En el año
2001 tuve el honor de integrarme a KPMG en Argentina para dirigir su práctica
de MAS – Management Assurance Services en el Cono Sur. Ésta comprendía
aproximadamente lo que en la actualidad se conoce como GRC – Governance, Risk
and Compliance. Ya para aquel tiempo era yo un profesional experimentado en
temas de auditoría interna, al punto de haber sido el DEA (Director Ejecutivo
de Auditoría) en tres importantes empresas. Sin embargo, cuando asistí a la
correspondiente capacitación en Atlanta, Estados Unidos, experimenté dos
grandes sorpresas:
- El énfasis que, ya en ese momento, se le asignaba a la efectiva comunicación. A tal punto, que se dedicaron dos jornadas completas para un “entrenamiento de entrenadores” (train the trainers). Este aspecto será objeto de un artículo separado y posterior.
- El concepto estratégico que la firma tenía respecto de la labor de auditoría interna. Concepto que no se agotaba en una simple declaración de intención, sino que ya en aquel entonces estaba sustentado sobre una robusta metodología para implementación. Naturalmente que, por consideraciones de ética profesional, no corresponde dar detalles acerca de dicha metodología. Simplemente, enunciar la brecha existente en aquel entonces entre un concepto estratégico de auditoría interna y una práctica dominante de auditoría interna que se orientaba al riesgo operacional, conforme las prescripciones del informe COSO de 1992
Evolución
posterior
A partir de
esos inicios del siglo XXI, la brecha entre las expectativas de los clientes de
servicios de auditoría interna y la oferta que la profesión ha hecho a la
comunidad de negocios se ha incrementado en un recorrido que examinaremos en
este artículo, cuya conclusión será atisbar el probable futuro al cual esta
senda nos habrá de conducir.
Las tres
líneas de defensa – primera línea de defensa
El modelo de
tres líneas de defensa del IIA, recientemente promulgado, sostiene que la
primera línea de defensa de las organizaciones la constituyen los controles
gerenciales que se ejecutan en el curso de las labores operativas de las
organizaciones. Es decir, los controles internos que conocemos
tradicionalmente, y algunos de cuyos ejemplos son:
- Controles organizativos tales como descripciones de tareas, organigramas, segregación de funciones y evaluación periódica del desempeño
- Pruebas físicas tales como inventarios y conteos de efectivo
- Procedimientos operativos escritos
- Establecimiento de niveles de autorización para diferentes transacciones
La segunda
línea de defensa – su crecimiento
La segunda
línea de defensa la integran funciones que tradicionalmente se han llamado “de
soporte” a la operación. La función más clásica y tradicional de las
organizaciones en esta materia ha sido la planificación, gestión y control
presupuestario.
En esta
segunda línea de defensa se incorporaron y robustecieron recientemente dos
funciones:
- La gestión de riesgos (ERM – Enterprise risk management)
- La función de cumplimiento ( compliance officer)
Ambas tienen
un fuerte sustento y respaldo en los sucesivos pronunciamientos de control
interno (las varias versiones de COSO y CoCo), que han enfatizado en la
necesidad de robustecer el control interno fortaleciendo la atención a estos
aspectos.
La tercera
línea de defensa – aseguramiento independiente
En el
documento del IIA, la función de auditoría interna se describe como
“aseguramiento independiente”, posterior a la primera y segunda líneas de
defensa y previo al contralor externo ejercido por auditores externos y
reguladores
Impacto del
modelo de tres líneas de defensa sobre la profesión de auditoría interna
Desde mi
punto de vista, el modelo de tres líneas de defensa viene a dar una respuesta y
encuadramiento conceptual a una realidad que ha debilitado las incumbencias y
responsabilidades tradicionales de la auditoría interna. Debilitamiento que,
esencialmente, se ha producido por no dar debida respuesta a las expectativas
de nuestro principal cliente. Y falta de respuesta que, mayormente, se encuadra
en no abordar las cuestiones estratégicas de las organizaciones que constituyen
el foco primario de atención de la Alta Dirección, el cliente más importante de
la Auditoría Interna. Veamos entonces, resumidamente, cómo abordar una auditoría
estratégica, para pasar de la defensiva a la iniciativa.
¿Qué es la
“auditoría estratégica”?
Para decirlo
brevemente, la auditoría estratégica se orienta a darle aseguramiento a la Alta
Dirección respecto de la efectividad de su estrategia, en lugar de hacerlo
prioritariamente respecto de su sistema de control interno transaccional. Ya
hemos mencionado con anterioridad que hacerlo es imperioso para continuar
manteniendo el interés y el respaldo de los clientes y sostenedores de la
auditoría interna, de modo que la siguiente pregunta es ¿cómo hacerlo?
Metodología
de auditoría estratégica
Partiendo de
la premisa de que no se puede auditar lo que no se conoce, lo primero es
encuadrar el propósito de la estrategia y el contexto en que se enmarca.
Propósitos de la estrategia
- Comprender y documentar el ambiente en que opera la organización a efectos de identificar oportunidades y amenazas
- En virtud de lo anterior, plantear objetivos para sostener la misión y lograr la visión de la organización
- Identificar y gestionar los riesgos que afectan a la organización, principalmente los provenientes del exterior (estratégicos), por oposición a los riesgos internos (operacionales), que han sido el foco de atención de los auditores internos desde la aparición del informe COSO de 1992
Alcance de
la labor de aseguramiento respecto de la estrategia
Como ya
hemos mencionado, la Alta Dirección espera de la Auditoría Interna una
contribución de aseguramiento estratégico. ¿Y qué se puede esperar de tal
labor?
- Asegurar que el diagnóstico y los planes estratégicos estén sustentados en información fidedigna, oportuna y ajustada a los cambios del ambiente
- Asegurar que las metas sean relevantes para el logro de la misión y estén sustentadas en procesos robustos
- Asegurar que se hayan identificado los riesgos estratégicos, se los haya documentado y se los monitoree y mitigue a través de procesos igualmente robustos e información confiable y oportuna
- Asegurar que exista una adecuada comunicación de la estrategia, trasmitiendo a cada quien lo que precisa conocer para contribuir con su tarea al éxito conjunto (on a need to know basis).
Transición
hacia la auditoría estratégica
Uno de los
párrafos de la obra magna de la literatura gauchesca, el Martín Fierro, enuncia
que “no pinta quien tiene ganas, sino quien sabe pintar”. Los auditores
internos hemos tomado nota de este aserto por vía del documento que ha
promulgado el IIA, el marco de competencias globales del auditor interno. Este
marco explicita las diez áreas clave de conocimiento que deben disponer los
auditores internos para realizar la transición
I.
Ética profesional
II.
Capacidad gerencial de auditoría interna
III.
Conocimiento de las normas profesionales en Auditoría Interna
IV.
Gobierno, riesgo y control
V.
Perspicacia en los negocios
VI.
Comunicaciones efectivas
VII.
Persuasión y colaboración
VIII.
Pensamiento crítico
IX.
Entrega de servicios de auditoría interna
X.
Mejora e innovación
El desafío
es formarse en estas áreas y desarrollar una metodología para afrontar el
cambio. Tarea nada sencilla, pero con una gran recompensa al final del camino:
haber convertido a la unidad de auditoría interna en una pieza clave de la
organización, a su conductor en miembro valorado de la Alta Dirección y al
resto de sus integrantes en profesionales valorados y disputados por todas las
áreas para integrarse a ellas. Es, como dirían los angloparlantes, un do
or die que prefiero no traducir…
Guillermo Casal, CIA, CCSA, CFSA, CGAP, CRMA, CISA,
CFE - Contador Público y Master en Economía y
Administración de empresas en Argentina. Con más de 35 años actuando en
todas las especialidades de Auditoría. Auditor interno, externo, informático y
forense. Obtuvo todas las certificaciones del IIA (CIA,CCSA, CFSA, CGAP, CRMA).
También la CFE (examinador de fraudes), y la CISA (auditor informático).
Dedicado hace quince años a la consultoría y capacitación. Fue colaborador de
Luis Moreno Ocampo, ex fiscal penal de la Corte internacional de la Haya, y
Stephen Walker, ex agente especial del FBI. Para mayor información visite www.guillermocasal.com.
¿Te ha gustado
el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario