Serie: Reportería a Prueba del Futuro

Veamos este escenario: es viernes por la tarde, estamos a pocos días del cierre del trimestre. Llevas las últimas cuatro horas persiguiendo a tu equipo, revisando el software de gestión de auditoría (llámese TeamMate, AuditBoard o tus matrices en Excel), consolidando hojas de cálculo y asegurándote de que todos los papeles de trabajo estén firmados. Finalmente, consolidas el informe de estado de las auditorías en curso, adjuntas el PDF y le das a “Enviar” al Comité de Auditoría y a la Alta Gerencia.

Y después… silencio.

No tienes la certeza de que alguien lo haya leído en verdad. No sabes si el CEO o el Presidente del Comité de Auditoría captaron la gravedad de esa bandera roja sobre riesgos de cumplimiento que enterraste sutilmente en la viñeta número cuatro de la página seis. Te sientes menos un asesor estratégico de confianza y más un oficinista de captura de datos, contando marcas de auditoría.

No estás solo si te sientes así. La carrera de Auditoría Interna está viviendo un cambio de paradigma imponente. Las Nuevas Normas Globales de Auditoría Interna (NOGAI) del Instituto de Auditores Internos (IIA) están empujando con fuerza a la profesión lejos del antiguo “Cumplimiento del Proceso” (¿completamos nuestra muestra estadística?) hacia la “Entrega de Valor” (¿ayudamos a la organización a mitigar un riesgo inminente?).

En un mundo en que los análisis de datos e inteligencia artificial ya pueden ejecutar pruebas sobre el 100% de la población, algoritmos para identificar excepciones y generar tableros de Power BI en segundos, el valor de un Director de Auditoría (CAE) o de un auditor moderno ya no reside en recopilar y listar las fallas de control. Reside en interpretar qué significan esas fallas para la estrategia del negocio.

Hoy comenzamos una serie de tres partes sobre Reportería a Prueba del Futuro. Vamos a conocer cómo dejar de ser “Reporteros de Excepciones” para ser “Impulsores de Decisiones”.

La realidad de la auditoría moderna y la Torre de Babel

Vamos a ser honestos en cuanto al entorno de aseguramiento actual. Hace algunos años, era más lineal la auditoría. Contábamos con un Plan Anual de Auditoría rígido, realizábamos la parte de campo, emitíamos un borrador, discutíamos los planes de acción y cerrábamos el informe. Todo caía en cascada y el "único origen de verdad" era el informe final.

Hoy esa simplicidad ha sido destruida por la complejidad organizacional. Los modernos auditores internos operan en una realidad en la que se superponen el aseguramiento continuo, las ágiles auditorías de cumplimiento regulatorio y las labores de asesoría.

Ello genera un escenario de comunicación que es parecido al de la Torre de Babel:

• Dice el Equipo de Auditoría: "Hemos ejecutado el 100% de la muestra de contratos de terceros; emitimos 15 observaciones de riesgo medio".
• La Gerencia que ha sido auditada (Patrocinador) manifiesta: El negocio tiene que andar rápido; nos asumimos el riesgo de esas 15 excepciones. ¿Podemos cerrar la auditoría?
• Preguntan el Comité de Auditoría y la Junta: “Con las nuevas regulaciones globales y las recientes multas que se han aplicado en nuestra industria, ¿está protegida nuestra cadena de suministro contra vulnerabilidades críticas?”

Si tu estrategia de reportería para el Comité es simplemente enumerar el número de horas invertidas, el porcentaje de avance del plan anual y un conteo de “hallazgos abiertos vs. cerrados”, no estás reportando; estás creando ruido. Cuando la métrica operativa no está vinculada al contexto estratégico, se genera confusión, y la confusión destruye la confianza ejecutiva.

El peligro oculto: el "Efecto Sandía"

Esta sobrecarga de métricas operativas y la falta de un hilo conductor estratégico llevan al fenómeno más peligroso en la gestión de nuestros proyectos de aseguramiento: El efecto sandía.

Cualquier auditor con experiencia ha vivido una auditoría tipo Sandía.

