El futuro de las Auditorías Internas está en su pasado

 

Una reciente encuesta de una de las “big four” muestra que la profesión de auditoría interna está en continuo cambio y que se adapta con rapidez a un mundo que parece estar a la vez expandiéndose, contrayéndose y cambiando… Siempre evolucionando. 

Dicha encuesta revela que la reducción de costes encabeza la lista de prioridades de los directores de auditoría interna en estos momentos, pues la prolongación de las crisis obliga a adoptar medidas con las que ganar en eficiencia de la actividad. Aún así, otras cuestiones como la intensificación de la globalización, la adaptación a riesgos nuevos y emergentes y la escasez de recursos relacionados con las tecnologías de la información siguen ocupando los primeros puestos de dicha lista. 

Las condiciones económicas actuales también tienen otras implicaciones en la actividad de auditoría interna, ya que han salido a la luz grandes riesgos de fraudes que, aunque existían desde hace tiempo, el descenso en el nivel de la actividad económica ya no permite su ocultación. Además, los despidos de las plantillas y otras reducciones de costes similares están a menudo reduciendo drásticamente, o incluso eliminando, capas cualificadas de la gerencia media, al tiempo que importantes funciones de control también se han podido ver afectadas por estos cambios. 

Debido a estas circunstancias los responsables de los departamentos de Auditoría Interna se están viendo obligados a actualizar sus Planes con mayor frecuencia, adecuándolos a las amenazas vigentes de cada momento, ajustando sus recursos a las capacidades necesarias para ocuparse de los riesgos de negocios contemporáneos, de los que destacaríamos los estratégicos y de negocio, por delante, hoy en día, de los de cumplimiento o financieros. Lo cual, posiblemente, comportará cambios en las estructuras de los Departamentos.

En este mismo sentido podemos señalar que en un Foro de Expertos de Auditoría Interna celebrado en Madrid a iniciativa del IAI España, se constituyeron varios grupos de trabajo para analizar las iniciativas puestas en marcha por las Direcciones de Auditoría ante la situación económica financiera actual, al entender por parte del Instituto que la crisis podría estar afectando a la función auditora respecto de los contenidos y la naturaleza de los trabajos a desarrollar, bien por decisión propia o por demanda de los Comités de Auditoría y/o de la alta dirección, a los que los responsables de las Auditorías han de ofrecer soluciones.

Entre las conclusiones que se obtuvieron destacamos dos que consideramos de importancia para el asunto que nos ocupa:

1ª) Existencia de una opinión generalizada de que actualmente resultan especialmente significativos los riesgos de fraude, morosidad, solvencia, reputación, crédito a clientes, entre otros, por lo que los procesos en los que estén presentes se han situado en niveles de máxima prioridad en la supervisión a realizar por auditoría interna.

2ª) Esta modificación de la importancia relativa de algunos riesgos, ha producido cambios en la naturaleza de los trabajos de auditoría, pues, debido a las nuevas prioridades, se ha pasado a dar un mayor peso a los trabajos de índole correctivo, que aunque no signifique renuncia a la concepción moderna de auditoría, ni un cambio de filosofía, permite vislumbrar un cierto retorno hacia lo básico, recuperando y recurriendo a la faceta inspectora. Aunque ahora ya no se denomine así, sino por su terminología anglosajona: Forensic  Auditing, pues parece que suena mejor.

Por todo ello, la idea que queremos transmitir se resume señalando que los cambios observados en la función de auditoría necesarios para ajustar su actividad a la trascendencia de los riesgos que realmente inciden hoy en los negocios, han puesto en valor la utilidad de disponer de equipos especializados con los que investigar los fraudes (Inspección o Auditoría Forense), ya que este es un riesgo específico, que siempre está presente en  las organizaciones, que se podrá reducir, pero nunca eliminar.

Admitiendo lo que al inicio de este artículo señalábamos respecto  a la necesidad de introducir cambios, éstos no necesariamente han de ser consecuencia de grandes innovaciones, pues las experiencias anteriores pueden seguir siendo plenamente válidas.

De compartir este planteamiento, surge la pregunta sobre qué recomendaciones podrían trasladarse a aquellos DAI que quisieran aplicar las sugerencias que se encuentran en estas líneas, debiendo destacar que una de las claves del éxito está en la prevención, en la que la difusión por toda  la organización de la existencia de los programas de gestión del riesgo de fraude resultará vital. Así como también lo es la creación de la conciencia de que los controles de detección son eficaces.

Por ello creemos oportuno que se debería incidir en los siguientes aspectos:

a) Habilitación de un canal de denuncias anónimo hacia las Comisiones de Auditoría, para el uso de cualquier empleado de la sociedad.

b) Implantación de indicadores de fraude tipo banderas rojas que nos alerten sobre la existencia de indicios de posibilidad de fraudes, o del deterioro del control interno existente.

c) Ser beligerante con los defraudadores; lo importante es el hecho, no la cuantía, si lo defraudado ha sido poco, es porque no se ha tenido posibilidad de aumentarlo.

d) Especialice a parte de su equipo de auditores en el riesgo de fraude, que sean los que atiendan las llamadas de la organización para actuar ante situaciones sobrevidas, pero también para que elaboren un plan de trabajo anual preventivo con el que juzgar la existencia de  indicios de fraudes.

Resumiendo: (i) los fraudes podemos concluir que están presentes en todas las organizaciones, (ii) no parece que estén bien controlados, (iii) se evolución reciente es incremental y (iv) no existe ninguna forma con la que erradicarlos en su totalidad. Motivos por los que Auditoría Interna ha de estar atenta a esta situación, disponiendo de los profesionales que puedan desarrollar la necesaria supervisión que nos diagnostique los fallos de control existentes, la verdadera magnitud del problema y los factores de riesgo apreciados; si para ello se debe incluir en la estructura del Departamento de Auditoría Interna una Unidad de Inspección, la respuesta no es fácil de obtener, pues eso dependerá de múltiples circunstancias, pero lo que parece incuestionable es que la labor inspectora, o llamémosla sin complejos “policiaca”, hoy por hoy es necesaria dentro de la naturaleza de los trabajos a realizar por Auditoría Interna, aunque ello nos obligue a reconocer que en parte regresemos al pasado; pero al igual que cualquier tiempo pasado no siempre fue mejor, tampoco necesariamente ha de ser peor.

Somos conscientes que la concepción fiscalizadora de auditoría interna está mal vista, y que se ha visto reemplazada por otra visión más dinámica, menos agresiva y más participativa, la que representa su cara amable, al actuar como socio de los gestores y portadora de valor hacia las organizaciones. Aunque debemos señalar que este rechazo a la labor inspectora es debido a la forma de concebir ambas modalidades de auditoría, ya que se planteaban como excluyentes, o una u otra. Lo cual no está en nuestro modelo, puesto que defiende su coexistencia y complementariedad.

Fue este planteamiento dual  y excluyente el que provocó el rechazo a la labor inspectora -del latín inspicere (mirar adentro)- a realizar por la auditoría interna en su lucha contra fraude, que incluso se ha trasladado a las Normas emitidas por el IIA Global, puesto que, cuando se refiere al riesgo de fraude (Ver Norma 1210.A2) sigue señalando que: “el auditor interno debe tener suficiente conocimientos para evaluar el riesgo de fraude y  la forma que  se gestiona por la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude”, en clara discriminación con otros tipos de riesgo, como por ejemplo el de tecnología de la información, cuando en el mismo Marco, Norma 1210.A3, se señala que: “los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en tecnología  de la información y de las técnicas de auditoría disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado….”, aclarando, eso sí, que estos conocimientos no se espera concurran en todos los auditores, solo en aquellos cuya responsabilidad fundamental es la auditoría de tecnología informática.Dos preguntas nos surgen de los regulado por el IIA. Primera: ¿Por qué esta diferenciación en el rol a desempeñar por Auditoría Interna antes estos dos tipos de riesgos, los tecnológicos y los relativos al fraude?, y seguidamente ¿Quiénes en las organizaciones son los que tienen la responsabilidad principal es la detección e investigación del fraude?.

Por todo ello, la idea que queríamos transmitir se resume señalando que los cambios observados en la función de auditoría  para ajustar su actividad a la trascendencia de los riesgos que realmente inciden hoy en los negocios, han puesto nuevamente en valor la utilidad de disponer de equipos especializados con los que investigar los fraudes (Inspección), ya que este es un riesgo específico, que siempre está presente en las organizaciones, que se podrá reducir, pero nunca eliminar.

Por tanto, admitiendo lo que al inicio de este artículo señalábamos respecto a la necesidad de introducir cambios, estos no necesariamente han de ser consecuencia de grandes innovaciones, pues las experiencias anteriores pueden seguir siendo válidas, como lo demuestra el auge que la Auditoría Forense está teniendo en el ámbito de nuestra actividad, si bien hemos de reconocer que se está produciendo en un esquema de prestaciones externas de servicios vía outsourcing ofrecido por las consultoras. Pero de este tema ya hablaremos en otra ocasión.

Jesús Aisa Díez 

Madrid, 18 de Marzo de 2013.