lunes, 4 de mayo de 2020

Mi visión sobre cómo emprender un Proyecto de Transformación en la Actividad de Auditoría Interna

Néstor Duarte, Gerente Auditoría Operativa y Análisis Continuo Bancocaribe
En estos tiempos se habla mucho de Transformación Digital en las organizaciones, y la necesidad de emprender un proyecto como tal, a fin de adaptarnos a las nuevas tendencias de mercados, nuevas culturas, nuevas tecnologías, la globalización, entre otros. Existe abundante información sobre esto en las redes.

La actividad de Auditoría Interna no escapa de esta transformación, y la necesidad de que vaya de la mano con el proyecto de transformación digital que emprenda la organización. Pues todo plan de auditoría debe estar alineado a los objetivos estratégicos de la organización.  

Es así como, de acuerdo a experiencias de las cuales he tenido conocimiento e investigaciones realizadas sobre el tema, un proyecto para transformar la actividad de auditoría interna (sin desviarse de los fundamentos que guía a esta actividad), debe iniciar por un Diagnostico, algo así como validar cuáles son las debilidades, que se necesita mejorar o que se debe cambiar (por ejemplo, las emisiones de informes de auditoría no son oportunas, algunos auditores no cuentan con las competencias técnicas para utilizar Data Analytics, el plan de auditoría no es flexible, entre otros). En pocas palabras visualizar el modelo actual, para luego proponer, entender esa propuesta y emprender el camino de la transformación.

Una de las posibles técnicas para emprender este proyecto es el famoso DESIGN THINKING (a mi parecer es muy buena para este tipo de proyectos), el cual, de acuerdo a http://www.designthinking.es/: es un método para generar ideas innovadoras que centra su eficacia en entender y dar solución a las necesidades reales de los usuarios. Proviene de la forma en la que trabajan los diseñadores de producto. De ahí su nombre, que en español se traduce de forma literal como "Pensamiento de Diseño", aunque algunos prefieren hacerlo como "La forma en la que piensan los diseñadores".

Se empezó a desarrollar de forma teórica en la Universidad de Stanford en California (EEUU) a partir de los años 70, y su primera aplicabilidad con fines lucrativos como "Design Thinking" la llevó a cabo la consultoría de diseño IDEO, siendo hoy en día su principal precursora.

El proceso de Design Thinking se compone de cinco etapas. No es lineal. En cualquier momento se podrá ir hacia atrás o hacia delante si se considera oportuno, saltando incluso a etapas no consecutivas. Se inicia recolectando mucha información, generando una gran cantidad de contenido, que crecerá o disminuirá dependiendo de la fase en la que se encuentren.



§  EMPATIZAR: El proceso de Design Thinking comienza con una profunda comprensión de las necesidades de los usuarios implicados en la solución que se esté desarrollando, y también de su entorno. Se debe tener la capacidad de ponerse en la piel de dichas personas para ser capaces de generar soluciones consecuentes con sus realidades.

§  DEFINIR: Durante la etapa de Definición, se debe desgranar la información recopilada durante la fase de Empatía y quedarse con lo que realmente aporta valor y lleva al alcance de nuevas perspectivas interesantes. Se identifican problemas cuyas soluciones serán clave para la obtención de un resultado innovador.

§  IDEAR: La etapa de Ideación tiene como objetivo la generación de un sinfín de opciones. No se debe quedar con la primera idea que nazca. En esta fase, las actividades favorecen el pensamiento expansivo y se deben eliminar los juicios de valor. A veces, las ideas más estrambóticas son las que generan soluciones visionarias.

§  PROTOTIPAR: En la etapa de Prototipado se vuelve las ideas realidad. Construir prototipos hacen las ideas palpables y ayudan a visualizar las posibles soluciones, poniendo de manifiesto elementos que se deben mejorar o refinar antes de llegar al resultado final.

§  EVALUAR: Durante esta fase, se prueban los prototipos con los usuarios implicados en la solución que se esté desarrollando. Esta fase es crucial, y ayudará a identificar mejoras significativas, fallos a resolver, posibles carencias. Durante esta fase evolucionará la idea hasta convertirse en la solución que se estaba buscando.

