AUDITORÍA INTERNA Y RIESGOS EMERGENTES: DESDE HILLTOPS A ESCRITORIOS

Estándar

06 de agosto de 2018

Como profesión, los auditores internos han cultivado una larga y respetada legado como proveedores de retrospectiva. Casi todos nosotros somos expertos en ver los datos del año pasado y decirle a la gerencia dónde se cometieron los errores del pasado. Si bien la retrospectiva es una parte necesaria de la auditoría interna, 20/20 la retrospectiva es una de nuestras habilidades menos valiosas. A menudo, nuestros clientes ya son conscientes de los errores del pasado.

Con el advenimiento de la auditoría operativa y, en última instancia, la introducción de consultoría / asesoramiento en nuestra cartera de servicios, también nos convertimos en proveedores de conocimiento. En general, se considera que la visión es más valiosa que retrospectiva para nuestros atribulados actores, pero también adolece de limitaciones en una era en la que los riesgos surgen a velocidad de disformidad. La visión de hoy puede ser la retrospectiva del mañana. 

Siempre habrá una necesidad de retrospectiva e intuición, pero la previsión es la principal fuente de valor. Los interesados ​​buscan navegar el futuro más que volver al pasado o vivir en el presente. Es hora de que los auditores internos enfoquen nuestros telescopios. Necesitamos concentrarnos en los riesgos del mañana si no solo protegemos, sino que realzamos el valor para nuestras organizaciones.

Sin embargo, los interesados ​​en general no están impresionados con nuestra visión para detectar los riesgos emergentes. En una encuesta de KPMG de 2016 de los directores financieros y los presidentes de los comités de auditoría, solo el 10 por ciento estuvo de acuerdo en que su función de auditoría interna identificaba adecuadamente y respondía a los riesgos emergentes que amenazaban a sus empresas.

Durante el año pasado, he recurrido con frecuencia a las analogías meteorológicas al abordar desafíos y oportunidades para la profesión de auditoría interna. En muchos sentidos, la identificación de riesgos futuros es como predecir el clima. Cuando nuestros padres y abuelos eran jóvenes, no existía el radar meteorológico. Si tenían curiosidad o estaban preocupados por los posibles cambios en el clima, simplemente se asomaban por las ventanas o se paraban en una colina y escaneaban el horizonte en busca de posibles tormentas. Por supuesto, sus predicciones meteorológicas a menudo estaban equivocadas. Subir a la cima de la colina puede haber ampliado su vista, pero los patrones climáticos son demasiado complejos como para saber si las nubes que ves contienen vientos dañinos, o si incluso te vienen en el camino. 

Es por eso que los meteorólogos modernos han recurrido a métodos más avanzados. Monitorean tormentas cercanas con radar Doppler. Utilizan imágenes de satélite digitales para registrar patrones de nubes en todo el mundo, y conectan los datos en supercomputadoras, aplicando ecuaciones estadísticas avanzadas y algoritmos para crear modelos de pronóstico más precisos. Por supuesto, todos sabemos que incluso los meteorólogos a veces se equivocan, pero su grado de confiabilidad ha aumentado dramáticamente con el advenimiento de nuevas herramientas y tecnología.

Desde las colinas hasta las computadoras de escritorio, todos necesitamos ser más inteligentes acerca de los riesgos, y hay mucho que podemos aprender de los meteorólogos. No solo observan el clima y hacen conjeturas sobre lo que podría deparar el futuro. Usan todos los recursos a su disposición para identificar posibles puntos problemáticos y patrones antes de que la tormenta se materialice o inflige daño significativo. 

Los auditores internos y los meteorólogos tienen mucho en común. Pero nuestro alcance es mucho más amplio que predecir el clima. Abarca prácticamente cualquier tipo de riesgo, desde el impacto de las cambiantes condiciones del mercado o las pandemias hasta problemas financieros y de cumplimiento. Y eso significa que nuestro enfoque debe extenderse mucho más allá del futuro inmediato.

Sería genial si hubiera tecnologías como el radar Doppler para identificar los riesgos emergentes. Algún día, tales herramientas podrían existir, pero hasta entonces, necesitamos crear nuestro propio radar virtual para detectar y monitorear riesgos emergentes / de aproximación. Eso requiere que nos volvamos más analíticos en nuestro enfoque.

