Se podría pensar que un experimentado CAE como yo hubiera solucionado este punto fundamental por ahora. No es así, porque es una cuestión compleja con una gran cantidad de diferentes actores e influencias, todos los cuales quieren algo diferente.
Se me ha incitado a debatir de nuevo esta cuestión porque he estado siguiendo un camino de auditoría interna a algo más significativo, más auténtico, lo que yo llamo “garantía de negocio ‘. ¿Por qué este extraño título?Pues bien, la garantía de negocio para mí capta lo que es la auditoría interna debería hacer, en primer lugar que ofrece seguridad. Demasiadas funciones de auditoría se centran en proporcionar “auditoría”. Al igual que la famosa camiseta de impresión ‘parecer ocupado, Jesús viene’, demasiados auditores parecer ocupados cuando llegue el comité de auditoría, pero no están haciendo nada significativo. ¿Por qué se permite que continúe? Se adapta a todos los partidos. Los comités de auditoría están contentos, porque se ven como si ellos están haciendo su trabajo. La única prueba realmente del comité de auditoría es si la organización falla. Si eso sucede comités de auditoría rara vez se llevan a cabo para tener en cuenta. Pueden incluso sentir como si están haciendo una diferencia. Los altos directivos están contentos. La auditoría ‘baile’ continúa pero en realidad no inciden en su trabajo del día a día de la gestión de los problemas (nota, no riesgos). Los auditores son felices. Ellos pueden ofrecer un proceso y no hay una presión real para entregar la respuesta correcta, sólo una respuesta. Muchos auditores están capacitados profesionalmente para ofrecer auditorías en lugar de respuestas, por lo que sería adecuado para muchos servicios de auditoría no tener esa presión.
En segundo lugar aseguramiento de negocio se centra en el negocio. Hay muchos tipos de riesgo, algunos son de gran complejidad, algunos son propensos a modelos estadísticos de probabilidad, algunos son sistematizadas.El riesgo de negocio es el resultado global de otros riesgos especializados, que es la que en última instancia, el comité de auditoría debe centrarse en.Tomar riesgos para la salud y la seguridad (o un peligro, ya que prefieren llamarlo), este riesgo conduce a riesgos de negocio de las multas, responsabilidades legales y daños repetitional. Los riesgos del negocio no son propensos a los modelos estadísticos, que involucran a personas, demasiadas variables para calcular, algo llamado “cultura” y requieren una persona comprometida y lo suficientemente cerca de la organización para entender los matices de organización. Todos estos pueden ser evaluados por un auditor de aseguramiento de negocio.
Entonces, ¿por qué la pregunta de aseguramiento de negocio en el foco de la garantía? Así que toma la proposición de auditoría interna a su extensión lógica. Identificar los objetivos de gestión y gobierno-establecidos; identificar los riesgos (positivos y negativos) de dichos objetivos; evaluar los controles y las medidas de mitigación en el lugar; hace sugerencias y recomendaciones para hacer frente a esos riesgos, mejorando así un rendimiento y manejo de riesgos.
Así que dentro de este proceso ¿cómo se debe centrarse en el riesgo? Así uno puede tomar riesgo neto. Centrarse en áreas de riesgo institucional y los riesgos a la consecución de la estrategia. Esto, sin embargo, hacer caso omiso de esas áreas de riesgo bien controlado, por ejemplo, la nómina (impacto muy, muy grande probabilidad), pero normalmente bien controlado y bloqueado. También hace que las salidas de Producción del Plan de aseguramiento de la garantía limitada o, a menudo débil, informes de gran tamaño con un montón de problemas, y hace que la gestión de mal humor por tener que responder a los problemas. En segundo lugar, que determina el riesgo. Lo ideal sería que una evaluación del riesgo gestión de riesgos objetiva y bien dirigido compartida por auditores, dirección y órganos de gobierno (tableros). Pocas organizaciones tienen esto en la realidad y la mayoría de los DEA tienen su “propia” evaluación de riesgos y la mayoría de los grupos de gestión tienen sus prioridades y los puntos ciegos. Así cuyo mapa de riesgos debe utilizar un plan de control de la red de riesgo enfocado? En tercer lugar, un enfoque en el riesgo neto será, necesariamente, a veces se centran en áreas de riesgo neto conocido. En caso de que los auditores quedar atrapados en las zonas de riesgo neto? ¿Sería esto convertido en el trabajo ‘consultoría’?Sería la salida simplemente decirle al equipo de gestión y las estructuras de gobierno lo que ya saben? Si se trata de riesgo neto alto será el auditor tiene la capacidad de producir cualquier solución más significativo que los gerentes que, por definición, a través de la exposición al riesgo, están luchando con los mismos riesgos?
