Iván Rodríguez
En condiciones normales, la auditoría se ha centrado en ofrecer seguridad en torno a los riesgos y controles de los procesos de negocio. Ahora, que los riesgos se han multiplicado y se han vuelto más complejos, se espera que los auditores ofrezcan una gama más amplia de servicios en muy corto tiempo. Hay casos en que la auditoría llega a tener responsabilidades en torno a la gobernanza, el apetito por el riesgo y en la cultura de riesgo y control.
Los auditores deben estar atentos a los riesgos emergentes que surgen de las operaciones digitales en un entorno de trabajo remoto, del ritmo acelerado del cambio de modelo de negocio y de la profundidad de la incertidumbre en muchos mercados. Ahora hay mayor preocupación por la seguridad de la información, se requieren nuevas estrategias y procesos, así como herramientas innovadoras y mejores conjuntos de habilidades para enfrentar un entorno post-COVID-19. Ahora bien, para gestionar estos desafíos y alinear las capacidades con los riesgos emergentes, los auditores pueden tomar medidas como las siguientes:
Uso de análisis de datos e inteligencia artificial en la identificación de riesgos
Los recientes acontecimientos demuestran que la identificación temprana de los riesgos emergentes es un elemento esencial para identificar las debilidades de control. Las empresas líderes han respondido invirtiendo en técnicas de análisis de datos de manera que los equipos de auditoría puedan llevar a cabo una gama más amplia de actividades con un mayor grado de precisión en la evaluación de riesgos, la planificación de auditorías y su ejecución. También han ayudado a garantizar que la priorización de las auditorías y el alcance de las pruebas reflejen el entorno altamente dinámico, tanto interna como externamente.
El análisis de datos y la inteligencia artificial se han constituido en herramientas para lograr niveles mucho más altos de eficiencia y eficacia y agudizar la identificación de los riesgos emergentes, mediante la determinación de patrones o riesgos que antes eran indetectables. La inteligencia artificial está particularmente bien adaptada a este tipo de aplicaciones, y puede proporcionar la información necesaria tanto para lanzar nuevas auditorías como para volver a priorizar los casos existentes.
Fortalecer la ejecución y los reportes para reflejar los cambios en los entornos operativos
Es necesario equilibrar la agilidad del trabajo con el rigor y la exhaustividad. Normalmente los tiempos de los ciclos de auditoría y emisión de informes a menudo son demasiado largos y carecen de la agilidad requerida en un entorno dinámico. Las actividades de auditoría deben adaptarse a través de nuevas tecnologías tales como herramientas colaborativas, buscar una mayor automatización y mecanismos de generación de informes mejorados. Este tipo de soluciones pueden permitir ciclos de auditoría más rápidos e informes más oportunos.
Los equipos de auditoria deben asegurarse de que incorporan apropiadas actividades de supervisión y control de su trabajo. Debe haber un complemento con las labores de supervisión de la segunda línea y ver que estas actividades son eficaces y contribuyen en el proceso de control y se centran en los riesgos y exposiciones clave. Los casos en que el trabajo sea duplicado o ineficaz deben interrumpirse.
Los procesos de auditoría actuales en ocasiones carecen de mecanismos para informar rápidamente de las cuestiones clave al personal directivo superior y al comité de auditoría. Esto a menudo es causado por el tiempo que toma proceso de auditoría, que comprende la planificación, la evaluación de riesgos, los recorridos, las pruebas, la identificación de problemas, el acuerdo y la aprobación de problemas, las respuestas de la gerencia y la determinación de la opinión final. Mientras que los mandos intermedios suelen discutir los problemas al principio del ciclo, la presentación de informes a la alta dirección normalmente se retrasa hasta la finalización del proceso, lo cual ocurre en un lapso demasiado largo en un entorno empresarial que cambia rápidamente.
Una forma de mejorar e incorporar informes más oportunos sería a través de algún mecanismo de auditoría ágil, en el cual se reporte en tiempo real. Un panel de control puede proporcionar métricas de rendimiento basadas en factores como el alcance, el tiempo, el estado y los problemas potenciales, y puede servir de base para un diálogo más regular con la alta dirección.
El reconocimiento de la nueva realidad y los nuevos riesgos
Circunstancias como el trabajo remoto, los cambios presupuestales y operativos han aumentado los riesgos existentes y han creado otros nuevos, relacionados por ejemplo con la supervisión remota y la capacitación. Las áreas de auditoría deben centrarse en las áreas que inicialmente no fueron consideradas de alto riesgo o simplemente en riesgos que no fueron considerados en absoluto. En un entorno de trabajo a distancia, los controles básicos, como la supervisión y la segregación de funciones, pueden dificultarse, especialmente cuando se basan en soluciones tecnológicas que no consideraron esta situación.
Toda vez que el impacto de la pandemia hay afectado los patrones de trabajo de auditoría, el cuál requiere un gran rigor. Los protocolos para la seguridad de la información y los controles tecnológicos para evitar accesos indebidos deben ser bastante sólidos para atender las demandas del trabajo remoto, incluido el trabajo desde casa con sus preocupaciones de seguridad adicionales. Es posible que se requieran controles adicionales, incluidas las certificaciones de que el personal puede proteger los datos y la ampliación de las pruebas de cumplimiento. Toda vez que la auditoría a menudo tiene acceso a grandes almacenes de datos confidenciales, también debe revisar sus propios procedimientos de seguridad, incluidas las capacidades de descarga de datos y las posibilidades de impresión.
Adicionalmente, la auditoria deben estar atenta a revisar la ciberseguridad y la necesidad de proteger el acceso a las redes, que pueden ser más propensas a ataques en un entorno remoto, ya sea debido a errores humanos o vulnerabilidades en sistemas no diseñados para el trabajo remoto. Las transacciones iniciadas por los clientes normalmente pasan por múltiples rutinas de supervisión. Sin embargo, en el entorno actual, tales procedimientos pueden estar más expuestos al riesgo. Por tanto, la auditoría debe analizar las interacciones de terceros y considerar cómo pueden afectar los perfiles de riesgo y los procesos de control de las organizaciones. Es importante, de otra parte, que la auditoría trabaje con las líneas de negocio y la segunda línea para revisar sus matrices de riesgo y control, asegurando que los para los nuevos riesgos existen controles adecuados y efectivos.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
La limitación de las funciones de control interno generadas por la cultura organizacional y el estilo de dirección son a veces difíciles de superar por un equipo auditor con falencias en las competencias en temas de actualidad como el análisis de datos, seguridad de la información, así como las dificultades de acceso a la información necesaria.
ResponderEliminarSeria interesante si puede compartir una metodologia para auditorías agiles.
La metodología ágil más usada es Scrum, a continuación encontrará una infografía sobre Scrum: Aplicado a un Trabajo de Auditoría Interna:
Eliminarhttp://nahunfrett.blogspot.com/2021/03/scrum-aplicado-un-trabajo-de-auditoria.html
Saludos,