LOS PRINCIPIOS BÁSICOS DE UNA AUDITORÍA INTERNA EFECTIVA

Por Norman Marks
11 de octubre de 2019

El Instituto de Auditores Internos (IIA) ha publicado una nueva guía de práctica, que demuestra los principios básicos para la práctica profesional de la auditoría interna . Como alguien que tuvo el privilegio de haber sido miembro del grupo de trabajo del IIA que desarrolló los Principios Básicos para la Práctica Profesional de Auditoría Interna en 2016, estaba muy interesado en revisar esta nueva guía de práctica (PG).

Creo que los principios de 2016 fueron un importante paso adelante en la orientación de las funciones de auditoría interna en todo el mundo. Y aunque vale la pena leer el nuevo PG y debatirlo entre los profesionales, también es defectuoso. Déjame tomarlo principio por principio.

1. Demuestra integridad

Esto es bueno: “En términos simples, la integridad significa hacer lo correcto y proporcionar una garantía y asesoramiento honestos y objetivos, incluso cuando hacerlo es incómodo o difícil y evitar un problema podría ser más fácil (por ejemplo, minimizar las observaciones de compromiso u omitir las observaciones de un informe de compromiso) “.

Lo que no se dice claramente es que los auditores internos deben ser valientes, pero no insensatos. Necesitan encontrar una manera de comunicar el hecho de que el emperador no tiene ropa sin que les corten la cabeza.

Mi principal objeción es que los indicadores clave omiten el factor más significativo: si la gerencia y el resto de la organización creen en la integridad y objetividad de los auditores internos. ¿IA puede dejar de lado sus prejuicios, ya sean favorables o adversos? ¿Son constructivos en sus consejos, en lugar de confrontativos?

Artículo relacionado: ¿Están fallando sus decisiones comerciales porque están sesgadas?

2. Demuestra competencia y el debido cuidado profesional

En general, el PG está bien, pero de nuevo pierde un punto clave: ¿es capaz la función de auditoría interna de realizar trabajos en cada área de riesgo significativo para los objetivos? Muchos luchan con esto, ya sea la capacidad de contratar expertos en auditoría de TI o de auditorías de personal en temas técnicos de contabilidad, marketing o ingeniería.

Un indicador clave debe basarse en:

1. La capacidad del equipo de IA para realizar auditorías de todas las fuentes importantes de riesgo, y
2. Si los propietarios de esas áreas de riesgo creen que la auditoría interna tiene la competencia para realizar auditorías relacionadas, comprender los problemas, evaluar la idoneidad de la gestión de riesgos y el control interno, proporcionar asesoramiento constructivo útil y valioso, y comunicarse de manera efectiva.

3. Es objetivo y está libre de influencia indebida

Como dice el PG, esto está estrechamente relacionado con el primer principio. Pero se trata más de que el director ejecutivo de auditoría (CAE) pueda resistir cualquier presión inapropiada de la administración, ya sea en la evaluación de riesgos, seleccionando qué auditorías realizar, la dotación de personal de esas auditorías o cómo se comunican los resultados.

Si bien el PG incluye algunos factores útiles a considerar, hay más que omite:

• ¿Quién contrata al CAE? ¿El comité de auditoría solo considera candidatos recomendados por la gerencia?
• ¿Quién dispara el CAE?
• ¿El comité de auditoría solo aprueba la compensación del CAE, o tiene un papel más activo?
• ¿Quién establece el presupuesto para la función IA? ¿El comité de auditoría puede anular las limitaciones de la administración?
• ¿Qué tan fuerte es la relación entre el CAE y el equipo ejecutivo? ¿Qué tan fuerte es la relación con el comité de auditoría?
• ¿Cuán efectivas y frecuentes son las reuniones en persona y otras reuniones con los miembros del comité de auditoría?
• ¿Qué sucede cuando la gerencia intenta interferir?

Artículo relacionado: ¿Estamos tomando riesgos, tomando una decisión o jugando?

4. Se alinea con las estrategias, objetivos y riesgos de la organización

La discusión en el PG sobre este principio es bastante buena.

