su presentación por el Instituto. Destacar que la experien-cia es muy positiva y aliento a otros miembros del IAI a participar en es-tas iniciativas que, en mi opinión, son muy enriquecedoras y trasladables al día a día de las organizaciones.

El negocio de las Telecomunicacio-nes es un mundo altamente compe-titivo y en constante transformación ¿cómo afecta esto al área de Audito-ría Interna?Por supuesto, y de forma directa, al plan de auditoría. Las actualizaciones del plan no son meras rutinas, sino que debemos estar alerta de cualquier evento o novedad que pueda afectar a los objetivos de la compañía, porque, sin duda, como auditores internos debemos estar ahí. La clave es enfo-car los trabajos para aportar valor a la compañía. Por lo que, como depar-tamento, debemos replanificar y ser rápidos, sin olvidar las funciones de base que se espera de la función. En muchas ocasiones, como audito-res internos, nos encontramos rea-lizando proyectos de aseguramiento sobre riesgos que se están gestio-nando en el momento, y nuestro papel es asegurar que las acciones se llevan a cabo sobre información fiable, en fecha y que son eficaces para la mitigación del riesgo. Dado el dinamismo del sector, y que el mantenimiento de la base de clien-tes es clave para el crecimiento sos-tenido de la compañía, la velocidad de reacción cuenta, y como auditores

debemos gestionar esa velocidad con el objetivo de proporcionar el aseguramiento de que las decisiones se toman de forma controlada. Man-teniendo siempre la objetividad y la independencia.

El 14 de marzo de 2013 se presentó un plan estratégico 2013-2017 ¿En qué medida está contribuyendo a alcanzar los objetivos fijados? Como he comentado el plan de audi-toría se basa en el Mapa de Riesgos. Éste recoge de forma actualizada aquellos eventos internos o externos que pueden impedir alcanzar los objetivos del plan estratégico en clave anual (número de clientes, Ingresos y Ebitda). Como función de asegu-ramiento, y a la hora de explicar el plan de auditoría, definimos cuál es el aseguramiento que haremos du-rante el ejercicio para cada riesgo de forma específica, para, a final de año, podernos preguntar cómo hemos contribuido al aseguramiento de la minimización el riesgo y el cumpli-miento de los objetivos y así reflejarlo en la memoria anual de actividades de Auditoría Interna.De forma general, desde Auditoría Interna fomentamos de forma conti-nua el Tone at the Top con el impulso de proyectos como la implantación de un canal ético o la aplicación de metodología CSA, con las diferentes áreas en la elaboración del mapa de riesgos o evaluación del cumplimien-to de controles para la prevención de los delitos y fraude.

entrevistApedro tomás fominaya muñoz

ai 21

el equiPoEl equipo de Auditoría Interna de Jazztel está formado por dos personas, Pedro Fominaya y Ana Minguet. Tras la creación del departa-mento, en octubre de 2008, se incorporó Ana, en marzo de 2010. Después de cuatro años en auditoría externa (Deloitte), CCSA y en proceso de obtención del CIA, ambos comparten la pa-sión por la profesión y su com-promiso con la calidad, calidad que se auto exigen a ellos mis-mos apostando por la formación y el crecimiento profesional. Creen en el valor de la palabra “equipo” de auditoría, carac-terizándose por replantearse, cada semana, hacía dónde va la función, hablando un lenguaje común y fomentando un estilo metodológico y disciplinado que

así transmiten al resto de la organización.Consideran este aspecto fun-damental para estar alineados con el negocio y enfocar los tra-bajos hacia la maximización de los recursos para dar el mayor valor a la compañía, y más aún como departamento de auditoría pequeño.Siempre han aplicado lo que denominan “la psicología del auditor interno”, hecho que les ha servido como técnica para fortalecer el proceso de implan-tación de la función de auditoría interna dentro de la Organiza-ción. Uno de sus objetivos es conti-nuar con el compromiso con las mejores prácticas y obtener la certificación de Calidad del De-partamento Q&A del IAI.

¿Qué grandes retos ve para los au-ditores internos en el sector de las telecomunicaciones a medio plazo? Uno de ellos es acompañar a la velo-cidad de transformación del sector y, más que acompañar, estar por delante para poder aportar valor. El resto está en acompañar un crecimiento sosteni-ble en un sector donde la agresividad de la competencia es muy feroz, y los clientes son cada vez más exigentes y demandantes de calidad. De hecho, actualmente el sector está viviendo un proceso de concentración.Pensar en el sector de telecomunica-ciones a medio plazo es pensar en el aumento de la demanda del servicio, en un mundo cada vez más globali-zado donde la rápida aceptación de smartphones, tablets y smart TVs (o servicios en streaming en HD y los servicios en la nube) está aumentando el número de dispositivos conectados e impulsan los volúmenes de descarga y subida de datos; es decir, cada vez más, estos servicios van a ser más de-mandados y el soporte de estas apli-caciones y su calidad está en la red. Como auditores, y no solo en este sector, debemos estar al día de los riesgos que las nuevas tecnologías conllevan aplicados al negocio, man-tenernos formados y ser ingeniosos para enfocar las pruebas y los pro-yectos que den valor a la organiza-ción. Por supuesto que existen retos, pero diría más bien oportunidades, y saberlas aprovechar es sin duda lo que va a dar impulso a nuestra profesión.

“Uno de los desafíos es acompañar a la velocidad de transformación del sector y, sobre todo, estar

por delante para poder aportar valor”

ai22

La nueva normativa puede conllevar multas y penas considerables para las empresas,

por lo que uno de los papeles de Auditoría Interna tendrá que enfocarse en ayudar a la organización en la

prevención, detección y mitigación de los potenciales delitos contemplados en la reforma.

Jose Ignacio Dominguez HernándezCRMA. Técnico Evaluador de Auditoria Interna.Corporate Governance Advisor

Hasta diciembre de 2010 las empresas o personas jurídicas no eran responsables ante el Derecho Pe-nal común, porque no

poseían capacidad de culpabilidad ni capacidad para la punición, por el principio de responsabilidad de las penas; pero el 23 de diciembre de 2010 entró en vigor la Ley Orgánica 5/2010 por la que se modifica el Código Penal. Una de las principales novedades fue la introducción de una serie de delitos relativos a la res-ponsabilidad penal de las personas jurídicas, por lo que, a partir de dicha fecha, sí que adquieren esa capaci-dad de ser culpables de la comisión de unos determinados ilícitos tipifica-dos en el nuevo Código Penal.Esta reforma implica que, cuando se cometa un delito por los represen-tantes legales, administradores en su nombre y en su provecho, o por un empleado de la empresa en el ejercicio de las actividades sociales, y en provecho de las mismas, si no se ha ejercido sobre éste un debido control, junto a la persona física, también puede verse imputada la persona jurídica, acusada como res-ponsable penal de dicho delito.Las multas y penas a las que pueden verse sujetas las empresas son ciertamente muy importantes, entre las que se encuentran multas

pecuniarias, suspensión temporal de sus actividades, clausura temporal de sus locales y establecimientos, inhabilitación para obtener subven-ciones, ayudas, incentivos públicos, o para contratar con las administra-ciones públicas o, en último extremo, la pena de muerte de la empresa, es decir, la disolución de la persona jurídica.Recientemente, se encuentran en proceso nuevos cambios de esta normativa, mediante un Proyecto de Ley de Reforma del Código Penal de 2013, que está en trámite parla-mentario desde el 4 de octubre de 2013 y que introduce dos importantes novedades:1/ El reconocimiento expreso de que un modelo de prevención adecuado puede ser considerado circunstancia eximente, cuando anteriormente era solo atenuante.2/ La introducción de un nuevo delito por incumplimiento del deber de vigi-lancia y control en personas jurídi-cas, dirigido “al representante legal o administrador de hecho o de derecho de cualquier persona jurídica”.

¿Cómo se pueDen preparar las empresas? ¿Qué son los sIstemas preventIvos y De Defensa CorporatIva?La defensa corporativa representa el análisis preventivo de los riesgos penales que, potencialmente, pueden

afectar a una empresa como persona jurídica, y entre sus objetivos se encuentra el realizar las oportu-nas recomendaciones para que la compañía adopte medidas tenden-tes a minimizarlos y, por otro lado, demostrar, si fuese necesario, que se ha implantado un sistema de control interno tendente a prevenir estas situaciones.Ante un hipotético proceso por la comisión de un delito por un emplea-do en el ámbito de sus funciones, los sistemas de prevención y respuesta servirán para acreditar que la persona jurídica sí ha ejercido el debido con-trol que le es exigible y, por lo tanto, se ampliarían las posibilidades de alcanzar una sentencia absolutoria.En todo caso, estas medidas de control de los riesgos penales de las empresas cobran especial importan-cia al contemplar el actual antepro-yecto penal, ya que, como comen-tábamos anteriormente, introduce una eximente específica aplicable a las personas jurídicas que hubieran establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica. Otros atenuantes serían haber confesado previamente la infracción a las autoridades y co-laborar en la investigación aportando pruebas.

ai 23

el rol de auditoría interna ante la

responsabilidad penal de la persona jurídica

auditoría interna y responsabilidad penal

ai24

La Unión Europea quiere facilitar a los Gobiernos la ayuda a las empresas a través de una refor-ma de la normativa que fomente la investigación y la innovación. Entre sus principales objetivos, está el concentrar los recursos en investigar aquellos

casos de ayudas estatales que plantean mayores riesgos de perjudicar a las

empresas competidoras. La reforma persigue que las empresas puedan recibir ayudas para más actividades y por importes más altos, sin que los pla-nes estén sujetos a control previo por las autoridades de la UE. Gracias a esta liberalización, se calcula

que solo se notificarán a la Comisión entre un 10% y un 25% de las ayudas públicas, frente al 40% ac-tual. A cambio, los países deberán publicar online los datos de cualquier ayuda financiera de organismos públicos a empresas que supere los 500.000 euros.

la reforma legal de la ue para impulsar la i+d

De

inte

rés.

..canales de denuncia y respuesta ante la comisión de uno de los ilícitos con-templados en el nuevo Código Penal.No olvidemos que la mejor defensa corporativa de las empresas ante los riesgos penales atribuidos a las mismas es disponer de un eficaz Có-digo Ético o de Conducta actualizado para recoger los últimos cambios legislativos y que, además, dicho código haya sido convenientemente difundido y explicado en la organi-zación.

