AUDITORES INTERNOS: ¿QUIEREN ASEGURAR SU VALOR E IMPORTANCIA?
ELEVEN EL NIVEL EN SU PROFESIÓN
Parte 1 de la Serie Explorando el “Auditor del Futuro”
En esta primera entrega, Jim DeLoach y Brian Christensen de Protiviti discuten la naturaleza de la relación entre el "Auditor del futuro" y la Junta Directiva con respecto específicamente al riesgo, el cual sigue siendo el punto central para la función de auditoría interna.
Hace solo tres años, Protiviti lanzó un número del “The Bulletin”, el cual presentó lo que llamamos la visión del "auditor del futuro" [1] . Esta visión estaba entonces (y aún permanece) basada en una definición enmarcada por el Instituto de Auditores Internos - IIA que afirma que la auditoría interna es "una actividad independiente y objetiva de aseguramiento y consulta diseñada para agregar valor y mejorar las operaciones de una organización". La definición del IIA apunta a un final al que debería aspirar todo Jefe Ejecutivo progresista de Auditoría (CAE). Esto afirma que la auditoría interna "ayuda a una organización a lograr sus objetivos mediante un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y gobierno". El enfoque es sin lugar a dudas, integral y completo [2].
Usamos el término "auditor del futuro" para describir a un CAE que toma pasos definitivos para hacer realidad la visión del IIA dentro de la organización a la que sirve. El año pasado, otro número del “The Bulletin” [3] retomó la visión del auditor del futuro para corroborar su relevancia frente a las crecientes expectativas de las partes interesadas en la auditoría interna, según lo informado por la encuesta del Cuerpo de Conocimiento de Auditoría Interna Global (CBOK) [4]
A continuación, explicamos la visión de la auditoría del futuro y luego comenzamos una serie de tres partes que analiza el avance del auditor del futuro en la relación del comité de auditoría.
La visión del Auditor del Futuro
Cuando articulamos la visión del auditor del futuro en 2014, sugerimos que él o ella:
- Está posicionado para ser objetivo con respecto a las unidades operativas de la empresa, los procesos de negocio y las funciones compartidas, y tiene establecida una línea de informes directos para la junta directiva o un comité de la junta.
- Entiende los objetivos de negocio de la organización y la estrategia, e identifica los riesgos que crean barreras para que la organización logre sus objetivos y ejecute su estrategia con éxito;
- Está autorizado a evaluar y desafiar el diseño y la efectividad operativa de los procesos de gobierno de la organización, gestión de riesgo y control interno, que abordan sus riesgos críticos y crea valor al hacer recomendaciones para fortalecer esos procesos y mantener informados a los ejecutivos y directores apropiados sobre asuntos abiertos.
- Usa una perspectiva de líneas de defensa para garantizar que la administración de riesgos y el control interno funcionen de manera efectiva.
- Articula el valor aportado por un plan de auditoría basado en el riesgo a la organización, proporcionando una perspectiva de seguridad que la junta directiva y la gerencia ejecutiva pueden entender.
- Maximiza el uso de la tecnología para lograr eficiencia en la evaluación del riesgo, ampliar la cobertura de auditoría, automatizar controles internos críticos, rastrear problemas, proporcionar informes de excepción y extraer y analizar datos para construir conocimientos significativos sobre los riesgos emergentes y procesar y controlar el rendimiento.
- Posee autoridad de escalamiento y ejerce de manera proactiva esa autoridad, para llevar los asuntos importantes de manera oportuna a la atención de la gerencia ejecutiva y la junta.
Con estas responsabilidades y el posicionamiento independiente en su lugar, la importancia del auditor del futuro está asegurada. El auditor es reconocido en toda la organización como un agente de cambio positivo y proporciona una valiosa fuente de ideas objetivas para la gerencia ejecutiva y la junta sobre los riesgos críticos de la empresa, las capacidades de gestión de riesgos y las oportunidades para mejorar la efectividad y eficiencia de las actividades más importantes, para el éxito de la organización.