• Los auditores internos tienen la responsabilidad de agregar valor a la organización a la que sirven. Una de las mejores formas de proporcionar ese valor es conectar los trabajos de auditoría interna con los riesgos que pueden tener el mayor impacto en la capacidad de la organización para lograr sus objetivos.
• El CAE debe considerar los riesgos para lograr los objetivos estratégicos de la organización.
• En respuesta a los cambios en los negocios, riesgos, operaciones, programas, sistemas y / o controles de la organización, el CAE también debe revisar el plan y ajustarlo, incluso si es necesario más de una vez al año.
• Los auditores internos deben tener información suficiente para actualizar periódicamente la evaluación de riesgos de toda la organización de la actividad de auditoría interna.

Los habilitadores y los indicadores clave son nuevamente útiles pero incompletos. Ellos omiten:

• Pocas, si las hay, se realizan auditorías donde el foco está en las fuentes de riesgo que no son estratégicas para la organización y su capacidad para lograr sus objetivos. Esto incluye eliminar el alcance de las fuentes de riesgo de auditorías que solo preocupan a la gerencia media o local.
• La junta y la gerencia ejecutiva apoyan a IA en un proceso flexible de evaluación de riesgos y planificación de auditorías.
• Se pueden realizar auditorías y comunicar los resultados cuando la gerencia necesita la información. Eso requiere una función de IA ágil y ágil que responda a los cambios en el negocio y su entorno.

5. Está debidamente posicionado y cuenta con los recursos adecuados

La clave está en esta discusión: “Idealmente, el CAE informa funcionalmente directamente a la junta (es decir, el nivel más alto de gobierno en la organización), lo que preserva la independencia al proporcionar al CAE un acceso sin restricciones para abordar asuntos delicados, especialmente aquellos que involucran a la gerencia o la alta gerencia. Administrativamente, el CAE debe informar al más alto nivel de la gerencia, que generalmente es el CEO, o al menos a un nivel que permita que la actividad de auditoría interna lleve a cabo sus responsabilidades “.

Mis comentarios anteriores también se aplican a este Principio, pero:

• El “porcentaje de finalización del plan de auditoría interna” es un indicador de calidad muy pobre. Un alto porcentaje puede indicar que la función es insuficientemente flexible y no se adapta a medida que cambian las condiciones y los riesgos.
• Otro indicador clave en el PG es “Porcentaje del plan de auditoría interna disponible para solicitudes de gestión”. Pero cada auditoría, incluidas aquellas a solicitud de la gerencia, debe priorizarse en función del riesgo y el valor de la empresa. La mejor práctica no es asignar un porcentaje del plan a las solicitudes de gestión, sino tener un plan flexible que incluya dichas solicitudes cuando esté justificado.
• “El porcentaje de cobertura del plan de auditoría interna dedicado a procesos y entidades de alto riesgo” es otro indicador clave en el PG, pero no solo debería ser del 100%, sino que cada hora en cada auditoría debería estar en temas que son de importancia potencial para la empresa objetivos y éxito.

6. Demuestra calidad y mejora continua

Esto es claramente importante y el PG analiza los métodos tradicionales para medir la calidad. Prefiero preguntarle a la gerencia y al consejo:

• ¿Le proporcionamos la información que necesita, cuando la necesita, de forma que sea procesable?
• ¿Crees que nuestro equipo y nuestro producto de trabajo son tan efectivos y valiosos como deberían ser?

7. Se comunica efectivamente

El PG desciende por una madriguera de conejos que el grupo de trabajo no había previsto. Nos centramos en comunicar los resultados de nuestro trabajo, que no deberían limitarse al informe escrito.

Las reuniones con la gerencia donde se puede mantener una discusión bidireccional, con preguntas formuladas y respondidas según sea necesario para construir una comprensión común de la situación, su condición y lo que debe hacerse, son mucho más importantes y valiosos que un informe escrito.

El informe escrito debe comunicar:

• Lo que la parte interesada en la administración o la junta necesita saber, en lugar de lo que IA quiere decir.
• Si hay problemas de importancia, definidos como asuntos que representan un nivel inaceptable de riesgo para los objetivos de la empresa.
• Si la alta gerencia y / o la junta necesitan actuar por sí mismos, o al menos monitorear las acciones tomadas.

Algo más está potencialmente enterrando información valiosa en una montaña de desechos.

Pero el PG comienza y pasa la mayor parte de su tiempo en la comunicación de asuntos que pueden ser importantes para algunos CAE (no para mí) pero que no son importantes para la alta dirección o la junta.

