9 minutos de lectura 28 feb. 2019
Cinco características para generar disrupción

Cinco características para generar disrupción en el proceso de evaluación de riesgos de la auditoría interna

Lisa Hartkopf
Por Lisa Hartkopf

EY Americas Consulting Internal Audit Leader

Líder estratégica en la transformación de la auditoría y los controles internos. Genera energía y pasión que puede ser aprovechada de manera auténtica para permitir que otros reconozcan su talento y potencial. Madre.

Colaboradores

Esi Akinosho

9 minutos de lectura 28 feb. 2019
Temas relacionados Riesgos
Votar a favor

Mostrar recursos

  • Five characteristics to disrupt IA risk assessment (PDF)

    Descargar 8 MB

Las funciones de auditoría interna con visión de futuro deberían adoptar cinco características para centrarse más estrechamente en los resultados y el valor para la organización.

A medida que las organizaciones buscan administrar su perfil de riesgo en expansión, se vuelve cada vez más complejo para las funciones de auditoría interna evaluar y monitorear la amplitud de los riesgos a través de actividades tradicionales de evaluación de riesgos. Históricamente, las funciones de auditoría interna han tenido un acceso limitado a la tecnología para aprovechar al máximo la evaluación de los riesgos, lo que ha dado lugar a un importante esfuerzo manual para reunir y procesar los datos necesarios. En consecuencia, muchos procesos de evaluación de riesgos pueden no estar alcanzando su pleno potencial en el análisis de riesgos y en la aportación de valor a la función de la auditoría interna y a la organización en su conjunto.

Los departamentos de auditoría interna con visión de futuro están generando disrupciones en su proceso de evaluación de riesgos de la auditoría interna — no están satisfechos con el status quo, y quieren mejor información y mayor conocimiento para impulsar su estrategia y plan de auditoría.

Los departamentos de estas organizaciones están utilizando la tecnología para evaluar cuantitativamente y valorar los riesgos y están innovando en la forma de relacionarse con los principales stakeholders. Se centran en alinearse con las prioridades y objetivos estratégicos de la empresa, proporcionando información a la empresa y aportando un valor que repercute en la organización de formas nuevas y diferentes.

Las principales evaluaciones de riesgo de la auditoría interna muestran cinco características principales dentro de su proceso de evaluación del riesgo: innovación, interacción, impacto, información y perspicacia.

1. Innovación

¿Cómo será el proceso de evaluación de riesgos de la clase líder en un año? ¿Dos años? ¿Diez años? No hay una sola respuesta. El cambio continuará, requiriendo que los departamentos de auditoría interna innoven y desplieguen nuevos procesos, nuevas tecnologías y nuevas ideas. Desafiar a sus equipos de auditoría interna a pensar en formas nuevas e innovadoras de lograr una tarea o realizar una actividad que pueda ayudar a impulsar la eficiencia, la eficacia o un mayor valor (o cualquier objetivo que esté tratando de alcanzar). Para activar una cultura de la innovación, todo el departamento de auditoría interna debe adoptar plenamente las ideas y principios que la sustentan – los programas comunes de innovación se centran en tres principios clave: evaluación, incubación y ejecución.

  • La innovación en la práctica

    Los altos líderes de una empresa tecnológica global multimillonaria hicieron un llamado a la acción a la auditoría interna: "A medida que el negocio cambia y se adapta a una industria en evolución, ¿cómo innovará y evolucionará la auditoría interna para seguir siendo relevante y efectiva?"

    La empresa estaba llevando a cabo una importante transformación de varios años en torno a su modelo de negocio, su cartera y sus sistemas tecnológicos, y los altos directivos necesitaban que la auditoría interna se transformara con ellos.

    El equipo implementó un Centro de Colaboración, que reunió a los líderes de los departamentos durante todo el año para colaborar. El Centro de Colaboración fue un éxito rotundo, ya que reunió al equipo bajo una visión común y trazó su curso para los próximos tres a cinco años. Produjo un proceso de evaluación de riesgos de auditoría interna reimaginado, en el que el equipo identificó nuevas y emocionantes formas de capturar, evaluar y sintetizar datos en tiempo real para impulsar una mejor identificación y evaluación de los riesgos en toda la organización. El plan de auditoría que se desarrolló eliminó las auditorías rotativas de bajo valor y en su lugar incluyó auditorías que estaban estrechamente alineadas con los principales riesgos empresariales a los que se enfrentaba la empresa.

2. Interacción

Cuando la auditoría interna es capaz de impulsar una interacción significativa y coherente con los principales stakeholders de toda la organización y aportar su propio punto de vista sobre los riesgos emergentes, el resultado es un diálogo y un debate empresarial más estimulante. Además, cuando la auditoría interna comprende mejor las prioridades, los objetivos comerciales y el perfil de riesgo de la organización, el resultado es un plan de auditoría más específico y valioso para la organización.

Un compromiso más frecuente (frente a un proceso puntual o anual) proporciona a la auditoría interna una mayor comprensión y la oportunidad de responder de manera más oportuna a los riesgos y desafíos actuales y emergentes.

  • La interacción en la práctica

    En una organización, la auditoría interna se enfrentó al reto de proporcionar un plan que respondiera al perfil de riesgo cambiante del negocio. Bajo el enfoque anterior de evaluación de riesgos puntual en el tiempo de auditoría interna, podía existir un intervalo de 9 a 12 meses entre las actividades de evaluación de riesgos y el comienzo de una auditoría. Este desfase daba lugar a cambios en los factores de riesgo tanto internos como externos, lo que repercutía en la relevancia de las auditorías individuales.

    Se aplicó un enfoque de evaluación de riesgos más interactivo e iterativo mediante un plan de auditoría interna continuo de 12 meses. La auditoría interna pasó de la realización de entrevistas anuales con la dirección a una cadencia de reuniones más dinámica e iterativa con los principales stakeholders y a la evaluación de los riesgos mediante el uso de herramientas y tecnología. Este enfoque ajustado incluyó una reunión mensual de evaluación de riesgos apoyada por conversaciones mensuales o trimestrales con los principales stakeholders de toda la organización.

    El impacto del nuevo enfoque fue significativo. Los principales riesgos se reevalúan y priorizan trimestralmente, lo que contribuye a dar una respuesta más flexible a la empresa y a aumentar la eficiencia general del proceso de auditoría. El diálogo frecuente aumentó el conocimiento de la empresa por parte de la auditoría interna y agudizó su enfoque para permitir debates y actividades de auditoría más impactantes.

3. Impacto

Las entrevistas excepcionales son impulsadas por preguntas perspicaces e indagatorias que exponen el elemento humano de los riesgos y descubren las causas fundamentales.

Las preguntas de evaluación de riesgos basadas en el comportamiento examinan la forma en que los empleados actúan en respuesta a los riesgos y controles y proporcionan un lenguaje común para discutir y comprender el impacto que el elemento humano puede tener en el entorno general de riesgo. Estas preguntas son clave en dos fuerzas influyentes — organizacional e individual — que explican los comportamientos y su impacto en los resultados.

  • El impacto en la práctica

    El equipo de auditoría interna en una gran empresa de energía fue desafiado a obtener información más específica e impactante de sus entrevistas de evaluación de riesgos. El proceso histórico y el enfoque habían demostrado ser de poco valor, y el equipo no estaba llegando a la raíz de los riesgos y no entendía por qué ciertos riesgos eran más prevalentes que otros.

    El equipo de auditoría interna ejecutó entrevistas de evaluación de riesgos y aprovechó las preguntas basadas en el comportamiento.

    La retroalimentación sincera y más impactante que se obtuvo condujo a mejores conversaciones e ideas durante el proceso de evaluación de riesgos. En las entrevistas de evaluación de riesgos se identificaron nuevos riesgos (así como sus causas fundamentales), que requerían un enfoque y una atención adicionales por parte de la auditoría interna y la dirección de la organización. Esos riesgos se examinaron con la dirección ejecutiva y dieron lugar a un plan de auditoría interna que respondía mejor a los riesgos a que se enfrentaba la organización.

Cuando las actividades de evaluación de riesgos de la auditoría interna identifican proactivamente las causas fundamentales y las tendencias, el impacto de la evaluación de riesgos se hace exponencialmente mayor.

4. Información

Las funciones de auditoría interna se ven continuamente desafiadas por la forma en que agregan información de múltiples fuentes para permitir una mayor aceptación y un mayor alineamiento de los principales riesgos de la organización y el plan de auditoría conexo.

Las evaluaciones de riesgos del pasado se centraron en gran medida en entrevistar a los principales ejecutivos de las empresas y de determinadas unidades de negocio. Esto suele llevar mucho tiempo, y las discusiones se realizan en silos donde la información y los conocimientos no se agregan o evalúan en toda la organización.

Las herramientas de colaboración ayudan a impulsar una mayor comprensión y retroalimentación de una serie de personas en toda la organización. Por ejemplo, se utiliza una plataforma de colaboración virtual para hacer participar a los participantes en la misma sala o en todo el mundo en el proceso de evaluación de riesgos de la auditoría interna y los participantes pueden realizar actividades como la lluvia de ideas, la votación de clasificación sobre cuestiones de riesgo clave.

Una plataforma de colaboración virtual puede hacer que los participantes de todo el mundo participen en el proceso de evaluación de riesgos de la auditoría interna.
Esi Akinosho
Houston Office Managing Partner, Ernst & Young LLP

  • La información en la práctica

    El equipo de auditoría interna en una compañía global de servicios tecnológicos de miles de millones de dólares fue desafiado a diseñar un enfoque para recopilar eficientemente datos cuantitativos y cualitativos de la gestión de la "Capa 3" y la "Capa 4". El enfoque histórico había demostrado ser demasiado aislado para los altos ejecutivos y los riesgos identificados se encontraban a un nivel macro y no permitían el desarrollo de un plan eficaz de auditoría interna.

    Utilizando una herramienta de colaboración, el equipo de auditoría interna ejecutó una serie de evaluaciones de riesgos con más de 100 participantes de seis continentes, abarcando unidades y funciones comerciales. Estas sesiones se utilizaron para identificar, calificar y clasificar los principales riesgos y para ofrecer oportunidades a la administración para que proporcionara otros conocimientos y perspectivas en relación con el perfil de riesgo de la empresa. Si bien habría llevado varias semanas a la auditoría interna salir y entrevistar a este personal, las mismas interacciones se lograron en tres días (con un presupuesto reducido y sin viajes).

    Los conocimientos recogidos a través de la herramienta de colaboración permitieron al equipo de auditoría interna presentar los resultados al CEO y CFO, estratificados por región y tipo de riesgo. El CEO consideró que se trataba de un momento "aha", ya que los resultados implicaban que ciertos riesgos (en los que no se centraba la dirección ejecutiva) preocupaban más a los "mandos intermedios" y planteaban verdaderos desafíos a las prioridades estratégicas de la organización.

    Además, los aportes cualitativos del texto ayudaron a determinar las esferas de riesgo que no se habían identificado (o considerado) en actividades anteriores de evaluación de riesgos, lo que dio lugar a la elaboración de un plan de auditoría interna de mayor valor añadido.

5. Perspicacia

El análisis y la visualización de datos ha sido un tema candente para las funciones de auditoría interna durante varios años. Sin embargo, muchas funciones de auditoría interna se han centrado en el uso de la analítica sólo durante la planificación y ejecución de auditorías. Las que están orientadas al futuro están ahora aprovechando el análisis de datos para proporcionar conocimientos durante el proceso de evaluación de riesgos de la auditoría interna como una forma de influir en la naturaleza del plan de auditoría y el alcance de las auditorías específicas.

Las funciones también están utilizando instrumentos de visualización de datos para ayudar a incorporar elementos cuantitativos en el proceso de evaluación de riesgos. Esos conjuntos de datos se sintetizan y visualizan en "paneles de control de riesgo", que luego se aprovechan para ayudar a las funciones de auditoría interna a mantener la comprensión de las principales métricas de rendimiento, los cambios en el negocio y los cambios en el perfil de riesgo.

Las funciones de auditoría interna progresivas están empezando a introducir análisis prescriptivos, determinando así qué decisión o medidas producirán los resultados más eficaces en relación con un conjunto específico de objetivos y limitaciones. Las herramientas para el análisis prescriptivo incluyen la optimización, la automatización de las reglas de negocio y los modelos de decisión de aprendizaje en tiempo real, que pueden utilizarse de forma continua para identificar riesgos o señales de alarma clave.

Para impulsar la perspicacia, empezar con algo pequeño (por ejemplo, análisis de una función, división o proceso vs. una unidad de negocio completa) y obtener unas cuantas ganancias rápidas con el programa de análisis de datos. Por ejemplo, identificar una o dos divisiones o procesos en los que se pueda desplegar el análisis descriptivo o predictivo y luego expandirse a partir de ahí. A continuación, buscar formas de seguir avanzando en el uso de la analítica de datos – por ejemplo, la expansión a otras unidades de negocio, el aumento de la complejidad y la personalización.

  • La perspicacia en la práctica

    Históricamente, la función de la auditoría interna en una empresa de productos industriales globales visitaba la mayoría de sus ubicaciones internacionales al menos una vez cada tres a cinco años. El equipo de auditoría interna fue desafiado con la forma de obtener mejores conocimientos para impulsar una mayor eficiencia y eficacia con su plan de auditoría internacional.

    El equipo de auditoría interna elaboró una estrategia y un enfoque para realizar el análisis de datos en varias de las esferas básicas de la auditoría (por ejemplo, ventas, ingresos, inventario, desembolsos, activos fijos y nómina) como parte del proceso de evaluación de riesgos. Los resultados alimentan un "perfil de riesgo de localización". El equipo aprovechó sus entrevistas de evaluación de riesgos y otros datos cualitativos, combinados con 12 a 18 meses de datos cuantitativos, para elaborar una puntuación de riesgo para cada ubicación internacional.

    El puntaje de riesgo resultante dictaría la naturaleza y el alcance de la labor de auditoría interna sustantiva o basada en controles que el equipo realizaría (por ejemplo, sin pruebas adicionales, pruebas limitadas, pruebas completas in situ) en un año determinado.

    El equipo planea aprovechar las tres semanas ahorradas para redistribuir el equipo de auditoría interna a otras áreas de mayor riesgo en toda la organización.

Conclusión

Al aplicar los enfoques y procesos examinados anteriormente para disrumpir el proceso de evaluación del riesgo de la auditoría interna, es importante adoptar una visión más amplia del riesgo. No todos los riesgos son negativos; por ejemplo, muchas de las nuevas tecnologías innovadoras aportan beneficios importantes a la organización y es necesario analizar la recompensa de asumir riesgos. Para tener éxito, las organizaciones tendrán que cambiar su enfoque, pasando de la simple mitigación del riesgo de pérdidas a la adopción de nuevas oportunidades de ganancias.

Para lograr ese equilibrio es necesario incorporar el riesgo y los controles en la adopción de decisiones estratégicas en las empresas de primera línea y en los enfoques multifacéticos del portafolio de riesgos.

A medida que las organizaciones reflexionan sobre su proceso de evaluación de riesgos y miran hacia adelante en el cambiante panorama de los riesgos, existen muchas oportunidades para adaptarse, evolucionar e innovar.

En el caso de algunos departamentos de auditoría interna, esto implicará principalmente mejoras en el proceso existente, mientras que otras funciones optarán por realizar cambios más sustanciales y disruptivos en su proceso de evaluación de riesgos y actividades conexas.

La observación de estas cinco características puede ayudar a cambiar el proceso de evaluación de riesgos de la auditoría interna de un ejercicio rutinario de "marcar la casilla" a actividades orientadas a los resultados y basadas en el valor, realizadas por un departamento de auditoría interna muy eficaz y centrado en el valor.

Resumen

No se puede sobrestimar la importancia de las evaluaciones de los riesgos de la auditoría interna. Las principales funciones de auditoría interna deberían disrumpir su propio proceso adoptando cinco características que les ayuden a aportar a la organización una evaluación de riesgos de auditoría interna más innovadora y orientada al valor.

Acerca de este artículo

Lisa Hartkopf
Por Lisa Hartkopf

EY Americas Consulting Internal Audit Leader

Líder estratégica en la transformación de la auditoría y los controles internos. Genera energía y pasión que puede ser aprovechada de manera auténtica para permitir que otros reconozcan su talento y potencial. Madre.

Colaboradores

Esi Akinosho

Related topics Riesgos
Votar a favor