Es necesario que se designe a un Líder, no necesariamente debe ser el Director de Auditoría Interna (éste estará en calidad de Sponsor), pero el Líder designado será el guía y el que dictará las pautas a seguir en este proyecto de transformación.  Debe ser alguien con cualidades de innovación, que posea sólidos conocimientos, no solo de prácticas de Auditoría Interna, sino también de nuevas tecnologías, aunque no es excluyente, pero puede resultar favorable para el proyecto, así como una profunda comprensión de las necesidades actuales y los beneficios de aplicar cambios transformacionales. Es un tema inherente y particular de cada área de Auditoría, la manera como manejen este tema.  

Ahora bien, luego de Empatizar y Definir, se lograrían tener identificados los principales hallazgos del Modelo actual de Auditoría Interna, denominados los principales Insights del modelo actual (que podrían ser muchos), los cuales serán el punto de partida para mencionar las posibles soluciones y los factores críticos de éxito, empezar a Idear (próximo paso). OJO: En esa fase hay que tener mucho cuidado, pues se nos puede salir de las manos e invertir mucho tiempo (aun cuando todo este proceso es iterativo).

Es necesario tomar en cuenta el tiempo a invertir, no estancarse, ya que quienes intervienen en este proceso es un equipo de trabajo multidisciplinario de auditoría (múltiples puntos de vista y opiniones, así como diferentes niveles de experiencias), y resulta adecuado que se logren acuerdos fundamentales en este sentido, a fin de consolidar y llegar a lo que podrían ser los siguientes Insights a manera de ejemplo (caso real de una experiencia investigada), planteados en 4 cuadrantes como se muestran a continuación:

Diagnóstico: Principales Insights identificados


Luego de esto y comprender cada uno de estos Insights, se iniciaría con el planteamiento de las posibles soluciones (Idear) y visualizar los factores críticos de éxito de las mismas. Pueden ser muchas, y deben también existir acuerdos al respecto.
Es importante resaltar la necesidad de establecer tiempos, para no extenderlo y pierda efectividad.

Posteriormente se llegaría a la Propuesta o el Prototipo, el cual podría iniciar de esta manera:

Los Insights planteados evidencian de manera notable que se reconoce la necesidad de un cambio, se comprenden claramente las capacidades esenciales para efectuar el cambio y así emprender un plan de transformación.

Interrogantes: Necesidades de Transformación

Antes de plantear el Nuevo Modelo de Auditoría, el cual podría denominarse “Transformando la Auditoría Interna Generación 4.0” el equipo considera adecuado las siguientes interrogantes:

1.    ¿Se está en condiciones de responder a los riesgos cambiantes asociados a la organización, y especialmente a los asociados a las iniciativas de transformación digital?
2.    ¿Existe capacidad de aprovechar los datos de la empresa para llevar a cabo las evaluaciones de forma más eficiente y eficaz?
3.    ¿Se han añadido recursos y conjuntos de aptitudes, para hacer frente al aumento de las expectativas de los interesados internos y externos?
4.    ¿Se han comenzado a utilizar datos y/o tecnología para mejorar la función de auditoría interna, pero sigue dependiendo de las mismas metodologías y recursos?
5.    ¿Se siguen confiando principalmente en evaluaciones puntuales de los riesgos?
6.    ¿Se siguen realizando auditorías y exámenes de la misma manera que en años anteriores?

Propuesta del Nuevo Modelo

Es así como el nuevo modelo deberá plantear a la auditoría interna dentro de la organización como:

1.    Una función ágil (auditoría ágil)
2.    Multidisciplinaria
3.    Habilitada por las tecnologías
4.    Capaz de reconocer los riesgos emergentes y los cambios en el perfil de riesgo de la organización
5.    Suficientemente rápida como para reflejarlos (los nuevos riesgos) en el plan de auditoría y dar respuestas a los usuarios.
6.    Y ser continuos en las revisiones.  