Para algunas partes interesadas y profesionales, las responsabilidades mencionadas anteriormente pueden no ser nada nuevo y simplemente representan lo que los CAEs están haciendo ahora o deberían estar haciendo. Estamos de acuerdo en que algunos CAEs, particularmente en servicios financieros, adoptan activamente la visión del auditor del futuro. Nuestra opinión es que cada CAE tiene la oportunidad de autoevaluar su valor frente a la visión del auditor del futuro y determinar si existen vacíos, y si es así, si dichos vacíos se deben al posicionamiento, el alcance o las habilidades.
Sin duda, operar la función de auditoría interna de acuerdo con los estándares de la profesión es de vital importancia. Dicho esto, en esta serie de tres partes, explicamos el avance de la relación del auditor del futuro con el comité de auditoría de la junta directiva (o su equivalente) en tres frentes diferentes pero interrelacionados: riesgo, valor y comunicaciones. Nuestro pensamiento se deriva de nuestras diversas experiencias con los clientes, así como de las mesas redondas que hemos desarrollado con CAEs experimentados. Por necesidad, la naturaleza interrelacionada de los tres frentes da lugar a ideas que se superponen en cierta medida. Esta primera entrega de la serie de tres partes se centra en el riesgo.
Enfoque en el riesgo
El auditor del futuro ve el riesgo de manera integral a través de la perspectiva proporcionada por los objetivos de negocios, la estrategia y el modelo operativo de la organización, como un contexto para desarrollar y ejecutar un plan de auditoría de arriba hacia abajo basado en el riesgo. El auditor del futuro va más allá del alcance tradicional de la auditoría interna en materia de asuntos operativos, de cumplimiento y reporte financiero, en una variedad de formas:
- Piensa estratégicamente. Al identificar los riesgos que crean barreras para el logro de los objetivos de la organización, el auditor del futuro toma el camino principal para aplicar un fuerte contexto comercial y un pensamiento estratégico cuando se involucra a las partes interesadas clave. Este enfoque dirige la atención a los riesgos que realmente le importan a la dirección ejecutiva y a los directores. Con la estrategia y el modelo comercial de la organización como contexto al proponer planes de auditoría de abajo hacia arriba basados en riesgos y evaluar los riesgos y las capacidades de gestión de riesgos, el auditor del futuro puede participar en actividades de alto nivel y alto contacto, como facilitar el diálogo de apetito de riesgo de la administración, evaluando la validez continua de los supuestos estratégicos y evaluando el alineamiento estratégico de la organización y el progreso hacia la ejecución de la estrategia.
- Fomenta el informe de alerta temprana. Alertar a la administración sobre los problemas emergentes de riesgo es una gran prioridad para el auditor del futuro, ya sea a través de los procesos y sistemas existentes que respaldan las actividades que se enfocan en el plan de auditoría o mediante los mecanismos establecidos por el equipo de auditoría. Ofrecer ideas sobre entornos cambiantes, escenarios regulatorios y de riesgo, es crítico en estos tiempos volátiles.
- Considera las "incógnitas desconocidas". La realidad del entorno actual es que la gerencia y la junta nunca pueden estar seguras de saber todo lo que necesitan saber. Las evaluaciones de riesgos influenciadas por el pensamiento grupal, el exceso de confianza y preocuparse por las tendencias y experiencias pasadas en lugar de un proceso prospectivo que enfatice las dinámicas actuales y anticipadas conducen a volver a repetir el proverbio "conocimientos conocidos" en un mapa de riesgos año tras año. Mezclar los riesgos conocidos en un mapa agrega poca información para la toma de decisiones, a menos que existan desafíos inherentes a su gestión. En consecuencia, el plan de auditoría del futuro auditor enfatiza la identificación de asuntos clave, sobre los cuales la gerencia y los directores pueden no estar al tanto. Al hacerlo, el auditor del futuro se compromete con un enfoque de riesgo integral. Por lo tanto, la consideración de problemas que afectan la ejecución de la estrategia es de suma importancia; por ejemplo, cambios en el perfil de riesgo de la empresa, evaluación de cómo las nuevas tendencias tecnológicas están afectando el modelo de negocio, evaluación de la capacidad de la empresa para responder a lo inesperado, e identificación de información significativa no financiera, cuestiones operacionales y de cumplimiento.
