Un amplio rango de habilidades y aptitudes, y un desarrollo profesional continuo, son fundamentales para establecer y mantener una actividad de auditoría interna eficaz. Los elementos esenciales son un profundo conocimiento del sector económico de la organización, así como de las Normas de auditoría interna y sus mejores prácticas; conocimientos técnicos y experiencia; conocimientos sobre habilidades para implantar y mejorar procesos tanto en las áreas contables como operativas; sólidas habilidades de comunicación y presentación; y una certificación profesional, por ejemplo, el CIA.
Si bien puede ser necesaria cierta externalización, total o parcial, cuando determinadas competencias y técnicas de especialización no estén al alcance económico o no estén disponibles, la supervisión y responsabilidad por la actividad de auditoría interna no puede ser tercerizada.
Los auditores internos de la actualidad tienen que proporcionar a sus comités de auditoría aseguramiento explícito sobre gobierno de la organización, así como cumplir con las demandas crecientes de la gerencia y otros interesados. Deben ser excelentes como expertos en gestión de riesgos y control interno con el fin de asegurar que los controles sobre sistemas y procesos de negocio clave sean fuertes y eficaces. Para cumplir con estas expectativas, es esencial contar con una sólida estrategia de personal. Es de responsabilidad del director ejecutivo de auditoría (DEA) establecer un programa eficaz para seleccionar y desarrollar el equipo de auditoría interna.
La mezcla de habilidades, profundidad y tamaño del equipo de auditoría deben ser determinados por los servicios esperados de parte del comité de auditoría y la dirección, con el fin de cumplir con las necesidades de la organización. El plan de auditoría resultante debe estar basado en una evaluación y clasificación de riesgos, sistemas críticos y procesos a través de la organización, y debe tener en cuenta los objetivos de largo plazo de la organización, los planes de expansión y estrategias de crecimiento; así como los cambios a corto plazo en el ambiente de control tales como actividades de fusión y adquisición, implantación de grandes sistemas, y reingeniería de procesos de negocio.
La madurez del ambiente de control, el nivel de responsabilidad gerencial, y el alcance hasta el cual la organización depende de auditoría interna para impulsar mejoras afectará las necesidades de recursos. Efectuar un benchmarking con organizaciones comparables puede brindar informaciones útiles respecto de la cantidad apropiada de personal.
Al establecer la dotación de personal de la actividad de auditoría interna, las opciones de la dirección pueden ser:
- Establecer un equipo de auditoría dedicado con recursos indispensables.
- Externalización parcial o conjunta (cosourcing) mediante la cual un proveedor externo colabora con el DEA y el equipo de auditoría con habilidades de especialización supletorias que pueden ser demasiado costosas como para mantener dentro de la organización. Esta opción da una flexibilidad que permite al equipo aumentar o reducir la dotación según las necesidades del negocio.
- Mantener un equipo de auditoría dedicado, soportado por rotaciones que brinden la oportunidad para que el personal de las unidades de negocio obtenga conocimientos valiosos y amplios del negocio así como formación en temas de control interno y gestión de riesgos. En algunas compañías de Fortune 1000, pasar por una asignación de auditoría interna es un pre-requisito para alcanzar posiciones contables elevadas o de gerencia general.
- Externalizar la actividad de auditoría interna en un proveedor externo. Esta opción puede ser eficaz desde el punto de vista de costos para organizaciones pequeñas, entidades dispersas geográficamente u organizaciones con experiencia técnica específica.
NOTA: El Instituto de Auditores Internos considera que la actividad de auditoría interna nunca debe ser totalmente externalizada, sino que debe ser manejada desde dentro de la organización, preferentemente por un DEA competente.
La opción que se siga para la dotación debe resultar en un equipo de auditoría interna que posea las habilidades necesarias para cumplir con los objetivos del grupo. Idealmente, la actividad de auditoría interna debe estar formada por individuos de diversa formación, conjunto de habilidades y experiencia tal que permitan brindar un adecuado aseguramiento de control en apoyo del negocio en un amplio rango de asuntos de riesgos y control interno.
Cada vez más, las actividades de auditoría interna son desempeñadas por equipos multidisciplinarios que incluyen ingenieros, contables, graduados en administración, e incluso especialistas medioambientales que reflejan el amplio rango de las necesidades de aseguramiento actuales. Además, los expertos en auditoría de tecnología informática son un componente central de las actividades de auditoría interna modernas. Podría ser imposible, sin duda, contar con todos los requisitos técnicos dentro de la organización. En consecuencia, el DEA debe tener la autoridad de obtener asistencia y apoyo de parte de expertos ajenos a la organización cuando lo crea necesario.
La autoevaluación de control, la facilitación, y la capacitación en riesgos y control interno están entrando en el terreno de incumbencias de los auditores internos, cada vez más. Por ello, para ser más eficaces, los auditores internos deben demostrar:
- Fuertes habilidades interpersonales.
- Habilidades de comunicación oral y escrita eficaces.
- Buenas habilidades como entrenadores y líderes de grupos.
- Habilidad para ejercer influencia en todos los niveles.
Una revisión anual de la estrategia de dotación por parte del DEA debe basarse en parámetros definidos tales como las necesidades de aseguramiento del comité de auditoría, las expectativas de la gerencia, el crecimiento y las estrategias de los negocios, la dispersión de las operaciones, el alcance de los objetivos de auditoría, el cumplimiento de regulaciones, y la rotación del personal. El DEA debe evaluar las habilidades y requerimientos de los miembros del equipo y promover el desarrollo profesional continuo con el fin de mantener designaciones profesionales y mejorar los conocimientos, habilidades y competencias en todas las áreas relevantes.
No contar con personal adecuado y competente en la actividad de auditoría interna es un riesgo que expone a la organización a una evaluación inadecuada de la eficacia de los procesos de gestión de riesgos, control y gobierno.
Finalmente, la Certificación en Auditoría Interna (Certified Internal Auditor® -CIA) creada por el Instituto de Auditores Internos es la única certificación de aceptación mundial para los auditores internos y es la norma por la cual las personas demuestran su competencia y profesionalismo en el campo de la auditoría interna. El IIA también ofrece varias certificaciones de especialización, como ser la Certificación en Autoevaluación de Control (CCSA, en inglés) ; la Certificación de Auditor Gubernamental Profesional (CGAP), y la Certificación de Auditor de Servicios Financieros (CFSA). Por otro lado, la Asociación de Auditoría y Control de Sistemas de Información (ISACA) ofrece el Certificado de Auditor de Sistemas Informáticos (CISA); la Asociación de Examinadores de Fraude Certificados ofrece el Certificado de Examinador de Fraude (CFE), y el Consejo de Certificaciones del Auditor Medioambiental, de Salud y Seguridad (BEAC) ofrece el Certificado de Auditor Medioambiental Profesional (CPEA).
Referencias:
- 20 Preguntas que los Directores Deben Hacer Sobre Auditoría Interna. Fundación de Investigaciones del IIA.
- Revista «Internal Auditor»; octubre de 2003. Dotación de la función de auditoría interna actual: los ejecutivos de auditoría necesitan una estrategia realista para atraer a los mejores talentos y manejar las demandas crecientes. Paul McDonald.
- Marco para la Práctica Profesional; enero de 2005. Fundación de Investigaciones del IIA.
- Guía para la Auditoría Interna – Preguntas Más Frecuentes sobre los Requerimientos de la Bolsa de Valores de Nueva York y el Desarrollo de una Función de Auditoría Interna Eficaz; Protiviti 2004.