La actividad de Auditoría Interna no escapa de esta
transformación, y la necesidad de que vaya de la mano con el proyecto de
transformación digital que emprenda la organización. Pues todo plan de
auditoría debe estar alineado a los objetivos estratégicos de la organización.
Es así como, de acuerdo a experiencias de las cuales he
tenido conocimiento e investigaciones realizadas sobre el tema, un proyecto
para transformar la actividad de auditoría interna (sin desviarse de los
fundamentos que guía a esta actividad), debe iniciar por un Diagnostico, algo
así como validar cuáles son las debilidades, que se necesita mejorar o que se
debe cambiar (por ejemplo, las emisiones de informes de auditoría no son
oportunas, algunos auditores no cuentan con las competencias técnicas para
utilizar Data Analytics, el plan de auditoría no es flexible, entre otros). En
pocas palabras visualizar el modelo actual, para luego proponer, entender esa
propuesta y emprender el camino de la transformación.
Una de las posibles técnicas para emprender este proyecto
es el famoso DESIGN THINKING (a mi parecer es muy buena para este tipo de proyectos),
el cual, de acuerdo a http://www.designthinking.es/:
es un método para generar ideas innovadoras que centra su eficacia en entender
y dar solución a las necesidades reales de los usuarios. Proviene de la forma
en la que trabajan los diseñadores de producto. De ahí su nombre, que en
español se traduce de forma literal como "Pensamiento de Diseño",
aunque algunos prefieren hacerlo como "La forma en la que piensan los
diseñadores".
Se empezó a desarrollar de forma teórica en la
Universidad de Stanford en California (EEUU) a partir de los años 70, y su
primera aplicabilidad con fines lucrativos como "Design Thinking" la
llevó a cabo la consultoría de diseño IDEO, siendo hoy en día su principal
precursora.
El proceso de Design Thinking se compone de cinco etapas.
No es lineal. En cualquier momento se podrá ir hacia atrás o hacia delante si
se considera oportuno, saltando incluso a etapas no consecutivas. Se inicia
recolectando mucha información, generando una gran cantidad de contenido, que
crecerá o disminuirá dependiendo de la fase en la que se encuentren.
§
EMPATIZAR: El proceso de Design Thinking comienza con una
profunda comprensión de las necesidades de los usuarios implicados en la
solución que se esté desarrollando, y también de su entorno. Se debe tener la
capacidad de ponerse en la piel de dichas personas para ser capaces de generar
soluciones consecuentes con sus realidades.
§
DEFINIR: Durante la etapa de Definición, se debe
desgranar la información recopilada durante la fase de Empatía y quedarse con
lo que realmente aporta valor y lleva al alcance de nuevas perspectivas
interesantes. Se identifican problemas cuyas soluciones serán clave para la
obtención de un resultado innovador.
§
IDEAR: La etapa de Ideación tiene como objetivo la generación
de un sinfín de opciones. No se debe quedar con la primera idea que nazca. En
esta fase, las actividades favorecen el pensamiento expansivo y se deben
eliminar los juicios de valor. A veces, las ideas más estrambóticas son las que
generan soluciones visionarias.
§
PROTOTIPAR: En la etapa de Prototipado se vuelve las
ideas realidad. Construir prototipos hacen las ideas palpables y ayudan a
visualizar las posibles soluciones, poniendo de manifiesto elementos que se
deben mejorar o refinar antes de llegar al resultado final.
§
EVALUAR: Durante esta fase, se prueban los prototipos con
los usuarios implicados en la solución que se esté desarrollando. Esta fase es
crucial, y ayudará a identificar mejoras significativas, fallos a resolver,
posibles carencias. Durante esta fase evolucionará la idea hasta convertirse en
la solución que se estaba buscando.
Es necesario que se designe a un Líder, no necesariamente
debe ser el Director de Auditoría Interna (éste estará en calidad de Sponsor),
pero el Líder designado será el guía y el que dictará las pautas a seguir en
este proyecto de transformación. Debe ser alguien con cualidades de
innovación, que posea sólidos conocimientos, no solo de prácticas de Auditoría
Interna, sino también de nuevas tecnologías, aunque no es excluyente, pero
puede resultar favorable para el proyecto, así como una profunda comprensión de
las necesidades actuales y los beneficios de aplicar cambios
transformacionales. Es un tema inherente y particular de cada área de
Auditoría, la manera como manejen este tema.
Ahora bien, luego de Empatizar y Definir, se lograrían
tener identificados los principales hallazgos del Modelo actual de Auditoría
Interna, denominados los principales Insights del modelo actual (que podrían
ser muchos), los cuales serán el punto de partida para mencionar las posibles
soluciones y los factores críticos de éxito, empezar a Idear (próximo paso).
OJO: En esa fase hay que tener mucho cuidado, pues se nos puede salir de las
manos e invertir mucho tiempo (aun cuando todo este proceso es iterativo).
Es necesario tomar en cuenta el tiempo a invertir, no
estancarse, ya que quienes intervienen en este proceso es un equipo de trabajo
multidisciplinario de auditoría (múltiples puntos de vista y opiniones, así
como diferentes niveles de experiencias), y resulta adecuado que se logren
acuerdos fundamentales en este sentido, a fin de consolidar y llegar a lo que
podrían ser los siguientes Insights a manera de ejemplo (caso real de una
experiencia investigada), planteados en 4 cuadrantes como se muestran a
continuación:
Diagnóstico: Principales Insights identificados
Luego de esto y comprender cada uno de estos Insights, se
iniciaría con el planteamiento de las posibles soluciones (Idear) y visualizar
los factores críticos de éxito de las mismas. Pueden ser muchas, y deben
también existir acuerdos al respecto.
Es importante resaltar la necesidad de establecer
tiempos, para no extenderlo y pierda efectividad.
Posteriormente se llegaría a la Propuesta o el Prototipo,
el cual podría iniciar de esta manera:
Los Insights planteados evidencian de manera notable que
se reconoce la necesidad de un cambio, se comprenden claramente las capacidades
esenciales para efectuar el cambio y así emprender un plan de transformación.
Interrogantes: Necesidades de Transformación
Antes de plantear el Nuevo Modelo de Auditoría, el cual
podría denominarse “Transformando la Auditoría Interna Generación 4.0” el
equipo considera adecuado las siguientes interrogantes:
1. ¿Se está en condiciones
de responder a los riesgos cambiantes asociados a la organización, y
especialmente a los asociados a las iniciativas de transformación digital?
2. ¿Existe capacidad de
aprovechar los datos de la empresa para llevar a cabo las evaluaciones de forma
más eficiente y eficaz?
3. ¿Se han añadido recursos
y conjuntos de aptitudes, para hacer frente al aumento de las expectativas de
los interesados internos y externos?
4. ¿Se han comenzado a
utilizar datos y/o tecnología para mejorar la función de auditoría interna,
pero sigue dependiendo de las mismas metodologías y recursos?
5. ¿Se siguen confiando
principalmente en evaluaciones puntuales de los riesgos?
6. ¿Se siguen realizando
auditorías y exámenes de la misma manera que en años anteriores?
Propuesta del Nuevo Modelo
Es así como el nuevo modelo deberá plantear a la
auditoría interna dentro de la organización como:
1. Una función ágil
(auditoría ágil)
2. Multidisciplinaria
3. Habilitada por las
tecnologías
4. Capaz de reconocer los
riesgos emergentes y los cambios en el perfil de riesgo de la organización
5. Suficientemente rápida
como para reflejarlos (los nuevos riesgos) en el plan de auditoría y dar
respuestas a los usuarios.
6. Y ser continuos en las
revisiones.
Objetivos del Nuevo Modelo
Esto lleva a establecer 3 objetivos esenciales:
- Mejorar el aseguramiento mediante una mayor atención a los riesgos clave: pasar a un enfoque más continuo y con mayor capacidad de datos para evaluar cómo cambian los riesgos en toda la organización.
- Aumentar la eficiencia de la auditoría interna: evolucionar y aprovechar las tecnologías y los datos para permitir metodologías y enfoques ágiles, la auditoría interna puede ofrecer una mayor eficiencia.
- Proporcionar conocimientos más profundos y valiosos de las actividades y procesos de auditoría interna: ayudar a las organizaciones a tomar mejores decisiones no sólo abordando y gestionando los riesgos actuales, sino también exponiendo los riesgos y las consecuencias imprevistas inherentes a sus estrategias de transformación digital y crecimiento a largo plazo.