• Verde por fuera (La Corteza): En tu tablero de control o informe de estado mensual, el estatus es verde. El cronograma del trabajo de campo va según lo planeado. El equipo ha consumido el 80% del presupuesto de horas asignado y ha probado satisfactoriamente el diseño de la mayoría de los controles. A los ojos de la métrica tradicional, el proyecto es un éxito.
• Rojo por dentro (La Pulpa): En el fondo sabes que la auditoría va mal. Las pruebas confirmaron que las políticas existen en papel, pero la cultura real de cumplimiento en las filiales operativas es desastrosa. Peor aún, hay un problema serio de separación de funciones que el Director de Operaciones se niega a aceptar o firmar, lo que anuncia una lucha política de tres semanas para publicar el informe final.

¿Por qué se produce el Efecto Sandía? No es que los auditores quieran hacer trampa. Se da por la ceguera que produce la métrica. El reporte tradicional de auditoría se centra excesivamente en la Actividad (indicadores rezagados: horas cargadas, pruebas completadas) y muy poco en el Aseguramiento del Riesgo (indicadores adelantados: nivel de cooperación del auditado, efectividad real de los controles clave).

Si solo cuentas “casos de prueba completados” para medir el éxito de una auditoría, es que estás mirando por el espejo retrovisor. En lugar de advertir sobre la exposición al riesgo organizacional, estás administrando el cumplimiento de tu propio plan anual.

Subiendo la Pirámide DIKW: De datos a sabiduría

Para evitar que la sandía explote en la sala del Comité de Auditoría y rompa su corteza, tenemos que cambiar radicalmente la forma en que tratamos y comunicamos la información. Es aquí donde interviene la Pirámide DIKW (Datos, Información, Conocimiento, Sabiduría) y su aplicación práctica en coherencia con los principales marcos de referencia como COSO y las normativas del IIA e ISACA.

Vamos a pensar en una auditoría de cumplimiento y riesgo de terceros. Así es como se ve la escalada:

1. Datos (Data) : La materia prima que halla el auditor en su trabajo de campo. “Quince de los cincuenta proveedores de la muestra carecen de la firma correspondiente a la cláusula actualizada de protección de datos personales”.
2. Información: Los datos con su entorno inmediato. “El 30% de incumplimiento corresponde únicamente a proveedores nuevos de servicios en la nube contratados en el último semestre”.
3. Conocimiento: Es aquí donde, mediante la aplicación del pensamiento basado en riesgos, se genera el verdadero insight del auditor. Según los principios de COSO ERM, esta concentración, por sí misma, pone a la organización en un alto riesgo de perder información confidencial, lo que va en contra de nuestras políticas de ciberseguridad y supera nuestro nivel aceptable de riesgo regulatorio.
4. Sabiduría: La síntesis dirigida a la acción ejecutiva. Combinando todo esto, sugiere un riesgo regulatorio inminente. Acción recomendada: "Congele la contratación de nuevos servicios cloud hasta que la Gerencia de TI y Riesgos presenten e inicien un plan de remediación acelerado para los 15 proveedores críticos en los próximos 10 días."

El error en el que incurren muchos departamentos de auditoría interna es quedarse en la capa de Información (Paso 2). Darle a la Alta Gerencia un informe ejecutivo que solo diga “Encontramos 15 excepciones en los expedientes de proveedores” es, en esencia, darle trabajo a la Alta Gerencia. Los obligas a ellos a realizar el esfuerzo cognitivo de tratar de adivinar si esa desviación operativa es un problema menor de archivo o una crisis inminente de cumplimiento corporativo.

Tu labor como auditor moderno, bajo el nuevo marco de las NOGAI, es escalar la pirámide por ellos. Tienes que hacer el trabajo cognitivo de levantar la conexión entre el hallazgo técnico y el impacto en el negocio. No les mandes datos; envíales sabiduría.

En la siguiente entrega de esta serie, vamos a adentrarnos en el marco de trabajo preciso para estructurar esta "Sabiduría": El Marco del "¿Y Qué?". Es una herramienta analítica indispensable para convertir los hallazgos técnicos de cumplimiento o control interno en acciones ejecutivas inmediatas, asegurando que tus informes de auditoría sean leídos, comprendidos y, lo más importante, utilizados para impulsar el cambio.

¿Listo para ir más allá de la superficie en la medición de tus proyectos de auditoría (la corteza) y empezar a informar sobre su valor real (la pulpa de la sandía)?