¿Qué papel pueDe Jugar el auDItor Interno en la mItIgaCIón De estos rIesgos? Dichas medidas comentadas an-teriormente se enmarcan en los sistemas de control interno y cum-plimiento normativo de las organiza-ciones, cuya responsabilidad recae como una función importante del auditor interno. La comisión de hechos delictivos o de infracciones administrativas graves, como consecuencia del cambio legislativo, puede suponer un importante perjuicio económico para las empresas, por lo que se hace necesario que las compañías lleven a cabo una revisión de los procesos, políticas y procedimien-tos, para verificar que cuentan con los mecanismos adecuados para evitar, de una manera razonable, que sus empleados y administrado-

Pero la principal novedad, y no exenta de polémica, sería que el propio hecho de no disponer de esas medidas de control preventivas puede ser, en sí mismo, constitutivo de delito.La implantación de Sistemas de Prevención y Respuesta en las organizaciones comenzaría por un adecuado diagnóstico y análisis pre-ventivo del riesgo penal que pudiera existir en la compañía, a los efectos de preparar un plan de acción que minimice los principales riesgos penales a los que la persona jurídica podría estar expuesta en España, a través de la actividad de sus directi-vos y empleados.La implantación de estos sistemas preventivos y de respuesta se llevará a cabo con una metodología y fases adecuadas, y tendrán los siguientes objetivos:l Identificación y documentación de los riesgos penales que potencial-mente pueden afectar a la compañía.l Identificación de los procedimien-tos y controles mitigantes relaciona-dos con los riesgos detectados en el punto anterior.l Propuesta de recomendaciones al sistema de control existente.l Elaboración de un Modelo de prevención y respuesta ante delitos y protocolos de actuación, con un doble enfoque: recoger los controles y medidas preventivas, así como los

La implantación de Sistemas de

Prevención y Respuesta en las organizaciones comenzaría por

un adecuado diagnóstico y

análisis preventivo del riesgo penal que pudiera existir en la

compañía.

auditoría interna y responsabilidad penal

ai 25

El Consejo de Normas Internacionales de Contabi-lidad (IFRS) y el Consejo de Contabilidad Financiera de EE UU han publicado una nueva norma contable con-junta sobre reconocimiento de ingresos procedentes de

contratos con clientes. Es un paso más en la convergencia de los sistemas contables de EE UU e internacional y se mejora la información financiera de los ingresos, así como la comparabilidad de los estados financieros.

nueva norma contable sobre reconocimiento de ingresos

Los días 3 y 4 de marzo se reunieron en la sede del IAI en Madrid representantes de la Confederación Europea de Institutos de Auditores Internos (ECIIA) y represen-tantes de la Organización de Entidades Fiscalizadoras

Superiores de Europa (Euro-sai) para analizar un acuerdo marco de cooperación entre ambas. Juan Ignacio Ruiz Zorilla, vicepresidente del IAI español y vocal del ECIIA, lideró la reunión.

reunión eciia y eurosai

res cometan alguno de los delitos que contempla el Código Penal y, además, disponer de mecanismos que garanticen que ese cumpli-miento se produce de forma conti-nuada en el tiempo. Es recomendable que esta revisión se pueda enmarcar como parte de la política de gestión y control de ries-gos de la empresa. La evaluación de riesgos constituye un primer paso para la implantación de un sistema de prevención de riesgos penales.Recordando el Modelo de las tres líneas de defensa, Auditoría Interna es responsable de aportar un nivel de supervisión y aseguramiento a la organización y, en particular, también asesoramiento en las materias de buen gobierno corpo-rativo, gestión y control de riesgos, así como en el cumplimiento de las normativas a las que está sujeta la organización.Por tanto, creo que uno de los principales papeles de la función de Auditoria Interna sobre este tema sería ayudar a la organización en la prevención, detección y mitigación de los potenciales delitos contemplados en la reforma que les pueda aplicar a las personas jurídicas.La forma y alcance de la involucra-ción del auditor interno puede variar lógicamente en función del tamaño de la organización, las funciones de aseguramiento que ya se tengan

en la segunda línea de defensa y de los propios recursos disponibles de la dirección de Auditoria Interna; pero, en cualquier caso, el enfoque de su asesoramiento podría ser el siguiente:l Incluir en el plan de auditoria anual una revisión de los controles que actualmente tiene la organi-zación, y que serían mitigadores de esos riesgos penales. Se podría revisar el diseño del control y su efectividad en el funcionamiento, dejando evidencia de dicha revisión como documentación futura del seguimiento efectivo del sistema de prevención.l Si no está incluido en el citado plan de auditoria anual, se podría incluir específicamente, a petición del consejo de administración, que es quien debería aprobar la política y estrategia de la compañía para la prevención de hechos delictivos y su-pervisar que se cumplen los objetivos marcados.Con este respaldo, el auditor interno podría realizar revisiones específicas sobre el sistema de prevención y respuesta, comprobando no solo su diseño e idoneidad, sino además, que tal cumplimiento es continuado en el tiempo y que se actualiza perió-dicamente, para que tales medidas sean consideradas como atenuantes o eximentes de la responsabilidad penal de la persona jurídica.

La forma y alcance de la involucración del auditor interno

puede variar en función del tamaño de la organización,

las funciones de aseguramiento que ya se tengan en la segunda línea de defensa y de los propios recursos

disponibles.

1o preguntas a…

ai26

paul druckman CEO del IIRC

tras más de cuatro años de trabajo intensivo, ya está

listo el nuevo marco Internacio-nal para el Informe Integrado. ¿cuáles serán los beneficios para las organizaciones que lo utilizan?

Las más de cien empresas que forman el Programa Piloto de la IIRC, incluyendo las españolas BBVA, Enagás, Indra, Inditex, Me-liá Hotels International, Repsol y Telefónica, ya están trabajando con el Marco para el Informe In-tegrado.La evidencia demuestra que el In-forme Integrado aporta beneficios sustantivos. En primer lugar, ayu-da a establecer el contexto para unas relaciones mejor enfocadas con los inversores, ayudándoles a desempeñar mejor su papel de supervisión.Con el Informe Integrado, la es-trategia y el modelo de negocio de la organización se encuentran en el mismísimo centro de las comunicaciones, con lo cual el argumento inversor está mejor articulado. Los trabajos de inves-tigación de enero de 2014, lidera-dos por George Serafeim, de Har-vard Business School, analizaron datos de 1.066 empresas esta-dounidenses que adoptan total o parcialmente las prácticas de Informe Integrado y concluyeron

que “fomenta la entrada en la or-ganización de inversores a largo plazo”. El informe resultado de la investigación, titulado El Informe Integrado y los Inversores, indica que aquellas empresas que están emprendiendo el camino hacia el Informe Integrado, y que comu-nican de forma más efectiva a los inversores la importancia que tie-ne para la creación de valor en el futuro, atraen una base inversora y accionarial más estable.El Informe Integrado también lle-va a un “pensamiento integrado”, lo que contrasta con lo que se denomina a veces “pensamiento en silos o aislado”, y contempla la conectividad y las relaciones de-pendientes entre muchos factores que afectan a la capacidad de la organización a la hora de crear valor en el tiempo. El pensamien-to integrado tiene como resultado un proceso de toma de decisiones centrado en la creación de valor y un enfoque más cohesivo hacia el reporte organizacional.

¿cuáles son las diferencias claves entre un Informe

Integrado y el clásico Informe de responsabilidad social cor-porativa?

Un Informe Integrado debe con-tener todos los aspectos de un Informe de RSC, pero solo en el

contexto de los elementos que contribuyen a la creación de valor en el tiempo. No tiene nada que ver con la combinación de distin-tos informes en un informe único. El Informe Integrado es coheren-te con los desarrollos vistos en informes de RSC, financieros y otros, pero tiene unas diferencias claves. Su énfasis está en la sín-tesis, el enfoque estratégico y el futuro, la conectividad de la in-formación, el modelo de negocio de la organización y de todos los proveedores de capital (financie-ro, manufacturado, intelectual, humano, social, relacional y na-tural) y las relaciones existentes entre todos ellos. En definitiva, refuerza la impor-tancia del pensamiento integrado en la organización.

¿Qué peso tiene la estra-tegia en un Informe Inte-

grado?

El Informe Integrado brinda la oportunidad a las empresas para que su reporting tenga como epi-centro la estrategia y la creación de valor. El Marco fomenta que el negocio emplee la estrategia como la co-lumna vertebral del reporting y que comparta los retos que tiene que superar mientras la persi-guen. También les ayuda a expli-

1

2

3

Hasta llegar a este cargo, fue presidente no ejecutivo y gerente de una gran variedad de empresas. Síguele en LinkedIn (www.linkedin.com/in/pauldruckman1)

car cómo van a cumplir con sus prioridades estratégicas.Como parte de su adaptación al Informe Integrado, en 2012, una empresa española, Indra, dentro de su Informe Anual, describe su estrategia, su modelo de negocio, su desempeño y las perspectivas para cada uno de sus factores clave de éxito. Para hacer esto, la empresa tuvo que alinear sus ob-jetivos estratégicos en términos de las distintas fuentes de capital. Como consecuencia de esta iniciativa, los análisis de mate-rialidad tuvieron que cambiar y la ayudó a centrarse más en la creación de valor.

el Instituto de auditores Internos ha comisionado

un grupo de trabajo con pro-fesionales de distintos países para que trabajen sobre temas relacionados con el Informe Integrado. ¿en qué áreas cree que deben centrarse para pro-mocionar el debate y ayudar a las empresas a implementar el marco con éxito?

En este momento, hay muchas organizaciones preguntándose cómo pueden asegurar que haya confianza en la nueva información que reportan, ya que no se incluye en la auditoría formal. El grupo de trabajo del IAI podría centrarse en cómo el auditor interno puede contribuir a la fia-bilidad de los procesos y la infor-mación generada, tanto para el Informe Integrado como para uso interno de la dirección y el conse-jo. Quizás podrían discutir hasta dónde puede el auditor interno participar en iniciativas de asegu-

ramiento externo, aunque entien-do que en muchas instancias no es posible.Menciono esto porque hay mucha discusión interesante en este ámbito, y el enfoque adicional sobre auditoría interna lo podría complementar. El propio IIRC ha sacado un documento con la intención de abrir un debate en aquellos grupos líderes y con influencia en materia de asegu-ramiento, acerca de cómo pueden crear confianza en un espectro de información y reporting mucho más amplio.

