Cuando se trata de Auditoría basada en el riesgo, no deje que la cola mueva al perro

Richard Chambers 16 de febrero 2015

(es Presidente de Institute of internal Auditors)

Nota del Editor de AECHILE

 

El artículo original está en inglés ,para nuestros lectores de habla hispana , se puso traductor automático al español y ajustes aunque no haya quedado perfecto , da la idea. Cabe mencionar que es para Auditoría Interna.

 

En el recuento , más del 80 por ciento de los departamentos de auditoría interna formulan evaluar los riesgos como parte de su programa de auditoría. Así que, ¿por qué es que los riesgos legítimos a la organización son a menudo pasados por alto, o pasados por alto por completo, cuando la auditoría interna está evaluando los riesgos? Me temo que esto sucede con demasiada frecuencia, y que plantea un enorme y potencialmente creciente exposición tanto para los clientes de auditoría interna y para la reputación de la profesión.

He mirado bajo el capó de decenas de funciones de auditoría interna en la última década, y me he comprometido a docenas de otros CAE (Nota del Editor CAE es Director Ejecutivo de Auditoría ) en discusiones con respecto a sus prácticas de evaluación de riesgos. Como he sido testigo de primera mano, y muchos CAE he reconocido abiertamente que algunos riesgos nunca los ponen en el radar de riesgos de auditoría interna. Hay una serie de razones para este descuido: El comité de auditoría puede limitar explícitamente las áreas en las que quieren auditoría interna para centrarse; un nuevo riesgo puede surgir tan rápidamente que su potencial para causar estragos no está plenamente reconocida; o personal de auditoría interna son inconscientemente sesgada suponer que, porque las áreas históricamente han sido bien controlado, no hay riesgos están presentes.

Sin embargo, hay otra razón más preocupante y qué riesgos clave se omiten con frecuencia de la evaluación de riesgos y planes de auditoría posteriores: El departamento de auditoría interna simplemente no tiene las habilidades para hacer frente a los riesgos.

¿Cuántas veces auditoría sólo anota las cosas para las que tenemos las habilidades y hace la vista gorda ante los riesgos que no podemos evaluar fácilmente con el talento en el personal? La evaluación sólo de los riesgos que sabemos que podemos auditar es la situación clásica de “la cola que mueve al perro”. Cuando esto sucede, la auditoría interna ofrece un falso nivel de comodidad a la gestión y el consejo que éstas no son zonas de riesgo en absoluto, porque no afectan negativamente a la organización o son bien controlados.

Claramente, el curso apropiado es valorar la cartera completa de los riesgos que podrían impedir que la organización alcance sus objetivos, identificar las áreas en las que los riesgos residuales siguen siendo altos, desarrollar un plan de auditoría interna basada en los riesgos p, y sólo entonces determinar si la auditoría interna orgánicamente posee los recursos para hacerles frente. A menudo, no lo hace.

Hay soluciones para el CAE cuando se carece de las habilidades de la casa. Estos incluyen la contratación del talento requerido, co-sourcing, o aprovechar la experiencia de la organización en otro lugar. Pero no deje riesgos fuera de la matriz sólo porque usted no tiene las habilidades para evaluar ellos – al menos no sin reconocer a la gerencia y el comité de auditoría.

Desde mi experiencia, las áreas más comunes que no logran hacer la evaluación del riesgo a causa de falta de competencias de auditoría interna son los relacionados con la tecnología (la ciberseguridad, el cloud computing, la tecnología móvil, etc.) y / riesgos estratégicos del negocio. Cuando estos riesgos explotan y dañan significativamente el valor del accionista, la retórica “,donde estaba la auditoría interna” cuestión se plantea a menudo. Por desgracia, he visto más de unos pocos heridos en esta carrera CAE porque un riesgo letal no fue revisado – en algunos casos debido a la insuficiencia de conocimientos

Por eso aconsejo CAE para sentarse con la dirección y el comité de auditoría en el momento en que se presentó el plan de auditoría y ser sincero acerca de lo que no está siendo estudiado y por qué. ¿Hay algo que no está incluido porque auditoría interna decidió que era un riesgo menor? ¿Es porque la auditoría interna no tiene recursos suficientes? O, ¿es que la auditoría interna no tiene la experiencia necesaria? Con demasiada frecuencia, es porque no tenemos la experiencia, y es conveniente mirar hacia otro lado.

Tan penetrante como la escasez de habilidades de auditoría interna para abordar los riesgos especializados es ahora, me temo que sólo está empeorando. Hay una creciente evidencia de que estamos en medio de una creciente escasez de talento en la profesión. El aumento de la competencia por el talento y un alcance cada vez mayor de trabajo asignado a la auditoría interna son doble amenaza que podría tener profundas consecuencias.

2015 Pulso El IIA Auditoría del Centro Ejecutivo de la encuesta de Auditoría Interna, la cual será totalmente presentado en nuestra próxima Conferencia de Administración General de Auditoría (GAM) en marzo, hace alusión a la intensa lucha por el talento. De hecho, el 40 por ciento de los encuestados de América del Norte CAE dijo atraer y retener a los auditores internos calificados fue una prioridad alta o crítica para sus planes de auditoría. Cuando se le preguntó para describir por qué existían lagunas de competencias en sus equipos, el 54 por ciento citó la competencia por una piscina de talento limitado.

Evidencia de esta batalla por el talento se puso de manifiesto en una mesa redonda CAE asistí recientemente en Nueva York. Entre las dos docenas de CAE en la asistencia, varios dijeron perder las nuevas contrataciones a un competidor antes de que se presentaron para su primer día en el trabajo!

Nuestro próximo informe sobre la encuesta de 2015 Pulso compartirá estrategias para navegar por la escasez de talento, incluyendo técnicas empleadas por los participantes en la encuesta para hacer frente a la brecha de habilidades.

Animo a todos los CAE y partes interesadas para considerar si sus planes de auditoría pueden limitarse indebidamente por el nivel de conocimientos sobre el personal de auditoría interna. En un mundo perfecto, esto nunca sería así. Pero en un mundo perfecto, la auditoría interna no tendría mucho que hacer.

Las opiniones expresadas por los bloggers del Auditor Interno pueden diferir de las políticas y declaraciones oficiales del Instituto de Auditores Internos y sus comités y de las opiniones aprobadas por los empleadores a los bloggers o los editores del Auditor Interno. La revista se complace en ofrecerle la oportunidad de compartir sus pensamientos acerca de estas entradas de blog. Algunos comentarios pueden ser reproducidos en otros lugares, en línea o fuera de línea.

________________________________________

 

Aechile
Aechile
ADMINISTRATOR
PROFILE

Otras Publicaciones

Columnistas

Últimas Publicaciones