Los proyectos de auditoría sin opiniones no tienen sentido

Los proyectos de auditoría sin opiniones no tienen sentido

 

Los proyectos de auditoría sin opiniones no tienen sentido

Todavía estoy sorprendido por la cantidad de funciones de auditoría que producen informes de auditoría sin proporcionar opiniones sobre el entorno de control. Después de todo, la Auditoría Interna es una función de garantía objetiva. No hay forma de brindar seguridad sin una opinión final formal.

 

El poder de las opiniones ha cambiado para siempre la forma en que compramos bienes, adquirimos servicios y tomamos decisiones críticas. Hoy en día, expresamos nuestras opiniones haciendo «me gusta» en Facebook, «tuiteando» en Twitter, «aprobando» o «recomendando» en Linkedin, o simplemente comentando en sitios web. Del mismo modo, expresar opiniones siempre ha sido una parte crítica de la auditoría interna. La definición de auditoría interna establece que «ayuda a una organización a lograr sus objetivos al brindar un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y gobierno». Sin embargo, muchos auditores se niegan a proporcionar opiniones sobre la estructura de control de las áreas evaluadas. Las partes interesadas están pidiendo cada vez más que las funciones de auditoría opten por compromisos individuales, así como por la adecuación de la gobernanza, la gestión de riesgos y los controles en toda la empresa. No hacerlo no solo constituye un perjuicio para la organización, sino que también viola el espíritu de la definición de auditoría interna.

Los estándares IIA contienen un amplio respaldo de la noción de proporcionar opiniones de auditoría. La Norma 2410: Criterios para la comunicación, por ejemplo, establece que, cuando corresponda, los resultados del trabajo «deben contener la opinión y / o conclusiones de los auditores internos». Además, la Guía de práctica del IIA, Formulación y expresión de opiniones de auditoría interna, sugiere que las opiniones positivas de aseguramiento, aquellas en las que los auditores toman una «posición definida», se encuentran entre «los tipos más fuertes de opiniones de auditoría». Es responsabilidad de cada función de auditoría proporcionar a las partes interesadas el mayor nivel de seguridad.

Incluso si no existiera orientación profesional sobre el tema, emitir una opinión de auditoría interna seguiría constituyendo una práctica sensata. Imagine leer una reseña de un nuevo televisor de alta definición en el que el crítico describe algunas características positivas y algunas «excepciones», sin denotar la importancia de esas excepciones. Ahora imagine que el crítico tampoco dice si la televisión es una «buena compra». La mayoría de los lectores encontrarían que tal revisión no es útil. Del mismo modo, un informe de auditoría sin una opinión no proporciona a los interesados ​​la información que necesitan para determinar si los riesgos organizacionales se gestionan de manera efectiva.

¿Por qué algunas funciones de auditoría se niegan a proporcionar conclusiones adecuadas sobre las áreas que auditan, a pesar de los beneficios? Lo más probable es que se deba a al menos una de tres razones: miedo a tener que explicar y defender vigorosamente las conclusiones, falta de una metodología de calificación estructurada e incapacidad para clasificar los problemas de acuerdo con la gravedad y la importancia para la organización. Y aunque cada uno de estos puede presentar desafíos legítimos, pueden superarse apoyando las conclusiones lo suficiente, colaborando con los clientes para desarrollar una metodología de calificación, comunicando esa metodología de manera efectiva y asegurándose de que se aplique de manera consistente.

Los auditores internos no deben hacer que sus partes interesadas adivinen sobre la fortaleza del entorno de control de la organización. En cambio, deben proporcionar informes de auditoría basados ​​en opiniones que aborden claramente la idoneidad de las estrategias de mitigación de riesgos.

Leave a Reply