Innovación en Auditoría Interna: con la visión de Telefónica
En un entorno de cambio constante, «la necesidad de innovar y reinventarse es uno de los principales deberes de la Auditoría Interna», nos dice Rafael del Río, Director Risk & Internal Control en Telefónica.
En un panorama donde la inestabilidad y la inmediatez prima, lo único constante es el cambio. Por esta razón, los auditores internos deben adaptarse a los escenarios a los que las empresas se enfrentan en su día a día. Así lo aseguró Rafael del Río, Director Risk & Internal Control en Telefónica, durante su participación en Los Lunes del Instituto de Auditores Internos, remarcando “la necesidad de innovar y reinventarse como uno de los principales deberes de la Auditoría Interna”.
Según el experto, “son precisamente las situaciones de crisis y/o necesidad las que funcionan como aceleradores naturales de la innovación”. La capacidad de aprendizaje, muy ligada al concepto de open mind, es esencial para desempeñar la Auditoría Interna en un escenario donde todos los factores han llegado a un nivel tan elevado de interconectividad y celeridad, y donde además hay un viraje hacia lo intangible y el mundo de los datos.
Esta realidad obliga más si cabe al auditor interno a tener una visión global, a analizar riesgos constantemente, a conocer más el proceso y a vivir en el día a día de las compañías. Y en este entorno, las nuevas tecnologías juegan un papel esencial, ya que “no solo facilitan el proceso de innovación; a menudo, lo obligan. Se trata de hacer que Auditoría Interna evolucione, pero manteniendo la esencia. Hay que enfocar las cosas de forma distinta”.
La Auditoría Interna, a revisión
Del Río manifestó que “innovar es adaptarse” y por eso invitó a los auditores internos a “replantearse todo, hasta lo esencial”, abriendo el debate a diferentes factores:
- Las Auditorías y sus evidencias: ¿cómo llegamos a las evidencias? Sin duda, un aspecto que ha evolucionado y donde encontramos, por ejemplo, auditorías a través de drones.
- El concepto de informe: absolutamente necesario cuando se habla de requerimientos legales, pero que, en la actualidad, para cuando se presenta, puede haber quedado obsoleto. Del Río defiende la necesidad de llegar a un equilibrio entre los requisitos formales y la inmediatez, poniendo el foco en el hallazgo online.
- Dynamic Risk Assessment: se pone de manifiesto la relevancia de cisnes negros que cambian de forma abrupta la realidad. En este aspecto, se plantea una evolución hacia un modelo de evaluación continuo y dinámico, con capacidad de responder de forma ágil a riesgos emergentes globales, interconectados y en entornos de incertidumbre creciente.
- Concepto de Plan de Auditoría: el debate se dirige en este punto hacia el concepto de Audit Spectrum, que supondría una planificación de las actividades de Auditoría Interna más orientada hacia una supervisión continua del control interno sobre los principales riesgos en cada momento. Esto implicaría revisar los procedimientos tradicionales de planificación, desarrollo y reporte de actividades a través de una planificación más ajustada, el desarrollo de nuevas técnicas de auditoría y mecanismos de reporte más “on-line” y cercanos a las necesidades de los gestores (seguimiento de hallazgos versus informes).
- Anticipación: el auditor interno debe dirigirse hacia una auditoría continua de la operativa y el diseño de controles bajo esquemas de aseguramiento integral.
- La evolución de referentes: como ejemplo, COSO, que ya introdujo por primera vez, en 2017, la parte de riesgos y auditoría dentro del ADN de la compañía.
Del “trabajo de Auditoría Interna” a la “actividad de Auditoría Interna”
Durante su intervención, del Río compartió algunas prácticas puestas en marcha desde su empresa en la actividad de Auditoría Interna y finalizó su ponencia haciendo alusión a la crisis del COVID-19 como una tragedia cuya magnitud no había sido prevista y que a su vez ha tenido un efecto acelerador.
La actual pandemia ha forzado cambios en la forma de auditar. Las limitaciones a la observación, la disponibilidad del auditado, las dificultades encontradas en el acceso de las evidencias o para hacer las pruebas pertinentes han supuesto grandes restricciones en un escenario sin precedentes que ha puesto a prueba la capacidad de resiliencia de las empresas.
La situación originada por el COVID-19 ha obligado a una revisión integral de áreas como Continuidad de Negocio; Ciberseguridad; Infraestructura Tecnológica; Control Interno y Auditoría Interna. Además, ha servido como acelerador del teletrabajo, la digitalización, la priorización y la detección de oportunidades.
Del Río finalizó su intervención con una reflexión sobre la necesidad, no solo de cambiar la forma de hacer las cosas, sino de la propia imagen del auditor interno, y remarcó la necesidad de hacer autocrítica (no solo hacia lo que se audita, sino también hacia uno mismo); adaptación continuada; trabajar un nuevo perfil de auditor interno más tecnológico; y mejorar la interpretación de los datos.
En definitiva, “se nos exige inmediatez, dinamismo y flexibilidad; tenemos que pasar del concepto de “trabajo de Auditoría Interna al de actividad de Auditoría Interna”.