Ver parte 1
Por: Tim Leech* FCPA, CIA, CFE, CRMA
IMPLICACIONES PARA AUDITORÍA INTERNA
Los cambios descritos están ocasionando que las entidades reguladoras, los Comités y los ejecutivos de alto nivel reconsideren y reformen sus expectativas referentes a auditoría interna. El concepto de lo que es una buena entrega de auditoría interna se está reconfigurando en la mente de muchos Directivos y reguladores mediante el aumento del nivel de los resultados requeridos de auditoría interna. Actualmente se espera que auditoría interna desempeñe un papel clave en ayudar a los Comités a supervisar de forma demostrable la tolerancia y la propensión al riego de las directivas.
Informes de riesgo
El FSB [1] (Consejo de Estabilidad Financiera) ha definido los roles del Comité, de la Dirección y de auditoría interna que requieren un cambio fundamental en la rendición de cuentas. Este cambio exige al grupo de gestión evaluar e informar de manera continua cualquier aumento en el estado de riesgo; además, exige a auditoría interna ayudar a construir y mantener sistemas para el logro de este fin. Auditoría interna también deberá evaluar y aportar opiniones al Comité sobre la calidad de las funciones de la gestión en cuanto a sus responsabilidades de manejo del riesgo. Este nuevo paradigma requiere cambios fundamentales en los recursos educativos existentes de auditoría interna. El IIA [2] (Instituto de Auditores Internos) modificó su “Norma de Desempeño 2120: Gestión de Riesgos” en 2010 específicamente para proporcionar soporte para el cambio y en 2012 comenzó a ofrecer la Certificación en Aseguramiento de Gestión de Riesgos a nivel mundial.
Los departamentos de auditoría interna que no están haciendo lo anterior deben evolucionar y cambiar su enfoque tradicional consistente en realizar informes de auditoría directos y circunscritos a cierta fecha, y en aportar opiniones subjetivas sobre “la efectividad del control” enfocadas a un pequeño porcentaje de universo total del riesgo en su organización. En lugar de esto, tienen que destinar muchos más recursos a asegurarse de que la Dirección esté creando y manteniendo un marco eficaz de manejo de la propensión al riesgo; para así poder brindar el aseguramiento respectivo al Comité.
Educando al Comité
Las expectativas de los reguladores, de la Dirección, y de las leyes tienden a evolucionar a diferentes velocidades e intensidades en diferentes países. Puede que no todos los miembros de la Dirección y del Comité hayan estado siguiendo activamente la evolución de estas expectativas; y, por otra parte, no todos los organismos reguladores nacionales ―incluida la Comisión de Valores de Estados Unidos (SEC [3] )― han codificado las expectativas de gobierno de riesgos con la claridad y la sencillez del Código de Gobierno Corporativo de 2014 del Reino Unido, como para impulsar la necesaria transición. Por otra parte, no todos los Directores Generales (CEOs) y Directores Financieros están dispuestos a acoger la responsabilidad directa de crear y mantener marcos eficaces para el manejo de la propensión al riesgo, y de proporcionar reportes formales y directos sobre los estados de riesgo residuales o retenidos ―en los que se enfoca el marco del FSB― a sus Comités. Esto puede ocurrir especialmente fuera de la industria de los servicios financieros.
Algunos Directores pueden sentirse particularmente molestos con la recomendación del FSB de que el informe de auditoría interna reporte a los Comités sobre la fiabilidad de los marcos de manejo de la propensión al riesgo de la organización y, en especial, con la recomendación de que la Dirección informe al Comité sobre el estado de riesgo de la empresa. No obstante, auditoría interna debe garantizar que los Comités y la Dirección sean conscientes de los nuevos desarrollos y de la presión mundial para adjudicar a los Comités y a los directivos más responsabilidades sobre la supervisión de la gestión de la tolerancia y propensión al riesgo.
Nuevas competencias
Si los auditores internos van a asumir el tipo de responsabilidades definidas por el FSB, el Consejo de Información Financiera y otros organismos reguladores nacionales que decidan seguir el ejemplo del Reino Unido, deben rediseñar sus conocimientos y habilidades. En lugar de enfatizar los comentarios sobre la efectividad del control, los auditores internos deben ser capaces de evaluar e informar sobre la fiabilidad del marco de manejo de la propensión al riesgo de la dirección, incluidos los informes del CEO o de la Dirección al Comité sobre el estado de riesgo residual o retenido de la empresa. Esta transición implica aprender el vocabulario definido por el FSB en su guía, “Principios para un Marco eficaz de Manejo de la Propensión al Riesgo”, y en la “Organización Internacional para la estandarización de acuerdo a la ISO 31000 y a la Guía ISO 73” [4] .
Los auditores internos también deben vigilar de cerca la actualización del marco de gestión de riesgos de la empresa, actualmente en desarrollo por parte del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO [5]), programada para completarse a finales de 2016. Una de las razones que sostiene COSO para hacer esta actualización es responder a los crecientes requisitos de información sobre el gobierno del riesgo.
Los auditores también tendrán que adquirir los conocimientos y habilidades necesarias para identificar la gama completa de riesgos y manejos de riesgo de la organización vinculados a los objetivos clave; para así, obtener una imagen del estado del riesgo residual ―suponiendo que han recibido suficiente información por parte del Comité y la Dirección para asumir esta tarea. Auditoría interna también puede desempeñar un papel clave en alertar a los Comités sobre situaciones de aceptación de riesgo que merezcan una discusión activa con la Dirección y el Consejo.
LA NECESIDAD DE CAMBIO
Será necesario un cambio cualitativo en el paradigma actual de auditoría interna para abordar las exigencias variables del cliente y de las normativas. Aunque la naturaleza humana es resistirse al cambio radical en favor de pasos más pequeños y escalonados, auditoría interna debe adaptarse rápidamente para responder a las nuevas demandas. El conocido dicho “la necesidad es la madre de la invención” aplica también para las circunstancias actuales: la profesión de auditoría interna necesita reinventarse para satisfacer a los clientes clave ―en particular a los miembros del Consejo. Un cambio de esta magnitud constituye una tarea enorme, es cierto; pero es imprescindible para garantizar el futuro de la profesión.
* Director de Riesgo de Supervisión Solutions Inc. Una compañía enfocada en ayudar a las empresas a gestionar más eficazmente el riesgo y el aseguramiento para satisfacer las crecientes expectativas de supervisión de los Comités de Riesgo, y añadir valor.
[1] Financial Stability Board.
[2] The Institute of Internal Auditors.
[3] The US Securities and Exchange Commission.
[4] “Principles for an Effective Risk Appetite Framework”, “International Organization for Standardization’s ISO 31000 and ISO Guide 73”.
[5] Committee of Sponsoring Organizations of the Treadway Commission.
Este artículo se reimprimió con la autorización de la revista del Auditor Interno, edición de abril de 2015, publicado por el Instituto de Auditores Internos.
Recuperado de: http://corporatecomplianceinsights.com