¿Qué papel debería desem-peñar el auditor interno en

el proceso de redacción de un informe integrado?

Cuando visité Madrid, en abril de 2014, asistí a la reunión del Task Force europeo en la sede del IAI. Esta reunión no me dejó ninguna duda respecto al impacto que van a tener los auditores internos en el camino hacia el Informe Inte-grado. Con la visión muy amplia que tie-nen sobre toda la organización, el conocimiento sobre las distintas fuentes de información, los sis-temas y procesos que genera esa información y su comprensión de los riesgos y los controles, el au-ditor interno es la figura perfecta para comprender cómo la empre-sa gestiona sus capitales.Uno de los objetivos de Task For-ce europeo de auditores internos establece que deben “clarificar cuáles son los roles y responsa-bilidades del auditor interno en sus vertientes de aseguramiento y de asesoría, durante y después

de la implementación de proce-sos para el informe integrado”.

¿considera que el Informe Integrado puede ser un

catalizador para el cambio orga-nizacional en las empresas que lo adopten?

Si, por supuesto. El Informe Inte-grado puede provocar cambios en el comportamiento corporativo y un pensamiento más integrado. Organizaciones que están tra-bajando hacia el objetivo de un informe integrado han visto cómo les ayuda a juntar piezas sepa-radas del negocio y a identificar metodologías y sistemas mejores para medir, gestionar y publicar información. Los procesos del Informe Integra-do pueden esclarecer más acerca de los recursos y las relaciones que utiliza un negocio y, por lo tanto, aportar más perspectiva acerca de los riesgos y las opor-tunidades.Empresas que han adoptado el Informe Integrado también están viendo que potencian las comuni-caciones que no solo se basan en los estados financieros, y esto da a los inversores estratégicos unos buenos indicadores adelantados de desempeño. Por ejemplo, SAP Corporation creó un infograma para repre-sentar las relaciones entre sus indicadores financieros y no financieros más importantes, y los respaldó con investigación y cálculos externos. Informó que un cambio de solo el 1% en la retención de empleados tenía un impacto de 62 millones de euros en el resultado de explotación.

ai 27

45

6

El Informe Integrado brinda la oportunidad a las empresas para que su reporting tenga como epicentro la

estrategia y la creación de valor.

1o preguntas a… paul druckman

Desde entonces, se han centrado mucho más en las relaciones con sus empleados.

¿se han desarrollado mé-tricas o indicadores para

que los usuarios del Informe Integrado puedan hacer com-paraciones entre empresas del mismo sector?

El IIRC ha creado de forma muy intencionada un Marco basado en principios y, por lo tanto, la pres-cripción de indicadores estanda-rizados está fuera de su alcance. Los responsables de la prepara-ción y presentación de un Informe Integrado necesitan ejercer un juicio, contemplando las caracte-rísticas y circunstancias especí-ficas de la organización, para de-cidir qué asuntos son realmente importantes y cómo informar so-bre ellos, incluyendo la aplicación de indicadores generales, si así lo estiman oportuno.El IIRC también está centrándose en una selección de sectores y fomentando la creación de redes para que las empresas puedan conectar y compartir experiencias con otros, incluyendo qué tipo de información consideran de alta importancia.

¿se han desarrollado mé-tricas precisas para medir

los intangibles de una organiza-ción (creación de valor, desarro-llo social, etc)?

Con la evolución del reporting también evolucionarán los indi-

cadores y la interconectividad de datos e información. El IIRC será un gran defensor de esto y un catalizador para la evo-lución de nuevas metodologías e indicadores.

¿Quién debe ser el respon-sable de la confección del

Informe Integrado en una orga-nización?

Toda la organización contribuirá a la creación de un Informe In-tegrado. Un Informe Integrado debe reflejar los objetivos del consejo de administración, y debe incluir una declaración de los responsables del gobierno de la organización donde reconozcan su responsabilidad sobre la inte-gridad del Informe Integrado, un reconocimiento de que colectiva-mente han debatido y discutido la preparación del Informe Integra-do y su opinión acerca de que se presenta alineada y conforme con este Marco. Si el consejo no incluye esta de-claración debería explicar qué pa-pel han desempeñado los respon-sables del gobierno en el Informe Integrado, y qué acciones se están tomando para hacerlo en el futuro. Deberían incluir un calen-dario de plazos, que no excediera en ningún caso el tercer Informe Integrado que publican.

¿cuáles son los próximos pasos para el IIrc?

El próximo paso para el IIRC es conseguir un movimiento im-

portante hacia la adopción tem-prana del Marco Internacional. El Marco aporta rigor técnico y consistencia a un proceso que en los últimos tres años ha crecido orgánicamente y por la presión de los mercados. El Informe Integrado se utilizará, en conjunto, con ejemplos prác-ticos de innovación en materia de reporting, con evidencias del lado del negocio y del lado del inver-sor, para llegar a un mayor nú-mero de empresas que se están planteando utilizar el Marco por primera vez. El IIRC también está trabajando con reguladores en mercados cla-ves para crear un entorno regula-torio que permita el crecimiento del Informe Integrado.Mientras nos movemos hacia la adopción temprana del Marco, el IIRC se beneficiará de las mejores prácticas de los “Innovadores” en la materia, una red de casi mil organizaciones en todo el mundo que constituyen el Programa Pilo-to del IIRC.El IIRC también ha comisionado el Corporate Reporting Dialogue, un grupo cuyos miembros son las principales organizaciones de reporting, IASB, FASB, GRI, SASB, CDP e ISO. Este grupo servirá para que los líderes en desarrollo del Marco y los organismos de normalización puedan tener un lugar de encuen-tro para que, mediante una ma-yor coordinación y consistencia, consigan dar un mayor impulso a la innovación en el reporting cor-porativo.

9

10

8

Los procesos del Informe Integrado pueden esclarecer más acerca de los recursos y las relaciones y aportar más perspectiva de los riesgos y las oportunidades.

ai28

7

Este prestigioso galardón, convocado desde hace más de una década por AECA, tiene por objeto reconocer el esfuerzo y los resultados de las empresas españolas en materia de transparencia informativa.

Se convoca en tres modalidades:

• Empresas del IBEX-35

• Empresas cotizadas

• Resto de empresas

2014XIII Premio AECA a la Transparencia Empresarial

Un Premio consolidado, altamente valorado por las empresas, referente sobre información corporativa –financiera, no financiera y de gobierno– hecha pública a través de la Web (1.0 y 2.0)

Asociación Española de Contabilidad y Administración de Empresas

Presentación de candidaturas hasta el 30 de abril de 2014

Más información y Bases en:

91 547 44 65 · info@aeca.es

w w w . a e c a . e s

MEDIOS DE COMUNICACIÓN:

PATROCINA:

CON EL APOYO DE:

BANCODEESPAÑAEurosistema

COLABORAN:

spp auditores y consultores de gestión

NOVEDAD

ai30

Tratar un tema como la realización de los planes de acción nacidos de las recomendaciones hechas por Auditoría puede ser muy manido, pero sigue

estando de actualidad. Cualquier infor-me de auditoría recoge las incidencias y factores de riesgos observados, así como los comentarios de la unidad auditada y las recomendaciones para su corrección, que se transformarán (posiblemente) en planes de acción. Pero, ¿hasta dónde o cómo puede con-tribuir Auditoría en la ejecución de los planes de acción sin comprometer su objetividad e independencia, especial-mente cuando corresponden a riesgos relevantes? La declaración de posición del IIA de septiembre de 2004, conocida como Modelo de las Tres Líneas de Defensa, define el papel de Auditoría Interna en la gestión de los riesgos corporativos e indica los roles que debe asumir, los que podría tomar con limitaciones y los que no debe aceptar (como por ejemplo, ver cuadro inferior).Como complemento y refuerzo de

este Modelo, en diciembre de 2013 el IAI presentó el documento Marco de Relaciones de Auditoría Interna con otras funciones de Aseguramien-to, producido por el think tank del Instituto, en el que define la función de Auditoría Interna tanto como evaluador de la eficacia de la segunda línea como coordinador del resto de proveedores de aseguramiento interno, si bien argumenta que, en la práctica, resulta muy complejo establecer un modelo único respecto a las funciones que deben prestar los servicios de asegu-ramiento, pues ello dependerá de su grado de madurez, del sector y de las circunstancias.Así podemos constatar cómo el rol de Auditoría Interna sobre los planes de acción procedentes de las recomenda-ciones y su seguimiento varía sustan-cialmente de una organización a otra. En las de menor tamaño podemos ob-servar que, frecuentemente, Auditoría desempeña tareas prohibidas según el Modelo de las Tres Líneas de Defensa, como, por ejemplo, tomar decisiones sobre respuestas a los riesgos o su implementación.

ai 31

cómo implicar a los direcTivosen las recomendaciones de audiToría inTerna

Cipriano Rivera Bravo Jefe Soporte de Riesgo Operacional en CECABANK, CRMA

José Martín Valliriáin Master en Auditoría CRMA, AID, TEAI

Si bien es cierto que el rol de Auditoría Interna sobre los planes de acción procedentes de las recomendaciones y su seguimiento varía sustancialmente de una organización a otra, vamos a ver que la utilización de una pequeña herramienta (una base de datos on-line) facilita la ejecución de los planes de acción, a la vez que contribuye a lograr la implicación de los directivos en el núcleo principal del problema: implementar los planes de acción.