Competencias, cualidades y componentes
Para dar respuesta a estos tres objetivos esenciales, el
equipo, de acuerdo a investigaciones realizadas sobre las mejores prácticas en
este sentido, considera adecuado y necesario que el Nuevo Modelo de
Auditoría debe poseer las siguientes competencias, cualidades y
componentes, los cuales conformarán la hoja de ruta del mismo:
Como se ve en el esquema anterior, hay tres categorías
amplias de capacidades que apoyan la transformación de nuestro modelo. El
primero es la estructura de gobierno, que incluye la visión
estratégica de auditoría interna, la estructura organizativa, la gestión de
recursos y talentos, y el aseguramiento alineado. El segundo es la metodología,
que es el "cómo" de la transformación de nuestro modelo, o el
conjunto de métodos, reglas y procedimientos que guían las operaciones de la
función desde la evaluación del riesgo hasta la ejecución y la presentación de
informes. Finalmente, la tecnología habilitadora que incluye las
herramientas de la era digital: minería de procesos, análisis avanzado de
datos, automatización de procesos robóticos (RPA), aprendizaje automático (ML)
e inteligencia artificial (IA). Las tecnologías que elijamos implementar son
una parte integral de nuestro proceso de transformación.
Detalle sobre las competencias, cualidades y componentes
que consideramos para el Nuevo Modelo de Auditoría
ESTRUCTURA DE GOBIERNO
La estructura de gobierno en el nuevo modelo de auditoría
abarca la estrategia, la estructura y las aptitudes de la función de auditoría
interna, incluida la forma en que se desarrollan y obtienen esas aptitudes.
Entre las características comunes de la estructura de gobierno que abordan los
grupos de auditoría interna generación 4.0 se incluyen:
- Visión Estratégica de Auditoría Interna - Crear una cultura de innovación en una profesión históricamente arriesgada y reacia al cambio. La función debe abarcar el cambio y al mismo tiempo cumplir con la visión central de la auditoría interna.
- Aseguramiento alineado - Existen varias disciplinas de gestión de riesgos dentro de la organización. La Auditoría interna generación 4.0 debe asumir un papel clave en ese aspecto, buscando coherencia entre las tres líneas de defensa. Se debe emplear la tecnología para proporcionar conocimientos sobre el riesgo, la trazabilidad y la rendición de cuentas que puedan ser aprovechados en todas las disciplinas de gestión de riesgos por los grupos de auditoría operacional, de riesgos y de auditoría interna.
- Estructura racionalizada y recursos flexibles - Una jerarquía de auditoría interna tradicional engendra un enfoque tradicional. A medida que se vayan adoptando nuevas metodologías, la estructura organizativa que las respalde comenzará a ser muy diferente. Los grupos de auditoría interna de generación 4.0 desarrollan y aprovechan modelos de recursos flexibles para acceder a conjuntos de aptitudes y capacidades según sea necesario. Esto requiere modelos que se extiendan más allá de las paredes de la auditoría interna a la empresa, los socios y los proveedores.
- Habilidades en evolución y perspicacia técnica aplicada - Las nuevas metodologías ágiles, los riesgos, las tecnologías y los procesos requieren nuevos conjuntos de habilidades. Es posible que las funciones de auditoría interna ya no necesiten emplear un modelo tradicional de recursos una vez que hayan adoptado estas nuevas metodologías y tecnologías. Además, a medida que crece la importancia de la tecnología en el desempeño de la auditoría interna, el reto no es cómo aplicar la perspicacia técnica a las construcciones antiguas, sino más bien cómo las tecnologías cambian la forma en que la auditoría interna logra los resultados deseados, es decir, la asegurabilidad del riesgo.
