Para la profesión de auditoría interna la tecnología se ha convertido en estos últimos años en un aspecto clave para las funciones desarrollada por estas, ya que mejoran la calidad de su trabajo y añaden valor sin incurrir en costes excesivos. Una de las principales fórmulas con las que pueden aprovechar la tecnología es a través del análisis avanzado de datos.
La permanente evolución que estamos observando ofrece mayores posibilidades de identificar tendencias o patrones en el negocio, detectar riesgos ocultos, áreas de controles efectivos o posibles debilidades de control. Estos análisis ayudan a los auditores a alinear sus esfuerzos de su actividad en las áreas de mayor riesgo, ofreciendo además una gran eficiencia a la hora de realizar comprobaciones basadas en la automatización, con lo que podremos mejorar nuestros diagnósticos, la eficacia y el valor añadido aportado, apoyándonos en las tecnologías de la información. Lo que redundará en una clara mejora de la eficiencia conseguida.
Resulta evidente que el objetivo de la función de auditoría interna ha cambiado de forma muy importante a lo largo del presente siglo, pues ya no solo nos debemos, o podemos, ocupar del aseguramiento de los procesos de control, riesgos y gobierno, sino que también debemos facilitar los apoyos que las organizaciones nos soliciten para resolver los problemas de gestión con los que estas se enfrenten.
Ante este reto los responsables de auditoría interna tenemos ante sí una gran oportunidad para reforzar nuestro posicionamiento y seguir avanzando de forma que nos permita tener un rol diferente en la organización, aportando cada vez más valor.
Aunque puede que las Gerencias, los Consejos/Juntas, así como el resto de partes interesadas no expresen de una forma expresa que sus expectativas respecto de nuestra actividad han aumentado, muchos de ellos son conscientes de que es así y agradecen la mejora de los resultados y la mayor aportación ofrecida por la función de auditoría interna.
Por todo ello, limitarnos a describir la actividad auditora como una actividad de aseguramiento y consulta centrada en los tres procesos citados anteriormente (control, riesgos y gobierno), quizás hoy en día se ha quedado desfasada, ya que se nos va a pedir que seamos también un asesor de confianza. Pero para alcanzar estas nuevas cotas se necesita un plan bien definido y un camino debidamente trazado.
Por todo ello, compartimos la opinión de un gran especialista de Auditoría Interna cuando considera que: Auditoría Interna no deben limitarse a aportar aseguramiento y a supervisar los requisitos regulatorios, puesto que, aunque sean elementos clave de las expectativas de su función, auditoría también debe aportar otra serie de competencias a su conjunto de habilidades para mantenerse al día.
Auditoría Interna asume una importante responsabilidad como “coach” del negocio, impulsando iniciativas que mejoran los resultados de las organizaciones y solucionando carencias en el ámbito de control interno”.
Pero para poder cumplir estas buenas expectativas, debemos dar la talla, y ello requiere que nos esmeremos en el ejercicio de la actividad, teniendo presente que al éxito se suele llegar muy a menudo a través de un camino de fracasos; pero no necesariamente de nosotros mismos, por lo que se hace recomendable aprender de la experiencia de aquellos otros que previamente hayan perseguido un objetivo similar al nuestro.
Para no tropezar en la misma piedra que hayan podido encontrar en el camino los que ya lo intentaron antes que nosotros, entendemos que el objetivo a alcanzar, que no es otro que el de atender las expectativas de los stakehorders, o partes interesadas, lo podremos alcanzar si tenemos cubiertas tres necesidades:
- Los medios adecuados.
- Los conocimientos precisos.
- Aportar el valor que se nos atribuye.
Tradicionalmente las auditorías internas realizaban sus pruebas en forma retrospectiva y cíclica, y con frecuencia tiempo después del momento en el que ocurrían las actividades supervisadas; en tanto que los procedimientos de prueba a menudo se basaban en un enfoque de muestreo. Esta forma de actuar hay que reconocer que ofrece a los auditores internos un alcance limitado de las evaluaciones y, en general, además, se realizaban muy tarde para representar un auténtico valor real en cuanto al desempeño de la actividad.
Por todo ello, la auditoría continua es el método alternativo empleado para realizar evaluaciones de riesgos y controles de manera automática y con una mayor aproximación al momento en que se han producido los hechos analizados. Adicionalmente las auditorías a distancia pretenden facilitar el seguimiento de los aspectos a auditar sin necesidad de realizar una visita “in situ” a la ubicación física objeto de la auditoría, tales como centros de procesamiento de datos, sucursales, etcétera.
La clave para implementar estos dos nuevos enfoques es la informática. La auditoría continua cambia el paradigma de auditoría: ya que se dejan de lado las revisiones periódicas de una muestra de transacciones, para dar lugar a pruebas de auditoría permanentes de la totalidad de esas transacciones. Lo que permitirá, además, detectar desviaciones respecto a una situación de “normalidad” casi en el momento que se producen, lo que redunda en un mayor autocontrol de los riesgos y un incremento en la sensación de control por parte del auditado.
Pero para ello se deben recopilar una serie de evidencias e indicadores, es decir eventos, con una periodicidad determinada. Estos eventos, a su vez, generarán un determinado volumen de ocurrencias que han de analizarse posteriormente.
Resumiendo lo que acabamos de señalar, las auditorías de última generación serán aquellas que optimicen su eficiencia, es decir las que permitan conseguir los resultados esperados, con el menor empleo de recursos.
Con base a lo que acabamos de comentar, el modelo tradicional de auditoría se basaba en dos grandes cualidades, era retrospectivo y cíclico, ya que:
- Se desarrollaba tiempo después de que hubiesen tenido lugar las actividades auditadas.
- Los procedimientos de evaluación solían basarse en un enfoque de muestreo e incluyendo actividades como la revisión de políticas, procedimientos, aprobaciones y conciliaciones.
Obviamente este enfoque ha dado buenos resultados, pero debemos reconocer que limitaba el beneficio del trabajo para ser de verdadera utilidad en el rendimiento comercial o el cumplimiento normativo, ya que se obtenían los resultados tiempo después de haberse materializado los hechos evidenciados, y además extrapolando normalmente la información obtenida del análisis de muestras.
Aquí tenemos los dos grandes retos que tendremos que superar si queremos alcanzar el nivel de eficiencia al que nos hemos referido anteriormente.
Como hemos comentado la forma tradicional de auditar limitaba el beneficio que se podría esperar de los trabajos realizados, ya que cuando sacábamos las conclusiones, los hechos observados ya eran cosas del pasado, pero eran de los que disponíamos y con los que teníamos que deducir la forma de actuar para que no volviesen a suceder.
Esta forma de actuar es como sucede como cuando conducimos un vehículo y miramos por el espejo retrovisor, lo que nos permite visualizar lo que ya hemos recorrido, lo que ha pasado, pero no nos permite observar el camino que tenemos por delante. Para eso debemos mirar por la ventanilla delantera.
Pues bien, si se nos permite la metáfora, lo que entendemos necesario para poder actuar en el ámbito de una auditoría de última generación, requiere que abandonemos el espejo retrovisor y miremos por la ventanilla delantera, a fin de que lo que podamos observar lo antes posible los obstáculos que están por venir, evitándolos y superándolos.
Leíamos no hace mucho en el blog de Auditool un artículo de un gran profesional, como lo es Nahun Frett, el cual señalaba que: Un auditor interno que no sienta que la tierra se mueve bajo sus pies, está viviendo en el pasado y no está preparado para el futuro, puesto que fuerzas misteriosas, poderosas y fuera de lo común, están transformando nuestra profesión. Identificando en el artículo las principales tendencias que marcaran el paso en la actividad de auditoría interna, entre las que destacaba:
- Administración de riesgos: Que continuara siendo el epicentro del trabajo de los Departamentos de Auditoría Interna, a través del empleo intensivo de técnicas de Administración de riesgos (Matrices de Impacto y Probabilidad, Análisis de Escenarios, Causa y Efecto, etc.)
