Muchas veces hemos escuchado en diversos foros de gestión de negocios, que las unidades de auditoría interna de las organizaciones, son percibidas por la alta administración como entes que "no agregan valor" o que son un "mal necesario", dado a que actúan como un control disuasivo en la entidad, pero sin percibirse una contribución sustancial.
Para poder cambiar esta opinión y que definitivamente las unidades de auditoría interna sean vistas con otros ojos tanto por los dueños, inversionistas, directores y alta administración en cualquier entidad, sea esta pública o privada, es que se ha venido trabajando tanto en el instituto americano de auditores internos (The Institute of Internal Auditor - TheIIA - en sus siglas en inglés) como en los congresos especializados de contadores públicos y de auditores tecnológicos (Information System Audit Control Association - ISACA - en sus siglas en inglés) de tal forma de buscar mecanismos o iniciativas que permitan cambiar ese prejuicio.
Es por ello, que actualmente ya se habla del concepto de innovación en las unidades de auditoría interna (I+D+i), que está orientado a desarrollar iniciativas tendientes a cambiar la forma tradicional de hacer las cosas y adoptar enfoques más proactivos en el monitoreo de los modelos de control interno de las organizaciones. Por esta razón, el monitoreo continuo de los procesos de negocio por medio de herramientas o soluciones tecnológicas GRC (Governance, Risk & Compliance), pasan hoy por hoy a convertirse en el mejor aliado del auditor, para que este adopte iniciativas automatizadas y que le permita ayudar a las organizaciones a proteger y/o preservar el valor de la misma de forma más sustentable y por ende contribuir indirectamente en el incremento del valor en forma sistemática y continua.
Las formas como son utilizadas estas soluciones tecnológicas GRC en empresas públicas y privadas, son variadas y a continuación les mencionamos algunas:
- Gestión integral de los riesgos de la entidad tanto estratégicos como operativos (procesos) ERM (Enterprise Risk Management): Esto se logra a partir de un repositorio centralizado de riesgos, automatizando la forma como estos se administran y evalúan en el tiempo, haciendo uso de formularios inteligentes o de input, que permiten obtener la opinión tanto de los altos ejecutivos como de los dueños de procesos, acerca del impacto y probabilidad de ocurrencia de estos y utilizando modelos cualitativos o cuantitativos de evaluación. De esta manera, tanto ejecutivos como dueños de procesos mantienen una visibilidad mucho más fina del comportamiento de sus riesgos y por ende las medidas de mitigación son abordadas en forma oportuna, no poniendo en riesgo el incremento sustentable del valor. En algunos países en donde los modelos de gobernabilidad corporativa están más avanzados (ejemplo países de la OCDE), estas encuestas de evaluación, son dirigidas a los directores de empresas, a fin de que proporcionen su opinión respecto a los riesgos estratégicos del negocio, considerando que por mandato de los dueños o inversionistas, estos directores tienen la misión de velar por sus intereses y en muchas ocasiones estos intereses se han puesto seriamente en riesgo producto de escándalos financieros o ilícitos de diversa índole.
- Administración eficiente y racional de controles ECM (Enterprise Control Management): Siempre cuando en cualquier organización se identifican y administran riesgos, es necesario identificar y gestionar controles, los que pueden ser manuales, semiautomáticos o automáticos, por lo que mientras menos controles manuales gestione, más racional o eficiente será su administración y por ende, más efectiva será la mitigación de los riesgos. Asimismo, es necesario hacer uso de herramientas que desde un repositorio centralizado, permita mantener ciertos controles claves monitoreados en tiempo real y que en la medida que los mismos sean vulnerados o se intente alterarlos, se activen las alertas necesarias para actuar en forma inmediata. De esta forma, la cantidad de fraudes o ilícitos de cualquier índole disminuirá de manera significativa, haciendo que su organización sea mucho más confiable para los inversionistas, sin tener que invertir mucho dinero en el monitoreo de las transacciones críticas de sus procesos en forma manual.
Otro beneficio que tiene este tipo de soluciones tecnológicas, es que permite a los dueños de procesos realizar autoevaluaciones de los controles de su ámbito cada cierto tiempo, con el propósito de que estos puedan reflejar de forma autónoma su percepción respecto al comportamiento de sus controles. Este enfoque (CSA Control Self-Assessment en sus siglas en inglés), ha dado muy buenos resultados, porque ayuda también a que la organización logre sensibilizarse respecto a la dinámica del modelo de control interno y ayuda a mejorar el ambiente de control al igual que la gestión integral de riesgos mencionada anteriormente.
Por último y en relación al monitoreo continuo, se han desarrollado motores de análisis automáticos con reglas de riesgos de segregación funcional, que están orientados a monitorear en tiempo real el comportamiento relacionado con accesos a transacciones críticas y/o conflictivas que pudieran alterar el flujo transaccional de los procesos de negocio. Asociado a este ámbito, han habido muchos fraudes e ilícitos en empresas de diversas industrias, producto del exceso de privilegios otorgados a los usuarios, lo que hace más sencillo para estos materializar algún error o ilícito, siendo los riesgos con mayor probabilidad de ocurrencia en los procesos de cualquier entidad.
Como pueden ver, las formas como se puede aplicar innovación efectiva (I+D+i) en las unidades de auditoría interna, son variadas y depende del liderazgo y posicionamiento que estas áreas tengan en la organización, puesto que claramente para llevar a cabo esto, se requiere convencer desde el directorio, pasando por los altos ejecutivos y dueños de procesos, de que por esta vía se puede conseguir incrementar el valor en las empresas de forma mucho más sustentable y por ende cambiar definitivamente el prejuicio que existe respecto de que los auditores no contribuyen con el incremento de valor en las organizaciones.
