Ana Milena Villarreal, socia de Consultoría en Control Interno y Riesgo de PwC Colombia, y Ramón Abella, socio responsable de Risk Assurance Services (Gobierno, Riesgos & ESG) de PwC España.
LNE. Durante más de una década, PwC ha llevado a cabo encuestas a nivel global de auditoría interna para identificar tendencias y oportunidades de evolución en esta área. En su opinión, ¿Cómo han avanzado las organizaciones en la gestión de la auditoría interna? ¿Podrían darnos algunos ejemplos de cómo las compañías logran ser «pioneras» y marcar el futuro en este campo?
Ramón Abella. La verdad, lo que hemos observado en el mercado español y, en general, en el mercado europeo ha sido una evolución relevante durante los últimos 10 años, particularmente, en la estructura de la auditoría interna.
Las funciones se han ido profesionalizando cada vez más. Esto es importante, ya que cada vez están más enfocadas en los riesgos relevantes a los que las organizaciones se enfrentan. Además, en España el contexto regulatorio ha favorecido la evolución de la función de auditoría interna. En este sentido, en las entidades que podemos considerar de interés público, ya existe una recomendación en cuanto a que las organizaciones deben tener esta función de auditoría interna orientada en la supervisión de los riesgos más preponderantes del negocio.
Ahora, como ejemplos de compañías pioneras están, naturalmente, las compañías cotizadas y relevantes. Estas son las organizaciones con mayores capacidades para inversión y son casos exitosos en la evolución hacia procesos de auditoría interna más estratégicos e involucrados dentro de los aspectos relevantes de la organización.
Ana Milena Villarreal. Complementando lo que menciona Ramón, en Colombia también nos aplican ciertas regulaciones, sobre todo en el sector financiero y en las cajas de compensación, en las que son claras las exigencias para la auditoría interna. El objetivo es tener funciones de auditoría interna maduras que generen valor. Sin embargo, existen muchas compañías que, para ser pioneras, deben seguir ciertos pasos que dependen del nivel en el que se encuentren.
En ese aspecto, tenemos compañías, como aquellas que se han visto enfrentadas a tener un rápido crecimiento, que no necesariamente cuentan con una estructura de gobierno que considere mecanismos de defensa frente a la materialización de riesgos, y tener un nivel de madurez alto en su función de auditoría representa algunos retos.
Para ser pionera en la función de auditoría interna una compañía debe generar planes más dinámicos, que consideren el análisis de la estrategia de la compañía, riesgos emergentes, proyectos, que hagan uso de herramientas tecnológicas para hacer las auditorías, nuevos marcos de trabajo, utilicen especialistas con conocimiento experto en la industria, negocio, tema a auditar, etc.
LNE. Las megatendencias recientes como automatización inteligente, análisis de datos, transformación tecnológica, cultura de riesgo, la geopolítica, el clima, entre otras, representan riesgos sin precedentes en escala y complejidad para las diversas y nuevas áreas. En ese sentido, ¿consideran que las organizaciones revisan y actualizan su plan anual de auditoría a la misma velocidad con la que aparecen los riesgos emergentes? ¿Cuál es la frecuencia recomendada para estas actualizaciones?
AV. En ese aspecto, estamos acostumbrados a hacer planes de auditoría, normalmente, anuales, en los que realizamos un análisis, identificamos riesgos – sobre todo estratégicos – y los conectamos con la cadena de valor. De este modo, realizamos una propuesta como auditor interno.
Sin embargo, a raíz de todo lo que ha sucedido en los últimos años, se han replanteado estos tiempos, ya que deben atender a las necesidades de cada empresa. Dicho esto, se debería realizar, como mínimo, una revisión trimestral; inclusive podría hacerse con mayor frecuencia, dependiendo de los riesgos que se estén visualizando. Esto implica que los auditores internos deban estar permanentemente actualizados sobre lo que está pasando con las compañías y lo que está sucediendo en el mundo. El objetivo es identificar de manera anticipada cualquier riesgo que pueda impactar a la compañía y, en respuesta, actualizar el plan y generar mayor valor.