METODOLOGÍA
Las metodologías de auditoría interna de generación 4.0
están diseñadas para dotar a las organizaciones de conocimientos cada vez más
precisos sobre los riesgos en tiempo real. Los enfoques ágiles y avanzados de
gestión y análisis de datos representan elementos clave para esta visión en
tiempo real. Estas metodologías, que también se aplican a la presentación de
informes y a las actividades de colaboración, suelen incluir:
- Evaluación dinámica de los riesgos - ¿A qué velocidad cambian los riesgos en los negocios hoy en día? La evaluación de los riesgos debe estructurarse de manera que responda a los riesgos con la misma rapidez con que cambian. Esto requiere nuevas metodologías ágiles apoyadas por una comprensión más profunda de los riesgos, así como la capacidad de medir y supervisar cuantitativamente esos riesgos y de modelar cómo cambiarán la visión que la auditoría interna tiene del riesgo en la organización. Las funciones de auditoría interna de generación 4.0 han pasado de las actualizaciones trimestrales de los riesgos a la obtención de una visión en tiempo real de los cambios en los riesgos, sus repercusiones en la organización y el impacto en la necesidad de aseguramiento de la auditoría interna.
- Ejecución ágil, analítica y escalable - La utilización de enfoques tradicionales y monolíticos para auditar los riesgos dinámicos y cambiantes ya no es aceptable. Dada la mayor prevalencia de los datos en la organización, los auditores internos necesitan desplegar metodologías e instrumentos que permitan la captura y el análisis de los datos, convirtiéndolos en una visión lo más cercana posible al tiempo real.
- Presentación de informes simplificada y de alto impacto - La comunicación de los resultados de la labor de la auditoría interna es esencial para expresar su valor. Los resultados de la auditoría interna se comunican de diversas formas, entre ellas, informes de auditoría, informes de comités e informes a los interesados internos. Los grupos de auditoría interna de generación 4.0 comunican rápida y eficazmente a los interesados lo que necesitan saber y les permiten profundizar en los detalles según sea necesario. En muchos casos, los Dashboard o vistas de tablero pueden proporcionar información clave de una manera visualmente impactante y están apoyadas sólo por una narrativa ligera para enfatizar los hallazgos clave.
HABILITADORES DE TECNOLOGÍA
Diversas investigaciones sobre este tema han reflejado
que la mayoría de las funciones de auditoría interna han registrado lentas
mejoras en su uso de la tecnología de auditoría avanzada.
Sin embargo, la amplia dependencia de la automatización,
el análisis de datos y una variedad de aplicaciones de tecnología avanzada es
un rasgo definitorio de las funciones de auditoría interna de generación 4.0.
Entre las actividades e instrumentos tecnológicos comunes que se aplican en las
transformaciones de generación 4.0 figuran:
- Análisis de datos generalizados y análisis avanzados - El aprovechamiento de los datos dentro de la organización para evaluar el riesgo permite al grupo de auditoría interna ejecutar el trabajo de manera más eficaz (análisis a los universos de datos, diagramas de flujo basados en datos, umbrales de riesgo, etc.).
- Procesos automatizados o Automatización de Procesos Robóticos - La reducción de las tareas altamente manuales dentro de la función de auditoría interna (por ejemplo, la generación de anuncios de auditoría y listas de solicitud de documentos, la compilación de resúmenes de hallazgos) permite al equipo centrarse en el riesgo dentro de la organización y en las áreas que requieren niveles significativos de juicio.
- Conocimiento de la minería de procesos - Desafiar los enfoques tradicionales de la auditoría interna aprovechando los datos para comprender los procesos a un nivel más profundo y en una etapa más temprana del ciclo de auditoría, utilizando los datos para contar la historia de cómo se están llevando a cabo los procesos, en lugar de hacerlo mediante recorridos tradicionales, poco fiables y manuales. Por ejemplo, la tecnología de minería de procesos aprovecha los datos de la organización para automatizar la actividad de descubrimiento de procesos y crear representaciones visuales de los procesos comerciales en toda la organización que los auditores internos pueden analizar rápidamente para identificar los riesgos, controlar las anomalías y/o situaciones atípicas. Esto no sólo permite un aumento significativo de la eficiencia, sino que también impulsa un proceso de auditoría más eficaz. Recuerde que las nuevas tecnologías no deben "caer" en las viejas formas de hacer las cosas. El propio proceso de auditoría puede tener que evolucionar para maximizar las capacidades tecnológicas.