Artículo relacionado: ¿Cuáles son las competencias básicas de un oficial de riesgos efectivo?

8. Proporciona aseguramiento basado en el riesgo

La clave aquí es centrarse en el riesgo empresarial , no en el riesgo para los objetivos de una función de departamento. Esa es un área de los Estándares del IIA que necesita ser actualizada.

El PG se refiere adecuadamente a la evaluación de riesgos y al mantenimiento de un plan de auditoría que se centra en los riesgos de hoy y de mañana para el éxito de la empresa. Pero si no explica la palabra “seguridad”.

La garantía debe ser uno de los principales productos del trabajo de auditoría interna.

¿Los procesos, sistemas, organización, etc. de la gerencia son suficientes para proporcionar una seguridad razonable de que los riesgos más significativos para el éxito de la organización están en niveles aceptables?

Decir que algo es inaceptable, de alto riesgo o de bajo riesgo, no proporciona la seguridad que necesitan las partes interesadas: proporcionar el contexto y la información procesable si el riesgo para los objetivos es inaceptable. ¿Está todo bien o no? Si no, ¿dónde y qué hay que hacer?

Como se señaló anteriormente, la métrica debería ser si las partes interesadas creen que IA está proporcionando la información que necesitan, cuando la necesitan.

Recuerdo una conversación que tuve con el presidente del comité de auditoría de la primera compañía donde era CAE. Le pedí su evaluación del desempeño de IA. Su respuesta fue: “Nos ayudas a dormir toda la noche”. Le dimos la seguridad de que podía confiar en la administración para abordar las fuentes de riesgo más importantes. Del mismo modo, los ejecutivos me dijeron que les brindamos la misma garantía necesaria, junto con consejos constructivos y objetivos cuando cualquier área, nueva o emergente, necesita atención.

9. Es perspicaz, proactivo y enfocado en el futuro

Nuestro enfoque en el grupo de trabajo de 2016 fue que la auditoría interna debería auditar los riesgos de hoy y de mañana, en lugar de los de la historia.

La organización está avanzando y la presentación de informes sobre el pasado solo tiene valor si es relevante para las decisiones y acciones de hoy y de mañana. Esa forma de pensar no se refleja en el PG.

Incluimos la maravillosa palabra “perspicaz” porque queríamos que las auditorías internas aflojaran los grilletes del informe escrito y compartieran con la gerencia todas sus ideas sobre el área auditada. Como se señaló anteriormente, la comunicación en persona es una herramienta infrautilizada. Hay ideas que no pertenecen a un informe formal pero que se pueden compartir de manera más informal con la administración. Somos profesionales y tenemos derecho a compartir nuestros conocimientos y consejos profesionales, incluso si la evidencia objetiva puede faltar. Todo lo que tenemos que decir es que es nuestra opinión, basada en nuestra experiencia, etc.

El PG pasa por otro agujero del conejo cuando vincula el uso de análisis y otras tecnologías a ser perspicaz, proactivo y centrado en el futuro. Si bien son herramientas maravillosas que pueden ayudar, la actitud del auditor es de lo que estamos hablando, no las herramientas que pueden usar o no.

10. Promueve la mejora organizacional

Estoy de acuerdo con esto: “Si la actividad de auditoría interna está implementando este principio básico, la gerencia considerará que la actividad de auditoría interna es un socio comercial y un asesor confiable que lo ayuda a lograr sus objetivos. La evidencia de esta relación incluye que la administración se acerque de manera proactiva a la actividad de auditoría interna para solicitar servicios. Además, las encuestas a las partes interesadas emitidas por la actividad de auditoría interna pueden medir si la gerencia encuentra valor en una asociación de colaboración con la actividad de auditoría interna “.

Pero el porcentaje de trabajos de consultoría no tiene nada que ver con el desempeño de calidad. Cuando las auditorías identifican problemas, deberíamos trabajar con la gerencia para acordar acciones correctivas para que implementen.

El PG generalmente está de acuerdo con sus habilitadores e indicadores clave, pero prefiero ver si la gerencia cree que estamos contribuyendo a su éxito y al de la organización. ¿Vale la pena el dinero gastado en auditoría interna?

Los Principios Básicos son algo que todo auditor interno debe entender y cada CAE debe basar el desempeño de su función.

Mi orientación está en ” Auditoría que importa ” y planeo proporcionar más en los próximos meses.