[Sólo voy a tomar un momento aquí para hablar de mi disgusto por la consultora en comparación con el argumento de auditoría interna. No es, en mi opinión, muy poca diferencia entre los dos. El proceso se ha indicado anteriormente, de una auditoría basada en el riesgo, es  consultora con cualquier otro nombre, o al menos es lo que la consultora debe  ser. La identificación de los objetivos de la organización; evaluación de riesgos y oportunidades; evaluación de la posición actual; y la recomendación de soluciones para los administradores a adoptar. La única diferencia con la auditoría interna es que los administradores de la comisión y, a continuación, lo más probable, ignorar los resultados de la consultoría (sobre todo si los resultados desafío grupo organizativo creo). Este no es el caso de la auditoría interna, la capacidad de ignorar los resultados de la auditoría es mucho más difícil cuando se enrutan a través de un comité de auditoría.
El otro argumento es que el trabajo de consultoría cuestiona la independencia del auditor. Disparates. La independencia y la objetividad son funciones de un modo de pensar no estructuras de pago o situación jurídica. La mayoría de los proveedores de auditoría empresa de servicios profesionales ya están en conflicto fatalmente a través del pago de las tasas a ellos por el trabajo, en primer lugar, la “mejor no mover el bote con un argumento informe reto ‘. Es muy dependencia del proveedor de auditoría interna sobre el cuerpo corporativo que los hace más propensos, en mi opinión, para dar la respuesta objetiva justo en los intereses a largo plazo de la organización.
La otra, “no se puede revisar su propio trabajo ‘argumento. Una vez más sin sentido. Veo auditoría como un proceso intelectual. Este proceso, que se repite por mí, bien puede desafiar mis puntos de vista anteriores sobre un área y que puede ser tan claramente crítica de mis últimos comentarios y sugerencias para un área como cualquier otra persona. Estoy capacitado para pensar de esta manera. La vida y el riesgo de seguir adelante. Incluso los mejores académicos, políticos, hombres de negocios y cualquier otra parte, su pensamiento evolucionan con el tiempo. Puedo admitir mis puntos de vista y recomendaciones anteriores estaban equivocados. Por lo tanto ¿cuál es el problema aquí?
Vamos a considerar la consultora real aquí. Normalmente terriblemente caro.Normalmente con salidas decepcionantes o poco prácticas (cómo han sido enterrados muchos informes de consultoría sólo por ser teórico, práctico, y carece de la narrativa reconocible y detalle?). Normalmente no es realmente decir lo quenecesita  ser dicho, pero lo que es políticamente  capaz de  ser dicho. Un consultor me dijo una vez que he descrito lo que la garantía de negocio era, ¿Por qué no quiere dar al cliente lo que quieren, ¿y si ellos no quieren lo que está diciendo?
Así que no confundamos haciendo un buen trabajo que llega a la parte inferior de algo y es de buena manera significativa la alta calidad con algo tan consultoría. Buena auditoría interna es sólo eso, y necesita personal capacitado y bien remunerado, de un nivel de desafiar y trabajar con la dirección en la igualdad de condiciones para hacer frente a los riesgos y los problemas del día.]
Así pues, os centrarse únicamente en los riesgos gerentes creen que están bien controlados, una estrategia de bajo riesgo neta? Pues claro que no hay.riesgo bruto es importante aquí. Si un área es inherentemente de bajo riesgo, en primer lugar, ¿por qué los recursos de auditoría limitado de residuos en él?Esto proporciona ni una unidad para la reducción de riesgo neto, ni la mejora de la manipulación de riesgo.
Yo sugeriría, por lo tanto, que la respuesta es centrarse en riesgo grave, con un énfasis en el plan, en la lucha contra esas zonas de alto riesgo neta (es decir, áreas de control más débil). Esto debería ser en la evaluación del auditor, informado por el comité de auditoría, gestión de puntos de vista y de evaluación de riesgos institucional del mundo riesgo. Como CAE yo tenga que ‘parecer ocupado’, para proporcionar cierta seguridad, incluso si sé intuitivamente que una zona está bien controlada. También tengo que asegurar que empujo para una mejora en el manejo de riesgos y reducción de riesgo neto, ya que es el largo plazo métrica (no de auditoría) que una buena función de auditoría interna debe evaluar en última instancia por.
*Anthony Garnett, un ejecutivo profesional de auditoría. Yo trabajo para el gobierno del Reino Unido como el Jefe de Auditoría y luchar contra el fraude para el Departamento de Desarrollo Internacional. Soy un cualificado Inglés Contador, Auditor Interno Chartered y un auditor de TI calificados y certificados proveedor de aseguramiento de riesgos. Tengo mucha experiencia a través de muchos clientes y sectores, muchos de ellos de cuando trabajaba en la práctica para una firma de servicios profesionales grande y una universidad.