● Asesorar en los procesos de identificación y evaluación de los riesgos ● Coordinar actividades de gestión de riesgos ● Desarrollar las estrategias de gestión de riesgos para la aprobación del consejo

● Asumir funciones ejecutivas en el aseguramiento de los riesgos ● Imponer procesos de gestión de riesgos ● Tomar decisiones sobre las respuestas a los riesgos o implementarlas

● Evaluar los procesos de gestión de los riesgos ● Evaluar la elaboración de informes sobre los riesgos claveRoles

aceptados

Roles con limitaciones

Roles pRohibidos

cómo implicar a los direcTivos en audiToría inTerna

ai32

Las memorias de RSE de las empresas del Ibex 35 no reflejan de manera fiel cuál es su actuación en todos los países en los que mantiene actividad. El alcance de la informa-ción, en la mayoría de las empresas, está relaciona-da con el impacto en sus

cuentas de resultados y no con los impactos sociales y medioambientales en

donde actúan. Esta es una de las conclusiones del último informe del Observatorio de RSC, La Responsabilidad So-cial Corporativa en las memorias anuales de las empresas del Ibex, que analiza el ejercicio 2012.De acuerdo con el informe,

en ese año 33 de las 35 empresas del Ibex mantenían presencia en territorios considerados como paraísos fiscales. En cuanto al terreno de la lucha contra la corrupción, el Observatorio pide a las empresas un mayor ejer-cicio de transparencia.

las empresas omiTen riesgos en sus memorias de rse

De

inte

rés.

..EnfoquE MEtodológiCo E iMpliCaCión dE los diRECtiVosLa realización de auditorías en una organización, siendo crucial para una supervisión eficaz de su sistema de gestión de riesgos, se vuelve aún más importante cuando se transforman sus recomendaciones en planes de acción, precisando conocer para ello:● Cómo y por quiénes se definen los planes de acción. ● Quiénes asumen la responsabilidad de su implementación, ejecución y supervisión.● Qué otras áreas de la organización han de coparticipar en su desarrollo.

Para dar respuesta a estos interrogan-tes partimos de una cuestión esencial: si trabajamos individualmente pode-mos hacer pocas cosas, si compar-timos podemos alcanzar las metas propuestas. Pensamos que el proce-dimiento cumple con la filosofía de la Auditoría Interna, de acuerdo tanto con las Normas Internacionales para la Práctica Profesional como con el Modelo de las Tres Líneas de Defensa. Desde esta óptica, exponemos el funcionamiento de una sencilla herra-mienta (una base de datos on-line) que facilita la ejecución de los planes de acción en el marco de las cuestiones enunciadas, a la vez que contribuye a lograr la implicación de los directivos en el núcleo principal del problema: implementar los planes de acción.

Para conseguir la implicación de los directivos en la implementación de los planes de acción es necesaria su implicación en la realización de las auditorías. Así, el directivo debe estar informado desde el principio, como responsable de la unidad auditada, de su desarrollo y de las debilidades que se pongan de manifiesto.

MaRCo dE nECEsidadEs y dEsaRRollo dEl pRoCEdiMiEntoidentificación de las unidades orgá-nicas a intervenir en el desarrollo de los planes de acción y roles a desem-peñarEs preciso acotar qué partes de la or-ganización intervendrán en su desarro-llo y cuáles son sus funciones, tanto en la implementación como en la gestión y seguimiento de los planes de acción.● unidad auditada: Responsable prin-cipal de su ejecución. Da de alta el plan en la herramienta y actualiza los datos sobre su evolución. ● unidades vinculadas: Correspon-sables con la unidad auditada en la ejecución del plan, colaborando con aquélla con los medios precisos. ● Control interno: Coordina y controla la evolución de los planes, mante-niendo un vínculo permanente con los directivos de las unidades auditadas y vinculadas. ● auditoría interna: Responsable de supervisar la eficacia del plan ejecuta-do tras su terminación.

Marco de necesidadesHa de contemplar lo siguiente:1/ Compromiso institucional de la Dirección, que debe apoyar el procedi-miento y fomentar el concurso de los directivos.2/Comunicación del papel a desempe-ñar por Control Interno en la coordina-ción de las acciones necesarias para el desarrollo de los planes.3/Clarificación de los roles de Control y Auditoría. Control Interno colabora con los directivos en la gestión de los pla-nes y Auditoría Interna los revisa a su terminación para verificar si cumplen los objetivos perseguidos.

fasEs dEl pRoCEdiMiEnto1/Identificación por Auditoría Interna de los planes de acción, referidos a los riesgos relevantes, en los niveles: inexistencia de control, no mitiga el riesgo y mitiga parcialmente el riesgo.2/Pactar los planes con el responsable de la unidad auditada y su jefe inme-diato, definiendo:

2.1 Denominación de los planes de acción.2.2 Concreción de las medidas a tomar y proyectos a acometer.2.3 Unidades vinculadas en colabo-rar con las unidades auditadas.2.4 Medios para llevarlos a la prácti-ca.2.5 Plazos de ejecución.

3/Incorporar al Informe Definitivo de Auditoría la relación de los planes de

cómo implicar a los direcTivos en audiToría inTerna

ai 33

Los inversores inter-nacionales valoran cada vez mas la información no financiera que ofrecen las empresas. Así se sostiene en el estudio Tomorrow´s Investment, elaborado por EY, que recoge la opinión de

163 inversores institucio-nales que, en su inmensa mayoría (89%) aseguran que este tipo de información jugó un papel fundamental en al menos una de las operacio-nes en las que participaron en el último año.

los inversores valoran la información no financiera

El Gobierno ha aprobado el Anteproyecto de ley del Códi-go Mercantil, que moderniza una legislación promulgada en 1885. La nueva regulación, en la que ha estado trabajan-do la Comisión de Codifica-ción del Ministerio de Justicia

desde 2006, y que consta de 1.726 artículos, regula entre otras materias los requisitos generales de capacidad del empresario para el ejercicio de su actividad, en nombre propio o por medio de sus representantes legales.

primer paso para modernizar el código mercanTil

acción como parte integrante de dicho Informe.4/Trasladar a Control Interno la rela-ción de los planes de acción fijados.5/Comunicar a las unidades vinculadas afectadas los planes de acción en los que hayan sido involucradas.6/Incorporar por parte de la unidad auditada a la herramienta los planes de acción aprobados, con apoyo y asesora-miento de Control Interno.

pREsEntaCión y funCionaMiEnto dE la HERRaMiEnta disEñada paRa la gEstión dE los planEs dE aCCiónLa herramienta se basa en la cola-boración y coordinación entre las unidades auditadas y las vinculadas para la eficaz ejecución de los planes de acción, corrigiendo las debilidades detectadas en las auditorías. Y ésa es su característica principal, ya que al funcionar en modo on-line facilita las relaciones entre directivos de las unidades implicadas, convirtiéndose en un sistema dinamizador al facilitar el conocimiento permanente del progreso de los planes.

aCtuaCionEs dE las unidadEs iMpliCadas En la EJECuCión dE los planEs dE aCCión y En El funCionaMiEnto dE la HERRaMiEntaTanto la incorporación de un plan de acción como sus modificaciones sólo

pueden hacerse por el directivo de la unidad auditada, responsable de su implementación.Cada vez que una unidad auditada introduce un plan en la herramienta -reflejándose qué unidades vinculadas han de apoyar-lo- o la variación de uno registrado, se producen comunicaciones automáticas para:● Jefe inmediato de la unidad auditada● Unidades vinculadas● Control Interno● Auditoría Interna

CaMpos dEl plan dE aCCión1/Denominación del Plan de Acción.2/Situación del Plan (estados: Sin Iniciar, En Curso o Finalizado).3/Unidad auditada que lo implementa.4/Unidades vinculadas implicadas en su desarrollo.5/Fechas previstas de inicio y fin.6/Importancia del riesgo y evaluación del control.7/Descripción (en qué consiste y qué cosas hay que hacer).8/Objetivos a conseguir con su reali-zación.9/Medios precisos para llevarlo a cabo.10/Seguimiento del Plan 11/Informe de Auditoría Interna a la finalización del Plan.Todos los campos, excepto los 6 y 11, son cumplimentados por la unidad au-ditada responsable de la ejecución del plan. El campo 6 se subdivide en tres indicadores sobre la calidad del plan: (i)

Importancia del riesgo, (ii) Evaluación del control antes de iniciar el Plan y (iii) Evaluación del control al finalizar el Plan.Los dos primeros indicadores se cumplimentan por Control Interno en base al Informe Definitivo de Auditoría, mientras que el tercero es diligenciado por Auditoría Interna al documentar el campo 11 mencionado.

aspECtos REsaltaBlEs REspECto dEl Rol dE ContRol intERno La labor de Control Interno respecto de la evolución de los planes es esencial, al mantenerse permanentemente informado de la situación de los planes existentes en la Herramienta, y por otro lado, al interactuar y terciar con los di-rectivos para procurar su colaboración en la finalización del plan. La actuación de Control Interno se inicia en el momento en que cada uni-dad auditada incorpora sus planes de acción en la Herramienta, procedién-dose entonces a elaborar un acta en el que se deja constancia de los planes creados y su correspondencia con los contenidos en el Informe Definitivo de Auditoría. Posteriormente, en el transcurso de la ejecución de los planes de acción, Con-trol Interno revisará con el responsable de la unidad auditada la evolución de los mismos, colaborando con éste en la solución de las cuestiones que puedan impedir o retrasar su realización.

Desde el punto de vista lingüístico, un informe de auditoría interna es un texto mixto entre una argumentación y una exposición. Un texto

en el que defiendes una tesis o idea a través de datos y argumentos, presen-tados de forma ordenada. El problema es: ¿qué significa “de forma orde-nada”? ¿qué pones primero? ¿cómo concluyes? Desde una perspectiva teórica, la de los manuales de retórica, una buena argumentación puede ser deductiva, inductiva o envolvente. ¿Significa eso realmente algo para un lector? Lo dudo. Puedes defender tus ideas brillantemente, pero si no te leen, porque no despiertas su atención o interés, o porque tu receptor objetivo no entiende tu trabajo, por bueno que tú lo consideres, no sirve para nada.

PELIGRO 1: NO DEJES QUE LA “VERDAD” MATE

UNA BUENA IDEAPor ejemplo, el manual de estilo (o la aplicación informática) de tu empresa establece que cuando redactas un informe primero tienes que delimitar el alcance del trabajo, después fijar los objetivos del estudio, describir la situación y, más tarde, tras detallar los procedimientos seguidos, explicar de forma precisa las conclusiones, fundamentadas con tus recomen-daciones y exponerlas de forma ordenada… Un buen esquema para un magnífico trabajo argumentativo-

expositivo de carácter inductivo. El problema es que, si el destinatario de tu informe es uno de esos miembros tan atareados del comité de dirección (o de administración) de tu empresa, de los que habitualmente solo dis-ponen de minutos (o segundos) o de un conocimiento somero de lo que le hablas y está muy liado y le gusta ir al grano…, el directivo dejará de leer tu informe en la segunda línea, irritado por no saber de qué va el maldito asunto... La lógica interna con la que seleccio-namos, organizamos y volcamos la información de un informe correcta-mente elaborado, desde el punto de vista técnico, es diferente de la que utilizamos para un resumen ejecutivo, unas conclusiones o una propuesta de actuación eficaces desde la óptica comunicativa: los ladrillos, las vigas, el cemento, la madera, la carpintería metálica, el cristal, los cables o los tornillos no se colocan igual en un almacén de construcción que en un chalé. No dejes que la exhaustividad, la precisión o la pulcritud maten la eficacia comunicativa. Cuando escribes es para que te lean y te entiendan. No para llenar folios y folios con tus conocimientos. En la medida de lo posible, cada vez que es-cribas, estructura tu texto (qué pongo primero, qué es lo más interesante, qué información selecciono y cuál de-secho, cómo concluyo) en función de tu lector. Estructurar siempre (y por defecto) una auditoría interna según un esquema estándar que algún día

alguien fijó en algún lugar del depar-tamento para facilitar la uniformidad de los informes (SIC) puede convertir una profesión de inteligencia comu-nicativa en una factoría de morcillas redaccionales.

PELIGRO 2: “ERUDICIÓN” VERSUS “SABER”

La vida es compleja, y si quieres que alguien capte en unos minutos lo que tú (un(a) licenciado(a), con doctorado, MBA, cursos de especialización y mu-cha experiencia) tardaste en entender meses de arduo trabajo, recopilando miles de datos y cientos de papeles, con decenas de entrevistas, análisis; si quieres que alguien capte la esen-cia de lo que tú has comprendido con tanto esfuerzo, tienes que sintetizar, y para sintetizar hacen falta dos cosas que a primera vista traicionan el espí-ritu de un trabajo de investigación que pretende ser “completo”:1/ Tienes que seleccionar la infor-mación relevante para tu lector y eliminar la irrelevante: relevante en función de su tiempo y su especializa-ción, no de los tuyos. No puedes poner todo lo que tú sabes. Sería ilegible.2/ Además, tienes que ordenar el material con una lógica comprensible para tu lector, no con el criterio espa-cial, temporal o racional que te marca la realidad analizada. Eso significa prescindir del 90% de tu “erudición”, que no de tu “saber”, en el resumen final de tu informe. Sé fiel al dicho: “Lo bueno, si breve, dos veces bueno”.

ai34

ERRORES HABITUALES DEL ESCRITOR AMATEUR

(PARTE I)

Miguel Janer

ai 35

Un auditor interno, igual que muchos otros profesionales, es un escritor a tiempo parcial, aún sin él saberlo. Por tanto, debe evitar algunos de los errores más frecuentes de los escribidores amateurs. En la siguiente lista que propongo, ni son todos los que están, ni están todos los que son; pero sí recojo los más frecuentes de mi experiencia en cursos de formación en el mundo de la auditoría interna.

ERRORES DEL ESCRITOR AMATEUR

ai

El comité ejecutivo de la Comisión Nacional del Mercado de Valores (CNMV) incoó 37 nuevos expedientes sancionado-res en 2013, frente a los 30 de 2012. En ellos se imputaron un total de 57 presuntas infracciones. Es uno de los datos recogi-

dos en el último informe anual presentado por la CNMV. La mayoría de los expedientes estaban rela-cionados con infracciones por incumplimiento de normas de conducta en relación con clientes e inversores, seguidos por incumplimientos de la

normativa sobre ventas en corto e incorrecta comunicación de partici-paciones significativas. La CNMV concluyó durante el año pasado 20 expedientes que incluían 40 infraccio-nes e impuso 71 multas por valor de 4,1 millones de euros.

LA CNMV IMPUSO 71 MULTAS A SOCIEDADES DURANTE 2013

De

inte

rés.

..PELIGRO 3:LAS FRASESINTERMINABLESSSSS….

Escribimos como hablamos, es lo normal, porque en general escribimos sin pensarlo dos veces. Nos ocurre a todos y, muchas veces, por falta de tiempo. Volcamos sobre el papel la verborrea que bulle en nuestras ca-bezas. El drama comunicativo es que la sintaxis y la gramática de la lengua oral, aunque semejante, no es la misma que la de la lengua escrita. Por una sencilla razón: cuando hablas, el “Yo” que interviene como sujeto (como referencia sintáctica) está presente en la conversación. Es el que habla: tus interlocutores lo ven, piden explica-ciones; vuelves adelante y atrás, para aclarar las cosas. Ese “Yo” gramatical (primera persona del singular de cual-quier verbo) también está presente y no hay confusión sobre quién hace, siente o padece qué: soy “Yo” el que gesticulo, miro, sonrío o toco…Pero cuando escribo, y pongo una idea negro sobre blanco, esa referencia objetiva que soy “Yo” desaparece. Ex-ternalizo mi mensaje. “Yo” ya no estoy ahí para dar explicaciones: “Scripsit, scripsit” (“lo escrito, escrito está”, que dijo un viejo romano). Por eso, tengo que dejar claro en cada mo-mento quién habla o actúa (el sujeto), en qué tiempo, modo y forma verbal (el verbo), y en qué circunstancias (el predicado). La sintaxis del lenguaje

escrito debe ser mucho más simple, estructurada y ordenada que la del oral. Si no, es incomprensible.En el lenguaje oral no hay signos de puntuación. Cuando hablamos no de-cimos: “Ahora viene una coma; y aho-ra un punto y coma”. Nos entendemos con entonaciones y pausas. Haz la prueba. Graba una conferencia. Trans-críbela. Aunque durante la sesión lo entiendas todo, en la transcripción apenas se entiende nada. ¡La sintaxis y la gramática del lenguaje oral y del escrito tienen poco que ver! Para cambiar de un registro a otro tenemos que traducir. Como de un idioma a otro. ¿Cómo? Muy sencillo. Cuando escribimos de buenas a primeras, utilizamos frases largas y difíciles de desentrañar: de dos, tres, cuatro… ¡o más líneas! No te preocupes, es nor-mal. Lo que no es sensato es dejarlas cuando revisas el texto por segunda vez. En la siguiente revisión tienes que acortar, en general, la extensión de las oraciones a menos de dos líneas. Pero, ¿por qué?, insistirán los más recalcitrantes defensores de la lengua de Góngora y Quevedo. Porque si no lo haces pueden montarse, entre otros, algunos de los siguientes follones:

PELIGRO 4PERO… ¿DE QUIÉN ESTAMOS HABLANDO?

Esa es una de las preguntas que más me plantean en los cursos que impar-

to con el método de Las 7 Llaves de la Escritura Eficaz: “¿Hay que escribir con frases largas o cortas?” Siempre respondo que es mejor una frase corta y sencilla, pero clara, que una larga y compleja. Algunos puristas de la lengua cervantina me contemplan con desdén: “Las oraciones largas son hermosas”, alegan; “como los cuadros de Botticelli”, pienso yo, “pero difíciles de manejar”, como los colores en la pintura del Renacimiento. En una fra-se larga mal construida es fácil perder la pista al sujeto: al final no sabes bien quién es el que hace qué ni de qué manera. Manipular oraciones subor-dinas adjetivas de gerundio o circuns-tanciales de infinitivo con preposición es maravilloso… pero un lío. Este tipo de sintaxis, aunque expresiva, dificulta la escritura y entorpece la lectura. Es más fácil redactar, y leer, con ora-ciones cortas y sencillas, colocadas ordenadamente una detrás de otra. Si no escribes así, corres el peligro de que tu lector no sepa de quién o de qué hablas a partir de la segunda línea. Entre otras cosas, habrás cam-biado, si darte cuenta, el sujeto de la oración en varias ocasiones. Prueba. Si has escrito un texto con frases muy largas, acórtalas; comprobarás que el sujeto, el verbo y el predicado se orde-nan solos, como por arte de magia, y desaparecen esos confusos pronom-bres personales que no se sabe muy bien a qué o quién se refieren.

ERRORES DEL ESCRITOR AMATEUR

ai 37

La Fundación Lealtad, pionera en la evaluación de la transparencia de las ONG españolas, ha anunciado la puesta en marcha de una metodología de análisis adaptada a las de menor tamaño. Pretende atender la

demanda de estas organiza-ciones en ser analizadas so-bre el cumplimiento de los 9 Principios de Transparencia y Buenas Prácticas. La mi-tad de las ONG incorporadas a la Guía gestiona menos de 300.000 euros.

GUíA DE TRANSPARENCIA PARA PEqUEñAS ONG

El 7 de abril se constituyó la comisión técnica sobre Informe Integrado, esta comisión liderada por España y Francia está formada por auditores internos de Francia, España, Inglaterra, Holanda y Noruega. La primera reunión,

celebrada en la sede del IAI en Madrid, contó con la asistencia de Paul Druck-man, CEO del International Integrated Reporting Council.

CITA DE TRABAjO DE DRUCkMAN EN LA SEDE DEL IAI

EJEMPLO¡PERO DE QUIÉN HABLAMOS?Este es un texto real. Solo he cam-biado datos y nombres. Forma parte de los antecedentes de un informe de reclamación de un cheque. Algo tan sencillo como decir: “Alguien cobró indebidamente un cheque, devuélvan-me el dinero”. ¿Tan sencillo? Intenta entender el texto en cursiva. “Mediante comunicado del XX de septiembre de XXXX el abogado ge-neral de la Universidad Pepito Pérez, manifiesta su inconformidad respec-to a la negociación del cheque No. 1234567 por 1.000.000$ aplicado sobre la Cuenta No. 987654321 a nombre de dicha entidad establecida en el Banco S.A. toda vez que el citado documento muestra las leyendas “No negociable” y “Para abono en cuenta” habiéndose expedido a favor de la empresa Aso-ciación S.A. El XX de mayo del XXXY, Joselito Fer-nández, apoderado de la Universidad presentó su reclamación ante la Cá-mara de Compensación, solicitando la restitución del importe de 1.000.000$ indicando que Banco indebidamente pagó a empresa apócrifa el documen-to. De esta reclamación se desprende que el cheque No. 1234567 fue expedi-do el XX de diciembre del XXXZ a favor de la empresa Asociación S.A. y que fue entregado el día XX de septiembre del XXXW a una persona de nombre Sancho Panza que se ostentó como

representante de la citada compañía.”¿Se entiende? ¿No? El escritor cam-bia el sujeto de la oración continua-mente, sin venir a cuento. Veamos los sujetos: el 1º es el comu-nicado; después, el abogado Pepito Pérez, que comunica algo; en tercer lugar, aparece el cheque que es ne-gociado; para a continuación pasar el protagonismo al Banco; con un cierre que protagoniza un magnífico gerun-dio a favor de la empresa Asociación. Y así hasta el final.La alternativa es:“El XX de septiembre de XXXX, el abogado de la Universidad mandó un comunicado reclamando la nego-ciación del cheque No. 1234567. El cheque había sido aplicado a la cuenta No. 987654321 del Banco, por un im-porte de 1.000.000$. El abogado de la Universidad decía que indebidamente, porque en el documento ponía “No negociable” o por “Abono a cuenta”. El cheque iba expedido a favor de la empresa Asociación S.A..”Esto ya es otra cosa, ¿no?... y simple-mente hemos acortado las oraciones, ordenado los sujetos, colocado co-rrectamente los signos de puntuación y simplificado los verbos.

PELIGRO 5USO Y ABUSO DEL “SE”

El pronombre personal “se” tiene en Español tres usos básicos… y multitud

de abusos. Se utiliza en los llamados verbos pronominales (hay muchos), en las oraciones pasivas reflejas (el libro “se escribió” en 1950) y en las oraciones impersonales (aquellas que no tienen sujeto, como por ejemplo: “se venden pisos”). Es el pronombre al que por excelencia recurren los científicos y la gente sabia para hablar de las leyes o reglas generales (por ejemplo, más arriba yo he escrito: “Se utiliza en los llamados verbos prono-minales”, para expresar una norma general de la gramática); o cuando alguien quiere ser políticamente co-rrecto (digo: “Se abusa mucho de él”; en lugar de afirmar: “Tú abusas mu-cho de él”, o, lo que sería peor: “Los auditores internos abusáis mucho de él”. Pufff, perdería a gran parte de mis alumnos de los cursos de escritura). El pronombre impersonal “se” no es en sí mismo ni bueno ni malo. Tienes que usarlo cuando lo necesitas. El problema es cuando lo usas por defecto: porque como siempre es menos peligroso decir: “Se estima que ha fracasado” a “estimo que has fracasado”, optas ya automáticamente por la fórmula menos arriesgada o aparentemente más “científica”. La cuestión es que el pronombre “se” es una fórmula gramatical impersonal, y como tal no tiene sujeto: en cuanto lo utilizas dos o tres veces seguidas, el lector ya no sabe de quién o qué hablas…

Santiago Moral, director de Riesgo Tecnológico y Fraude del Grupo BBVA y uno de los mayores ex-pertos en cloud compu-ting de España, protago-nizó la primera sesión de Los Lunes del Instituto 2014.En su ponencia “Entre la tierra y el cielo. Audi-tando al auditor”, el res-ponsable del primer paso a la nube de un banco en España equiparó el cambio que se avecina en nuestro sistema de tra-bajo con el que supuso en su día la implantación de internet.En este sentido, este experto en prevención del fraude tecnológico reconoció las dificultades que la nube supone para el auditor porque, por un lado, se trata de un

sistema que está conti-nuamente transformán-dose y por otro, no tiene ninguna copia fuera de sí mismo. Así pues, con-cluyó: “Hay que aplicar paradigmas de control completamente diferen-tes”. Y desgranó la fór-mula puesta en marcha en el grupo BBVA basada en los “análisis diferen-

ciales” para alcanzar un grado de seguridad óp-timo del uso de los co-rreos electrónicos de sus empleados en la nube.Moral animó a los res-ponsables de control interno a ayudar al resto de funciones a entender que “hay que construir la arquitectura empresarial teniendo en cuenta que la nube va a ser una rea-

lidad”. Y apuntó dos cam-bios concretos para la función: en primer lugar, “deberán confiar en que los sistemas de seguri-dad de los proveedores son los adecuados”. Y en segundo lugar, deberán focalizar su trabajo en la vertiente regulatoria porque, paradójicamen-te, “la componente más compleja de la implanta-ción y gestión de la nube no es la tecnológica sino la contractual”, aseguró.

Santiago Moral, director de Riesgo Tecnológico y Fraude del Grupo BBVA y uno de los mayores expertos

en cloud computing de España, reconoció las dificultades que la nube supone para el auditor

los lunes del institutoEL InsTITuTo dE AudIToREs InTERnos dE EspAñA conTInuA cELEBRAndo sus REunIonEs con EL oBjETIVo dE TRATAR noVEdAdEs Y TEmAs dE InTERés

[ Madrid, 28 de enero de 2014 ]

Cloud Computing: una revoluCión en el sistema de análisis de riesgo y Control de las empresas

Santiago Moral (Grupo BBVA) desgrana en el IAI los desafíos del paso “irreversible” a la nube

ai38

“Paradójicamente, la componente

más compleja de la implantación y gestión

de la nube no es la tecnológica sino la

contractual”

Ángel Alloza, cEo de corporate Excellence centre for Reputation Institute –el laboratorio de ideas que las grandes compañías españolas han creado para investigar y gestionar los aspectos de reputación- y uno de los grandes expertos de la materia en nuestro país, protagonizó la segunda edición de 2014 de los Lunes del IAI, dedicada a repasar el estado de la gestión de la reputa-ción en el mundo. Bajo el título “La gestión de la reputación: creación y protección del valor de las organizaciones”, Alloza abogó por “una gestión transversal de la reputación en la empresa que rompa con los silos departamentales”, tarea en la que el auditor inter-no es “un aliado natural

para la preservación de la reputación empresa-rial”. “no se puede tener una buena reputación si no se hace una gestión integrada”,añadió.Alloza, que ha publicado en inglés y español, junto con Enrique carreras y Ana carreras, la obra manual de Reputación (Lid Editorial), ha pro-clamado la entrada en la “nueva `Economía de los Intangibles´”, donde “el 81% del valor de las empresas reside en los activos intangibles, frente al 17% de 1975”. En este contexto, las marcas han pasado “de ser gestiona-das desde el marketing y el consumidor como stakeholder único, a la ampliación de los grupos de interés de los que va a depender la marca –em-pleados, proveedores,

instituciones, sociedad…-, que se preguntan quién, por qué y cómo fabrica”.para este experto, “la reputación es la herra-mienta de gestión para recuperar la confianza y la legitimidad: hay que

hacer lo que es relevante y, además, comunicarlo con credibilidad”. Lo relevante se puede resu-mir en siete pilares que integran la reputación: Finanzas –cosechar buenos resultados-; Innovación –satisfacer las nuevas demandas-; ciudadanía –implicación de la empresa en la co-munidad y Responsabi-lidad social corporativa (Rsc)-; Trabajo –buenas condiciones laborales-; Liderazgo –calidad del management-; ética –funcionamiento con normas de buen gobier-no-, y productos y servi-cios –de calidad y a buen precio-.

Ángel Alloza, CEO de Corporate Excellence Centre for Reputation Institute, es firme defensor de la “nueva

economía de los intangibles”. Y señala que “el 81% del valor de las empresas reside en ellos

los lunes del instituto[ Madrid, 25 de febrero de 2014 ]

la gestión de la reputaCión: CreaCión y proteCCión del valor de las organizaCiones

“El auditor interno es un aliado natural para la preservación de la reputación empresarial”

ai 39

“La auditoría interna de TI no puede ser una caja negra para los auditores internos generalistas”. Así resumió Andrés de Benito, ingeniero de telecomunicaciones y gerente de Auditoría Interna de Sistemas de Grupo Logista, el estado de la supervisión de los riesgos tecnológicos por parte de la función de auditoría interna en las empresas españolas.Según el documento de la Fábrica de Pensa-miento del IAI “Cobertu-ra del Riesgo Tecnológi-co: hacia una Auditoría Interna de TI Integrada”, un tercio de las organi-zaciones no cuenta con un área de Auditoría Interna específica dentro de la dirección de Audi-toría Interna, y el 64% tiene solo “uno” o “nin-gún” auditor interno de TI en su organización. Esto significa, según José Manuel Vidal, di-rector de Auditoría de Sistemas de BBVA y uno de los responsables del estudio, que, a pesar de la urgencia de los ries-gos asociados al pro-greso tecnológico (es-pionaje, robos de infor-mación, suplantación de identidades…etc) “queda camino por recorrer”. Y

el camino, según este estudio, pasa por estruc-turar “auditorías inte-gradas”. Esto es, “que las organizaciones tra-bajen en base a planes de auditoría interna y de sistemas (los que anali-zan los riesgos tecnoló-gicos) comunes que den respuesta a todos los miedos e inquietudes de la organización”. Andrés de Benito, encargado junto con José Manuel Vidal de dar a conocer el documento del laborato-rio de ideas del Instituto de Auditores internos en los Lunes del IAI, pidió

a los auditores internos generalistas “que pier-dan el miedo” porque en este momento, añadió, “todos los procesos de negocio están soporta-dos por alguna aplica-ción de TI y, por tanto, hay riesgo”.Para el éxito de esta misión será fundamental contar con profesionales muy cualificados que puedan dar respuesta a un análisis de los ries-gos, al entorno tecno-lógico cambiante y las medidas para mitigarlos y, al mismo tiempo, que tengan conocimiento del

negocio. Vidal aseguró que “se están buscando ya estos perfiles en el mercado y la perspectiva es que se incremente su contratación”.Este documento de la Fábrica de Pensamiento ha sido elaborado du-rante casi un año por un comité de expertos, so-cios del IAI, que trabajan en las principales em-presas españolas: Ma-pfre, Mutua Madrileña, Mutua Universal, BBVA, Grupo Logista, Deloitte y EY. Se trata del primer estudio en español que aborda esta temática.

los lunes del institutoEL InSTITUTo DE AUDIToRES InTERnoS DE ESPAñA ConTInUA CELEBRAnDo SUS REUnIonES Con EL oBjETIVo DE TRATAR noVEDADES Y TEMAS DE InTERéS

[ Madrid, 31 de Marzo de 2014 ]

Cobertura de tI para audItoría Interna. HaCIa una audItoría Interna Integrada

Un 31% de las organizaciones no supervisa sus riesgos tecnológicos

ai40

Andrés de Benito (Grupo Logista): “La auditoría interna de TI no puede ser una caja negra para los auditores internos

generalistas”.

José Manuel Vidal (Grupo BBVA): “Las

organizaciones deben trabajar en base a

planes de auditoria interna y sistemas

comunes”

Según este documento, el 64%

de las organizaciones tiene solo uno o ningún auditor

interno de TI en su organización

Salvador Aragón, direc-tor general de Innovación del IE Business school, protagonista de la última edición de los Lunes del Instituto de Auditores Internos, ha reconocido que “la innovación está prácticamente ausente en los procesos de audi-toría”.En su charla “¿Es posible auditar la innovación?”, enmarcada dentro del ciclo de conferencias mensuales del Instituto, aseguró que auditar la innovación no sólo es posible sino que “se trata de una oportunidad por-que la auditoría interna puede ayudar a medir la incertidumbre, los ries-gos y el premio asociado al proceso de innova-ción”. En un contexto donde los modelos de negocio de las empresas no duran 20 años sino

20 meses, “la innovación es la respuesta natural frente a la incertidum-bre”, según este directivo de una de las principales escuelas de negocio del mundo.Los datos del ranking del World Economic Forum así lo avalan: las 15 economías más compe-

titivas del mundo son, al mismo tiempo, las 15 más innovadoras. Espa-ña, según este ranking, se sitúa en el puesto 35 de competitividad y en el 32 de innovación. Aragón atribuye este puesto a un factor cultural: “no faltan ideas, ni creatividad, pero no sabemos gestionar el

fracaso”. Algo inherente a la innovación porque, de cada cien procesos de innovación, 96 acaban en fracaso pero, subrayó, “es la única fórmula para lograr ventajas competi-tivas”.Aragón hizo especial hincapié en las posibili-dades de “legitimar” la función de innovación si desde dentro se audita el proceso. Así, “la audito-ría interna podría señalar a dirección si estamos ante apuestas seguras o suicidas”, explicó. El objetivo de auditar la innovación sería evaluar tres aspectos: el gobier-no de ésta -quién y qué decisiones se toman-; cómo se gestiona la in-novación y, por último, la cartera de la innovación -los proyectos concretos que se pretenden poner en marcha-.

El objetivo de auditar la innovación sería

evaluar quién y qué decisiones se toman;

cómo se gestiona la innovación y los

proyectos concretos que se pretenden poner en marcha

los lunes del instituto[ Madrid, 30 de abril de 2014 ]

españa se sitúa en el puesto 32 de innovaCión mundial, según el Cgi del World eConomiC Forum.

“La innovación está prácticamente ausente en los procesos de auditoría”

Salvador Aragón, director general de Innovación del IE Business School: “la innovación es la respuesta

natural frente a la incertidumbre”

ai 41

otra mirada

La lectura de este volumen asusta un poco. Primero, por su enorme al-cance y su rotunda

presentación. Segundo, por-que estamos ante la obra que recopila el trabajo de toda la vida de Daniel Kahneman, Premio Nobel de Economía por sus hallazgos en psicolo-gía de la decisión. Y tercero, y más importante, porque nos sitúa ante el espejo de la pobreza del equipamiento mental para la toma de deci-siones o, lo que es lo mismo, para andar por la vida. No es nuevo, ni tampoco es la pri-mera vez que este reseñista aborda el tema, sea bajo la óptica de los mitos y falacias o desde la misma gestión del riesgo. El libro ha merecido una amplísima atención de la crítica y gran cantidad de galardones. Kahneman nos ofrece, de modo muy didácti-co, una visión comprehensiva de los sesgos y desviaciones que nuestro modo de pensar, nuestro sistema operativo, provoca. En algún momento, la profusión de experimentos se hace notar demasiado, pero el hilo del desarrollo de tan exigente obra es sutil y elegante. La mayor parte de

los experimentos y líneas de investigación los realizó junto con Amos Tverski, a cuya me-moria se dedica el volumen, además de recoger otros de diversos psicólogos y econo-mistas. El autor hace gala de un fuerte sentido didáctico, lo que es de agradecer a la hora de fijar conceptos y aprove-char más la lectura. La idea fuerza del ensayo consiste en presentar el modo en que pensamos se-parado en dos sistemas, que el autor denomina Sistemas 1 y 2. El Sistema 1 es auto-mático y apenas usa recursos de manera consciente porque piensa rápido; el 2 requiere esfuerzo y atención y una sólida determinación para aplicarlo, pues su consumo de recursos (y por tanto, su capacidad de ser mantenida durante periodos de tiempo largos) es muy superior, dado que piensa despacio. Kahneman organiza la obra en cinco partes y ofrece, además, unas conclusiones. Se incluyen dos apéndices que funcionan especialmente como resumen del libro. La primera parte se ocupa de presentar los mencionados dos sistemas y de cómo mu-chas veces nos dejamos lle-

ai42

pensar rápido pensar despacio

DANIEL KAHNEMAN665 PÁGINASEDITORIAL DEBATE RANDOM HOUSE MONDADORIBARCELONA 2012

“El autor hace gala de un fuerte sentido didáctico, lo que es de agradecer a la hora de fijar conceptos y aprovechar más la lectura”.

pensar rápido, pensar despacio

MigueL ángeL serranoManaging Leader de The Worldgate Group

Monumento a la imperfección de la mente

ai 43

var por la intuición o simple-mente permitimos que una primera impresión o idea se convierta en la respuesta final. Como marco general de pensamiento, nos avisa de su universalidad y aplica-bilidad en cualquiera de las disciplinas humanas: por así decir, es el equipamiento de base de las personas.La segunda parte se ocupa de la heurística y los sesgos en la toma de decisiones bajo incertidumbre, que por definición es el territorio de la economía y la adminis-tración de empresas. Así, el autor nos describe fenóme-nos como el de la disponibi-lidad heurística, que hacen que recordemos con mayor fuerza hechos dramáticos y eso se traduzca en sesgo para decisiones futuras; o el efecto halo, que hará que nos gusten características que no hemos evaluado en una persona simplemente por el hecho de que de modo global, y a menudo por una primera impresión, nos gusta esa persona. O fenó-menos como el de regresión a la media, que establecen que ante rendimientos po-sitivos o negativos que se salen de lo habitual, es difícil

asegurar su continuidad en el tiempo. Lo más probable será que vuelvan a la media.La tercera parte trata so-bre el exceso de confianza, y es un aviso acerca de la sobreestimación de las ca-pacidades de decisión. Por ejemplo, presenta la “ilusión de entender” a través de la narrativa de los hechos y no de los datos estrictamente disponibles: es normal en tanto que no disponemos de todos los datos, pero eso no significa que por entender el pasado podamos predecir el futuro. No se quita valor a la intuición, pero sí se afirma que se debe usar en su justa medida: los aprendizajes emocionales son muy efecti-vos, pero la intuición experta tarda mucho en desarrollar-se y es guiada por la prácti-ca. Teóricamente, bastarían 10.000 horas para convertir-nos en un experto. De hecho, nuestra capacidad de análi-sis se ve mejorada con una visión “desde fuera”, que nos puede prevenir sobre errores en la planificación.La cuarta parte está dedica-da a las elecciones que lle-vamos a cabo diariamente. Da cuenta, por ejemplo, de la separación entre humanos y

econos: como otros autores desde otras perspectivas, el mito del operador econó-mico racional (es decir, que usa solamente el Sistema 1) se desmonta, como ya hizo Bernoulli en 1738, pese a la oposición de los eco-nomistas: las operaciones económicas tienen un com-ponente emocional y moral. Es la base de la teoría de las perspectivas, probablemente la más famosa aportación de Kahneman y Tverski, y es el fundamento de la aversión a la pérdida, que conlleva elecciones sesgadas, y pro-babilísticamente erróneas, tratando de evitarla.La quinta parte, finalmente, se ocupa en determinar la existencia de dos yoes, el que experimenta y el que recuerda. El remordimiento o cómo se narra una expe-riencia dolorosa cambian profundamente si el final de la misma es menos penoso, por ejemplo. En ese sentido, la aportación del volumen es de aplicación en la vida diaria no solo para mejorar la capacidad de análisis para la toma de decisiones, sino también para entender me-jor lo que ocurre a nuestro

alrededor, como humanos o como econos. Los econos viven en la teoría y los hu-manos actúan en el mundo real y, como los dos Siste-mas, pueden y deben retroa-limentarse para mejorar su experiencia.Esta distinción es parte del trío que presenta Kahneman como hilo: los dos Sistemas, los dos personajes que nos habitan y, finalmente, los dos yoes que conviven en nosotros. El yo que recuer-da es una construcción del sistema 2: se racionaliza la memoria, por así decir y nos dota de los atributos de quienes creemos ser. El sistema 2 es un faro y nos avisa de peligros, pero no es demasiado preciso. Como señala el autor, las organizaciones son mejores que los individuos cuando se trata de evitar errores porque, como es natural, piensan más lentamente. Lo cual es una manera elegante de decir que nuestra mente tiene demasiadas limita-ciones como para fiarse de un criterio que no haya sido fuertemente estudiado y racionalizado.Apunta este reseñista que el libro, leído como humano, es revelador de muchas incon-sistencias que la emoción gobierna. Leído como econo, es una cura de humildad , pero también una poderosa guía.

“Los econos viven en la teoría y los humanos actúan

en el mundo real”.

“Las organizaciones son mejores que los individuos cuando se trata de evitar errores

porque piensan más lentamente”.

sugerencias...

ai44

...Para leer ...Para comer

La comunicación interna está sufriendo un avance

imparable y es la gran aliada estratégica de las empresas para la gestión del cambio. “Comunicar para transfor-mar” aporta al lector fórmu-las para saber cómo liderar y motivar a los empleados de una compañía mediante las nuevas tendencias y lograr que se sientan parte activa de la cultura corporativa. Para apoyar las tesis propuestas, Cabanas y Soriano incluyen casos prácticos de compa-ñías líderes que apuestan por esta herramienta de gestión con una visión práctica, y aportan claves que ayudan a definir el plan de comuni-cación, dando respuesta a cuestiones fundamentales.

“Comunicar para transformar”

RESTAURANTE COLUMBUS

más que GAsTRONOmÍA

El libro cuenta, en primicia mundial, los secretos del

uso más sonado del espio-naje de la última década. El autor ha obtenido la infor-mación de Edward Snowden, consultor tecnológico, infor-mante, empleado de la CIA y de la Agencia de Seguridad Nacional. En junio de 2013 hizo públicos, a través de The Guardian y The Washington Post, documentos clasifica-dos como alto secreto sobre varios programas de la NSA, incluyendo el de vigilancia PRIS M. Tachado de traidor por su propio gobierno, Snowden ha marcado un an-tes y un después en la actual era digital y en la vigilancia masiva de datos personales.

CUSTOdiA CABANA y ASUNCióN SORiANO

“Snowden: sin un lugar donde esconderse”

GLENN GREENWALd

EdiTORiAL: EdiCiONES B

Nº dE PÁGiNAS: 320PRECiO: 17,50€ RESTAURANTE COLUMBUS

Pº dE RECOLETOS, 37-41 - MAdRidRESERVAS: 91 060 98 89

El Casino Gran Madrid Co-lón abrió sus puertas hace

unos meses y apostó fuerte por la gastronomía. Una apuesta con nombre propio, Columbus, avalada por la familia Sandoval, propietarios del afamado Coque, de Humanes. Se trata de un proyecto ambicioso en el que se dan la mano las apuestas de juego con la buena comida, haciendo un guiño especial al conquistador y al lugar en el que se encuentra emplazado.En la carta del Columbus se percibe la dirección de Mario Sandoval en una amplia cocina visible desde el comedor, y contiene algunos de los pla-tos más célebres del Coque. Algunas sugerencias: ceviche de calamar o de zamburiñas, cochinillo, tatín de rabo de toro, gachas, arroz meloso… Todo de diez! Exquisito sabor y con una presentación de lujo. También están disponibles dos menús degustación, deno-minados Oeste y 1485 en los que se mantiene, al igual que en la carta, una sorprendente moderación en lo que a precios se refiere (50 y 65 €, respecti-vamente). Todo ello, en un am-

Los hermanos Sandoval avalan la apuesta de este restaurante

EdiTORiAL: LidCOLECCióN ACCióN

EMPRESARiALNº dE PÁGiNAS: 200

PRECiO: 19,90€

biente de lo más peculiar en el que el diseño cobra una enorme importancia, sin olvidar que estamos en un casino, que nos ofrece la posibilidad de comer o cenar con la vista puesta sobre las mesas de black jack o las ruletas.

Corría el año 1985 cuando la revista Auditoría In-

terna publicaba el continuo crecimiento de la Asociación que, a fecha de diciembre, alcanzaba un total de 97 miembros. Un año más tar-de, estas “píldoras” hacían sonreir a los asociados:• Cuando le pregunté a un viejo auditor interno por qué era tan negativo y pesimista me respon-

dió: “He notado que es mejor ser profeta de desastres que de milagros. Si no viene el desastre, el que no haya acertado es más perdonable que haber prometido un milagro que no llega”.• “El bilingüismo es una mara-villa –dijo un auditor interno- , permite que no nos entendamos en dos idiomas”.• después de dos meses largos de trabajo en una fábrica, hablé

con el gerente sobre el resul-tado de la auditoría interna: “El problema más grave le dije- es la falta de comunicación que existe”. y él me preguntó dis-gustado: “y por qué nadie me lo ha dicho antes”.

A 30 de septiembre de 1986, se resaltaba el considerable incremento de asociados, 121 miembros.

...Para viajar

ai 45

Entre los muchos parajes espléndidos de nuestra

geografía, el Parque Natural de las Hoces del río Duratón es uno de obligada visita. Si-tuado al noroeste de Segovia, junto a la villa de Sepúlveda, se extiende a lo largo de 25 kilómetros de recorrido entre el curso del río Duratón y la presa de Burgomillodo.En esta zona, el río se ha encajado en un profundo cañón que, en algunos lu-gares, alcanza más de cien metros de desnivel, con altos farallones rocosos donde anidan casi 500 parejas de buitres leonados, acompaña-das de un buen número de alimoches, águilas reales y halcones peregrinos.Pero el Parque Natural contiene otros elementos

interesantes que ver. Uno que llama la atención, tanto por el paisaje como por la posi-bilidad de ver a los buitres sobrevolar nuestra cabeza, es la Ermita de San Frutos, construcción románica del si-glo XII a la que se accede tras haber recorrido un polvorien-to camino que sale de Villa-seca. Al llegar a una explana-da, hay que dejar el coche y seguir el camino a pie un par de kilómetros, hasta encon-trar un promontorio rocoso, rodeado de precipicios, sobre el que se alza la ermita.Tampoco hay que dejar de ver las ruinas del Monasterio de Nuestra Señora de los Ángeles de la Hoz, del siglo XIII, situado en una de las hoces, así como las nume-rosas cavernas provocadas

lAs hOces del duRATóNENTRE BUiTRES y CAñONES

por acción del río sobre las calizas, como las de Los Siete Altares, junto a la carretera que une Cantalejo con Vi-llaseca (próximo a Villar de Sobrepeña), que cuenta con varios altares construidos, al parecer, por los visigodos. O las cuevas de La Huelga, El Cabrón, La Molinilla o el Pá-jaro, con pinturas rupestres.

dónde dormir:En el corazón del Parque se encuentra el Hotel Posada del Duratón, un hotel rural con encanto en plena naturaleza. Cuenta con 20 habitaciones de anchos muros que des-cansan sobre amplias es-

tructuras de maderas nobles, antiguas vigas, columnas y enrejados debidamente res-taurados. Tiene dos salones con chimenea y un restauran-te con las mejores especia-lidades de la zona. Además, cuenta con empresa propia de actividades de aventura, Naturaltur. Especialmente recomendable el recorrido en canoa. Camino de la Matilla, 1, 40380 SebúlcorTeléfono: 921 521 424email: info@posadadelduraton.com www.posadadelduraton.comTarifas: entre 67 y 115 € (2 personas)

...Para recordar

PosaDa DEL Duratón

Supongo que todavía se resiste a retractarse de su oposición a

que realice la auditoría...

EL INSTITUTO Y LA PEQUEÑA Y MEDIANA EMPRESA

La Fábrica de Pensamiento de nuestro Instituto, acertada iniciativa del presidente Muries, configurada como el Think Tank que recoge la experiencia y el conocimiento de los asociados expertos en buen gobierno desde las exigencias y perspectivas de la auditoría interna, ha tenido el acierto de incluir entre sus temas a la Auditoría Interna en las pequeñas y medianas empresas. Pocos asuntos de la actividad económica me

son más queridos y mejor conocidos que el de las pymes y no habrá muchas personas con igual autoridad que yo al respecto, pues he sido durante diez años secretario general, animador e im-pulsor de la organización empresarial española de estas empresas. He trabajado con el Instituto Europeo de Clases Medias y asesorado y participado en la creación del Simposio Latinoamericano de la Pequeña y Mediana Empresa (SLAMP).

Estas empresas constituyen el soporte de la actividad económica y generan vocaciones empresa-riales e iniciativas creadoras que dinamizan la economía. Pero necesitan una rápida y actualizada modernización de sus sistemas de gestión.Y una de las funciones más importantes para su buen control interno es la de Auditoría Interna, pero aplicada en las condiciones y según las posibili-dades a su alcance. Esto es algo que el Instituto debe ofrecer con la garantía de la experiencia y conocimiento que posee. Y con el añadido de su probada ética y honestidad, de manera que el pe-queño empresario sea consciente de que se mueve en un entorno donde el puro beneficio no es la idea predominante en el proveedor, sino prestar un servicio eficaz para mejorar el buen gobierno y extender el conocimiento y ejercicio de la Auditoría Interna. Conviene resaltar que el Instituto no ha permanecido ajeno al devenir de estas empresas, pues algún seminario se ha llevado a cabo, centrado concretamente en la auditoría interna establecida en empresas de dimensión reducida.

Considero un acierto del Instituto el incluir entre los próximos temas para su Fábrica de Pensa-miento un asunto que reza así: “Buenas prácticas de auditoría interna en departamentos peque-ños y en las pequeñas empresas”. Creo que el Instituto está en inmejorable situación para ofrecer un programa de Auditoría Interna que cubra las necesidades de estas empresas en materia de gestión y control interno, adaptado a sus necesidades y teniendo en cuenta sus posibilidades. Estimo que un programa de esta naturaleza tendría que elaborarse partiendo de un verdadero co-nocimiento de las particularidades de las pequeñas y medianas empresas. En mi opinión, debería cumplir, entre otras, las siguientes consideraciones: estas empresas no pueden disponer de un departamento o sección especialmente dedicado a la función de Auditoría Interna. Y, en lo que se refiere a España, en su mayoría tampoco disponen de una persona con las únicas funciones de control y Auditoría Interna.

Cualquiera que sea la dimensión de una empresa no debería realizar sus actividades prescindien-do de una función tan básica y fundamental como es la de Auditoría Interna. El programa tendría que prestar especial atención a un defecto gravísimo de buena parte de este tipo de empresas: la falta de formación gerencial del pequeño empresario, junto a la carencia permanente de información de todo tipo, de forma que, en buena parte, están dirigidas de manera inadecuada a las exigencias de los mercados y del mundo actual. Será preciso llevar al ánimo de los empresa-rios que, sin un sistema moderno de dirección, entre cuyas exigencias está la de un eficaz control interno, vivirán en permanente estado de confusión y serán muy vulnerables para la defensa de su supervivencia. Es conveniente que los auditores internos del Instituto reciban un programa de especialización para llegar al auténtico conocimiento de cómo son estas empresas y cuál es la cultura empresarial de sus propietarios, viviéndola desde la realidad y no desde la teoría.

ai46

Eduardo HEvia, Presidente de Honor AID, CIA.

Reflexión peRsonal

Nueva edicióN eN español

Coso MarCo Integrado

actualizacióN 2013

Ya disponible