La auditoría interna, más importante que nunca ante el COVID-19

Escribía hace unos días Norman Marks, referencia internacional y líder de opinión en auditoría interna, gestión de riesgos y control interno durante la última década, que la contribución más grande de un auditor interno para con su empresa es simplemente preguntarle a la Alta Dirección o al Consejo de la compañía, “¿Cómo podemos ayudar?”.

Un auditor interno puede ayudar de muchas formas, pero sobre todo proporciona objetividad y perspectiva dentro de una organización. En una epidemia como la del COVID-19, de lo que se trata es de gestionar los riesgos. Y de gestionarlos con la máxima objetividad y perspectiva de la que se pueda disponer. Y esos riesgos se han visto exponencialmente incrementados con el simple hecho de mandar a los empleados a teletrabajar, entre otras muchas causas.

Factores como el uso de redes no seguras, no tener el amparo protector de trabajar en el entorno habitual de nuestro ERP, el uso de documentos con información crítica que no están protegidos con la inclusión de controles a nivel fichero, la facilidad de manipulación de la información contenida en ellos, o la presión añadida a nuestra fuerza de ventas para mantener la actividad a toda costa, aunque sea en remoto, son algunos de los eventos de riesgo que potencialmente podrían materializarse y a los que el auditor interno debería prestar más atención que nunca.

La auditoría interna, clave en la gestión de los nuevos riesgos

Además, factor dilatador de esta situación es el hecho de que una compañía no posea una cultura corporativa fuerte. Numerosos estudios sostienen que las organizaciones que gestionan activamente sus culturas de riesgo superan a sus peers sectoriales en el medio plazo en cuanto a valor de mercado. Si los empleados con responsabilidades dentro de un modelo de control y compliance, no perciben como relevante gestionar más activamente que nunca los controles y riesgos de los que son dueños, y pasan esas actividades al último punto de sus listas de “To-Do’s”, la vulnerabilidad de la organización se dispara exponencialmente. La no monitorización de estos “nuevos riesgos” derivados del contexto y entorno de trabajo actual, desembocará en consecuencias lógicas de brechas en nuestros modelos de aseguramiento y control.

Modelos de control adecuados para evitar sobrecostes

Pero muchas veces se olvida la consecuencia económica derivada de estas brechas o fallos en la ejecución de los modelos de control dentro de las compañías. Generalmente se infravalora el coste real de los modelos de control dado que no se suele contabilizar el coste de la primera línea de defensa, así como la corrección de errores, la planificación, coordinación, perseguir al dueño de control que no ha ejecutado en fecha su certificación, el coste de reperformance de los controles, el incremento de comunicaciones y reuniones por parte de auditoria interna, etc., etc. Todos estos sobrecostes se ven reducidos cuando existe la cultura correcta en la compañía. Los errores casi desaparecen y la ejecución de los controles se vuelve más ágil y dinámica. En resumen, se incrementa el valor del modelo de control, se mitiga de mejor manera el riesgo y se reduce significativamente el coste para la compañía.

En ese sentido un auditor interno no debería dudar acerca de asumir un perfil activo en los planes y acciones de sus organizaciones ante esta nueva situación generada por la cuarentena, lo que podría contribuir claramente, como decimos, a la reducción de costes para la compañía.

Richard Chambers, presidente y CEO del Instituto de Auditores Internos Internacional (IIA por sus siglas en inglés) comentaba en su blog la semana pasada que hay ciertas acciones clave que los auditores internos ya deberían comenzar en relación al apoyo y soporte a sus organizaciones. Entre ellas, dice Chambers, está el comprender y evaluar la gama completa de riesgos inmediatos. El Auditor Interno debería colaborar desde ya en poner en marcha acciones para identificar todos los riesgos posibles, evaluar su impacto potencial y pensar detenidamente respuestas a esos riesgos. La auditoría interna es un maestro en abordar objetivamente los riesgos y puede evaluar si los responsables de cada unidad de negocio han identificado la gama completa de riesgos, directos e indirectos, y la gama de acciones para gestionar estos posibles impactos, especialmente si, como vemos, los escenarios más improbables son los que realmente se están materializando, desgraciadamente.

Controlar la incertidumbre y la vulnerabilidad

Si algo se confirma con el inicio de esta crisis, es que los peligros son menos predecibles que nunca. La exposición, en general y en nuestros días, está creciendo. En particular, la tendencia hacia la existencia de grandes centros urbanos provoca un aumento en este nivel exposición. La concentración de población está ligado a un mayor potencial impacto. Adicionalmente, está demostrada que el impacto económico es cada vez mayor, dado que el nivel de capital impactado también es muy alto.

Estamos sufriendo y demostrando empíricamente que la vulnerabilidad se está agravando. Y se está confirmando “el efecto cascada” de los eventos de riesgo, desencadenando una inestabilidad grave o el colapso de toda una industria o economía.

Para combatir este nuevo escenario es necesario que al auditor interno también contribuya dentro de su organización a cambiar el enfoque y movernos desde el riesgo hacia la resiliencia. Ir más allá del pensamiento a corto plazo y pensar en términos de sistema de sistemas (SoS por sus siglas en inglés). Es importante que coopere con sus homólogos en otras organizaciones dentro de su país, industria o región, recopile y facilite el intercambio de datos e información sobre todos los riesgos a los que están expuestos e incluso gestione la interacción y cooperación con asociaciones o lobbys sectoriales, organismos públicos o privados y/o redes regionales e internacionales que faciliten la colaboración para una gestión eficaz de los riesgos.

 

COVID-19 artículos