Si una empresa espera que las funciones que desarrolla su auditoría interna sean idénticas año con año, es hora de que varíe esa posición, pues puede perder oportunidades valiosas relacionadas con la gestión efectiva del riesgo, operaciones y gobierno.
Es importante, revisar y evaluar regularmente el propósito, desempeño y el enfoque de la auditoría interna.
El estudio de Deloitte “Auditoría Interna: Moviéndose más allá del cumplimiento con Sarbanes-Oxley”, señala que el Comité de Auditoría desempeña un papel importante en la labor de moldear las expectativas de ese departamento y en la medición del éxito de su función.
Tanto el Comité de Auditoría como la auditoría interna pueden revisar regularmente esas expectativas y trabajar de la mano con la administración de la empresa para encontrar la mejor forma en que la unidad en cuestión pueda respaldar los objetivos de cumplimiento, tanto estratégicos como operacionales de la compañía, y de esta forma agregar valor.
Hay dos categorías principales para llevar adelante esta revisión formal de la función de este departamento. Una de ellas es la revisión de la calidad del trabajo que se realiza actualmente, de las actividades de cumplimiento y la revisión de otras materias relacionadas. La segunda es una valoración estratégica que se centra en qué debe estar haciendo la auditoría interna desde la perspectiva de la administración y del Comité de Auditoría.
Para nutrir esta revisión, la empresa puede realizar estudios de comparación de compañías de tamaño o industria similar.
Recuerde que en la tarea de encontrar el rol más apropiado para la función de la auditoría interna, la comunicación entre esta, el Comité de Auditoría y la administración debe ser fluida y estrecha. Y aquí, las entrevistas formales con los stakeholders , es decir, personas interesadas o que se puedan ver afectadas, es un medio valioso para garantizar que las voces de todos sean escuchadas.
Aportando valor
Es interesante recordar que el Institute of Internal Auditors (IIA) define la auditoría interna como “una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”.
Esta definición se refiere a todas las actividades operacionales, los controles, y las estructuras de gobierno de la organización.
Históricamente, la auditoría interna ha incluido dentro del universo un nivel adecuado de atención en los procesos financieros. Sin embargo, existen otros riesgos clave de la compañía que no están directa, o únicamente relacionados con la información financiera, como son amenazas cibernéticas, medios sociales de comunicación, dispositivos móviles, computación en la nube, cumplimiento con la Foreign Corrupt Practices Act (Ley de prácticas corruptas en el extranjero), computación de usuario final, relaciones con terceros y administración de activos de software .
Precisamente, en áreas como computación en la nube y medios sociales, los grupos de auditoría interna están asumiendo un papel más activo, y vemos que en algunas empresas están aprovechando esta perspectiva “interfuncional” de la auditoría interna para ayudar a combatir riesgos.
Es así como, frente a los nuevos y constantes riesgos que enfrentan las compañías, los comités de auditoría deben preguntarse si están logrando el nivel correcto de aseguramiento sobre la administración de todo rango de riesgos. Y es aquí donde el Comité de Auditoría puede ser un orientador efectivo a la hora de explorar si se podrían ampliar las responsabilidades de este departamento. Y esta labor de exploración y evaluación debe ser contante.