Ya no se trata de que las auditorías se lleven a cabo sobre la base de normas y procedimientos convencionales o de unidades y divisiones de negocio o auditorías basadas en la evaluación de riesgos. La actual pandemia de coronavirus y los acontecimientos recientes en todo el mundo han validado que las auditorías deben basarse en los riesgos existentes y futuros a los que se enfrenta la entidad auditada. Cualquier práctica de auditoría debe adoptar este enfoque de su práctica de auditoría para seguir siendo relevante.
Ya no es posible realizar una auditoría como de costumbre. Anteriormente, los auditores solían tener un plan de auditoría al comienzo del año que incluía procesos comerciales y divisiones o unidades. Este plan de auditoría, que la junta directiva ha aprobado, se seguirá religiosamente durante todo el año, independientemente de lo que suceda. Permite poca o ninguna flexibilidad porque el plan de auditoría se considera ley.
Si bien todavía se alienta la existencia de planes de auditoría, dichos planes deben permitir flexibilidad. Debe diseñarse de manera que los cambios en estos planes de auditoría se puedan realizar en un abrir y cerrar de ojos, dependiendo del estado actual de las cosas que involucran al negocio.
Usando COVID-19 como ejemplo, independientemente del plan de auditoría aprobado para una empresa para el año 2020, casi todas las empresas deberían haber realizado una auditoría de su capacidad para enfrentar los desafíos de COVID-19 para su negocio tan pronto como se declaró la pandemia. Esto sería lo más importante para el negocio en ese momento en lugar de lo que estaba en el plan de auditoría. Alternativamente, la auditoría de la preparación de la empresa para hacer frente a los desafíos de COVID-19 y cualquier otra cosa que esté en la auditoría puede tener lugar simultáneamente.
Los dueños de negocios y la administración apreciarían y valorarían esto, mientras que la sostenibilidad empresarial se beneficiaría más. Todos podemos estar de acuerdo en que la viabilidad a largo plazo del negocio es crítica. No habrá necesidad de auditoría donde no hay negocio.
Los auditores deben trabajar más estrechamente con la primera y segunda línea de defensa. Hasta hace poco, los auditores se han sentido muy cómodos en la tercera línea de defensa y en ser referidos como el último hombre que entra «después del hecho». Esta comodidad se fortalece aún más, ya que la práctica de auditoría goza de un alto grado de apoyo regulatorio y de la junta.
Los auditores se apresuran a mencionar estos recursos cuando se enfrentan a obstáculos, incluso cuando la entidad auditada está haciendo razonablemente preguntas pertinentes que parecen ser un retroceso. En términos simples, los auditores se han disociado del negocio en sí hace mucho tiempo, deleitándose en simplemente venir a verificar lo que todos han hecho o están haciendo.
El equipo de auditoría generalmente deja la primera y segunda líneas de defensa, que consisten en los propietarios del proceso y otras prácticas de aseguramiento, como la gestión de riesgos y el cumplimiento, para apagar incendios y hacer que el negocio se vea bien. Al mismo tiempo, los auditores llegan mucho más tarde para asegurarse de que las cosas se han hecho de acuerdo con los procesos y procedimientos establecidos.
Si bien esto no está necesariamente fuera de lugar, ya que es la naturaleza pura de la práctica de auditoría, se está volviendo rápidamente anticuado y se está perfeccionando rápidamente. La auditoría también debe proyectarse como una práctica consciente del negocio para seguir siendo relevante. En otras palabras, la práctica de auditoría ha tenido que unirse a la lucha contra incendios, aunque de manera ligeramente diferente, que es donde entra en juego la auditoría basada en el riesgo.
Una mente escéptica profesional ya no será suficiente para ser un buen auditor. Un gran auditor ya no será aquel que puede simplemente mirar un conjunto de procesos y procedimientos y marcar si estos procesos y procedimientos se están cumpliendo. Ni siquiera sería suficiente poder determinar si un proceso y un procedimiento están funcionando de manera efectiva. Se requerirá mucho más pensamiento estratégico y orientación empresarial para ser un gran auditor.
Los mejores auditores serán aquellos que se familiaricen con el negocio en el que están auditando. Como resultado, tales individuos podrían identificar los riesgos asociados con ese negocio y las unidades que componen el negocio. Estas personas podrían hacer algo más que identificar estos riesgos; Podrían analizarlos y, como resultado, tomar decisiones de auditoría apropiadas sobre qué auditar y hacer recomendaciones de auditoría apropiadas.