Como ha señalado Michael Hill, socio de KPMG  , “los riesgos emergentes pueden surgir de muchas fuentes: cambios económicos o demográficos, cambios en el panorama de la competencia, avances tecnológicos o preferencias del cliente”. Por lo tanto, hay mucho que debemos observar cuando se trata de riesgos emergentes. El horizonte es tan vasto que el trabajo simplemente será demasiado grande para un ejecutivo de auditoría en jefe solo. Tomará la “aldea” de auditoría interna proverbial para monitorear los riesgos emergentes para una compañía típica. Al igual que los recursos del departamento se ensamblan cuando se formulan los planes anuales de auditoría interna, también se deben implementar los diversos expertos para identificar y monitorear los riesgos emergentes. Por ejemplo, el personal con la mayor experiencia en TI debe monitorear el horizonte de los riesgos tecnológicos emergentes. 

Fred Stuckel, vicepresidente de gestión de riesgo empresarial y auditoría en Express Scripts, compartió el proceso que utiliza su compañía para identificar riesgos emergentes en un  video reciente publicado por la Iniciativa de Administración de Riesgos Empresariales de North Poole College of Management de Carolina del Norte. Stuckel señaló que dentro de Express Scripts, él y su equipo “pasan mucho tiempo en Internet y en las redes sociales”. Ellos “revisan a través de los periódicos internacionales que se convierten de un idioma extranjero al inglés, para obtener diferentes perspectivas de lo que el impacto de cualquier tipo de cambio podría ser en los Estados Unidos o en el mercado global”.

No hay una solución mágica para identificar los riesgos emergentes. Como toda evaluación de riesgos, existe un grado de arte además de la ciencia. Sin embargo, si la auditoría interna no está mirando en la dirección correcta, existe una mayor probabilidad de perder riesgos emergentes. Pero así como las tormentas en el hemisferio norte a menudo emergen del oeste, hay direcciones desde las cuales es probable que surjan los riesgos potenciales que enfrenta su compañía. Éstas incluyen:

• Pronósticos económicos (macroeconómicos y aquellos que enfrenta su industria).
• Riesgos comerciales estratégicos conocidos que enfrenta su empresa.
• Se están planeando nuevas iniciativas corporativas.
• Perspectiva legislativa y regulatoria que enfrenta su industria.
• Desarrollos geopolíticos y riesgos políticos en las regiones donde opera su empresa.
• Amenazas u oportunidades disruptivas que enfrenta su industria.
• Rendimiento de sus principales competidores.
• Riesgos que surgen como titulares a través de medios tradicionales o sociales.

La identificación de riesgos emergentes debe ser un proceso colaborativo con la administración. Después de todo, es probable que la gerencia ya haya identificado muchos riesgos emergentes que amenazan a la organización. Deberíamos posicionarnos como un socio, no como un competidor que intenta administrar e-up, cuando se trata de una visión de riesgo emergente. Después de investigar exhaustivamente nuestro inventario de riesgos emergentes, debemos estar preparados para compartir nuestras perspectivas con el comité de auditoría. Nuestra conversación debe incluir nuestros propios planes para monitorear y responder a estos riesgos como auditores internos de la organización.

Hemos entrado en una era en la que las crisis se han convertido en un lugar común, y después de cada nueva crisis surgen las mismas preguntas: “¿Por qué no lo vimos venir?” “¿Dónde estaban los auditores internos?” Las mejores funciones de auditoría interna del mundo están bien preparadas para responder a estas preguntas, y lo hacen en parte al centrarse en el futuro, manteniendo la agilidad e identificando y abordando de forma proactiva los riesgos emergentes.

La retrospectiva es una de nuestras habilidades menos esenciales. Es hora de girar nuestros telescopios en la otra dirección.

SOBRE EL AUTOR

Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA, es presidente y director ejecutivo de The IIA. En Chambers on the Profession , comparte sus reflexiones y puntos de vista personales sobre la base de sus 40 años de experiencia en la profesión de auditoría interna.