- Servir como vigilante de la cultura de riesgo. De vez en cuando, el auditor del futuro puede usar técnicas de autoevaluación, encuestas internas, grupos focales y otras técnicas además de los procedimientos de auditoría (auditorías de cultura de riesgo) para comprender el estado actual de la cultura de riesgo de la organización, determinar si existen vacíos significativos con relación a la cultura deseada e identificar pasos específicos para rectificar dichos vacíos. Los vacíos pueden surgir de asuntos tales como la toma de riesgos inusual; incentivos de compensación inapropiados; demoras en remediar las deficiencias de control; efectos de desgaste y recortes presupuestales en la estructura de control; evidencia de desgaste de los valores principales; y continuas violaciones significativas de las políticas.
- Fortalecer las líneas de defensa. El auditor del futuro se enfoca en el desempeño de los propietarios de los riesgos primarios y las funciones independientes de administración de riesgos y cumplimiento en la realización de sus respectivas responsabilidades como primera y segunda línea de defensa. Si es necesario, el auditor ofrece un desafío efectivo a estas partes a través de observaciones y recomendaciones para mejorar su efectividad en el cumplimiento de sus responsabilidades. El auditor también considera la efectividad de los protocolos de escala para elevar los asuntos importantes a la alta gerencia y a la Junta, para su resolución oportuna.
- Mantener la vigilancia contra el fraude. El auditor del futuro lleva a cabo evaluaciones periódicas de riesgos y evaluaciones del programa de lucha contra el fraude y la corrupción de la organización, utilizando técnicas de minería de datos y análisis aplicadas a datos transaccionales. Estas revisiones le permiten al auditor obtener información sobre la efectividad operativa de los controles internos e identificar indicadores o patrones que indiquen una posible actividad fraudulenta que requiera una mayor investigación.
El enfoque en el riesgo se encuentra en el centro, de gran parte, de lo que se espera que haga la auditoría interna. Aplicar una perspectiva de riesgo a la formulación y ejecución del plan de auditoría e informar sobre sus resultados permite al auditor del futuro evaluar el riesgo empresarial, participar en interacciones constructivas con las partes interesadas clave y contribuir a los temas de riesgo de interés para los C-suite y la Junta.
Resumen
Hemos explicado la visión del "auditor del futuro", nuestra visión del CAE que toma pasos definitivos para aplicar el alcance completo de la definición de auditoría interna del IIA. Los CAEs que adoptan la visión del auditor del futuro están mejor posicionados para demostrar a la gerencia ejecutiva y a la Junta, el valor aportado por la auditoría interna a través de su enfoque de riesgo integral y su comportamiento orientado hacia el futuro, el cambio y altamente adaptativo. Ahora es el momento de elevar el nivel de la profesión. Depende de los CAEs progresistas tomar la iniciativa y mostrar la forma de alcanzar el pleno potencial de la profesión como disciplina.
Al presentar al auditor del futuro, hemos sugerido que él o ella avance en la relación con el comité de auditoría en tres frentes interrelacionados: riesgo, valor y comunicaciones. Anteriormente discutimos el enfoque en el riesgo. En el próximo artículo se discute el enfoque en el valor.
[1] “The Future Auditor: The Chief Audit Executive’s Endgame,” Issue 6 of Volume V of Protiviti’s The Bulletin, April 2014, disponible en www.protiviti.com/US-en/insights/future-auditor.
[2] Para ver la definición de auditoria interna, visitar la página del IIA
[3] “The Future Auditor Revisited,” Issue 3 of Volume VI of Protiviti’s The Bulletin, July 2016, disponible en www.protiviti.com/US-en/insights/bulletin-vol-6-issue-3.
[4] Disponible en https://global.theiia.org/iiarf/pages/common-body-of-knowledge-cbok.aspx.
[5] Ver https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Standards.aspx , para los estándares para la practica profesional del IIA, vigentes a partir del 1 de enero del 2017.
Por: Jim DeLoach y coautor Brian Christensen
Este artículo se basa en información detallada del “the Bulletin”, Volumen 6, número 7, disponible en www.protiviti.com.
(Traducción no oficial, para fines académicos. Tatyana Martínez, Colaboradora de Auditool)
Fuente: http://www.corporatecomplianceinsights.com