Por: CP Iván Rodríguez. Colaborador de Auditool  

En un reciente artículo[1], Norman Marks, CRMA, CPA, director ejecutivo de cuentas y director de riesgos en importantes corporaciones en los últimos veinte años hace un análisis de la misión de auditoría interna y cómo el Instituto de Auditores Internos revisó la definición de auditoría interna y la complementó con los principios básicos y la misión.

Según narra Marks, en 2015 un grupo de trabajo de AII compuesto por destacados profesionales de todo el mundo examinó si debía actualizarse la Definición de Auditoría Interna de 1999. El grupo de trabajo llegó a la conclusión de que la definición seguía siendo una excelente descripción de la auditoría interna que dice:

“(…) La auditoría interna es una actividad independiente y objetiva de aseguramiento y consultoría diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a lograr sus objetivos mediante la consecución de un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión, control y gobernanza de riesgos. (…)”

El grupo de trabajo complementó la definición con los Principios Básicos para la Práctica Profesional de auditoría interna y la Misión de Auditoría Interna. Estos fueron un importante paso adelante en la orientación de las funciones de auditoría interna en todo el mundo. La Misión, que pretende ser una orientación opcional para las áreas de auditoría que deseaban crear su propia misión, dice: «Mejorar y proteger el valor de la organización proporcionando garantía, asesoramiento y conocimientos objetivos y basados en el riesgo».

Según el análisis de esta misión, efectuado por Marks muestra que tradicionalmente la auditoría interna se ha centrado en evaluar el diseño y el funcionamiento de los controles que mantienen los riesgos dentro de los límites deseados. El énfasis ha estado en proteger a la organización del daño. Los auditores internos identifican aquello que puede afectar la capacidad de una organización para alcanzar sus objetivos, comúnmente conocido como riesgo. El auditor evalúa el nivel de esos riesgos y determina si la administración de la compañía cuenta con un sistema de control eficaz que proporcione garantías razonables de que los riesgos están en niveles aceptables.

No obstante, según describe Marks, los miembros del grupo de trabajo creían que la auditoría interna tiene la capacidad de ayudar a la organización no sólo a proteger, sino también a mejorar el valor. Por ejemplo, los auditores pueden considerar si la administración tiene procesos, sistemas y controles eficaces para:

Los controles internos no solo proporcionan seguridad, sino que también permiten aprovechar y optimizar oportunidades. De hecho, los controles internos rodean los procesos para tomar las decisiones sobre qué riesgos tomar. Proporcionan la seguridad de que las personas adecuadas están tomando decisiones empresariales importantes, basadas en información oportuna y de calidad. El grupo de trabajo reconoció que considerar los riesgos sin el contexto de la recompensa potencial no es una manera sabia de tomar decisiones, dirigir el negocio y tener éxito. La auditoría interna debe ayudar a la dirección a tomar decisiones informadas e inteligentes, tomando los riesgos adecuados para alcanzar los objetivos empresariales.

Plantea Marks que el proceso tradicional de evaluación de riesgos de auditoría interna implica priorizar las unidades de negocio, los procesos y los sistemas de la organización en función de factores como los ingresos, la complejidad y el historial de problemas de control. La auditoría interna realiza una segunda evaluación de riesgos antes de que cada contratación de auditoría comience a identificar los riesgos más significativos para la unidad de negocio, el proceso o el sistema específicos. Esos riesgos de nivel inferior se convierten en el ámbito de aplicación de la auditoría.

En la misión de la auditoría interna, se dice que proporciona «garantía, asesoramiento y conocimientos objetivos y basados en el riesgo». Si bien está bastante claro lo que significa objetivo, no es tan evidente entender los otros términos.  

La garantía es mucho más que expresar una opinión sobre la adecuación de los controles y detallar los controles que son menos que eficaces. El auditor debe brindar la seguridad de que es posible confiar en la organización, los sistemas, las personas y los procesos de la empresa.  Un auditor debe proporcionar a los líderes empresariales la seguridad que necesitan de que se abordarán los daños potenciales más significativos y se aprovecharán las oportunidades.

En relación con el asesoramiento, plantea Marks que muchos auditores internos se sienten incómodos compartiendo sus consejos, así como su visión. Recomiendan acciones correctivas para las debilidades de control que identifican, pero son reacios a ir más allá. Sin embargo, varios de los miembros del grupo de trabajo hablaron elocuentemente sobre la forma en que el asesoramiento menos formal que daban a la dirección en las reuniones uno a uno a menudo era de mayor valor que lo que podían presentar en el informe formal.

Los auditores internos son profesionales. Su posición como observadores objetivos de la organización y sus procesos les permite obtener información que, si se comparte con la dirección, puede ser muy valiosa para ellos. Cuando los auditores internos combinan sus conocimientos profesionales con su capacidad para dar consejos a la gerencia o al consejo, están dando un gran valor a la organización.

Compartir esos conocimientos en forma de asesoramiento es más fácil cuando la dirección ve a los auditores internos como profesionales y respeta sus evaluaciones objetivas. La administración escuchará y cuidadosamente considerar ese consejo antes de tomar su propio juicio y decisión.

Los líderes empresariales reciben con agrado la seguridad, el asesoramiento y la perspicacia que un auditor profesional puede compartir sobre las operaciones de las compañías que administran. Suelen valorar la confianza en las personas, sistemas, procesos y controles de la organización; agradecen recibir consejos sobre cómo pueden abordar cualquier deficiencia y mejorar su eficiencia y eficacia, así como obtener una perspectiva sobre otros asuntos que afectan la forma en que dirigen la organización, tomando las decisiones informadas e inteligentes necesarias para el éxito.

Es por ello que los auditores internos no deben restringir su trabajo a evaluar únicamente los controles que protegen el valor. Deben proporcionar la seguridad, el asesoramiento y la información que los líderes necesitan, cuando lo necesitan, sobre lo que importa para el éxito de la organización. Eso incluye la creación de valor, así como la protección.

Retomando las palabras de Marks, los auditores internos son profesionales con la capacidad de ayudar a la gerencia y la junta a tener éxito, y no deben limitar innecesariamente su capacidad de marcar la diferencia.

[1] Ver: https://iaonline.theiia.org/2020/Pages/Magical-Words.aspx

CP Iván Rodríguez –

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia