Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb Separator¿Se convertirá la Auditoría Interna subcontratada en la víctima de su propia muerte?

​¿Se convertirá la Auditoría Interna subcontratada en la víctima de su propia muerte?

El desmantelamiento del segundo constructor más grande del Reino Unido creó una tormenta de controversia sobre las señales de advertencia que se perdieron o se ignoraron. Pocos asociados con la caída del coloso de la construcción Carillion han escapado a las críticas, incluidos sus directores y auditores, así como los supervisores del gobierno, desde el Consejo de Reportes Financieros hasta el Regulador de Pensiones.

Mientras el Parlamento y otros buscan la rendición de cuentas por la caída de Carillion, sus investigaciones ofrecen una mirada aleccionadora sobre el rol de la auditoría interna en el desastre.

Los servicios de auditoría interna de Carillion fueron totalmente subcontratados a Deloitte, mientras que KPMG fue el auditor de los estados financieros. Una audiencia en febrero ante un par de comités de la Cámara de los Comunes puso a los representantes de ambas firmas en el banquillo. Como he escrito en numerosas ocasiones, me preocupa cuando la pregunta, "¿Dónde estaba la auditoría interna?" surge después de un escándalo y, francamente, leer algunas de las respuestas proporcionadas por el representante de Deloitte me hizo sentir extremadamente incómodo.

Tal como lo describo a continuación, los servicios de Deloitte para Carillion se enfocaron estrechamente, no proporcionaron al comité de auditoría una imagen completa del ambiente de control, y no parecían enfocarse en algunos de los riesgos más importantes para la compañía. Con base en mi lectura de las transcripciones de la audiencia, la posición de Deloitte es que hizo bien su trabajo y no se le encomendó la tarea de interpelar o alertar al comité de auditoría sobre el creciente cobro de deudas u otras cuestiones emergentes.

El socio de auditoría interna de Deloitte, Michael Jones, dijo a los comités: "Nuestra función es evaluar y hacer recomendaciones con respecto al ambiente de control de la empresa. De esta manera, elaboramos un plan, y normalmente lo hacemos en un plan a tres años y luego tenemos un plan para cada año. Lo hacemos en discusiones con la compañía y finalmente lo llevamos al comité de auditoría, y establecemos ante el comité de auditoría lo que estamos haciendo y lo que no estamos haciendo."

Es preocupante que cualquier compañía que haga negocios en el entorno comercial dinámico de hoy tenga un plan de auditoría de tres años. La mayoría de las empresas modernas tienen planes anuales de auditoría que se actualizan a lo largo del año. Además, al evaluar y hacer recomendaciones sobre el ambiente de control puede proporcionar valor, la mayoría de las funciones de auditoría interna de alto rendimiento también se centran en los principales riesgos financieros, operativos, de cumplimiento y estratégicos / comerciales que enfrentan sus empresas.

Otro testimonio confirma la visión limitada de Deloitte de su trabajo como proveedor de auditoría interna de Carillion. No asistió a todas las reuniones del comité de auditoría. No creyó necesario aprender más sobre un tema (cobro de deudas) sobre el que el CEO estaba pasando mucho tiempo. No planteó preguntas cuando descubrió que las revisiones de calidad realizadas entre pares sobre numerosos proyectos reflejaban proyecciones de pérdidas y ganancias más pesimistas.

Para ser justos, Deloitte no estaba solo en esta visión miope de la auditoría interna. El comité de administración y auditoría de Carillion fue responsable del alcance del trabajo de auditoría interna. Sospecho que la decisión de Carillion de subcontratar la función a un miembro respetado de las cuatro grandes creó una falsa sensación de seguridad. La lección importante aquí para los comités de gestión y auditoría en todas partes es que la auditoría interna no funciona mejor en piloto automático. Debe haber un compromiso real que aproveche la visión y la previsión que puede proporcionar la auditoría interna.

La controversia sobre la ejecución por parte de Deloitte del compromiso de auditoría interna de Carillion no tiene precedentes. En los Estados Unidos, la Corporación Federal de Seguros de Depósitos (FDIC) tenía un litigio pendiente contra Crowe Horwath, que prestó servicios de auditoría interna para el fallido Colonial Bank. En su demanda, la FDIC acusó a la firma de "negligencia profesional, negligencia grave y tergiversación negligente" en relación con la prestación de servicios de auditoría interna en Colonial Bank. Entre otras cosas, acusó a la firma de no cumplir con una serie de estándares de IIA en la entrega del compromiso. MarketWatch informa que la FDIC ha llegado a un acuerdo en el caso contra Crowe, en espera de la aprobación del tribunal.

Desde al menos la década de 1990, el IIA ha apoyado el despliegue en la estrategia de selección u obtención de servicios que dependen de los proveedores de los mismos. He llegado tan lejos como para sugerir que basarse en una estrategia efectiva de co-sourcing (el subcontratar y también usar personal interno) es una práctica líder. Según una encuesta de IIA, más de la mitad de las funciones de auditoría interna de Fortune 500 aprovechan los servicios de uno o más proveedores de terceros.

Puede haber ocasiones en que sea apropiado un modelo totalmente de externalización, como cuando una empresa desea transformar drásticamente su función de auditoría interna con todo el personal nuevo, o se está estableciendo una nueva función de auditoría interna. Si bien la externalización total no es un modelo ideal para la prestación de servicios de auditoría interna, el IIA reconoció la necesidad de proporcionar orientación adicional en un documento de posición que describe los desafíos y ofrece precauciones importantes relacionadas con la externalización de la función de auditoría interna. El IIA cree que "la supervisión y la responsabilidad de la actividad de auditoría interna no pueden subcontratarse."

Existen por lo menos dos requisitos absolutamente críticos que deben existir para los trabajos de auditoría interna subcontratados por completo: (1) Un enlace interno, preferentemente un ejecutivo o un empleado de alto nivel gerencial, debería ser responsable de la "gestión" de la auditoría interna; y (2) el compromiso debe contar con profesionales competentes que cumplan con sus responsabilidades de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna del IIA. En los casos de Carillion y Colonial Bank, el problema no es que la auditoría interna se externalizó. El problema es si la función de auditoría interna hizo el trabajo correctamente y bajo la supervisión correcta de la organización.

Habiendo tenido alguna experiencia con la cultura de gestión de riesgos de las grandes firmas contables que, a menudo, realizan estos compromisos, hay al menos dos razones por las que considero que las acusaciones de alto perfil contra los proveedores externos de auditoría causarán consternación: (1) exposición a litigios; y (2) daño potencial a la reputación de la marca de la empresa. A medida que surgen casos como estos, anticipo un escrutinio exhaustivo por parte de las firmas de clientes que buscan un proveedor externo, y controles más extensos y conformidad con estándares profesionales en la ejecución de los compromisos.

De lo contrario, no me sorprendería ver que las firmas se alejan de los contratos completamente subcontratados, que conllevan mucho más riesgo que el modelo más común de co-sourcing. En otras palabras, si continúan las acusaciones de alto perfil y el litigio en contra de las empresas, los compromisos completamente subcontratados podrían convertirse en víctimas de su propia desaparición.

Permítanme concluir reconociendo que hay muchos proveedores de servicios destacados en todo el mundo que ofrecen servicios de auditoría interna de co-sourcing y externalización. Sé de primera mano que los hombres y mujeres profesionales que trabajan en estos compromisos son apasionados por la entrega de servicios de calidad para sus clientes. Animaría a las empresas, a sus socios y a su personal a que reciban lecciones de Carillion y de Colonial Bank y proporcionen servicios de auditoría interna que sean irrefutables.

Como siempre, espero sus comentarios.

Declaración

Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.