Auditoría basada en la evaluación de riesgos: diseño de una práctica de auditoría basada en el riesgo
En el corazón del diseño de una práctica de auditoría basada en el riesgo está la identificación de los riesgos comerciales internos y externos que enfrenta la empresa en el presente o en el futuro.
Por lo tanto, el diseño de una práctica de auditoría basada en el riesgo implicaría:
- Realizar una evaluación de riesgos: Esto se puede hacer de varias formas dependiendo de lo que esté disponible y lo que no. Una evaluación de riesgos de una empresa comienza con un proceso de identificación de todos los riesgos asociados con una empresa (tanto los riesgos actuales como los futuros) actualmente y en el futuro. Estos riesgos identificados se analizan a la luz de las realidades comerciales actuales para determinar si siguen siendo riesgos comerciales potentes, dónde están y qué tan seriamente afectarían al negocio si ocurrieran.
Cuando ya existe un registro de riesgos certificado que es un repositorio de todos los posibles riesgos que una empresa puede encontrar, la evaluación de riesgos puede hacerse sobre la base de este registro de riesgos. A veces, el registro de riesgos ya contiene cierto nivel de evaluación. Cuando este es el caso, esta evaluación simplemente se analiza contra las realidades actuales. Esto sirve como herramienta de fondo para un plan de auditoría.
- Diseño de un plan de auditoría flexible basado en riesgos: Después del informe de evaluación de riesgos, se desarrolla un plan de auditoría, priorizando las áreas con los mayores riesgos para el negocio como se muestra en el informe de evaluación de riesgos. Sin embargo, es importante señalar que el plan de auditoría también debe seguir siendo flexible y adaptarse a los cambios a medida que las realidades empresariales evolucionan durante el año.
- Reclutar personal de auditoría con las habilidades adecuadas pero, lo más importante, la mentalidad correcta: Es importante tener en cuenta que esto puede arruinar todo el buen trabajo si no se maneja adecuadamente. Los miembros del personal de auditoría que entiendan y adopten la nueva cara de una auditoría deberán llevar a cabo el plan de auditoría basado en el riesgo y garantizar su éxito en la habilitación del negocio. El personal de auditoría con una mentalidad de toma de riesgos sería ideal para este puesto.
Beneficios de la auditoría basada en riesgos
Los siguientes son los beneficios de una auditoría basada en el riesgo derivados de lo anterior:
- La auditoría basada en el riesgo pone a la práctica de auditoría en condiciones de ayudar a la empresa con sus requisitos más críticos en cualquier momento. Las auditorías se realizan en áreas con más riesgos comerciales. Las revisiones de auditoría serán extremadamente beneficiosas para las operaciones en curso del negocio.
- Una auditoría basada en el riesgo da a las partes interesadas una mayor confianza en que el negocio y sus actividades se están llevando a cabo correctamente. Las partes interesadas internas y externas pueden dormir mejor por la noche sabiendo que las revisiones de auditoría se están llevando a cabo según los riesgos que son más frecuentes en el negocio en un momento dado.
- Una auditoría basada en el riesgo garantiza que la empresa esté preparada de manera proactiva para abordar los riesgos emergentes, incluso cuando aún no se ha cristalizado. Con un enfoque basado en el riesgo, los riesgos futuros o emergentes se identifican rápidamente y se establecen medidas de control de modo que el negocio no se vea afectado o experimente un efecto pequeño cuando esos riesgos finalmente surjan.
- Identificación proactiva de oportunidades. La auditoría basada en riesgos permite identificar áreas de mejora y expansión para el negocio debido a ciertos riesgos identificados y los controles establecidos para abordarlos. Ciertos riesgos y controles ocasionalmente pueden presentar al negocio nuevas oportunidades.
Reflexiones finales
La evaluación de riesgos es un componente crítico de la planificación de auditorías. y evaluar los riesgos de inexactitudes materiales, ya sea por error o fraude, en los niveles de estados financieros y afirmaciones relevantes, lo que nos ayuda a diseñar procedimientos de auditoría adicionales. Utilizando COVID-19 como estudio de caso, la auditoría de la práctica de auditoría de la preparación de la capacidad de la empresa para hacer frente a los desafíos de la pandemia habría significado trabajar con el equipo de gestión de riesgos para identificar los riesgos clave y evaluar las brechas comerciales. Esto habría involucrado a los propietarios del proceso, la primera línea de defensa. De esta manera, la práctica de auditoría se consagra en las mentes de los propietarios de negocios y procesos como facilitadores de negocios.