Planificar el enfoque para el desarrollo del equipo
Los equipos de auditoría deben poseer los conocimientos y aptitudes necesarios para llevar a cabo auditorías con eficacia dentro de su organización. El Director de Auditoría tiene varias opciones para asegurarse de que el equipo cuenta con el conjunto de aptitudes adecuado. El primer paso consiste en evaluar las aptitudes y conocimientos actuales del departamento. Llevar a cabo una evaluación de las competencias puede identificar rápidamente cualquier laguna en los conocimientos del equipo. La evaluación de competencias debe adaptarse a la organización y al sector. Es importante tener en cuenta que las competencias necesarias en una organización del sector público diferirán de las de una empresa, una institución financiera o un minorista.
Ejemplo de plan estratégico de auditoría interna:
Necesitamos comprender las tecnologías utilizadas en nuestra organización, ahora y en el futuro, y qué competencias digitales pueden equipar mejor al equipo de auditoría para ser más eficiente y eficaz y añadir valor. Todo el personal de auditoría se someterá a una evaluación de competencias digitales.
Una vez establecida la línea de base, el CAE debe decidir qué competencias deben mantenerse o desarrollarse. En términos generales, existen tres opciones para desarrollar estas competencias en el departamento:
Impartir formación en grupo
La formación en grupo es muy rentable porque permite formar a todo el equipo a la vez. Contratar a un formador profesional que pueda enseñar simultáneamente a toda la plantilla puede ser la opción más eficaz para equipos grandes. Además, el formador puede proporcionar créditos de formación continua a quienes tengan certificaciones. Sin embargo, la desventaja de este método es que todos recibirán la misma formación, y no hay oportunidad para la especialización individual entre los miembros del equipo. Esta opción funciona mejor para establecer una base de referencia de las competencias esperadas.
Presupuesto para formación individual
Algunos Directores de Auditoría Certificados asignan un presupuesto de formación distinto a cada miembro del equipo. De este modo, cada persona puede elegir los cursos de formación pertinentes para mejorar sus competencias dentro del presupuesto asignado. Para atender las necesidades del departamento, deben establecerse ciertas directrices que garanticen que la formación se centra en temas relevantes para las necesidades de la organización. Si se opta por este enfoque, también es importante prever tiempo suficiente para que los empleados completen la formación.
Exigir a los individuos que busquen su propia formación
No es aconsejable dejar toda la responsabilidad de la formación del personal de auditoría en sus manos. Cuando el departamento no paga la formación, el director de auditoría (CAE) pierde el control sobre la calidad y el tipo de formación impartida. Algunos miembros del personal pueden optar por formación gratuita en línea, cuya calidad puede variar. Otros pueden ni siquiera considerar la formación debido al coste asociado. Los nuevos miembros de la profesión siempre están deseosos de desarrollarse profesionalmente, y no proporcionarles una formación adecuada puede obstaculizar su crecimiento, crear lagunas de habilidades en el equipo y provocar la rotación del personal..
Plan de despidos
Como ya se ha mencionado, la formación de los empleados influye significativamente en la tasa de retención de su organización. Como parte de la estrategia de auditoría, los Directores de Auditoría (CAE) deben evaluar si hay redundancia entre los miembros del equipo, el nivel de confianza y responsabilidad que se deposita en cada persona y la probabilidad de que los individuos abandonen la organización. Es un error común pensar que la redundancia es una oportunidad para reducir la plantilla. Sin embargo, es esencial recordar que muchos puestos de auditoría son temporales debido a rotaciones planificadas, y también debemos considerar el impacto del movimiento de puestos de trabajo al margen de los simples costes de contratación. La mayoría de los empleados tienen responsabilidades críticas que no comparten con otros, lo que puede aumentar el riesgo de rotación. Las organizaciones pueden ofrecer opciones de formación periódica para mitigar este riesgo para sus empleados.
Planificación de la sucesión
La planificación de la sucesión suele centrarse en los cargos directivos. Las personas son seleccionadas y preparadas para los cambios en un plan de sucesión claro. Sin embargo, la mayoría de los cambios en una organización se producen en cargos no directivos. Por lo tanto, los equipos de auditoría deben evaluar el riesgo relacionado con la planificación de la sucesión en los puestos de gestión de auditoría. Por ejemplo, es importante tener en cuenta las implicaciones que tendría si el director de auditoría informática decidiera marcharse de forma repentina. Incluir un plan de sucesión para los puestos críticos de auditoría en la estrategia de auditoría puede reducir las interrupciones si alguien decide marcharse.
Establecer un modelo de madurez digital
Los equipos de auditoría interna pueden ser lentos a la hora de adoptar nuevas tecnologías por varias razones: la falta de financiación y las lagunas de conocimientos dentro del personal de auditoría son las más comunes. El plan estratégico de auditoría interna debe abordar el hecho de que la tecnología avanza más rápido que nunca, y los equipos de auditoría interna deben mantenerse al día con los cambios en múltiples frentes. En primer lugar, el equipo de auditoría necesita comprender los avances tecnológicos realizados dentro de la organización para ajustar el plan de auditoría. A continuación, el equipo necesita un conjunto adecuado de soluciones tecnológicas para completar su trabajo, como soluciones de gestión de auditorías, análisis de datos y herramientas de automatización. