Formas en las que la Auditoría Interna puede fallar en servir adecuadamente a su organización
Hay una multitud de presiones en los departamentos modernos de Auditoría Interna. Las expectativas son altas, los recursos son limitados y los riesgos emergen a una velocidad sin precedentes. Muchos Directores Ejecutivos de Auditoría tienen sus equipos de Auditoría Interna preparados para enfrentar estos desafíos. Sin embargo, lamentablemente, las elecciones inadecuadas o equivocadas de los Jefes de Auditoría (CAE) pueden llevar a que la auditoría interna se quede corta.
Ocasionalmente, los CAE bien intencionados y sus departamentos de Auditoría Interna no protegen adecuadamente a sus organizaciones. A veces es inevitable. Incluso el equipo de Auditoría Interna más diligente puede pasar por alto un problema crítico o no reconocer su importancia. Pero con demasiada frecuencia, cuando no protegemos a nuestras organizaciones, no es un descuido; es el resultado de una decisión deliberada.
Tenemos que ser muy conscientes de las consecuencias que nuestras decisiones pueden tener en nuestras organizaciones, por lo que aquí hay cinco ejemplos de cómo pueden ocurrir las elecciones equivocadas por la Auditoría Interna. Cada una de estas situaciones ocurre más a menudo de lo que debería, y cada una es el resultado de una decisión de los auditores internos que debe haber parecido justificable en ese momento. Pero cada una de estas situaciones también puede tener consecuencias desastrosas, y si las piensa desde el punto de vista del Comité de Auditoría, las decisiones pueden no parecer tan justificables después de todo.
1. Evitar Áreas de Alto Riesgo o Aceptar Limitaciones de Alcance
En ocasiones, la administración solicita a la Auditoría Interna que no analice un área específicamente porque saben que existen problemas en esa área. También hay casos en los que la Auditoría Interna no tiene la experiencia para abordar un riesgo crítico. Pero en las auditorías internas basadas en riesgos, no podemos permitirnos ignorar un área o proceso simplemente por interferencia o falta de experiencia. Es posible que la Junta no esté al tanto de la extensión del problema, y puede haber problemas sin descubrir en el área del problema. Auditar un área sensible de alto riesgo requiere fortaleza y coraje, pero es mejor que ignorar un problema y luego preguntarle: «¿Dónde estaba la Auditoría Interna?»
2. Ignorar la cultura organizacional
Cuando las cosas salen dramáticamente mal en las organizaciones, los problemas a menudo provienen de una cultura organizativa tóxica. Algunos Auditores Internos preferirían seguir con los problemas de auditoría que son más fáciles de cuantificar, pero los riesgos relacionados con la cultura organizacional nunca deben ignorarse. Una cultura organizacional poco saludable puede permitir que un problema relativamente menor se convierta en un desastre mayor. Los Directores de Enron y WorldCom se enfrentaron a una importante responsabilidad derivada de las malas acciones de sus empresas, por lo que, cuando la Auditoría Interna ignora la cultura organizativa y las cosas salen mal, no se sorprenda si la Junta le pregunta dónde estaba.
3. Falta de seguimiento
Cada vez que informamos problemas y observaciones, ayudamos a la Administración y al Consejo a tomar conciencia de los problemas. Pero el trabajo de Auditoría Interna no termina ahí. Cuando hacemos que el Consejo esté al tanto de los problemas, debemos estar muy seguros de que los problemas se abordan satisfactoriamente o que la Administración y el Consejo han aceptado el riesgo de no tomar medidas. Nunca es bueno cuando alguien dice: «La Junta conocía el problema, pero no hizo nada al respecto».
4. «Riegos diluidos» Desviaciones Reportables
A veces no es lo que dices; es cómo lo dice. Los informes de auditoría justos y equilibrados deben indicar los problemas con claridad, sin ocultar o distorsionar los hechos. Ocasionalmente, un cliente de auditoría interna puede pedirle que suavice o entierre un hallazgo para localizar el problema y que parezca menos grave de lo que es. Pero si los informes de Auditoría Interna no representan de manera justa el alcance y la gravedad de los problemas reportables, es probable que las medidas correctivas sean inadecuadas. De hecho, no es exagerado decir que la Auditoría Interna está contribuyendo al problema cuando no puede informar con precisión el alcance del problema. No se sorprenda si su Junta pregunta: «¿Por qué no nos dijo qué tan grave era la situación?»
5. Falta de proporcionar informes adecuados sobre la Auditoría Interna
La Junta tiene un deber de cuidado que incluye la supervisión activa de la función de Auditoría Interna. Por ejemplo, los informes del Comité de Auditoría a la Junta Directiva para las compañías que cotizan en la Bolsa de Nueva York deben incluir temas relacionados con el desempeño de la Auditoría Interna. Si su Comité de Auditoría no recibe informes periódicos sobre los planes de Auditoría Interna, los presupuestos, los requisitos de personal, las necesidades de capacitación y la calidad, no se sorprenda si un día el Comité pregunta: «¿Por qué no nos dio la información necesaria para poder permitirles hacer vuestro trabajo?
Cualquiera de estas fallas puede llevar a un impacto significativamente negativo. Afortunadamente, podemos evitar que la mayoría de las Auditorías Internas «fallen» simplemente al cumplir con los estándares profesionales. Los Estándares Internacionales para la Práctica Profesional de la Auditoría Interna están diseñados para protegerse de los errores descritos anteriormente al garantizar que la función de Auditoría Interna cuente con los recursos adecuados, cuente con personal profesional y opere con el más alto nivel de calidad e integridad. Pero los Estándares sólo pueden protegernos a nosotros y a nuestras organizaciones si los usamos.
Como siempre, espero sus comentarios.
Declaración
Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.
Últimos Posts
- Felicitaciones y Éxitos a Terry Grafenstine Presidente de la Junta Directiva del IIA Global 2024-2025 22 de agosto de 2024
- HackAudit CLAI 2024 11 de agosto de 2024
- 1ra HackAudit – CLAI 2024 29 de julio de 2024