Para asegurar la transparencia e impedir colusiones y conflictos de intereses, las mejores prácticas indican que la actividad de auditoría interna debe tener doble línea de reporte. El director ejecutivo de auditoría (DEA) debe reportar a la dirección ejecutiva en cuanto a la asistencia para establecer dirección, apoyo y conexión administrativa; y debe reportar al grupo de supervisión más alto de la organización, usualmente el comité de auditoría, en cuanto a la dirección estratégica, refuerzo y obligacíon de rendir cuentas.
Contar con las apropiadas relaciones de reporte es absolutamente crítico para permitir que la auditoría interna logre la independencia, objetividad y jerarquía en la organización necesarias para cumplir con sus obligaciones y mandatos, con el fin de evaluar el control interno, la gestión de riesgos y el gobierno. Dado que la actividad de auditoría interna es como los ojos y oídos independientes del comité de auditoría o su equivalente, es importante que sea estructuralmente independiente y libre de coerciones de parte de la dirección o gerencia de la organización. El requisito de que el DEA sea realmente independiente es compartido por todo el mundo, y todas las empresas tratan de lograr que sus líneas de reporte sean las que indican las Normas Internacionales para el Ejercicio de la Auditoría Interna, establecidas por el IIA (las Normas).
Las Normas requieren que el DEA reporte a un nivel tal dentro de la organización que le permita cumplir las responsabilidades de la actividad de auditoría interna. Para lograr la independencia necesaria, las mejores prácticas sugieren que el DEA reporte directamente al comité de auditoría o su equivalente. Para los fines del día a día administrativo, el DEA debe reportar al ejecutivo más alto en la jerarquía de la organización (por ejemplo, el director general o chief executive officer -CEO-)
Según la encuesta del GAIN 2004 realizada por el IIA, el 70% de los DEA reporta al comité de auditoría, un incremento del 53% respecto del año anterior. A medida que la profesión de auditoría interna afianza su rol como uno de los pilares del buen gobierno corporativo, se va convirtiendo en norma general el reporte del DEA al comité de auditoría en cuanto a dirección y obligación de rendir cuentas, y su reporte al Director General o CEO para la conexión y apoyo administrativo.
Línea de reporte de dirección y obligación de rendir cuentas Esta línea de reporte para la actividad de auditoría interna es la fuente principal de su independencia y autoridad. Como tal, las mejores prácticas recomiendan que el DEA reporte directamente al comité de auditoría, el consejo directivo u otras autoridades de gobierno apropiadas. Cuando esto se logra, la autoridad de gobierno es quien:
- Aprueba el estatuto de auditoría interna.
- Aprueba la evaluación de riesgos, el plan de auditoría y el presupuesto elaborado por el equipo de auditoría.
- Recibe comunicaciones de parte del DEA acerca de los resultados de las tareas de auditoría interna y otros asuntos que el DEA considere necesarios, incluso las reuniones privadas que mantenga sin estar presente la dirección.
- Aprueba la designación, remoción, evaluación y compensación del DEA.
- Determina si existen limitaciones al alcance o presupuestarias que impidan la capacidad de que la actividad de auditoría interna cumpla con sus responsabilidades.
Línea de reporte administrativo El reporte administrativo es la relación dentro de la estructura gerencial de la organización que facilita las operaciones del día a día de la actividad de auditoría interna y le proporciona la conexión y soporte apropiados para ser eficaz. El reporte administrativo típicamente incluye:
- Presupuesto y contabilidad de gestión.
- Administración de los recursos humanos.
- Comunicaciones y flujos de información internos.
- Administración de las políticas y procedimientos internos de la organización (aprobación de gastos, aprobación de permisos para ausentarse, espacio asignado de oficina, etc.).
El reporte exclusivo a la gerencia puede parecer que funciona bien cuando las compañías son prósperas y no tienen problemas. Sin embargo, esta línea de reporte se hace insostenible cuando hay problemas serios que necesitan ser elevados al comité de auditoría u otro cuerpo de gobierno. Cuando no existe una doble línea de reporte, la gerencia puede influir indebidamente en el plan y alcance de auditoría, y en el reporte apropiado de las observaciones de auditoría. Esto presenta un serio conflicto de intereses, limita el alcance y compromete la eficacia de la actividad de auditoría interna.
Toda línea de reporte que impida la independencia y la eficacia de las operaciones de auditoría interna debe ser considerada una seria limitación al alcance, y debe ser llevada a la atención del consejo directivo, comité de auditoría o equivalente.
Referencias: Consejo para la Práctica 1110-2
Boletín «Auditwire», Volumen 25, IIA Inc
