Este sitio utiliza cookies para ofrecerle un servicio más rápido y personalizado. Al acceder a esta página usted está aceptando el uso de las mismas. Por favor, lea el apartado correspondiente en nuestra política de privacidad para obtener más información sobre su utilidad y la forma de eliminarlas o bloquearlas.

Agregar a favoritos Correo electrónico Imprimir esta página

Innovar agregando valor con tecnologías de la información

¿cómo innovar en las unidades de auditoría interna?

Muchas veces hemos escuchado en diversos foros de gestión de negocios que las unidades de auditoría interna de las organizaciones son percibidas por la alta administración como entes que "no agregan valor" o que son un "mal necesario", dado que actúan como un control disuasivo en la entidad, pero sin percibirse una contribución sustancial.

Para cambiar esta opinión y que definitivamente las unidades de auditoría interna sean vistas con otros ojos, por los dueños, inversionistas, directores y la alta administración en cualquier entidad -sea esta pública o privada- es que se ha venido trabajando en el Instituto Americano de Auditores Internos (The Institute of Internal Auditor, TheIIA) y en los congresos especializados de contadores públicos y de auditores tecnológicos (Information System Audit Control Association, ISACA) de tal forma de buscar mecanismos o iniciativas que permitan cambiar ese prejuicio.

Es por ello que, actualmente, se habla del concepto de innovación en las unidades de auditoría interna (I+D+i), que está orientado a desarrollar iniciativas tendientes a cambiar la forma tradicional de hacer las cosas y adoptar enfoques más proactivos en el monitoreo de los modelos de control interno de las organizaciones. El monitoreo continuo de los procesos de negocio por medio de herramientas o soluciones tecnológicas GRC (Governance, Risk & Compliance) pasan hoy por hoy a convertirse en el mejor aliado del auditor, para que este adopte iniciativas automatizadas que le permitan ayudar a las organizaciones a proteger y/o preservar el valor de la misma de forma más sustentable y,  por ende, contribuir indirectamente en el incremento del valor en forma sistemática y continua.

Las formas como son utilizadas estas soluciones tecnológicas GRC en empresas públicas y privadas, son variadas. Algunas de ellas:

- Gestión integral de los riesgos de la entidad tanto estratégicos como operativos (procesos) ERM (Enterprise Risk Management): se logra a partir de un repositorio centralizado de riesgos, automatizando la forma como estos se administran y evalúan en el tiempo, haciendo uso de formularios inteligentes o de input, que permiten obtener la opinión tanto de los altos ejecutivos como de los dueños de procesos, acerca del impacto y probabilidad de ocurrencia de estos y utilizando modelos cualitativos o cuantitativos de evaluación. De esta manera, tanto ejecutivos como dueños de procesos mantienen una visibilidad mucho más fina del comportamiento de sus riesgos y, por ende, las medidas de mitigación son abordadas en forma oportuna, sin arriesgar el incremento sustentable del valor.

En algunos países en donde los modelos de gobernabilidad corporativa están más avanzados (como los países de la OCDE), estas encuestas de evaluación son dirigidas a los directores de empresas, para que proporcionen su opinión respecto a los riesgos estratégicos del negocio, considerando que por mandato de los dueños o inversionistas, estos directores tienen la misión de velar por sus intereses y en muchas ocasiones estos intereses se han puesto seriamente en riesgo producto de escándalos financieros o ilícitos de diversa índole.

- Administración eficiente y racional de controles ECM (Enterprise Control Management): Siempre cuando en cualquier organización se identifican y administran riesgos, es necesario identificar y gestionar controles, los que pueden ser manuales, semiautomáticos o automáticos, por lo que mientras menos controles manuales gestione, más racional o eficiente será su administración y más efectiva será la mitigación de los riesgos. Asimismo, es necesario hacer uso de herramientas que, desde un repositorio centralizado, permitan mantener ciertos controles claves monitoreados en tiempo real.

 

Así, en la medida que los mismos sean vulnerados o se intente alterarlos, se activan las alertas necesarias para actuar en forma inmediata. De esta forma, la cantidad de fraudes o ilícitos de cualquier índole disminuirá de manera significativa, haciendo que su organización sea mucho más confiable para los inversionistas, sin tener que invertir mucho dinero en el monitoreo de las transacciones críticas de sus procesos en forma manual.

Otro beneficio que tiene este tipo de soluciones tecnológicas, es que permite a los dueños de procesos realizar autoevaluaciones de los controles de su ámbito cada cierto tiempo, con el propósito de que estos puedan reflejar de forma autónoma su percepción respecto al comportamiento de sus controles. Este enfoque (CSA Control Self-Assessment), ha dado muy buenos resultados, porque ayuda también a que la organización logre sensibilizarse respecto a la dinámica del modelo de control interno y ayuda a mejorar el ambiente de control, al igual que la gestión integral de riesgos mencionada anteriormente.

Por último, y en relación al monitoreo continuo, se han desarrollado motores de análisis automáticos con reglas de riesgos de segregación funcional, que están orientados a monitorear en tiempo real el comportamiento relacionado con accesos a transacciones críticas y/o conflictivas que pudieran alterar el flujo transaccional de los procesos de negocio. Asociado a este ámbito, han ocurrido muchos fraudes e ilícitos en empresas de diversas industrias, producto del exceso de privilegios otorgados a los usuarios, lo que hace más sencillo para estos materializar algún error o ilícito, siendo los riesgos con mayor probabilidad de ocurrencia en los procesos de cualquier entidad.

Como se ve, las formas como se puede aplicar innovación efectiva (I+D+i) en las unidades de auditoría interna, son variadas y dependen del liderazgo y posicionamiento que estas áreas tengan en la organización, (puesto que para llevarlas a cabo se requiere la aprobación y participación del directorio, los altos ejecutivos y los dueños de procesos).

 

Es por esta vía que se puede conseguir incrementar el valor en las empresas de forma mucho más sustentable y, por ende, cambiar definitivamente el prejuicio que existe respecto de que los auditores no contribuyen con el incremento de valor en las organizaciones. 

Última actualización: 

Material on this website is © 2014 Deloitte Global Services Limited, or a member firm of Deloitte Touche Tohmatsu Limited, or one of their affiliates. See Legal for copyright and other legal information.

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms.