Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb SeparatorEntendiendo las raíces en la respuesta de la auditoría interna al COVID-19

Entendiendo las raíces en la respuesta de la auditoría interna al COVID-19

Decir que los efectos de COVID-19 han sido significativos para organizaciones grandes y pequeñas es decir lo obvio. Cada día trae nuevos eventos sobre debilidades de control, costosas fallas y nuevos riesgos, expuestos por la pandemia y sus muchos frentes relacionados.

También es obvio ahora que muchas organizaciones han respondido admirablemente para contrarrestar estos efectos. Reaccionaron ágilmente a las cuarentenas iniciales adaptando sus procesos y adoptando la tecnología necesaria para asegurar la continuidad de la productividad. Equilibraron nuevos enfoques creativos para el negocio, con acciones de responsabilidad social para atravesar la pandemia con seguridad.

La auditoría interna también ha demostrado su valor en esta crisis. Las encuestas del IIA han encontrado que los auditores internos se están adaptando a las necesidades de sus organizaciones, a menudo asumiendo roles no tradicionales y exhibiendo una flexibilidad notable en la actualización de las evaluaciones de riesgos y revisando los planes de auditoría, como parte de la respuesta a la pandemia.

Pero incluso si encontramos y celebramos éxitos en la adaptación a este flagelo, debemos reconocer que las decisiones a menudo se toman con información limitada y teniendo en mente los objetivos a corto plazo. De hecho, las estrategias a largo plazo pueden posponerse fácilmente en medio de la tormenta de nuevos riesgos y desafíos que surgen y amenazan a velocidades vertiginosas.

La lista de áreas de riesgo relacionadas con la pandemia, donde la auditoría interna está proporcionando aseguramiento y asesoramiento, es larga: gestión de crisis, continuidad del negocio, seguridad cibernética, relaciones con terceras partes, salud y productividad de empleados y más. Debemos considerar que la calidad del trabajo de auditoría interna puede verse comprometida, ya que los profesionales se esfuerzan por responder a las necesidades de sus organizaciones, a menudo aislados o limitados en su capacidad para realizar evaluaciones en el sitio. Una de las amenazas más claras a la calidad es fallar en profundizar lo suficiente para exponer las causas raíces de los fallos de control y debilidades.

Escribí sobre el sinsentido de los hallazgos superficiales en un artículo de blog hace varios años, titulada “Las buenas auditorías internas se centran en las raíces, no solo en los árboles.” Muchas de las observaciones en ese artículo siguen vigentes en la actualidad. De la publicación:

Como auditores internos, a menudo estamos tentados a enfatizar en nuestros informes las condiciones que observamos. Después de todo, las condiciones que resultan de la gestión de riesgos o fallas de control a menudo se pueden describir en términos llamativos. Una falla de un nuevo sistema de TI, un requisito clave de cumplimiento o un control financiero crítico seguramente atraerán la atención de la gerencia y la junta. Los informes de auditoría interna también incluyen frecuentemente discusiones en profundidad de los efectos asociados con las condiciones. Después de todo, lo único más sensacional que describir algo que está roto, es asombrar al lector con todas las consecuencias de esa ruptura.

Si bien los informes que incluyen una extensa narrativa sobre las condiciones y los efectos pueden hacerse con una gran prosa, a menudo no llegan a agregar un valor real. Una vez conversé con un gerente de área que admitió sin dudar que tenía problemas. Al principio de la auditoría, me suplicó que no volviera y le dijera lo que ya él sabía. En sus palabras, “No necesito que alguien venga aquí y me diga que tengo problemas. Sé que tengo problemas. Necesito a alguien que pueda decirme cómo solucionarlo ". Eran las recomendaciones que se incluirían en el informe las que más lo ayudarían.

Los criterios (lo que debería haber sido), las condiciones, los efectos y las recomendaciones, a menudo se citan entre los elementos centrales de los "hallazgos de auditoría". Pero hay otro elemento que a menudo es el menos comprendido y quizás el más crítico: la causa (o causa raíz) de las condiciones. Sin comprender la causa, es prácticamente imposible ofrecer recomendaciones sólidas para acciones correctivas.

En el artículo del blog, cité los estándares de auditoría del Libro Amarillo de Responsabilidad del Gobierno de EE. UU. Y cité su guía para identificar la causa asociada con una condición observada.

"La causa identifica la razón o explicación de la condición o el factor o factores responsables de la diferencia entre la situación que existe (condición) y el estado requerido o deseado (criterio), que también puede servir como base para recomendaciones de las acciones correctivas. Los factores comunes incluyen mal diseño de políticas, procedimientos o criterios; implementación inconsistente, incompleta o incorrecta; o factores más allá del control de la gerencia operativa. Los auditores pueden evaluar si la evidencia proporciona un argumento razonable o convincente de por qué la causa establecida es el factor o factores clave que contribuyen a la diferencia entre la condición y el criterio".

Finalmente, señalé a una Guía para la Práctica del IIA sobre análisis de causa raíz, ahora parte de Guía de Implementación 2320 disponible para descarga de todos los miembros del IIA, que ofrece un proceso simple que se centra en preguntar “por qué”.

“El trabajador se cayó. ¿Por qué? Debido al aceite en el piso. ¿Por qué? Por una pieza rota. ¿Por qué? Porque la pieza sigue fallando. ¿Por qué? Debido a cambios en las prácticas de compras". ¿Por qué?

Es imperativo que los auditores internos confeccionen hallazgos que incluyan cada una de las cinco Cs: Criterio, Condición, Consecuencia / Efecto, Causa y acción Correctiva / Recomendación. Pero incluso cuando las cinco Cs son importantes en un informe efectivo, la identificación de la causa raíz puede ser infinitamente más valiosa.

Ahora más que nunca, tener respuestas claras y precisas a los "porqués" descubiertos en cada paso del proceso de auditoría es fundamental. Excavar lo suficientemente profundo como para encontrar las causas raíces de las debilidades y fallas de control debe ser la máxima prioridad en todos nuestros compromisos. Hay mucho en juego para aceptar algo menos que nuestro mejor esfuerzo.

Como siempre, espero sus comentarios.

Richard F. Chambers, presidente y CEO del Instituto Global de Auditores Internos, escribe un blog semanal para InternalAuditor.org sobre temas y tendencias relevantes para la profesión de auditoría interna.