Saltar al contenido

4 áreas de riesgo clave que los auditores internos no pueden pasar por alto

Ya sea que lo llames descaro, coraje o simplemente agallas, los auditores internos necesitan mostrar más de eso.

Ese es el mensaje general del informe 2017 de North American Pulse of Internal Audit, Courageous Leadership: Inculcando confianza desde dentro , del Instituto de Auditores Internos (IIA).

4 áreas de riesgo clave que los auditores internos no pueden pasar por alto
4 áreas de riesgo clave que los auditores internos no pueden pasar por alto

«Se necesita un liderazgo valiente para mejorar y proteger el valor de la organización», afirma el informe. «Los jefes ejecutivos de auditoría [CAE] deben tener el coraje de mirar tanto hacia fuera de la organización, como hacia dentro de la función de auditoría interna. Debemos considerar los riesgos a los que probablemente se les ha prestado poca atención, y hacer cambios».

Así que, con ese guante puesto, el AII citó cuatro áreas de riesgo a menudo pasadas por alto que necesitan más atención:

  • Las comunicaciones que tradicionalmente no están sujetas a garantías independientes, como las presentaciones de los analistas, los informes de sostenibilidad y algunos informes operacionales.
  • Riesgos ambientales, de salud y seguridad (EHS).
  • El uso de análisis de datos por parte de la auditoría interna.
  • Dinámicas interpersonales entre la auditoría interna y otras en la organización.

Aquí están las claves para cada categoría de riesgo:

1. Riesgos de comunicación . Todos los integrantes de la cadena corporativa – gerentes, inversionistas y otros interesados – toman decisiones estratégicas de acuerdo con la información que reciben fuera de los estados financieros, afirma el informe.

La mayoría (el 66%) de los encuestados de Pulse que recibieron esa información dijeron que la comunicación inexacta, incompleta, engañosa o confusa planteaba una preocupación importante por el riesgo para la reputación de su organización.

«Si bien la auditoría externa ofrece garantías sobre los estados financieros oficiales, esto no incluye todas las comunicaciones importantes para la organización, ni los procesos y controles conexos», se afirma en el informe. «La garantía independiente puede provenir de la auditoría interna, la auditoría externa o de un tercero independiente».

Esto es lo que pueden hacer los auditores internos:

  • Identificar los procesos y herramientas de comunicación de su organización.
  • Determinar qué información recibe la mayor atención, ya sea interna o externa.
  • Determinar los riesgos de la información inexacta, engañosa, incompleta o confusa.
  • Incluir la comunicación de la información que más atención recibe (es decir, la más importante para el proceso de auditoría interna y las auditorías previstas).
  • Valorar y evaluar quién está dando garantías sobre la comunicación.

2. 2. Riesgos ambientales. La auditoría interna debe abordar los riesgos de EHS de la misma manera que lo hace para la TI y el fraude, afirma el informe. Sin embargo, poco menos de la mitad de todos los EAC encuestados dijeron que estos riesgos (como la liberación de material tóxico, alimentos contaminados, condiciones de trabajo peligrosas y ergonomía que afectan a la salud o la eficiencia de los empleados) no forman parte de la evaluación de riesgos o del plan de auditoría de la auditoría interna.

«Para muchos, este es un territorio desconocido y se necesitará valor para desafiar las creencias existentes en cuanto al papel de la auditoría interna en los riesgos de EHS», afirma el informe. Pero la falta de garantía «podría tener un desastroso impacto financiero y de reputación en una organización».

Aunque no se puede esperar que los auditores internos tengan la experiencia de un especialista en medio ambiente, deben ponerse al día sobre cómo evaluar los riesgos de EHS. Pero la colaboración entre los auditores internos y los auditores EHS es inusual. Casi dos tercios de los encuestados de la encuesta Pulse cuyas organizaciones tienen una función de auditoría sobre medio ambiente, salud y seguridad indicaron que el medio ambiente, la salud y la seguridad y la auditoría interna funcionan por separado. Los dos trabajan juntos en alrededor de un tercio de las organizaciones, mientras que el EHS es parte de la auditoría interna en el 6 por ciento de las organizaciones.

Esto es lo que pueden hacer los auditores internos:

  • Conozca el alcance completo de los impactos del riesgo EHS.
  • Colaborar con otros equipos para determinar la mejor manera de compartir el conocimiento.
  • Determinar si el nivel de garantía y quién la proporciona es proporcional al nivel de riesgo.

3. Análisis de datos. Mientras que los EAC abarcan el análisis de datos, pueden ponerlos en juego antes de que se completen las estructuras y procesos de la organización, afirma el informe. Los resultados de la encuesta de pulso indicaron que si los CAEs auditaran sus propios procesos de análisis de datos, muchos no tendrían buenos resultados.

Según el informe, el uso del análisis de datos por parte de la auditoría interna está creciendo, ya que más de nueve de cada diez encuestados afirman incluirlo en sus auditorías. Más de cuatro de cada 10 «siempre» o «frecuentemente» utilizan el análisis de datos en sus auditorías.

Sin embargo, los que utilizan regularmente el análisis de datos dijeron que un diseño deficiente del análisis de datos causaba trabajo adicional, que podría haberse evitado con una planificación y recursos adecuados.

La auditoría interna utiliza sobre todo el análisis de datos para el ensayo directo de los controles internos (37%), seguido de la evaluación de los riesgos en la planificación de un contrato de auditoría específico (35%) y la identificación de posibles errores en los datos que se comunican a la administración para su corrección (33%).

Esto es lo que pueden hacer los auditores internos:

  • Determinar todos los usos para el análisis de datos.
  • Averiguar qué procesos, tecnología, personas y datos se necesitan para un programa de análisis de datos.
  • Evaluar cómo y dónde un programa de análisis de datos podría descarrilar antes de que esté en su lugar.
  • Obtener las opiniones de todos los interesados y equipos en cómo desarrollar un programa de análisis de datos.
  • Documentar el enfoque de análisis de datos en el plan estratégico de la auditoría interna.

4. Dinámica interpersonal. «La eficacia de los auditores internos se centra en la capacidad de navegar por las interacciones personales y los asuntos potencialmente conflictivos, mientras que se fomenta la confianza – no es una tarea fácil», afirma el informe.

Pero la mayoría (59%) de los encuestados de Pulso dijeron que los intercambios interpersonales negativos rara vez se atribuían a su papel de auditor interno.

Aún así, la calidad de las interacciones interpersonales entre la auditoría interna y el resto de la organización merece ser observada.

«Después de un intercambio negativo con la auditoría interna, es posible que la administración sea menos comunicativa con la información y también es menos probable que aplique las recomendaciones de la auditoría», afirma el informe. «Esto debilita la capacidad de la auditoría interna para llevar a cabo la auditoría y contribuir a un cambio positivo en la organización».

La mitad de los encuestados dijeron que un intercambio negativo podría o podría perjudicar la capacidad de la auditoría para llevar a cabo una auditoría.

Y, como en la mayoría de las cosas corporativas, las «habilidades blandas» juegan un gran papel en lo bien que la medicina baja.

«La mayoría de los auditores han tenido experiencias en las que un miembro de la administración trató de culpar de su propio mal desempeño al auditor o trató de desafiarlo como un mecanismo para desviar la atención de sus propias fallas», afirma el informe. «Después de un intercambio interpersonal negativo, puede ser tentador para un auditor interno culpar a la otra persona. Sin embargo, algunas de estas interacciones negativas pueden haber sido evitadas mediante un mejor uso de las habilidades sociales».

Intenta un poco de empatía, según el informe. Miren cómo aparece la auditoría desde la perspectiva de los gerentes. Si la auditoría interna ayuda a la gerencia a verse bien, la gerencia ayudará a la auditoría interna. Aquí podría ser donde esa dosis extra de moxie ayudará también.

Así es como se hace esta cosa caliente y difusa:

  • Aprende las habilidades sociales. Consigue un mentor, un entrenador, lo que sea necesario.
  • Evaluar cómo la cultura corporativa afecta a los intercambios interpersonales de los auditores internos.
  • Averiguar cómo mejorar la cultura corporativa.

Los resultados de la encuesta Pulso se basan en los datos recogidos de 538 encuestados, el 86% de los cuales son CAE.