Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb SeparatorLos Auditores Internos Pueden Auditar Cualquier Cosa, Pero No Todo

​Los Auditores Internos Pueden Auditar Cualquier Cosa, Pero No Todo

Hay momentos en que los clientes de auditoría interna y otros tienen expectativas poco realistas sobre nuestra profesión. No es sorprendente, entonces, que pueda haber confusión sobre nuestro papel. Después de todo, los auditores internos usan muchos sombreros. Somos analistas, expertos en control, consultores, docentes, socios comerciales, vigilantes, asesores financieros, expertos en cumplimiento y más. Realmente podemos auditar casi cualquier cosa. Mientras que algunos riesgos claramente requieren experiencia adicional para auditar, como escribí en una publicación de blog de 2014, "no es necesario ser un payaso para auditar el circo." Sin embargo, como noté entonces, aunque podríamos auditar algo, no podemos auditar todo.

Cada vez que un desglose de control importante aparece en los titulares, alguien inevitablemente pregunta: "¿Dónde estaban los auditores internos?" Como lamentablemente hemos visto demasiado, a menudo, en el último año, los auditores internos se comprometieron y, de hecho, levantaron banderas rojas antes de las calamidades. Pero las advertencias no fueron abordadas satisfactoriamente por la gerencia.

 Dado el tamaño y la complejidad de muchas organizaciones hoy en día, requeriría funciones de auditoría interna increíblemente grandes para abordar todos los riesgos que enfrentan las organizaciones. A veces, simplemente no hay suficientes recursos de auditoría interna para cubrir todos los riesgos significativos y, sí, también hay momentos en que la auditoría interna pasa por alto un riesgo clave que resulta catastrófico.

En el mejor de los casos, la función de auditoría interna solo puede ser tan efectiva como los recursos, la capacitación y el talento disponibles. Los auditores internos no son infalibles y, dada la realidad de los presupuestos y las justificaciones de costos, tampoco podemos estar omnipresentes.

Esto puede generar lagunas en las expectativas y malentendidos sobre lo que los auditores internos pueden hacer o lo que se está abordando.

Varios estudios en los últimos años han notado grandes diferencias entre las percepciones de los auditores internos, los presidentes de los comités de auditoría, los miembros de la junta directiva y la alta gerencia con respecto a cómo sus compañías manejan el fraude y los riesgos éticos. Un estudio de PwC hace varios años mostró que el 53 por ciento de los presidentes de los comités de auditoría, la junta directiva y la gerencia senior pensaban que los riesgos de fraude y ética estaban bien administrados, mientras que solo el 35 por ciento de los ejecutivos principales de auditoría compartían ese sentimiento.

Peter Tickner, un consultor del Reino Unido sobre asuntos de gobierno corporativo y fraude ha notado las diferencias de opinión sobre quién es responsable de la disuasión del fraude y para establecer y evaluar la cultura ética. Cita de Tickner: "La alta dirección estaba convencida que uno de los roles clave del director ejecutivo de auditoría era lidiar proactivamente con los riesgos de fraude y corrupción, mientras que, en general, los CAE lo consideraban como un problema y una responsabilidad de la alta gerencia."

Si Tickner está en lo correcto, es hora de analizar seriamente los roles y responsabilidades dentro de las "Tres líneas de defensa."

Desafortunadamente, nuestros grupos de interés, a veces, quieren más seguridad de la que podemos ofrecer. Un buen ejemplo es en el área de ciberseguridad. Según el Ponemon Institute, 7 de cada 10 organizaciones dicen que sus riesgos de seguridad aumentaron significativamente en 2017. Como notó recientemente Jonathan Crowe de Barkly, "El inicio de 2018 coincidió con la asombrosa revelación de las vulnerabilidades Meltdown y Spectre, que, prácticamente, ponen a cada sistema operativo y dispositivo en el planeta en riesgo."

Las estadísticas son asombrosas y, obviamente, los auditores internos en las organizaciones de hoy no pueden dar seguridad absoluta sobre los controles de ciberseguridad de sus organizaciones. Cuando se trata de riesgos y controles, brindamos garantías importantes, pero no podemos brindar seguridad ilimitada. Y, si bien brindar seguridad es un rol esencial de los auditores internos, debemos evitar dar falsas garantías.

Las expectativas de nuestros clientes no se desarrollan en el vacío. Pueden tener expectativas poco realistas simplemente porque tienen "audición selectiva", pero parte del problema también puede ser nosotros. Las brechas de expectativas pueden desarrollarse debido a algo que decimos o hacemos, o la forma en que lo decimos. O pueden ser el resultado de nuestro silencio.

Todos explicamos regularmente qué podemos hacer por nuestras organizaciones y cómo podemos agregar valor. Es importante que los interesados comprendan los beneficios de la auditoría interna, por lo que creamos dichos mensajes en nuestras cartas constitutivas, nuestras notas de anuncio, nuestras reuniones de apertura al inicio de los compromisos y otras comunicaciones. Sin embargo, si bien podemos explicar cómo puede ayudar la auditoría interna, tal vez deberíamos dedicar un poco más de tiempo a explicar las posibles limitaciones de nuestras capacidades, teniendo en cuenta el antiguo mantra de servicio al cliente que deberíamos "prometer conservadoramente por debajo, luego sobre entregar."

Siempre habrá riesgos, sin importar lo que haga la auditoría interna. Ciertos desastres están destinados a suceder, independientemente del número o la calidad de los auditores internos que protegen a nuestras organizaciones. Cuando las crisis golpean, todos los ojos en la organización pueden recurrir a la auditoría interna para evaluar las causas y las consecuencias. La canción de Lady Antebellum, I Run to You, lo dice bien: "Este mundo sigue girando más rápido hacia un nuevo desastre, así que corro hacia ti." Es natural que la gerencia y el consejo se dirijan a nosotros siguiendo un error de control o falla. Por mucho que podamos tratar de evaluar los riesgos clave antes de las fallas, no podemos auditar todo. Ese es un mensaje que enfatiza el establecimiento de las expectativas clave de las partes interesadas.

¿Cuáles son sus pensamientos sobre cómo cuidar y monitorear las expectativas de las partes interesadas?

Declaración
Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.