Objetivos del Nuevo Modelo

Esto lleva a establecer 3 objetivos esenciales:

  1. Mejorar el aseguramiento mediante una mayor atención a los riesgos clave: pasar a un enfoque más continuo y con mayor capacidad de datos para evaluar cómo cambian los riesgos en toda la organización.
  2. Aumentar la eficiencia de la auditoría interna: evolucionar y aprovechar las tecnologías y los datos para permitir metodologías y enfoques ágiles, la auditoría interna puede ofrecer una mayor eficiencia.
  3. Proporcionar conocimientos más profundos y valiosos de las actividades y procesos de auditoría interna: ayudar a las organizaciones a tomar mejores decisiones no sólo abordando y gestionando los riesgos actuales, sino también exponiendo los riesgos y las consecuencias imprevistas inherentes a sus estrategias de transformación digital y crecimiento a largo plazo.
Competencias, cualidades y componentes

Para dar respuesta a estos tres objetivos esenciales, el equipo, de acuerdo a investigaciones realizadas sobre las mejores prácticas en este sentido, considera adecuado y necesario que el Nuevo Modelo de Auditoría debe poseer las siguientes competencias, cualidades y componentes, los cuales conformarán la hoja de ruta del mismo:



Como se ve en el esquema anterior, hay tres categorías amplias de capacidades que apoyan la transformación de nuestro modelo. El primero es la estructura de gobierno, que incluye la visión estratégica de auditoría interna, la estructura organizativa, la gestión de recursos y talentos, y el aseguramiento alineado. El segundo es la metodología, que es el "cómo" de la transformación de nuestro modelo, o el conjunto de métodos, reglas y procedimientos que guían las operaciones de la función desde la evaluación del riesgo hasta la ejecución y la presentación de informes. Finalmente, la tecnología habilitadora que incluye las herramientas de la era digital: minería de procesos, análisis avanzado de datos, automatización de procesos robóticos (RPA), aprendizaje automático (ML) e inteligencia artificial (IA). Las tecnologías que elijamos implementar son una parte integral de nuestro proceso de transformación.  

Detalle sobre las competencias, cualidades y componentes que consideramos para el Nuevo Modelo de Auditoría

ESTRUCTURA DE GOBIERNO

La estructura de gobierno en el nuevo modelo de auditoría abarca la estrategia, la estructura y las aptitudes de la función de auditoría interna, incluida la forma en que se desarrollan y obtienen esas aptitudes. Entre las características comunes de la estructura de gobierno que abordan los grupos de auditoría interna generación 4.0 se incluyen: 

  • Visión Estratégica de Auditoría Interna - Crear una cultura de innovación en una profesión históricamente arriesgada y reacia al cambio. La función debe abarcar el cambio y al mismo tiempo cumplir con la visión central de la auditoría interna.
  • Aseguramiento alineado - Existen varias disciplinas de gestión de riesgos dentro de la organización. La Auditoría interna generación 4.0 debe asumir un papel clave en ese aspecto, buscando coherencia entre las tres líneas de defensa. Se debe emplear la tecnología para proporcionar conocimientos sobre el riesgo, la trazabilidad y la rendición de cuentas que puedan ser aprovechados en todas las disciplinas de gestión de riesgos por los grupos de auditoría operacional, de riesgos y de auditoría interna.
  • Estructura racionalizada y recursos flexibles - Una jerarquía de auditoría interna tradicional engendra un enfoque tradicional. A medida que se vayan adoptando nuevas metodologías, la estructura organizativa que las respalde comenzará a ser muy diferente. Los grupos de auditoría interna de generación 4.0 desarrollan y aprovechan modelos de recursos flexibles para acceder a conjuntos de aptitudes y capacidades según sea necesario. Esto requiere modelos que se extiendan más allá de las paredes de la auditoría interna a la empresa, los socios y los proveedores.
  • Habilidades en evolución y perspicacia técnica aplicada - Las nuevas metodologías ágiles, los riesgos, las tecnologías y los procesos requieren nuevos conjuntos de habilidades. Es posible que las funciones de auditoría interna ya no necesiten emplear un modelo tradicional de recursos una vez que hayan adoptado estas nuevas metodologías y tecnologías. Además, a medida que crece la importancia de la tecnología en el desempeño de la auditoría interna, el reto no es cómo aplicar la perspicacia técnica a las construcciones antiguas, sino más bien cómo las tecnologías cambian la forma en que la auditoría interna logra los resultados deseados, es decir, la asegurabilidad del riesgo.

