Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb SeparatorLa auditoría interna debe conectar los puntos, luego crear la conciencia

​La auditoría interna debe conectar los puntos, luego crear la conciencia

Siempre me gratifica cuando una de las publicaciones de mi blog atrae comentarios fuertes, ya sea que la reacción concuerde con mis puntos de vista o los contradiga. Chambers en la Profesión pretende ser una caja de resonancia para los auditores internos profesionales, y sus opiniones variadas son siempre bienvenidas.

La publicación de la semana pasada, C-Suite debe más que la simple conciencia de los informes de auditoría interna, es uno de los que generó numerosos comentarios, muchos de los cuales cuestionaron la premisa de la publicación del blog.

La publicación argumentó que la administración debe hacer más que simplemente reconocer los informes de auditoría interna. La administración debe actuar sobre esos informes, especialmente cuando existe un riesgo claro y presente para la organización. Creo que los ejemplos brindados ilustraron pasos en falso especialmente graves donde la falta de acción de la administración en última instancia, causó a las organizaciones daños fiscales y de reputación.

El mensaje secundario del mismo fue que el trabajo de la auditoría interna aporta transparencia al proceso de gobernanza, y que la capacidad de arrojar luz sobre las fortalezas y debilidades en la gobernanza es fundamental para el valor que aporta la auditoría interna a las organizaciones.

Los comentarios de los lectores se centraron en la responsabilidad de la auditoría interna de ser clara, concisa y relevante en sus informes para la gerencia y la junta. Después de todo, ¿cómo puede la dirección ejecutiva responder a las recomendaciones de la auditoría interna si los hallazgos están ocultos bajo exámenes demasiado largos o innecesariamente complejos? Peor aún, si la función de auditoría interna no posee una verdadera comprensión de las estrategias y objetivos de la organización, sus auditorías y hallazgos podrían estar completamente fuera de base y ser de poca utilidad para la organización. He escrito en muchas ocasiones sobre los peligros de la auditoría interna que no mantiene su parte del trato.

En 7 pecados letales de auditoría interna, proporcioné una lista de imperdonables, incluida la publicación de informes erróneos y la presentación de documentos de trabajo incompletos. En mi primer libro, Lecciones Aprendidas en mi Recorrido por Auditoría, dejé claro que la forma en que la auditoría interna entrega sus informes, a menudo, es tan importante como lo que dicen los informes.

"El contenido de nuestros informes de auditoría siempre debe agregar valor a la organización, pero la forma en que nos comunicamos en nuestros informes determinará cómo se reciben dichos hallazgos y recomendaciones.”

"Lo que percibimos como información objetiva, a veces, puede desencadenar temor o enojo por parte de los auditados. Pueden sentir que su integridad o juicio están siendo atacados, también pueden leer el informe mientras piensan: '¿Cómo reaccionarán mis jefes cuando lean esto?' Incluso, si no consideran que un informe sea innecesariamente crítico, pueden pensar que sus triunfos y éxitos han sido descuidados por un proceso diseñado para resaltar fallas y vulnerabilidades. A veces, un reconocimiento poco merecido puede contrarrestar una gran cantidad de críticas válidas en un informe de auditoría."

Otros errores de auditoría interna señalados por mi estimado colega, Norman Marks, en su comentario sobre mi reciente informe de auditoría son igualmente válidos y relevantes. En su respuesta, señaló:

"Cuando veo un informe de 20 páginas o más, no me sorprende que los ejecutivos no lo lean rápidamente y sigan sus recomendaciones.”

"Cuando veo un informe de auditoría con una tabla de contenido, estoy seguro de que se leerá fuera de servicio, no porque tenga información procesable.”

"Cuando veo un informe con recomendaciones y una respuesta de la administración, veo un equipo de auditoría interna que no ha trabajado con la administración para acordar las acciones correctas a tomar.”

"Cuando veo un informe que habla de los riesgos, pero no de lo que significan para las estrategias y los objetivos de la organización, veo un informe que no es probable que comunique lo que la gerencia ejecutiva y la junta deben saber.”

"Cuando veo un informe que dice lo que Auditoría Interna quiere decir, en lugar de decirle de manera clara y concisa al liderazgo lo que necesitan saber, atribuyo mucha culpa a Auditoría Interna.”

"Cuando veo una función de Auditoría Interna que no se sienta con el liderazgo y tiene una discusión en lugar de confiar en un informe de auditoría formal y tradicional, veo uno que no tiene un asiento en la mesa, uno que no es un asesor de confianza."

Cada una de las observaciones de Norman es inmediata y similar a los puntos que he hecho. Ofrecería cinco recomendaciones a los auditores internos sobre la redacción de informes para garantizar que los resultados se transmitan claramente, y que no se pasen por alto las fallas importantes en el control o la gestión de riesgos:

  • Asegurar las comunicaciones continuas con la administración durante una auditoría, y enfatizar los hallazgos y observaciones importantes que surgen de la auditoría.
  • Exprese de forma clara y concisa las condiciones, las causas y los efectos en el informe escrito.
  • Resumir hallazgos clave en un resumen ejecutivo al comienzo del informe.
  • Considerar el uso de calificaciones para hallazgos individuales o informes generales; por ejemplo, identificar condiciones que son "insatisfactorias" o "rojas" si se usa un sistema de calificación por color.
  • Nunca permita que el informe escrito sea la última palabra. Prepare informes para la administración y el comité de auditoría sobre los resultados finales de la auditoría, si el informe revela un control significativo o fallas en la gestión del riesgo. Luego, monitoree las acciones correctivas y actualice la administración y el comité de auditoría, según corresponda.

Cada director ejecutivo de auditoría debe esforzarse por crear una función de auditoría interna de alto rendimiento que comprenda las estrategias y los objetivos de la organización y visualice cada compromiso a través de esa perspectiva informada. Debemos conectar los puntos para los ejecutivos y miembros de la junta ocupados para darles una idea clara de cómo la organización está gestionando los riesgos, y debemos estar dispuestos a arrojar luz cuando esos esfuerzos se quedan cortos.

Dicho esto, es absurdo suponer automáticamente que la auditoría interna tiene la culpa, cuando la administración no cumple sus recomendaciones. La conclusión es que el buen gobierno es una asociación de muchos roles dentro de la organización. Cada uno debe llevar a cabo su trabajo con respeto por los demás. Para los auditores internos, debemos hacer nuestro trabajo infaliblemente con precisión ejemplar y pasión centrada, eliminando así todas las excusas para no tomarlas en serio.

Como siempre, espero sus comentarios.

Declaración

Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.