Saltar al contenido

Para la Auditoría Interna, es hora de ponerse incómodo

Los auditores internos están atrapados en el territorio conocido de los riesgos financieros y operacionales, pero no logran mantenerse al día con los nuevos desafíos, según un nuevo informe del Instituto de Auditores Internos (IIA), 2016 North American Pulse of Internal Audit: Hora de salir de la zona de confort.

“A medida que los riesgos cambian, que surgen nuevos riesgos y que las expectativas de las partes interesadas siguen evolucionando, los auditores internos deben salir de su zona de confort para auditar a la velocidad del riesgo”, afirma el informe.

Para la Auditoría Interna, es hora de ponerse incómodo
Para la Auditoría Interna, es hora de ponerse incómodo

Pero ese fue el desafío abordado en el informe del año pasado, también. Y así sigue siendo: Salir de la planificación anual habitual y de las áreas típicas de auditoría.

“Las consecuencias de un cultivo tóxico, el impacto destructivo de un ciberataque, el crecimiento exponencial de la recolección y la dependencia de los datos – éstos representan sólo una muestra de los riesgos actuales que cada vez se salen más de la zona de confort tradicional en la que operan muchos auditores”, dice el informe.

Aquí hay una instantánea de cómo la auditoría interna puede ponerse, digamos, incómoda.

Cultura organizativa. Explórela porque juega un papel crucial. Menos de la mitad (42 por ciento) de los encuestados abordan este tema en sus propias organizaciones. Los miembros de la junta directiva y los gerentes no apoyan que la auditoría meta su nariz en la cultura. Y la auditoría carece de la capacidad de medir la cultura organizacional. Combina esos dos temas y tendrás la razón por la que la auditoría evita este riesgo.

Ciberseguridad. Esto sigue siendo una gran preocupación. La mayoría de los encuestados creen que la prevención es la respuesta clave a los problemas de seguridad cibernética. Pero si bien las organizaciones deben estar preparadas para responder a los riesgos, los encuestados indicaron que tal vez no estén tan preparadas como deberían. Más de la mitad (52%) admite que su falta de experiencia les impide abordar el ciberriesgo como deberían.

“Frente a un ciberataque, abordar la continuidad de los negocios y el riesgo para la reputación es primordial, sin embargo, pocas organizaciones se toman el tiempo de pensar más allá de la prevención”, dijo el presidente y director general del IIA, Richard Chambers, en una declaración preparada. “El IIA ha estado promoviendo la ciberresistencia – el concepto de abordar el espectro completo de prevención, detección, reacción y restauración – durante algún tiempo, por lo que estos hallazgos son particularmente alarmantes”.

Toma de decisiones estratégicas y datos. Están cada vez más vinculados. Los auditores internos no están tan involucrados en todos los aspectos, y menos de un tercio (29%) tiene mucha o mucha confianza en las decisiones estratégicas tomadas en base a los datos.

Habilidades de la gente. Esto se ha vuelto cada vez más importante. Los jefes de auditoría no están satisfechos con el nivel de estas habilidades entre su gente, y menos de la mitad de los encuestados dijeron que sus equipos tienen más que una competencia moderada en “habilidades blandas”.

La auditoría interna se encuentra en un momento crítico, según el informe, y salir de la zona de confort requiere algo más que “cambiar de imagen” de la auditoría interna. En su lugar, significa “cambiar fundamentalmente la composición de la auditoría interna”.

Abordar las cuatro “incomodidades” mencionadas requiere que la auditoría interna invierta en su personal para mejorar las habilidades sociales, afirma el informe.

“Ha llegado el momento de que la auditoría interna deje de ser capaz de manejar viejos riesgos y se alinee con los objetivos estratégicos de la organización, pasando a desempeñar el papel de asesor de confianza. Para muchos, esto requiere un cambio de mentalidad de auditar lo que es cómodo a auditar lo que es crítico. A medida que los riesgos actuales evolucionan y surgen nuevos riesgos, es vital un sentido de urgencia para auditar a la velocidad del riesgo para satisfacer y superar las necesidades de las principales partes interesadas”, afirma el informe.