- Inteligencia artificial y aprendizaje automático - El aprovechamiento de la inteligencia artificial y el aprendizaje automático permite a los grupos de auditoría interna aumentar la eficacia y la eficiencia de las pruebas complejas, así como ayudar a trasladar los análisis complejos a un tiempo más real. Algunos ejemplos que pueden aplicarse a la auditoría interna incluyen:
o Agrupación y aprendizaje no supervisado:
Algoritmos como los "K-means" y la agrupación "jerárquica"
funcionan para identificar y agrupar elementos similares en conjuntos de datos
que pueden no ser inmediatamente aparentes para el auditor que examina los
datos. Éstos permiten a la auditoría interna, por ejemplo, identificar
transacciones sospechosas o de alto riesgo y estratificar mejor las poblaciones
para el análisis basado en el riesgo.
o Modelización predictiva: Las técnicas
que aprovechan los métodos de árbol de decisiones y de gradientes no sólo
permiten a las organizaciones construir modelos de predicción de relaciones de
gran complejidad, sino que también proporcionan una visión más profunda de los
datos utilizados para construirlos. Los modelos también pueden aplicarse para
proporcionar una auditoría inteligente de procesos continuos. Estas
aplicaciones permiten a los analistas identificar mejor los verdaderos
impulsores del riesgo y proporcionar a la administración pruebas empíricas
sobre cómo mejorar un proceso.
o Procesamiento del lenguaje natural
(PNL): Las técnicas de PNL proporcionan una forma automatizada de identificar
patrones de palabras y frases en fuentes de datos y documentos estructurados y
no estructurados. Esos métodos pueden utilizarse para clasificar documentos
sobre la base de su contenido, por ejemplo, identificando las cláusulas
adversas o de otro modo notables en los arreglos contractuales.
- Accesos VPN: Este recurso permitirá a los grupos de auditoría interna que requieran utilizar los aplicativos de la organización, cumplir con sus tareas en cuanto a realizar consultas, registrar actividades propias de la función, acceso a datos, entre otras, utilizando el internet (Casos de contingencias).
Lo anterior es sólo una muestra de los métodos que la
auditoría interna de generación 4.0 debería evaluar e incorporar en la
prestación de servicios de auditoría interna.
Se debe desarrollar un conocimiento de las técnicas y
métodos disponibles para determinar aquellos con potencial para impulsar una
mayor eficiencia y eficacia en el proceso de auditoría interna.
Hoja de Ruta. Camino para dar Inicio
Comienza con el compromiso, la cultura y una mente ágil.
Para comenzar el viaje a convertirse en una función de
auditoría interna de generación 4.0, se requerirá una hoja de ruta clara. Pero
el primer paso es establecer la mentalidad y el compromiso de:
- Transformar y/o revisar, según aplique, la estructura organizativa, las metodologías y las capacidades tecnológicas necesarias para abordar los riesgos empresariales emergentes.
- Aumentar la eficacia y la eficiencia de la auditoría interna, al tiempo que se cumple la misión principal de proteger el valor de la organización.
- Evaluar costos de inversión – beneficio.
- Empezar a pensar de forma diferente.
- Reevaluar el diseño y las capacidades del área, esforzándose por convertirse en una función ágil de auditoría interna de generación 4.0 que abarque los beneficios de la tecnología y la transformación.
Conclusiones
El equipo cree y está convencido que deben estar
preparados y empezar ahora. Y se requiere el compromiso y la mentalidad
adecuados de todos. Esta transformación es crítica para la misión, pero no será
fácil.
Deben acercarse a este objetivo de una manera ágil.
Identificar aquellos aspectos en los que se necesita un cambio, asignar
recursos y hacer mejoras incrementales continuas. Sobre todo, ser flexibles y
mantener una mentalidad de, "¿Cómo podemos ser ágiles, innovadores y hacer
esto mejor?" Buscar dar pequeños pasos, pero concentrarse en dar esos
pasos rápida e inmediatamente. El enfoque de
"evaluar-diseñar-implementar-reevaluar" ha quedado obsoleto. Más
bien, adoptar un enfoque más iterativo y ser flexible para hacer cambios
continuos a medida que el negocio evolucione y surjan nuevos enfoques
innovadores.
El desafío no es abandonar los principios de la actividad
de auditoría interna, sino adaptarse para entregar Aseguramiento,
Anticipación y Valor estratégico
mejorando la oportunidad, en equipos ágiles y entendiendo el valor del negocio.
“Transformando la
Auditoría Interna Generación 4.0”
¿Te ha
gustado la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario