El auditor interno como consultor de negocios, el reto del siglo XXI



Quisiera partir por la definición de de Auditoria Interna establecida por The Institute of Internal Auditors, Inc (IIA), organización global que agrupa a más de 110.000 profesionales que la practican alrededor de todo el mundo.

“La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones en una organización a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”. Muchos se preguntan:

Como puede verse en la definición, hoy se requiere del auditor interno lo siguiente:

- Ser consultor de negocios

- Agregar valor en su trabajo cotidiano

- Apoyar para mejorar las operaciones

- Evaluar y ayudar a mejorar la eficacia de los procesos de


o Gestión de riesgos

o Control

o Gobierno


Decir esto es muy sencillo, lo difícil está en ejecutarlo, sobre todo porque se trata de un asunto de cultura empresarial; es decir, se relaciona con las creencias, actitudes, tareas, el plan, los métodos, la capacidad de trabajo y todo lo que implica la actividad de auditoría interna, además, es algo que se construye paulatinamente, desde la definición del perfil del puesto y las expectativas de los accionistas y la alta dirección, seguida de la contratación o la promoción del auditor interno, hasta la percepción del valor que aporta con su trabajo a cada uno de los colaboradores de la organización.

Hay cierto tipo de auditores internos, cuyas actitudes se orientan hacia actividades de escaso valor y actúan, esencialmente, con un enfoque de detección y poco interés sobre las acciones tendientes a prevenir la ocurrencia de desviaciones e incumplimiento. Lo anterior no significa que el enfoque sea incorrecto, sino que también debe tener una preocupación sincera por balancear la prevención con la detección. Una visión corta de lo que significa la participación se convierte en una situación difícil de romper. El auditor interno tiene la obligación de evolucionar, pero es necesario prepararse con determinación para ello. Una percepción negativa en relación con los enfoques y actividades que realiza se convierte en una barrera que no siempre se supera y cuando se pretende un cambio de la misión de la auditoría interna, el concejo de administración o la alta gerencia, buscan lograrlo mediante la contratación de la figura de outsoursing o co-soursing de esta importante función, es decir, se asume que el proveedor de este servicio contribuirá con un mayor nivel de experiencia de negocios, tecnología, know-how y, sobre todo, la contribución a la cadena de valor de la organización tal como lo refiere la definición antes comentada.

Un segundo grupo de auditores internos están en el lado de las recomendaciones y sugerencias centradas en “mejorar el control”, cuando en realidad lo que se necesita es coadyuvar con el concejo de administración y la dirección general en el cumplimiento de los objetivos, sin descuidar claro está, los temas de prevención de fraudes, de cumplimiento normativo y eficacia y confiabilidad de las tecnologías de información, entre otros aspectos relevantes.

Por fortuna, existe un tercer grupo de auditores internos que se preocupan de su preparación sistemática, no solo en temas relacionados con la profesión sino en los relacionados con el entorno competitivo de los negocios, la transparencia, la ética y la evaluación al desempeño. Un claro conocimiento de los desafíos a que se enfrenta la organización ofrece grandes oportunidades si se sabe aprovechar. En no pocas ocasiones, ellos financian su propia capacitación. Estos auditores internos son los que se encuentran ocupando las posiciones de importancia en las organizaciones. En resumen, han entendido que el papel del auditor interno también es de consultor interno en los temas de gobernabilidad corporativa, riesgos, control interno y aseguramiento de calidad, y con una fuerte orientación al logro de los objetivos.

El entorno al que se enfrenta el auditor interno está influido por un conjunto amplio de regulaciones aplicables, por ejemplo, los proyectos de implantación de Sarbanes-Oxley y por proyectos especiales que requieren de su significativa participación, tanto en el sector público como privado. En este contexto, algunos auditores preguntan de modo sistemático como se pueden tener todas estas capacidades en una sola persona; la respuesta es que no es tarea de un solo hombre, sino la complementariedad de un cuerpo de auditores internos y/o consultores externos que trabajan uniendo sus talentos, capacidades y experiencia. Aquí es importante recordar que en la práctica de la auditoría interna moderna convergen distintas profesiones y especialidades como la contaduría pública, ingeniería, derecho, la administración, economía y actuaria entre otras tantas.

Debido a todos los cambios en el entorno regulatorio y al énfasis que se ha estado dando a los temas de gobierno corporativo, comités de auditoría y sarbanes-Oxley, la actividad de auditoría interna está resurgiendo como el Ave Fénix, pues ahora desempeña un papel de singular importancia para apoyar a la toma de decisiones y al cumplimiento de los objetivos y metas institucionales. Sin embargo, el rezago que hay en algunas áreas de la auditoria ha obligado a las instituciones a tomar la decisión de contratar servicios de outsourcing para desempeñar estas tareas y lograr mejores resultados. Las firmas de Contadores Públicos también lo hacen con respecto a la auditoría interna.

Es interesante observar que las áreas de auditoría interna que logran sobrevivir a las intenciones de outsourcing, lo han logrado por medio de aprovechamiento de las áreas de oportunidad que se relacionan con la evaluación de riesgos, auditoria a las tecnologías de información, autoevaluación de control y la auditoria forense, entre otras. Estas áreas de oportunidad representan aportaciones valiosas que permiten a la organización enfocarse en las cosas verdaderamente importantes y que son las que llevan a la consecución de las metas y objetivos.

En medio de este entorno, la invitación es para que los auditores internos tomen para sí el compromiso de actualizarse y/o buscar certificarse en las distintas alterativas que existen (CIA, Certified Internal Auditor, CCSA Certificate in Control Self Assessment, CGAP, Certified Goverment Auditing Professional, CISA, Certified Information Systems Auditor, por mencionar algunos.

Fuente: AudiTool

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?          4 Origen del problema          5 PRUEBAS DE CONCEPTO          7 Extracción masiva de datos personales:          7 Consulta de datos personales por CUIT:          8 Usos potenciales de esta información    
Leer más