Más que un plan, un espectro de auditoría

Reporting y Confianza

En los últimos años, las organizaciones se han enfrentado a una avalancha de nuevos desafíos, ahora acentuados por la pandemia COVID-19 que ha exigido respuestas rápidas, muchas de ellas apalancadas en transformaciones digitales. Si bien es cierto, el uso de nuevas tecnologías ha permitido la continuidad de los negocios, también ha generado la aparición de nuevos riesgos y la intensificación de los existentes.

Esta realidad aceleró la necesidad de transformación de todas las funciones de riesgo de las organizaciones, incluyendo a la auditoría interna. Esta última, con el imperativo de tomar acciones para pasar de un estado de baja o limitada madurez y valor para la organización –como colaborador mínimo, proveedor de aseguramiento del control interno, solucionador de problemas– hacia un estado distintivo en términos de valor, que brinde una perspectiva  sobre riesgos que son estratégicos en una organización. Esto lleva a una mayor interrelación de las distintas funciones de riesgo de la organización, en busca de actividades coordinadas de aseguramiento de riesgos impulsadas por un propósito común, una evaluación y un testeo ágil y dinámico, y un monitoreo continuo. De esta manera, las funciones de riesgos podrán colaborar digitalmente, aprovechar los datos y tecnología para impulsar sinergias, y proporcionar a las partes interesadas los conocimientos estratégicos e integrales sobre riesgos.

La evaluación continua del riesgo, un punto de enfoque 

En la evaluación de riesgos identificamos (o validamos) y priorizamos los riesgos de la organización desde la perspectiva de auditoría interna, independientemente de otras evaluaciones de riesgos realizadas por la organización u otras funciones de aseguramiento. Evaluar riesgos y dar respuesta a los mismos, implica la comprensión del negocio y la comunicación continua con las partes interesadas. A menudo, se consideran las actividades más críticas realizadas por la función de la auditoría interna. Por lo tanto, un enfoque adecuado en estas dos actividades habilita a la función para brindar asesoramiento estratégico y oportuno a las partes interesadas.

Prácticas líderes de la auditoría interna y la evaluación de riesgos recomiendan:

  • Más allá del entendimiento de la estructura organizativa y la identificación de las unidades auditables, buscar sinergias con las distintas funciones de riesgos de la organización e identificar los riesgos críticos internos y externos que pueden impactar la capacidad para cumplir con su estrategia y objetivos.

  • Más allá del riesgo tecnológico, incorporar y apalancar el análisis de riesgos con tecnología. La evolución del análisis de datos permite a la función de auditoría interna obtener tendencias y patrones en todo el negocio, y resalta riesgos que sin la tecnología no serían visibles. Además, comprender la vinculación de los riesgos con los objetivos estratégicos y operativos permite visualizar los riesgos de manera interfuncional para identificar cómo un solo riesgo, afectando a múltiples áreas de la organización.

  • Más allá de entender la expectativa de las partes interesadas y buscar retroalimentación sobre la evaluación de riesgos y un plan a inicio de cada ciclo, mantener una discusión continua de la evaluación de riesgos y los cambios. Los riesgos de una organización cambian constantemente. Por lo tanto, la identificación de riesgos es un proceso dinámico que debe realizarse de manera continua y en tiempo real, siempre teniendo en cuenta que cualquier cambio en el entorno de riesgos genera cambios en el universo de riesgos para reflejar los cambios en el entorno y el modelo de negocio, que pueden impedir el logro de las metas y objetivos de la organización. 

Es claro que el uso de la tecnología en la evaluación de riesgos por sí misma no es suficiente para asegurarnos de cubrir los riesgos críticos del negocio; la gestión del talento es clave para alcanzar los objetivos en el corto y largo plazo. Sabemos que las funciones de auditoría interna están en gran parte habilitadas por datos, por lo que el análisis de datos es una competencia clave que deben desarrollar los equipos de auditoría interna. Así, transformar el ciclo de vida de la auditoría en un proceso dinámico y continuo, extendiendo su uso más allá que una revisión histórica de datos. 

Otro elemento clave son las métricas de desempeño de la función de auditoría interna. La finalización de un plan de auditoría y las horas de ejecución deberían convertirse en cosas del pasado cuando nos referimos al balanced scorecard de auditoría interna. Las métricas relacionadas al riesgo y una visión del negocio en tiempo real guiarán un desempeño sobresaliente de la función.

Acciones críticas para ayudar a evolucionar la función de auditoría interna en línea con la evolución de los negocios

  • Trabajar de forma colaborativa con el resto de las líneas de defensa. Alejarse de la gestión por silos hacia actividades coordinadas de aseguramiento de riesgos. Dichas actividades están impulsadas por un propósito común, una evaluación y validación ágil y dinámica, y un monitoreo continuo a través de toda la organización. 

  • Alinear la función con las actividades del ERM de la organización. Estar en línea con la estrategia y el monitoreo de riesgos, y lograr un punto de vista común permitirá que la función de auditoría interna se enfoque mejor en sus actividades de aseguramiento. 

  • Planificar mayor cobertura del riesgo, apalancados en tecnología y análisis de datos.

  • Planificar inversiones conjuntas con todas las líneas de defensa en tecnología y en el desarrollo de habilidades para ayudar a lograr objetivos de forma más rápida y rentable. Las barreras de entrada a nuevas tecnologías nunca han sido tan bajas, no obstante es necesario tener la visión correcta de lo que se está tratando de lograr.

  • Aprovechar los datos y la tecnología para mantener vigente el plan de trabajo. Impulsar sinergias proveyendo conocimientos estratégicos e integrales sobre los riesgos y su comportamiento, y analizando tendencias y patrones de riesgos emergentes y existentes en lugar de limitarse a mirar hacia atrás y luego tratar de armar el rompecabezas.

  • Evaluar a su equipo de auditoría interna en el contexto de la estrategia digital de la organización. Considerar un plan para cerrar las brechas digitales. 

  • Considerar la posibilidad de incorporar en el plan una auditoría de gobernanza de datos para proporcionar aseguramiento con respecto a los datos de la organización.

En estos tiempos de rápidos cambios, estas acciones son críticas para lograr la evolución de la función de auditoría interna en línea con la evolución de los negocios, y convertirse en un contribuyente valioso para la organización.

 

Por María Cejas, Socia de Auditoría y RAS, y Regina Moreno, Gerente de Auditoría en PwC | Abril 2021

Contáctanos

Dora Orizábal

Dora Orizábal

Socia Líder Regional de Assurance, PwC Interaméricas

Susana Pino

Susana Pino

Socia Líder de Risk Assurance Services (RAS), PwC Panamá

Síguenos