3. Impacto
Las entrevistas excepcionales son impulsadas por preguntas perspicaces e indagatorias que exponen el elemento humano de los riesgos y descubren las causas fundamentales.
Las preguntas de evaluación de riesgos basadas en el comportamiento examinan la forma en que los empleados actúan en respuesta a los riesgos y controles y proporcionan un lenguaje común para discutir y comprender el impacto que el elemento humano puede tener en el entorno general de riesgo. Estas preguntas son clave en dos fuerzas influyentes — organizacional e individual — que explican los comportamientos y su impacto en los resultados.
Cuando las actividades de evaluación de riesgos de la auditoría interna identifican proactivamente las causas fundamentales y las tendencias, el impacto de la evaluación de riesgos se hace exponencialmente mayor.
4. Información
Las funciones de auditoría interna se ven continuamente desafiadas por la forma en que agregan información de múltiples fuentes para permitir una mayor aceptación y un mayor alineamiento de los principales riesgos de la organización y el plan de auditoría conexo.
Las evaluaciones de riesgos del pasado se centraron en gran medida en entrevistar a los principales ejecutivos de las empresas y de determinadas unidades de negocio. Esto suele llevar mucho tiempo, y las discusiones se realizan en silos donde la información y los conocimientos no se agregan o evalúan en toda la organización.
Las herramientas de colaboración ayudan a impulsar una mayor comprensión y retroalimentación de una serie de personas en toda la organización. Por ejemplo, se utiliza una plataforma de colaboración virtual para hacer participar a los participantes en la misma sala o en todo el mundo en el proceso de evaluación de riesgos de la auditoría interna y los participantes pueden realizar actividades como la lluvia de ideas, la votación de clasificación sobre cuestiones de riesgo clave.
Una plataforma de colaboración virtual puede hacer que los participantes de todo el mundo participen en el proceso de evaluación de riesgos de la auditoría interna.
5. Perspicacia
El análisis y la visualización de datos ha sido un tema candente para las funciones de auditoría interna durante varios años. Sin embargo, muchas funciones de auditoría interna se han centrado en el uso de la analítica sólo durante la planificación y ejecución de auditorías. Las que están orientadas al futuro están ahora aprovechando el análisis de datos para proporcionar conocimientos durante el proceso de evaluación de riesgos de la auditoría interna como una forma de influir en la naturaleza del plan de auditoría y el alcance de las auditorías específicas.
Las funciones también están utilizando instrumentos de visualización de datos para ayudar a incorporar elementos cuantitativos en el proceso de evaluación de riesgos. Esos conjuntos de datos se sintetizan y visualizan en "paneles de control de riesgo", que luego se aprovechan para ayudar a las funciones de auditoría interna a mantener la comprensión de las principales métricas de rendimiento, los cambios en el negocio y los cambios en el perfil de riesgo.
Las funciones de auditoría interna progresivas están empezando a introducir análisis prescriptivos, determinando así qué decisión o medidas producirán los resultados más eficaces en relación con un conjunto específico de objetivos y limitaciones. Las herramientas para el análisis prescriptivo incluyen la optimización, la automatización de las reglas de negocio y los modelos de decisión de aprendizaje en tiempo real, que pueden utilizarse de forma continua para identificar riesgos o señales de alarma clave.
Para impulsar la perspicacia, empezar con algo pequeño (por ejemplo, análisis de una función, división o proceso vs. una unidad de negocio completa) y obtener unas cuantas ganancias rápidas con el programa de análisis de datos. Por ejemplo, identificar una o dos divisiones o procesos en los que se pueda desplegar el análisis descriptivo o predictivo y luego expandirse a partir de ahí. A continuación, buscar formas de seguir avanzando en el uso de la analítica de datos – por ejemplo, la expansión a otras unidades de negocio, el aumento de la complejidad y la personalización.
Conclusión
Al aplicar los enfoques y procesos examinados anteriormente para disrumpir el proceso de evaluación del riesgo de la auditoría interna, es importante adoptar una visión más amplia del riesgo. No todos los riesgos son negativos; por ejemplo, muchas de las nuevas tecnologías innovadoras aportan beneficios importantes a la organización y es necesario analizar la recompensa de asumir riesgos. Para tener éxito, las organizaciones tendrán que cambiar su enfoque, pasando de la simple mitigación del riesgo de pérdidas a la adopción de nuevas oportunidades de ganancias.
Para lograr ese equilibrio es necesario incorporar el riesgo y los controles en la adopción de decisiones estratégicas en las empresas de primera línea y en los enfoques multifacéticos del portafolio de riesgos.
A medida que las organizaciones reflexionan sobre su proceso de evaluación de riesgos y miran hacia adelante en el cambiante panorama de los riesgos, existen muchas oportunidades para adaptarse, evolucionar e innovar.
En el caso de algunos departamentos de auditoría interna, esto implicará principalmente mejoras en el proceso existente, mientras que otras funciones optarán por realizar cambios más sustanciales y disruptivos en su proceso de evaluación de riesgos y actividades conexas.
La observación de estas cinco características puede ayudar a cambiar el proceso de evaluación de riesgos de la auditoría interna de un ejercicio rutinario de "marcar la casilla" a actividades orientadas a los resultados y basadas en el valor, realizadas por un departamento de auditoría interna muy eficaz y centrado en el valor.
Resumen
No se puede sobrestimar la importancia de las evaluaciones de los riesgos de la auditoría interna. Las principales funciones de auditoría interna deberían disrumpir su propio proceso adoptando cinco características que les ayuden a aportar a la organización una evaluación de riesgos de auditoría interna más innovadora y orientada al valor.