El Rol Estratégico de la Auditoría Interna en las Organizaciones
Por: Guillermo Casal, CIA, CCSA, CFSA, CGAP, CRMA, CISA, CFE –
Buenos Aires, Argentina – Colaborador de www.auditool.org
En el año 2001 tuve el honor de integrarme a KPMG en Argentina para dirigir su práctica de MAS – Management Assurance Services en el Cono Sur. Ésta comprendía aproximadamente lo que en la actualidad se conoce como GRC – Governance, Risk and Compliance. Ya para aquel tiempo era yo un profesional experimentado en temas de auditoría interna, al punto de haber sido el DEA (Director Ejecutivo de Auditoría) en tres importantes empresas. Sin embargo, cuando asistí a la correspondiente capacitación en Atlanta, Estados Unidos, experimenté dos grandes sorpresas:
1) El énfasis que, ya en ese momento, se le asignaba a la efectiva comunicación. A tal punto, que se dedicaron dos jornadas completas para un “entrenamiento de entrenadores” (train the trainers). Este aspecto será objeto de un artículo separado y posterior.
2) El concepto estratégico que la firma tenía respecto de la labor de auditoría interna. Concepto que no se agotaba en una simple declaración de intención, sino que ya en aquel entonces estaba sustentado sobre una robusta metodología para implementación. Naturalmente que, por consideraciones de ética profesional, no corresponde dar detalles acerca de dicha metodología. Simplemente, enunciar la brecha existente en aquel entonces entre un concepto estratégico de auditoría interna y una práctica dominante de auditoría interna que se orientaba al riesgo operacional, conforme las prescripciones del informe COSO de 1992
Evolución posterior
A partir de esos inicios del siglo XXI, la brecha entre las expectativas de los clientes de servicios de auditoría interna y la oferta que la profesión ha hecho a la comunidad de negocios se ha incrementado en un recorrido que examinaremos en este artículo, cuya conclusión será atisbar el probable futuro al cual esta senda nos habrá de conducir.
Las tres líneas de defensa – primera línea de defensa
El modelo de tres líneas de defensa del IIA, recientemente promulgado, sostiene que la primera línea de defensa de las organizaciones la constituyen los controles gerenciales que se ejecutan en el curso de las labores operativas de las organizaciones. Es decir, los controles internos que conocemos tradicionalmente, y algunos de cuyos ejemplos son:
– Controles organizativos tales como descripciones de tareas, organigramas, segregación de funciones y evaluación periódica del desempeño
– Pruebas físicas tales como inventarios y conteos de efectivo
– Procedimientos operativos escritos
– Establecimiento de niveles de autorización para diferentes transacciones
La segunda línea de defensa – su crecimiento
La segunda línea de defensa la integran funciones que tradicionalmente se han llamado “de soporte” a la operación. La función más clásica y tradicional de las organizaciones en esta materia ha sido la planificación, gestión y control presupuestario.
En esta segunda línea de defensa se incorporaron y robustecieron recientemente dos funciones:
– La gestión de riesgos (ERM – Enterprise risk management)
– La función de cumplimiento ( compliance officer)
Ambas tienen un fuerte sustento y respaldo en los sucesivos pronunciamientos de control interno (las varias versiones de COSO y CoCo), que han enfatizado en la necesidad de robustecer el control interno fortaleciendo la atención a estos aspectos.
La tercera línea de defensa – aseguramiento independiente
En el documento del IIA, la función de auditoría interna se describe como “aseguramiento independiente”, posterior a la primera y segunda líneas de defensa y previo al contralor externo ejercido por auditores externos y reguladores
Impacto del modelo de tres líneas de defensa sobre la profesión de auditoría interna
Desde mi punto de vista, el modelo de tres líneas de defensa viene a dar una respuesta y encuadramiento conceptual a una realidad que ha debilitado las incumbencias y responsabilidades tradicionales de la auditoría interna. Debilitamiento que, esencialmente, se ha producido por no dar debida respuesta a las expectativas de nuestro principal cliente. Y falta de respuesta que, mayormente, se encuadra en no abordar las cuestiones estratégicas de las organizaciones que constituyen el foco primario de atención de la Alta Dirección, el cliente más importante de la Auditoría Interna. Veamos entonces, resumidamente, cómo abordar una auditoría estratégica, para pasar de la defensiva a la iniciativa.
