La función del auditor no sólo es la revisar las cuentas de la empresa, de recoger y evaluar datos para elaborar su informe, su función va más allá de eso. Norman Marks, líder de opinión en auditoría interna, gestión de riesgos y control interno, escribió que la contribución más grande de un auditor interno para con su empresa es simplemente preguntarle a la Alta Dirección o al Consejo de la compañía, “¿Cómo podemos ayudar?”.
Aunque la labor del auditor es ayudar de diversas formas, la cualidad más importante es la de proporcionar objetividad y perspectiva dentro de una organización, y aún más ahora en este tiempo de pandemia como la del COVID-19, donde deberán ser más enérgicos en gestionar los riesgos. Y de gestionarlos con la máxima objetividad y perspectiva de la que se pueda disponer.
A pesar que los auditores han estado siempre en alerta por los diversos riesgos a los que están expuestas las organizaciones, ahora los riesgos se han visto exponencialmente incrementados con el simple hecho de mandar a los empleados a realizar trabajo remoto o teletrabajo, entre otras muchas causas.
El teletrabajo ha generado en muchos casos el uso de redes no seguras, sin control ya que no tienen el amparo protector de trabajar en el entorno habitual de la empresa, sin olvidar el uso de documentos con información crítica que no están protegidos con la inclusión de controles a nivel fichero, la facilidad de manipulación de la información contenida en ellos, o la presión añadida a nuestra fuerza de ventas para mantener la actividad a toda costa, aunque sea en remoto. Estos eventos de riesgos son los que el auditor interno debería prestar más atención que nunca, ya que corren el riesgo de materializarse.
Otro factor dilatador de esta situación de riesgos, es el hecho de que una organización no posea una cultura corporativa fuerte. Numerosos estudios sostienen que las organizaciones que gestionan activamente su cultura de riesgos superan a su competencia del mismo sector, en cuanto a valor de mercado.
La vulnerabilidad de la organización se dispara exponencialmente, cuando los empleados con responsabilidades dentro de un modelo de control y compliance, no perciben como relevante gestionar más activamente que nunca los controles y riesgos de los que son dueños. El no monitorear los “nuevos riesgos” derivados del actual contexto y entorno de trabajo (físico y/o remoto), desembocará en consecuencias lógicas de brechas en nuestros modelos de aseguramiento y control.
Modelos de control adecuados para evitar sobrecostes
Las brechas o fallos en la ejecución de los modelos de control, pueden traer consigo consecuencias negativas en la economía de la organización. Normalmente se infravalora el coste real de los modelos de control dado que no se suele contabilizar el coste de la primera línea de defensa, así como la corrección de errores, la planificación, coordinación, perseguir al dueño de control que no ha ejecutado en fecha su certificación, el coste de reperformance de los controles, el incremento de comunicaciones y reuniones por parte de auditoria interna, etc.
Cuando existe una adecuada cultura de riesgos en la organización, todos los sobrecostes se ven reducidos, así como los errores casi desaparecen y la ejecución de los controles se vuelve más ágil y dinámica. Por lo que, se incrementa el valor del modelo de control, se mitiga de mejor manera el riesgo y se reduce significativamente el coste para la compañía.
Frente a lo expuesto, el auditor interno debería asumir un perfil activo en los planes y acciones de sus organizaciones ante esta nueva situación generada por la pandemia, lo que podría contribuir claramente, a la reducción de costes para la compañía.
Richard Chambers, presidente y CEO del Instituto de Auditores Internos Internacional (IIA) comentaba que existen ciertas acciones clave que los auditores internos ya deberían comenzar en relación al apoyo y soporte a sus organizaciones. Como la de comprender y evaluar la gama completa de riesgos inmediatos. Lo que significaría que el Auditor Interno debería colaborar desde ya en poner en marcha acciones para identificar todos los riesgos posibles, evaluar su impacto potencial y pensar detenidamente respuestas a esos riesgos.
La auditoría interna es un factor clave en la organización ya que permite abordar objetivamente los riesgos y puede evaluar si los responsables de cada unidad de negocio han identificado la gama completa de riesgos, directos e indirectos, y la gama de acciones para gestionar estos posibles impactos, especialmente si, los escenarios más improbables son los que realmente se están materializando.
Controlar la incertidumbre y la vulnerabilidad
Desde el inicio de la crisis y los cambios que se han dado durante este tiempo, refuerza la teoría de que los peligros son menos predecibles que nunca. Adicionalmente, está demostrada que el impacto económico es cada vez mayor, dado que el nivel de capital impactado también es muy alto.
Estamos sufriendo y demostrando empíricamente que la vulnerabilidad se está agravando. Y se está confirmando “el efecto cascada” de los eventos de riesgo, desencadenando una inestabilidad grave o el colapso de toda una industria o economía.
Para combatir este nuevo escenario es necesario que al auditor interno también contribuya dentro de su organización a cambiar el enfoque y movernos desde el riesgo hacia la resiliencia.
Es necesario estar alertas e ir más allá del pensamiento a corto plazo y pensar en términos de sistema de sistemas (SoS). Para ello es importante que coopere con sus homólogos en otras organizaciones, industria o región, recopile y facilite el intercambio de datos e información sobre todos los riesgos a los que están expuestos e incluso gestione la interacción y cooperación con asociaciones o lobbys sectoriales, organismos públicos o privados y/o redes regionales e internacionales que faciliten la colaboración para una gestión eficaz de los riesgos.
Fuente: Tendencias.Kpmg