Por Miguel Estrada, gerente de Auditoría de PwC Perú.
Muchos historiadores y economistas del mundo vienen aseverando hace ya algunos años que estamos enfrentando la cuarta revolución industrial, la cual se caracteriza por un cambio tecnológico sin precedentes que combina el mundo físico, digital y biológico, impactando en todas las disciplinas e industrias; incluso, en la forma en que vivimos, trabajamos y nos relacionamos.
Por ello, mediante la aplicación de la tecnología digital, las compañías a nivel mundial están transformando la manera de hacer negocios, encontrándose con nuevos desafíos y oportunidades que enfrentar en el mercado en el que se desempeñan. En mayor o en menor medida toda compañía tiene, o al menos, está analizando incluir la digitalización como parte de su plan estratégico en corto o mediano plazo.
Entonces, si las organizaciones están modificando o adecuando sus modelos de negocio a la era digital, la función de auditoría interna debe hacer lo mismo para seguir cumpliendo su misión: generar valor. En ese sentido, los auditores internos deben ser innovadores para adaptarse a los cambios, incorporando nuevas metodologías, habilidades, competencias y herramientas, y así afrontar uno de los mayores desafíos dentro de su misión: lograr que la organización se anticipe a los riesgos. Desde esa perspectiva, algunos de los elementos que podrían tener mayor impacto son la disrupción, GRC (Gobierno, riesgo y cumplimiento), análisis de datos, la agilidad y los RPA (Robotic Process Automation).
En este artículo abordaremos brevemente tres temas clave para que la función de auditoría interna se adecue a la nueva forma de hacer negocios.
Disrupción de auditoría interna
En la búsqueda de cumplir con la misión de auditoría interna, el enfoque disruptivo tiene por finalidad modificar el modelo tradicional de revisiones de procesos de auditoría interna para migrar hacia un enfoque de revisiones de riesgos inmediatos y emergentes que podrían afectar a la organización. Si bien la norma 2010 – Planificación indica que el área de auditoría interna debe establecer un plan basado en riesgos a fin de determinar las prioridades de la actividad de auditoría interna, los auditores internos empezaron a olvidar la importancia de los riesgos identificados y comenzaron a orientarse a la revisión de los procesos negocios y no a darle prioridad a los riesgos claves.
Por otro lado, el nuevo enfoque también hace énfasis en que existen distintas fuentes de información que los auditores internos deben consultar para asegurarse de que la totalidad de riesgos están siendo evaluados; por ejemplo:
- Estrategia de sostenibilidad: Los auditores internos deben evaluar los riesgos relacionados a los factores ESG (medioambientales, sociales y de gobierno corporativo) y cómo la gerencia los viene gestionando. El Consejo y la Alta Gerencia no pueden estar ajenos a evaluar el impacto de las operaciones de la organización en la actualidad y cómo afectan al futuro, independientemente del rubro en el que se encuentren.
- Riesgos materializados: Los auditores internos deben evaluar los riesgos que se materializaron en el pasado definiendo la categoría actual en función a la nueva evaluación de riesgos, con la finalidad de analizar si es necesario incluirlos en el nuevo plan de auditoría interna.
- Encuestas y lecciones aprendidas: Los auditores internos deben considerar las expectativas y necesidades del consejo y la dirección durante el proceso de elaboración del plan de auditoría. Para recabar esta información, la función de auditoría interna suele realizar entrevistas o encuestas para obtener las preocupaciones principales. Asimismo, el auditor, mediante el feedback conseguido durante la fase de retrospectiva, identifica los aspectos que considera la organización debe mejorar, incluyéndolos, en caso aplique, en el proceso de elaboración del plan de auditoría.
- Desafíos de estrategias y contexto interno: Uno de los “inputs” más importantes del modelo son las consideraciones sobre el plan de estratégico de la organización y el contexto interno de la misma:
- Sobre el plan estratégico, los auditores internos deben comprender la misión, visión y valores de la organización para definir cuáles son los procesos principales y de soporte en donde los riesgos existen y podrían materializarse, determinando de esa manera el universo de auditoría. Posteriormente, los auditores internos deben evaluar el plan estratégico de la organización, analizando los objetivos e iniciativas estratégicas para identificar en primera instancia los riesgos generales y luego cómo éstos decantan en objetivos de desempeño y por proceso, para identificar riesgos operativos relevantes para el cumplimiento del plan estratégico de la organización.
- Sobre el contexto interno, los auditores internos deben evaluar la estructura organizacional, los procesos, las personas, las tecnologías de información (sistemas y herramientas) e infraestructura para identificar riesgos sobre las estructuras de gobierno, gestión de riesgos y procesos.
- Contexto externo local: Los auditores internos deben tomar en consideración los riesgos del entorno externo local donde se desarrolla incluyendo aspectos políticos, económicos, sociales, tecnológicos y regulatorios.
- Contexto externo mundial: Los auditores internos deben considerar los riesgos del entorno externo mundial para identificar riesgos emergentes e importantes que puedan afectar a la organización en un corto plazo, mediante la revisión de encuestas y benchmarking con compañías públicas del mismo rubro.
Scrum para auditores internos
Scrum es un marco ágil que se inició en Japón para desarrollar software y proyectos complejos relacionados a sistemas. Posteriormente, debido a su gran impacto y buen funcionamiento muchos líderes comenzaron a utilizarlo en diferentes desarrollos en cualquier contexto dentro de un ambiente innovador. Tomando esto en consideración, el instituto de auditores internos ideó un modelo para su uso en la función de auditoría interna.
La auditoría interna ágil es una mentalidad que adopta la función de auditoría interna para enfocarse en las necesidades de las partes interesadas, acelerar los ciclos de auditoría, mejorar la oportunidad de entrega de los hallazgos, reducir el esfuerzo desperdiciado, generar menos documentación y mejorar la marca de auditoría.
El modelo establece etapas que se deben cumplir para ejecutar cada actividad definida en el plan de auditoría, denominada como sprint. A continuación, resumimos estas etapas:
- Levantamiento y planificación: Etapa inicial que tiene por finalidad conocer los procesos o subprocesos que afectan al objetivo de la auditoría mediante reuniones de levantamiento con los interesados. Normalmente dura entre 7 a 10 días y concluye con la elaboración y aprobación del programa de auditoría por parte del product owner.
- Desarrollo y ejecución: Tiene por finalidad ejecutar las pruebas definidas en los programas de auditoría (pruebas de controles, pruebas sustantivas o de análisis de datos), identificar hallazgos, construir el informe y definir los planes de acción. Generalmente, dura de 2 a 4 semanas y concluye con la elaboración y aprobación del informe de auditoría interna por parte del product owner.
- Entrega y aprendizaje: Etapa final que tiene por finalidad formalizar la entrega del informe y realizar el evento de retrospectiva con el equipo y los interesados. Dura entre 2 a 4 días y concluye con la definición de los planes de acción de la función de auditoría interna aprobados por el producto owner.
Auditoría continua
La auditoría continua es un método empleado para realizar evaluaciones de riesgos y de controles de manera automática utilizando técnicas de auditoría basadas en tecnología, las cuales permiten que las revisiones sean continuas y más eficientes, logrando obtener una notificación oportuna de las brechas y debilidades del sistema de control interno con la finalidad de dar seguimiento y corrección inmediata a los hechos identificados.
Uno de sus principales beneficios es que la función tiene mayor capacidad para mitigar riesgos, puede reducir el costo en la evaluación de controles internos, incrementa la confianza en los resultados financieros por la reducción de errores financieros y la baja posibilidad de ejecución del fraude.
El instituto de auditores internos menciona tres conceptos básicos que deben ser comprendidos por los que deseen implementar este modelo:
- Evaluación continua de riesgos: Las revisiones continuas de riesgos deben incluir una evaluación de los resultados de monitoreo de la gerencia, incluyendo medidas o indicadores de rendimiento, controles de calidad y segregación de tareas, las cuales permitan identificar y evaluar los riesgos principalmente para realizar análisis de tendencias, comparativos y desvíos de un proceso versus periodos anteriores. identificar desviaciones en las unidades de negocio, sucursales o procesos e identificar zonas donde los controles no existen o donde se encuentra operando de forma inadecuada.
- Evaluación continua de controles: Una revisión continua de controles evalúa de manera constante los controles internos detectando cambios a los diseños iniciales y evaluando la interrelación de los controles automatizados, controles generales de TI y controles manuales. En cada caso, el auditor debe buscar comportamientos atípicos o desviaciones que les permitan identificar alertas tempranas de deficiencias. No es necesario que las evaluaciones continuas de control se ejecuten en tiempo real. La frecuencia del análisis debe ser determinada por la categoría de riesgo, el grado de monitoreo de la gerencia y el proceso de negocio.
- Monitoreo continuo: El monitoreo continuo tiene que ver con la aplicación de automatizaciones de los procesos que serán realizados y monitoreados por la Dirección (1era y 2da línea), los cuales deben cumplir los siguientes principios:
- Propósito – Tomar en cuenta el objetivo de negocio y los factores críticos de éxito.
- Riesgo – Definir que podría salir mal que limiten el éxito de la organización.
- Respuesta – Alinear las fuentes de datos para descubrir y validar los riesgos emergentes.
- Sincronización – detectar problemas de control en tiempo real.
- Acción – Definir planes de acción sobre las deficiencias.
Los beneficios del monitoreo continuo pueden mejorar la capacidad de la gerencia para identificar y reducir rápidamente problemas de control, mejorar la eficiencia operacional, aumentar la satisfacción del cliente, reducir la posibilidad de fraude y ahorrar costos.
Si bien existen muchas otras metodologías o herramientas que la función de auditoría interna puede implementar para adecuarse a la nueva manera de hacer negocios de las organizaciones, los 3 temas tratados en el presente artículo, de manera individual o mejor aún en conjunto, poseen el mayor potencial para que los auditores internos logren ser considerados socios estratégicos de la Alta Dirección y el Consejo.
More from my site
La importancia de las NIIF en la toma de decisiones
NIIF 16: «El ebitda puede mejorar entre 10% y 15%»
La importancia de una adecuada evaluación de riesgos en el proceso de determinación de estimaciones contables críticas
“Pocas compañías tienen claro el impacto contable que pueden generar”
¿Cómo alcanzar la productividad en el sector financiero?
¿Qué preocupa a las aseguradoras?