Auditoria Inteligente

Resultados, no procesos

Invítame a un café en Ko-fi!

Aseguramiento integrado: El nuevo valor estándar del CAE/DAI

Aseguramiento integrado: El nuevo valor estándar del CAE/DAI

El coste oculto de la desconexión organizacional

¿Cuántas veces hemos oído a los líderes operativos suspirar con resignación ante la entrada de un nuevo equipo de revisión a sus oficinas? Primero llega el equipo de Control Interno a evaluar matrices; unas semanas después, Oficialía de Cumplimiento pide los mismos documentos para su revisión anual y, finalmente, Auditoría Interna aparece para hacer su plan de trabajo, preguntando cosas curiosamente similares.

Esta escena, demasiado común en el mundo corporativo actual, tiene un nombre: la fatiga de auditoría.

Para los directores de auditoría (CAEs) y la Alta Dirección, este fenómeno representa mucho más que una mera molestia operativa. Es síntoma de una enfermedad subyacente que afecta a la gobernanza corporativa: el trabajo en silos. Si las funciones de aseguramiento y supervisión de una organización (la segunda y tercera línea) no se comunican de forma eficaz, el resultado será una combinación letal de esfuerzos duplicados, ineficiencia en el uso de los recursos y lo que es más peligroso, la aparición de puntos ciegos críticos en el perfil de riesgo de la empresa.

En un entorno empresarial marcado por rápidas disrupciones tecnológicas, presiones regulatorias globales y un incremento de las expectativas sobre los factores Ambientales, Sociales y de Gobernanza (ESG), la fragmentación del riesgo no es ya una opción viable. Aquí es donde entra en juego el concepto de Aseguramiento Integrado, un enfoque que está pasando de ser una “buena práctica” a ser un mandato normativo y estratégico.

El catalizador del cambio: La Norma 9.5 de las NOGAI

El Instituto de Auditores Internos (IIA) ha reconocido esta necesidad imperiosa de alineación. Con la publicación de las nuevas Normas Globales de Auditoría Interna (NOGAI), que establecen un marco renovado y ágil para la profesión, la colaboración se ha convertido en un elemento esencial. El Principio 9 dice específicamente que Auditoría Interna debe “Comunicar efectivamente”, pero la que realmente marca la pauta es la Norma 9.5: Coordinación y Confianza (Coordination and Reliance).

La Norma 9.5 requiere explícitamente que el Director Ejecutivo de Auditoría (CAE) coordine con otros proveedores de aseguramiento internos y externos. El objetivo es, en teoría, sencillo pero profundo en la práctica: asegurar una cobertura adecuada de los riesgos de la organización y minimizar la duplicación de esfuerzos.

Pero, ¿qué significa esto realmente para el CAE y para la Alta Dirección? Es decir, el aislamiento que nos hemos autoimpuesto en nombre de la "independencia" debe terminar. La independencia y la objetividad de Auditoría Interna son innegociables, por supuesto, pero no deben confundirse con el aislamiento. Un CAE moderno ha de ser un constructor de puentes. Tiene que sentarse con el Director de Riesgos (CRO), el Director de Cumplimiento (CCO), los líderes de Calidad y los auditores externos para mapear quién está haciendo qué, cuándo y cómo.

El mapa de aseguramiento: La brújula de la Junta Directiva

Gemini Generated Image Qhetd6qhetd6qhet
Ejemplo mapa de aseguramiento (Google Gemini)

Esta coordinación produce la herramienta táctica fundamental, el Mapa de Aseguramiento (Assurance Map). Imagínese un tablero visual de control que cruza todos los proveedores de aseguramiento y las líneas de defensa con los principales riesgos estratégicos de la organización.

Un mapa de aseguramiento integrado es una revelación para un miembro del Comité de Auditoría o de la Junta Directiva. La Junta no recibe tres informes distintos con tres evaluaciones diferentes del riesgo (donde Cumplimiento dice que un riesgo es “Medio”, pero Auditoría Interna lo llama “Crítico” en una escala diferente) sino que obtiene una historia unificada.

El mapa muestra de inmediato dos escenarios que requieren atención ejecutiva:

  1. Áreas de Sobre-aseguramiento: Áreas del negocio de bajo riesgo que están siendo auditadas y revisadas por varios departamentos, desperdiciando valiosos recursos.
  2. Brechas de aseguramiento (puntos ciegos): Riesgos emergentes, como la adopción no regulada de inteligencia artificial o vulnerabilidades en la cadena de suministro de datos, que no están siendo evaluados de forma consistente por los distintos departamentos.

Al unir estos esfuerzos, el CAE de inmediato eleva el valor estratégico de su departamento, pasando de ser un simple buscador de fallas a un asesor de confianza para la Junta.

El arte de la confianza (reliance): No reinventar la rueda

La parte dos de la Norma 9.5 trata sobre un concepto esencial: la confianza o “reliance” en el trabajo de otros. Si ya el departamento de Cumplimiento llevó a cabo pruebas exhaustivas a los controles AML, y su metodología es robusta y objetiva, ¿por qué Auditoría Interna debe comenzar desde cero?

Las NOGAI permiten y fomentan que la Auditoría Interna confíe en el trabajo de otros proveedores de aseguramiento, siempre y cuando el CAE haya evaluado su independencia, objetividad y competencia. Esto no significa que dejemos de asumir responsabilidades, significa auditar de forma inteligente. Al apalancarse en el trabajo de segunda línea, Auditoría Interna gana horas valiosas que pueden ser redirigidas a auditar riesgos verdaderamente estratégicos, proyectos de transformación digital o iniciativas de cultura corporativa.

Pero la confianza mutua no es algo que se consiga sin más: para ello hay que superar profundas barreras culturales. A menudo hay “guerras territoriales” (turf wars) entre departamentos que protegen celosamente sus presupuestos, sus herramientas y su acceso a la Junta Directiva.

La Alta Dirección como patrocinadora de la sinergia

Aquí es donde entra en juego el papel del C-suite (CEO, CFO, COO). El aseguramiento integrado no puede ser solo una iniciativa de abajo hacia arriba impulsada por la Auditoría Interna. Es necesaria una orientación clara desde la alta dirección de la organización. La Alta Dirección debe demandar una visión unificada del riesgo.

Cuando los altos directivos fomentan una cultura en la que se premia la colaboración en lugar del proteccionismo por departamentos, los silos tienden a derrumbarse. Esto significa que se establece una taxonomía de riesgos común. Si toda la empresa no habla el mismo “idioma” de riesgo, si no coinciden en qué constituye un riesgo “alto” o cómo se categorizan los procesos de negocio, la integración será mecánicamente imposible.

El camino hacia la madurez del aseguramiento

La implementación de un modelo de aseguramiento integrado no es algo que ocurra de la noche a la mañana. Es un proceso de maduración que normalmente transcurre por estas etapas:

  • Fase 1: Consciencia. Los departamentos reconocen su existencia y comparten cronogramas básicos para no chocar en las mismas semanas al visitar a los auditados.
  • Fase 2: Coordinación. Se crean mapas de aseguramiento compartidos y se discuten de forma conjunta los planes anuales para minimizar redundancias.
  • Fase 3: Integración táctica. Se unifica la taxonomía de riesgos, se comparten las metodologías de evaluación y se empieza a confiar en los resultados de pruebas cruzadas (Reliance).
  • Fase 4: Aseguramiento óptimo. La utilización de plataformas GRC comunes, permite tener una visión del riesgo en tiempo real, con reportes conjuntos e integrados para la Junta Directiva.

Preparando el terreno para el futuro

Conforme las organizaciones se vuelven más complejas, la necesidad de una voz unificada sobre el riesgo se convierte en un imperativo de supervivencia corporativa. La Norma 9.5 del IIA no es una mera regla de cumplimiento profesional; es una invitación a la eficiencia organizativa. Es la promesa de devolverle a la primera línea el tiempo que necesita para generar ingresos (las operaciones), mientras se le da a la Junta Directiva la claridad que necesita para gobernar.

Sin embargo, entender la norma preceptiva es solo el comienzo. Para que el Aseguramiento Integrado se convierta en una práctica habitual, necesitamos estructuras que soporten esta colaboración. ¿Cómo se engranan exactamente control interno, cumplimiento y auditoría bajo marcos reconocidos internacionalmente?

En el próximo artículo de esta serie, hablaremos más sobre cómo funciona exactamente esta sinergia. Vamos a examinar cómo incorporar el Aseguramiento Integrado en el Modelo de las Tres Líneas del IIA y en el marco COSO de Gestión de Riesgos Empresariales (ERM), ofreceremos orientación táctica para alinear las actividades operativas, la gestión del riesgo y la auditoría con un objetivo común de creación y preservación de valor. ¡No se lo pierda!

Christian Vargas

,