Hace
aproximadamente una semana recibí una consulta de parte de uno de los líderes de
equipo (supervisores) de trabajo de la unidad de auditoría interna de la
organización para la cual presto mis servicios. Esta vez la consulta estaba
vinculada a la necesidad de mejorar la comunicación dentro del equipo de
trabajo, a fin de promover discusiones basadas en evaluaciones de riesgo para
fomentar un mayor nivel de análisis y profundidad técnica con respecto a los
hallazgos de auditoría, que permitan además obtener reflexiones acerca de cómo
mejorar la experiencia de los auditores, de modo que se puedan alcanzar
resultados que realmente agreguen valor tanto para la unidad de auditoría
interna, como para los clientes a quienes prestamos nuestros servicios de
aseguramiento y consultoría.
Ante esta consulta, propuse por un lado un mayor involucramiento de los líderes de equipo en la ejecución del trabajo, y por el otro, la formulación de preguntas que permitan incorporar la evaluación de los riesgos como aspecto clave en las discusiones y enfoques para ejecutar auditorías.
Involucramiento
que genera valor
El
mayor involucramiento de los líderes está vinculado con el desarrollo de
competencias supervisoras que van mucho más allá de simplemente girar
instrucciones y hacer seguimiento de los compromisos establecidos conforme a un
cronograma de auditoría. En la actualidad, ser competente como supervisor está
más relacionado con la capacidad del líder de saber acompañar y facilitar al
supervisado en el reconocimiento de oportunidades de aprendizaje y capacitación,
el desarrollo de ideas que fomenten el desarrollo de sus competencias técnicas y
personales, y la generación de propuestas que le permitan tomar decisiones para
accionar en pro de su mejoramiento continuo.
Preguntas
poderosas en materia de riesgo
Con
relación, a la formulación de preguntas que permitan incorporar los temas de
evaluación de riesgos en los enfoques de auditoría, a continuación quiero
compartir con ustedes un conjunto de preguntas que pueden ser introducidas
durante las reuniones de trabajo, que se llevan a cabo desde el principio hasta
el final del trabajo.
¿Durante la etapa de familiarización se identificaron riesgos que
pueden afectar el cumplimiento de los objetivos del proceso evaluado?, ¿se
establecieron en el programa de trabajo pruebas de auditoría dirigidas a
identificar exposiciones a riesgos potenciales en el proceso evaluado?, ¿cuáles
riesgos se identificaron en el trabajo de campo?, ¿cuáles
son los riesgos más críticos?, ¿cuáles son los controles que deberían mitigar
esos riesgos?, ¿los controles establecidos mitigan efectivamente los riesgos?,
¿los controles establecidos presentan oportunidades de mejora en su diseño y/o
en su efectividad?, ¿cómo impactan los riesgos identificados en el cumplimiento
de los objetivos del proceso?, ¿se incorporaron en el informe las exposiciones a
riesgo?, ¿las recomendaciones formuladas están orientadas a atender las brechas
en los controles?, ¿los planes de acción que se generaron establecen productos
que mitigan los riesgos identificados y fortalecen el proceso de gestión de
riesgo, control interno y gobierno corporativo de la organización?.
La
verdadera dimensión del control interno
Otro
aspecto clave a considerar en cuanto a los temas de riesgo como parte integrante
del proceso de auditoría, es el relativo a la definición de control interno, la
cual ha evolucionado recientemente. Esta transformación del concepto tradicional
incorpora aspectos que más tienen que ver con su diseño y efectividad, en
función del riesgo que mitigan para viabilizar el cumplimiento del objetivo de
un proceso de negocio.
Por
lo tanto, cualquier uso de la expresión “controles internos” debe necesariamente
identificar qué (o cuáles) riesgo(s) se mitiga(n) y si lo hacen efectivamente; y
en caso contrario, cuál es el impacto y probabilidad de ocurrencia del riesgo no
mitigado en el cumplimiento de los objetivos del proceso analizado y/o evaluado.
En nuestros informes y reportes de auditoría utilizamos en innumerables
oportunidades la expresión “control interno”, pero muchas veces hacemos caso
omiso de su verdadero significado a la luz de su definición y verdadera
dimensión conceptual.
En
la práctica profesional de auditoría interna moderna existen muchos aspectos
clave que en la mayoría de los casos parecen ser de libro (simplemente
teóricas), pero créanme que constituyen principios fundamentales sobre los
cuales las unidades de auditoría interna, en su rol de resguardo y
aseguramiento, tiene precisamente su razón de ser.
Carlos Reyes Balza, CIA, CRMA