Por: Richard Chambers*
Uno de los eventos más frustrantes de mi carrera fue la primera vez que un cliente dijo “no”, firme y repetidamente, a una de mis recomendaciones. Era un punto importante y traté de explicarle mi razonamiento. La gerencia estuvo de acuerdo con el hallazgo, pero creía que las medidas correctivas requerirían mucho tiempo y recursos. Mi supervisor me apoyó y pensábamos que los riesgos de no implementar medidas correctivas serían muy altos para la empresa. Pero, ninguno de los dos pudo persuadir a la gerencia para implementar la recomendación ni encontrar un curso de acción alternativo aceptable.
Cuando la gerencia dice “no” y se niega a ceder, usted se da cuenta de que no importa qué tan válidas sean sus recomendaciones ni cuánto haya trabajado en la auditoría; si no alcanza resultados, no ha logrado nada. El hecho es que si no puede hacer que la gente entienda su punto de vista, el trabajo habrá sido una pérdida de tiempo y algunos riesgos importantes pueden permanecer sin abordar. En mi situación particular, el problema fue elevado al Director Ejecutivo e incluso así, no se resolvió. Como no pudo solucionarse, se convirtió en la primera recomendación de auditoría interna durante varios años y tuvo que transitar todo el camino hasta el Comité de Auditoría para su resolución.
Como el auditor interno que hizo la recomendación inicial, fui invitado a la reunión del Comité de Auditoría con mi Director Ejecutivo de Auditoría (CAE). Siempre había querido asistir a una reunión así; aunque nunca imaginé que mi primera experiencia se produjera porque la dirección estaba muy en desacuerdo conmigo. No estaba seguro de qué esperar. Temiendo lo peor, imaginé una confrontación con la gerencia, con el Comité de Auditoría sirviendo como juez y jurado.
Para mi alivio, no hubo una gran confrontación. Tanto el CAE como el Comité de Auditoría apoyaron mi punto de vista. Si el CFO aún no estaba de acuerdo, fue muy educado sobre nuestra “diferencia de perspectivas”. El problema se resolvió rápidamente y mantuvimos una relación de trabajo cordial.
Sé que muchos de ustedes han tenido experiencias similares y que a veces sus Comités de Auditoría no son tan solidarios como el de mi caso. La pregunta definitiva es: “Cuando la Dirección está dispuesta a aceptar el riesgo de no implementar una acción correctiva ¿hasta dónde debería estar de acuerdo el auditor interno?”.
El Estándar 2600 de las Normas Internacionales para la Práctica Profesional de Auditoría Interna establece que cuando un CAE concluye que la gerencia ha asumido un nivel de riesgo que puede ser inaceptable para la organización, debe tratar el asunto con la Dirección. Si el CAE determina que el problema todavía no ha sido resuelto, debe comunicar el problema al Consejo.
Ese es el camino que seguimos y, en mi caso, funcionó. Pero todos tenemos que estar preparados para las consecuencias si el Comité de Auditoría no muestra su apoyo. Por lo tanto, si estamos convencidos de que se elige un camino incorrecto con respecto a un riesgo significativo ¿tiene el auditor interno la obligación de ir más allá del Comité de Auditoría y del Consejo con la información? Por ejemplo ¿debe el auditor interno llevar el desacuerdo a los reguladores o accionistas (o al público, en el caso de los auditores internos en el gobierno)?
Las normas no abordan específicamente lo que sucede si el Comité de Auditoría está de acuerdo con la gerencia y no con el auditor interno. Pero, nuestro código de ética establece que los auditores internos “no deben revelar información sin la autorización apropiada a menos de que exista la obligación legal o profesional de hacerlo”.
Creo que esto significa que, en la mayoría de las situaciones, el Consejo es la autoridad final cuando la gerencia no está de acuerdo en implementar una recomendación de auditoría interna. Podemos asesorar y tratar de persuadir; pero las decisiones finales sobre los riesgos y controles no son nuestras. Puede llegar un momento en el que tengamos que reconocer que hemos hecho todo lo que está a nuestro alcance y que nuestro trabajo ha finalizado; incluso si no estamos de acuerdo con el resultado.
Por supuesto, debemos tener en cuenta que si se ha descubierto un fraude o un acto ilegal, las leyes nacionales o locales pueden requerir que vayamos más lejos en caso de que la gerencia y el Consejo se conviertan en obstáculos. Estas serían circunstancias extraordinarias y yo siempre recomiendo obtener asesoría jurídica antes de llevar un tema de este tipo fuera de su organización.
Como con todas mis entradas de blog, estas son mis opiniones personales, y soy consciente de que algunos de ustedes pueden estar en desacuerdo. ¿Cree usted que las normas y el código de ética abordan estas cuestiones adecuadamente? ¿Qué consejo daría usted a otros auditores internos que se encuentren en tal conflicto?
* Presidente y Director General del Instituto de Auditores Internos, una asociación profesional global y organismo de normalización que agrupa a 180.000 auditores internos en 190 países.
Este post fue compartido en el blog de Richard Chambers.
Recuperado de: http://corporatecomplianceinsights.com