RA. Coincido con Ana Milena. Lo cierto es que nos hemos encontrado con una serie de riesgos emergentes, los famosos “Cines Negros”. Cada año surgen nuevas circunstancias, por ejemplo, el COVID – 19, situaciones macroeconómicas complejas, geopolíticas diversas, el impacto climático, entre otras. Estos nuevos riesgos están siendo agentes aceleradores del cambio. Las compañías se han visto obligadas a tener mayor agilidad y capacidad a la hora de gestionarlos y supervisarlos. Por tanto, hace falta una mayor flexibilidad por parte de las organizaciones para dar respuesta a estos riesgos emergentes.
AV. Cabe resaltar que, como auditores internos, debemos tener la capacidad de anticiparnos ante los imprevistos para tomar acción, generar valor y proteger a la compañía.
LNE. ¿Cuáles consideran que son los mayores retos hoy en día para llegar a ser un “asesor de confianza” desde la auditoría interna y generar el valor esperado en las organizaciones?
AV. Creo que el gran reto es cambiar la visión que se tiene de la labor de la auditoría interna en las compañías, debido a que, en la gran mayoría, podemos ser vistos como identificadores de fallas en los procesos y no como “protectores” de estos y generadores de valor.
Ahora bien, lograrlo no es una tarea fácil. Debemos demostrar que nuestro conocimiento va más allá de la auditoría, que entendemos bien el negocio y que podemos asesorar y generar recomendaciones de valor con un punto de vista distinto, que considera el negocio y los riesgos a los que se puede enfrentar.
RA. De acuerdo con Ana Milena. Creo que la función de auditoría interna debe ser aportar valor. Para ello, se debe prestar una asesoría de confianza y conocer muy bien el negocio. También es fundamental que exista una labor de auditoría tradicional, pero complementada con una labor de consultoría, orientada a la asesoría, pues ambas aportan valor desde perspectivas distintas.
Actualmente, se busca que esa función de auditoría interna esté más enfocada al asesor de confianza. Esto depende en gran medida de la organización, la alta dirección, chairman y/o CEO, que demanden este servicio. De este modo será más fácil el proceso. Por el contrario, si no está auspiciado por la más alta dirección dentro de la organización, incluso por el consejo de administración o la comisión de auditoría, el proceso sería muy complejo. Esto implica un cambio cultural.
LNE. La auditoría interna necesita una mayor participación en áreas estratégicas para seguir siendo relevante. Al respecto, ¿cuáles consideran ustedes que han sido los mayores impedimentos para que la auditoría interna pueda establecer conversaciones de “buena calidad e interacción frecuente” con la gerencia y alta dirección sobre riesgos?
RA. En relación con lo anterior, si el primer ejecutivo de la compañía, el CEO y/o el Chairman apoyan a la función de auditoría interna y le dan la oportunidad de centrarse en las áreas más estratégicas, se creará ese vínculo que aportará un mayor valor a la organización. Hace falta que ese paso se dé desde la más alta gerencia.
Así mismo, los consejeros independientes o externos tienen un rol muy importante, especialmente, el presidente de la comisión de auditoría. Este debe ser un catalizador, que permita que la función de auditoría interna sea estratégica y que apoye su independencia dentro de la organización.
En ese sentido, lo deseable es una función independiente de doble línea de reporte jerárquico y funcional hacia la comisión de auditoría o consejo de administración, por un lado, y hacia el primer ejecutivo de la compañía, por el otro, de tal manera que se le dote de esa capacidad para poder responder a los retos del negocio.
El desafío está en que todos en la organización conozcan cuál es el rol de la auditoría interna. Que se entienda el valor que aporta, que es ejercido por profesionales que están al más alto nivel directivo y que, por tanto, merecen un reconocimiento profesional.
AV. Complementando lo que menciona Ramón, es normal que tengamos conversaciones retadoras en nuestro rol. En nuestro último estudio se habla de los superpoderes de auditoría interna y cómo pueden ayudar a las organizaciones a «ver a través de los muros» para evitar peligros, eliminar la complejidad y encontrar nuevas oportunidades.
Por lo tanto, es importante “ponerse en los zapatos del otro” cuando tenemos conversaciones sobre los resultados de nuestro trabajo y tener siempre presente que no auditamos personas, sino que auditamos procesos. Las habilidades blandas son muy importantes en nuestro rol por el contenido de lo que transmitimos y creo que es un reto comunicar que estamos ayudando, que estamos protegiendo, solo que, para poder hacerlo, debemos auditar.
Por otro lado, creo que, en las funciones de auditoría interna, es importante que aumentemos la posibilidad de que nos “abran la puerta” y esto sucederá en la medida en que se le demuestre a la administración de la compañía que podemos generar valor. Tenemos que subirnos al nivel de estrategia.
LNE. La auditoría interna puede aumentar su retorno de la inversión cambiando su enfoque hacia la tecnología. En relación con esto, ¿cómo se gestionan los riesgos asociados con la ciberseguridad en el proceso de auditoría interna?
RA. Pienso que este tema está en la agenda de todos los consejos de administración y, desde luego, se requiere inversión en tecnología. En mi opinión, el uso de la tecnología nos tiene que ayudar en esa identificación, mitigando los riesgos de ciberseguridad, entre otros.
Sin embargo, el uso de la tecnología en la función de auditoría interna es absolutamente capital. Es decir, el uso de técnicas estadísticas, data analytics y análisis predictivos, es lo que va a permitir, de alguna forma, gestionar o monitorizar los riesgos a los que se ha hecho referencia.
Por otra parte, el perfil tecnológico dentro de la función de auditoría interna ya no es algo deseable, es una absoluta necesidad. El control absoluto no existe, todos sabemos que estamos expuestos a múltiples riesgos y que en algún momento se van a poner de manifiesto, lo importante es la capacidad para dar respuesta inmediata y con la mayor anticipación posible.
AV. Hoy en día se habla de todo tipo de tecnologías y de todo tipo de riesgos tecnológicos. Indiscutiblemente, nuestras capacidades tienen que cambiar para llevar a cabo unas auditorías más automatizadas, con un cubrimiento de la totalidad de los datos, que nos permitan hacer análisis más profundos, anticipándonos a lo que pueda suceder.
Las auditorías asociadas al riesgo de ciberseguridad, principalmente, las abordamos con la participación de especialistas en el tema, utilizando metodologías actualizadas que consideran los riesgos asociados a los últimos ataques conocidos en el mundo y en Colombia. Para ello, se tiene en cuenta cómo pasó, qué pasó, cómo ingresó, etc. Todos estos aspectos se incluyen dentro del alcance, se verifica si existen controles asociados y se generan recomendaciones sobre lo que se debe implementar para evitar o disminuir la posibilidad de que estos riesgos se materialicen. Como menciona Ramón, un riesgo puede ocurrir en cualquier momento. Por ello, se implementan estrategias para reducir o evitar su materialización, y aquí es donde la tecnología desempeña un papel determinante, pues es la manera más efectiva para lograrlo.
RA. La capacitación debe tener como base la mejora continua para generar conocimiento de forma permanente. En el ámbito tecnológico se requiere anticipación, monitoreo y especial atención a estas alertas tempranas de los riesgos latentes. Esto es lo que nos diferencia en el mercado y nos permite estar a la vanguardia.
Para conocer el Estudio de Auditoría Interna 2023 de PwC Colombia, ¡haz clic aquí! https://www.pwc.com/co/es/publicaciones/estudio-auditoria-interna.html.