- Tecnología: Realización de auditorías continuas en tiempo real; uso te herramientas computarizadas para evaluación del universo total auditado, en vez del empleo del muestreo.
- Certificación CRMA: Previendo un incremento significativo de auditores que busquen obtener esta nueva Certificación creada por el IIA Global en octubre del 2011 – Certification in Risk Management Assurance™ (CRMA™).
- La Red: Empleo del internet para compartir conocimiento, ir más allá de los medios tradicionales, tales como: Twitter, Blogs o YouTube. Uso intensivo de: AuditTv, Grupos de Discusión, Videoconferencia, Webinar, etc.)
Aspectos que, junto con la faceta de supervisores de los cumplimientos contractuales, enmarcan el alcance y los objetivos de las nuevas auditorías, tal y como representan los círculos que aparecen en la pantalla, con los que hemos pretendido graficar los aspectos básicos de nuestra profesión en la actualidad.
No es de extrañar que ante este nuevo contexto en el que ha de desenvolverse la función de auditoría interna, el Instituto de Auditores Internos de España haya tenido la oportunidad de pronunciarse al respecto, llegando a la conclusión que, como reproducimos en la pantalla que:
Los crecientes desafíos y responsabilidades de las compañías demandan contar con un sistema de aseguramiento sobre la eficacia del control y la gestión de riesgos, fiable, sostenible y continua.
Las Direcciones de Auditoría Interna tenemos el reto de dar respuesta a esta demanda de aseguramiento y hacerlo de manera proactiva, proyectiva y continua.
Implantar un modelo de Auditoría Continua permite a la Dirección de Auditoría Interna determinar rápidamente dónde prestar mayor atención y recursos, incrementar el alcance y la capacidad de mitigar los riesgos, mejorar la comprensión de los procesos y, por tanto, mejorar la calidad del aseguramiento que proporciona a la Alta Dirección y al Consejo.”
Es decir, que los nuevos retos precisan de la implantación de técnicas de auditoría continua con la que atender los requerimientos de nuestros responsables, tanto jerárquicos como funcionales.
Las organizaciones deben ser conscientes que las auditorías continuas no consisten solamente en la implantación de herramientas, sino que se trata de un cambio en la manera de trabajar, por lo que es necesario redefinir los objetivos, funciones y responsabilidades, así como la forma de gestionar los resultados.
También debemos considerar que la implantación de estas metodologías no siempre produce necesariamente resultados operativos y/o estratégicos inmediatos y directos, por lo que debemos ser conscientes de ello.
Antes que nada entendemos oportuno que deberíamos conocer cuáles son la ventajas que debemos esperar de la implantación de esta modalidad de auditoría, así como también que identifiquemos los requisitos que debemos cumplir para poder aplicarla.
Por lo que se refiere a los beneficios esperados, estos se pueden concretar en los siguientes aspectos.
- Permite verificar el 100% de las operaciones, en vez de trabajar con muestras.
- La revisión se puede realizar con una periodicidad determinada.
- Posibilita un sistema de seguimiento permanente de la evolución de los riesgos.
- Los planes de auditoría se pueden actualizar periódicamente según los resultados obtenidos.
- Se pueden realizar pruebas adicionales sobre la calidad, consistencia e integridad de la información.
- Se incrementa la sensación de “control” en las áreas auditadas.
- Se reducen los riesgos de auditorías.
- Se pueden generar fácilmente rankings, estadísticas y análisis.
- Detección de fraudes u operaciones erróneas al tiempo de producirse.
- Aspectos que, todas ellos consideramos que son auto-explicativos, por lo que no consideramos que requieren mayores detalles.
Jesús Aisa Díez - Madrid, España
Ingeniero Técnico Industrial Universidad Politécnica de Madrid, Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid, Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA., ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Evaluador certificado de Quality Assurance y director de múltiples evaluaciones de calidad de Unidades de Auditoría Interna realizadas en el ámbito iberoamericano, tanto en España, Portugal, como en diversos países latinoamericanos (Chile, Perú y Colombia). Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Colaborador de www.auditool.org.