Covid-19: ¿Cómo gestionar la Auditoría de manera remota?

Edmundo Lizarzaburu PhD. Profesor e Investigador de la Universidad Esan

La COVID-19 viene generando cambios en la manera de hacer las cosas y mayor eficiencia en los procesos como parte de la llamada “nueva normalidad”. Realizar revisiones o “auditorías” de manera no presencial, remotas o a distancia, se vislumbra como una estrategia de gestión empresarial valiosa.

Es clave para las empresas contar con un programa de auditoría como mecanismo que complemente y monitoree las acciones y cambios implementados para el reinicio de operaciones, con la finalidad de mitigar los riesgos derivados de la “nueva puesta en operación”, “cambio de timón” o “reconversión”.

La auditoría es un proceso sistemático, independiente y documentado que busca obtener evidencia objetiva y evaluarla para determinar en qué medida se cumplen procesos y procedimientos. Significa verificar ¿qué es lo que hace?, comprobarlo y, si es necesario, identificar brechas partiendo de la premisa de que se tiene documentación.

En la actualidad, el modelo de las tres líneas de defensa es considerado como la mejor práctica en el entorno internacional para organizaciones que buscan estandarizarse y, sobre todo, establecer acciones de continuidad y mejora continua.

Líneas de defensa

La primera línea de defensa se relaciona con la dirección operativa o gerencias que son las responsables, entre otros, de identificar, evaluar, controlar y mitigar riesgos de procesos para garantizar un alineamiento entre las metas y objetivos de la empresa. Para ello, deben considerar controles internos eficaces y ejecución diaria de procedimientos de riesgo y control (1).

La segunda línea de defensa (2) comprende áreas específicas como las oficinas de administración de riesgos o los departamentos de cumplimiento que permiten construir y supervisar los controles de la primera línea de defensa, así como vigilar cumplimientos legales. Para la segunda línea de defensa existen estándares como ISO 31000:2018 gestión de riesgos, ISO 31022:2020 riesgos legales, ISO 19600 compliance e ISO 37001 antisoborno, que realmente son acciones importantes en esta pandemia (3).

La tercera línea de defensa (4) se relacionada con la auditoría interna que proporciona razonabilidad sobre la eficacia de la gobernanza, la administración de riesgos y el control interno, incluye la forma en que la primera y segunda líneas de defensa contribuyen a alcanzar los objetivos de administración de riesgos de corrupción y su control.

Auditorías en Covid

Las auditorías no pueden ni deben parar por la pandemia, se deberían estar realizando, al menos, mediante las modalidades virtual o remota.

Las auditorías virtuales se llevan a cabo cuando una organización realiza un trabajo o proporciona un servicio usando un entorno en línea, que permite a las personas, independiente de las ubicaciones físicas, ejecutar procesos (por ejemplo, la intranet de la compañía, una “nube informática”).

En tanto que, las auditorías remotas se refieren al uso de tecnología para reunir información o entrevistar a un auditado, cuando los métodos presenciales no son posibles.

El acceso remoto es fundamental, tomando en cuenta el sector, locación, accesibilidad, permisos para copias, documentación, confidencialidad, seguridad buscando cumplir con el objetivo y alcance de la revisión. La norma ISO 19011:2018 proporciona pautas para la ejecución de auditorías a distancia.

Finalmente, se debe reflexionar acerca de la importancia de realizar auditoría. Las empresas deben gestionar sus programas de Auditoría considerando que deberán ser “a distancia” y deberán incorporar aspectos de gestión de Riesgos, el complimiento y la gestión de cambios, con la finalidad de generar confianza y la fiabilidad de la auditoría, el método empleado no debería perjudicar el logro del objetivo de la auditoría, el cuál debe contribuir con la sostenibilidad y aseguramiento de la continuidad de negocio, realizando acciones de mitigación, pero sobre todo de prevención frente a la coyuntura actual.

Notas:

(1) Davies, H., & Zhivitskaya, M. (2018). Three lines of defence: a robust organising framework, or just lines in the sand?. Global Policy, 9, 34-42.

(2) Mabwe, K., Ring, P., & Webb, R. (2017). Operational risk and the three lines of defence in UK financial institutions: is three really the magic number?. Journal of Operational Risk.

(3) Timm, F., & Sandkuhl, K. (2018). A Reference Enterprise Architecture for Holistic Compliance Management in the Financial Sector.

(4) Grech, M. (2019). The changing risk scenario’s implications on banks’ three lines of defence (Master’s thesis, University of Malta).