METODOLOGÍA

Las metodologías de auditoría interna de generación 4.0 están diseñadas para dotar a las organizaciones de conocimientos cada vez más precisos sobre los riesgos en tiempo real. Los enfoques ágiles y avanzados de gestión y análisis de datos representan elementos clave para esta visión en tiempo real. Estas metodologías, que también se aplican a la presentación de informes y a las actividades de colaboración, suelen incluir:  

  • Evaluación dinámica de los riesgos - ¿A qué velocidad cambian los riesgos en los negocios hoy en día? La evaluación de los riesgos debe estructurarse de manera que responda a los riesgos con la misma rapidez con que cambian. Esto requiere nuevas metodologías ágiles apoyadas por una comprensión más profunda de los riesgos, así como la capacidad de medir y supervisar cuantitativamente esos riesgos y de modelar cómo cambiarán la visión que la auditoría interna tiene del riesgo en la organización. Las funciones de auditoría interna de generación 4.0 han pasado de las actualizaciones trimestrales de los riesgos a la obtención de una visión en tiempo real de los cambios en los riesgos, sus repercusiones en la organización y el impacto en la necesidad de aseguramiento de la auditoría interna.
  • Ejecución ágil, analítica y escalable - La utilización de enfoques tradicionales y monolíticos para auditar los riesgos dinámicos y cambiantes ya no es aceptable. Dada la mayor prevalencia de los datos en la organización, los auditores internos necesitan desplegar metodologías e instrumentos que permitan la captura y el análisis de los datos, convirtiéndolos en una visión lo más cercana posible al tiempo real.
  • Presentación de informes simplificada y de alto impacto - La comunicación de los resultados de la labor de la auditoría interna es esencial para expresar su valor. Los resultados de la auditoría interna se comunican de diversas formas, entre ellas, informes de auditoría, informes de comités e informes a los interesados internos. Los grupos de auditoría interna de generación 4.0 comunican rápida y eficazmente a los interesados lo que necesitan saber y les permiten profundizar en los detalles según sea necesario. En muchos casos, los Dashboard o vistas de tablero pueden proporcionar información clave de una manera visualmente impactante y están apoyadas sólo por una narrativa ligera para enfatizar los hallazgos clave.

HABILITADORES DE TECNOLOGÍA

Diversas investigaciones sobre este tema han reflejado que la mayoría de las funciones de auditoría interna han registrado lentas mejoras en su uso de la tecnología de auditoría avanzada.

Sin embargo, la amplia dependencia de la automatización, el análisis de datos y una variedad de aplicaciones de tecnología avanzada es un rasgo definitorio de las funciones de auditoría interna de generación 4.0. Entre las actividades e instrumentos tecnológicos comunes que se aplican en las transformaciones de generación 4.0 figuran:

  • Análisis de datos generalizados y análisis avanzados - El aprovechamiento de los datos dentro de la organización para evaluar el riesgo permite al grupo de auditoría interna ejecutar el trabajo de manera más eficaz (análisis a los universos de datos, diagramas de flujo basados en datos, umbrales de riesgo, etc.).
  • Procesos automatizados o Automatización de Procesos Robóticos - La reducción de las tareas altamente manuales dentro de la función de auditoría interna (por ejemplo, la generación de anuncios de auditoría y listas de solicitud de documentos, la compilación de resúmenes de hallazgos) permite al equipo centrarse en el riesgo dentro de la organización y en las áreas que requieren niveles significativos de juicio.
  • Conocimiento de la minería de procesos - Desafiar los enfoques tradicionales de la auditoría interna aprovechando los datos para comprender los procesos a un nivel más profundo y en una etapa más temprana del ciclo de auditoría, utilizando los datos para contar la historia de cómo se están llevando a cabo los procesos, en lugar de hacerlo mediante recorridos tradicionales, poco fiables y manuales. Por ejemplo, la tecnología de minería de procesos aprovecha los datos de la organización para automatizar la actividad de descubrimiento de procesos y crear representaciones visuales de los procesos comerciales en toda la organización que los auditores internos pueden analizar rápidamente para identificar los riesgos, controlar las anomalías y/o situaciones atípicas. Esto no sólo permite un aumento significativo de la eficiencia, sino que también impulsa un proceso de auditoría más eficaz. Recuerde que las nuevas tecnologías no deben "caer" en las viejas formas de hacer las cosas. El propio proceso de auditoría puede tener que evolucionar para maximizar las capacidades tecnológicas.
  • Inteligencia artificial y aprendizaje automático - El aprovechamiento de la inteligencia artificial y el aprendizaje automático permite a los grupos de auditoría interna aumentar la eficacia y la eficiencia de las pruebas complejas, así como ayudar a trasladar los análisis complejos a un tiempo más real. Algunos ejemplos que pueden aplicarse a la auditoría interna incluyen:

o  Agrupación y aprendizaje no supervisado: Algoritmos como los "K-means" y la agrupación "jerárquica" funcionan para identificar y agrupar elementos similares en conjuntos de datos que pueden no ser inmediatamente aparentes para el auditor que examina los datos. Éstos permiten a la auditoría interna, por ejemplo, identificar transacciones sospechosas o de alto riesgo y estratificar mejor las poblaciones para el análisis basado en el riesgo.

o  Modelización predictiva: Las técnicas que aprovechan los métodos de árbol de decisiones y de gradientes no sólo permiten a las organizaciones construir modelos de predicción de relaciones de gran complejidad, sino que también proporcionan una visión más profunda de los datos utilizados para construirlos. Los modelos también pueden aplicarse para proporcionar una auditoría inteligente de procesos continuos. Estas aplicaciones permiten a los analistas identificar mejor los verdaderos impulsores del riesgo y proporcionar a la administración pruebas empíricas sobre cómo mejorar un proceso.

o  Procesamiento del lenguaje natural (PNL): Las técnicas de PNL proporcionan una forma automatizada de identificar patrones de palabras y frases en fuentes de datos y documentos estructurados y no estructurados. Esos métodos pueden utilizarse para clasificar documentos sobre la base de su contenido, por ejemplo, identificando las cláusulas adversas o de otro modo notables en los arreglos contractuales.

  • Accesos VPN: Este recurso permitirá a los grupos de auditoría interna que requieran utilizar los aplicativos de la organización, cumplir con sus tareas en cuanto a realizar consultas, registrar actividades propias de la función, acceso a datos, entre otras, utilizando el internet (Casos de contingencias).  

Lo anterior es sólo una muestra de los métodos que la auditoría interna de generación 4.0 debería evaluar e incorporar en la prestación de servicios de auditoría interna.
Se debe desarrollar un conocimiento de las técnicas y métodos disponibles para determinar aquellos con potencial para impulsar una mayor eficiencia y eficacia en el proceso de auditoría interna.

Hoja de Ruta. Camino para dar Inicio

Comienza con el compromiso, la cultura y una mente ágil.
Para comenzar el viaje a convertirse en una función de auditoría interna de generación 4.0, se requerirá una hoja de ruta clara. Pero el primer paso es establecer la mentalidad y el compromiso de:

  • Transformar y/o revisar, según aplique, la estructura organizativa, las metodologías y las capacidades tecnológicas necesarias para abordar los riesgos empresariales emergentes.
  • Aumentar la eficacia y la eficiencia de la auditoría interna, al tiempo que se cumple la misión principal de proteger el valor de la organización.
  • Evaluar costos de inversión – beneficio.
  • Empezar a pensar de forma diferente.
  • Reevaluar el diseño y las capacidades del área, esforzándose por convertirse en una función ágil de auditoría interna de generación 4.0 que abarque los beneficios de la tecnología y la transformación.

Conclusiones

El equipo cree y está convencido que deben estar preparados y empezar ahora. Y se requiere el compromiso y la mentalidad adecuados de todos. Esta transformación es crítica para la misión, pero no será fácil.

Deben acercarse a este objetivo de una manera ágil. Identificar aquellos aspectos en los que se necesita un cambio, asignar recursos y hacer mejoras incrementales continuas. Sobre todo, ser flexibles y mantener una mentalidad de, "¿Cómo podemos ser ágiles, innovadores y hacer esto mejor?" Buscar dar pequeños pasos, pero concentrarse en dar esos pasos rápida e inmediatamente. El enfoque de "evaluar-diseñar-implementar-reevaluar" ha quedado obsoleto. Más bien, adoptar un enfoque más iterativo y ser flexible para hacer cambios continuos a medida que el negocio evolucione y surjan nuevos enfoques innovadores.

El desafío no es abandonar los principios de la actividad de auditoría interna, sino adaptarse para entregar Aseguramiento, Anticipación y Valor estratégico mejorando la oportunidad, en equipos ágiles y entendiendo el valor del negocio.

“Transformando la Auditoría Interna Generación 4.0”

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

No hay comentarios:

Publicar un comentario