¿Qué es la “auditoría estratégica”?
Para decirlo brevemente, la auditoría estratégica se orienta a darle aseguramiento a la Alta Dirección respecto de la efectividad de su estrategia, en lugar de hacerlo prioritariamente respecto de su sistema de control interno transaccional. Ya hemos mencionado con anterioridad que hacerlo es imperioso para continuar manteniendo el interés y el respaldo de los clientes y sostenedores de la auditoría interna, de modo que la siguiente pregunta es ¿cómo hacerlo?
Metodología de auditoría estratégica
Partiendo de la premisa de que no se puede auditar lo que no se conoce, lo primero es encuadrar el propósito de la estrategia y el contexto en que se enmarca.
Propósitos de la estrategia
– Comprender y documentar el ambiente en que opera la organización a efectos de identificar oportunidades y amenazas
– En virtud de lo anterior, plantear objetivos para sostener la misión y lograr la visión de la organización
– Identificar y gestionar los riesgos que afectan a la organización, principalmente los provenientes del exterior (estratégicos), por oposición a los riesgos internos (operacionales), que han sido el foco de atención de los auditores internos desde la aparición del informe COSO de 1992
Alcance de la labor de aseguramiento respecto de la estrategia
Como ya hemos mencionado, la Alta Dirección espera de la Auditoría Interna una contribución de aseguramiento estratégico. ¿Y qué se puede esperar de tal labor?
– Asegurar que el diagnóstico y los planes estratégicos estén sustentados en información fidedigna, oportuna y ajustada a los cambios del ambiente
– Asegurar que las metas sean relevantes para el logro de la misión y estén sustentadas en procesos robustos
– Asegurar que se hayan identificado los riesgos estratégicos, se los haya documentado y se los monitoree y mitigue a través de procesos igualmente robustos e información confiable y oportuna
– Asegurar que exista una adecuada comunicación de la estrategia, trasmitiendo a cada quien lo que precisa conocer para contribuir con su tarea al éxito conjunto (on a need to know basis).
Transición hacia la auditoría estratégica
Uno de los párrafos de la obra magna de la literatura gauchesca, el Martín Fierro, enuncia que “no pinta quien tiene ganas, sino quien sabe pintar”. Los auditores internos hemos tomado nota de este aserto por vía del documento que ha promulgado el IIA, el marco de competencias globales del auditor interno. Este marco explicita las diez áreas clave de conocimiento que deben disponer los auditores internos para realizar la transición
I. Ética profesional
II. Capacidad gerencial de auditoría interna
III. Conocimiento de las normas profesionales en Auditoría Interna
IV. Gobierno, riesgo y control
V. Perspicacia en los negocios
VI. Comunicaciones efectivas
VII. Persuasión y colaboración
VIII. Pensamiento crítico
IX. Entrega de servicios de auditoría interna
X. Mejora e innovación
El desafío es formarse en estas áreas y desarrollar una metodología para afrontar el cambio. Tarea nada sencilla, pero con una gran recompensa al final del camino: haber convertido a la unidad de auditoría interna en una pieza clave de la organización, a su conductor en miembro valorado de la Alta Dirección y al resto de sus integrantes en profesionales valorados y disputados por todas las áreas para integrarse a ellas. Es, como dirían los angloparlantes, un do or die que prefiero no traducir…
Del Autor: Guillermo Casal, CIA, CCSA, CFSA, CGAP, CRMA, CISA, CFE – Contador Público y Master en Economía y Administración de empresas en Argentina. Con más de 35 años actuando en todas las especialidades de Auditoría. Auditor interno, externo, informático y forense. Obtuvo todas las certificaciones del IIA (CIA,CCSA, CFSA, CGAP, CRMA). También la CFE (examinador de fraudes), y la CISA (auditor informático). Dedicado hace quince años a la consultoría y capacitación. Fue colaborador de Luis Moreno Ocampo, ex fiscal penal de la Corte internacional de la Haya, y Stephen Walker, ex agente especial del FBI. Para mayor información visite www.guillermocasal.com
Comentarios