Daniel Álvarez. Senior Manager, GRC Services

 

¿Dónde estaba el auditor?

¿Y si la respuesta fuera; “Cumpliendo a rajatabla el plan de auditoría interna»? Houston, we have a problem.

Hace unos años, comentaba con un compañero que los negocios en general y las áreas de aseguramiento en particular, cada vez necesitan anticiparse más a los eventos, reaccionar con más rapidez, y tener estrategias, tácticas e incluso procesos más flexibles. Hay que pensar en reevaluaciones de los riesgos cada vez más frecuentes, cuando no continuas.

En nuestra profesión muchas entidades siguen aplicando un proceso de auditoria tradicional y apto para épocas menos dinámicas, siguiendo la fórmula: plan anual (e incluso bi o tri anual), ejecución y entrega de resultado, presentación anual al comité de auditoría. Este camino del pasado, nos puede llevar a un nivel de confianza ilusoria sobre la calidad y el valor añadido de nuestro trabajo. La velocidad de desarrollo de riesgos emergentes o situaciones no esperadas requieren que seamos flexibles para incrementar nuestra aportación de valor.

Mucho se ha escrito del rol del auditor interno como asesor de confianza, pero cualquier asesoramiento o aseguramiento que proveemos desde la función de auditoría interna solo generará confianza si responde a la velocidad de cambio del entorno y las condiciones de los mercados en que operamos y al cambio en las expectativas de los stakeholders.

Entonces, ¿Qué puede hacer el Chief Audit Executive (CAE) para seguir siendo relevante para el negocio?

Parte de la actividad de cualquier CAE debe ser la evaluación continua de riesgos emergentes, desconocidos al momento de la planificación, como así también de otros riesgos cuya criticidad sea susceptible de rápido cambio. El cuándo y el cómo realizar esta evaluación, dependerá de distintos factores, entre ellos la propia cultura de la organización, el entorno regulatorio, las situaciones macroeconómicas en los países en donde tenga presencia, etc. Por otro lado, algo que seguramente estemos todos de acuerdo, es que esta reevaluación continua del riesgo debería venir de su día a día:

Aumenta el contacto con el negocio: Tener un plan de comunicación y colaboración continuo con el negocio es clave. Contacto y escucha con el CEO, miembros de Comités de Dirección, Directores y Gerentes clave en la organización. El input de estas reuniones/contactos, no solo debería servir para reevaluar el plan de acuerdo a las nuevas estrategias y tácticas, sino también para obtener peticiones de colaboración y proyectos especiales.

Asimismo, estas reuniones o puntos de contacto son relevantes para que el CAE pueda ejercer a pleno su rol de Asesor de Confianza, brindando su expertise en riesgos, control interno y cumplimento, como también su conocimiento tanto del negocio como de la cultura de la organización.

Auditoria y Monitorización continua: La flexibilidad y rapidez de ajuste que requerimos solo puede venir de los profesionales del departamento de auditoría, pero en muchos casos a estos los tenemos realizando auditorias repetitivas u obligatorias. La implementación de programas de monitorización y auditoria continua nos permitirá seguir proveyendo aseguramiento en esas áreas, pero liberando a nuestros profesionales para proyectos de valor añadido y proyectos ad-hoc.

Bucles de Retroalimentación: Durante y tras la conclusión de distintas auditorias y trabajos, el CAE debería verificar si hay información y análisis relevantes que podrían afectar la vigencia y el valor del plan de auditoria previo. Si de una auditoria sacamos la conclusión de que hay elementos internos o externos que pueden estar impulsando un incremento en el fraude operacional, el CAE podría renfocar su plan a aquellos procesos especialmente sensibles o incluso rehacer su evaluación de riesgo de fraude global.

Crear un plan con holgura: Creo que hoy en día, un plan de auditoria con un horizonte temporal mas largo de seis meses, que contempla un asignación del 100% de los recursos a proyectos preestablecidos, no es un plan que vaya a añadir valor, salvo que el alcance del aseguramiento sea puramente regulatorio. Por lo tanto, reduzcamos el horizonte temporal del plan o creamos planes con holgura para adaptarse a los eventos.

Asimismo, esta misma técnica, correctamente enfocada, puede permitir identificar riesgos emergentes y/o confirmar información obtenida a partir del plan de comunicación mencionado, y/o del bucle de retroalimentación.

Si no somos capaces de agilizar el proceso de auditoría, a la típica pregunta, ¿y dónde estaba el auditor, no nos extrañemos que alguien diga… cumpliendo el plan de auditoría.

Los retos para las funciones de aseguramiento, y sobre todo para la función de auditoria interna son crecientes, y deben encontrar la manera de mantenerse como relevante para la gobernanza y la estrategia de la organización. Nadie espera que desaparezca la auditoria tradicional ni yo abogo que desparezca, sino que la misma debe adaptarse a los tiempos que corren, ser ágil, dinámica y animarse a agregar valor, reevaluando los riesgos en forma oportuna, sin estar pensando en el corsé que a veces nos puede meter modelos rígidos que no se adaptan a los tiempos actuales.

 

Si quieres saber más acerca de como podemos ayudar a crear valor en las funciones de auditoría interna y aseguramiento, contáctanos.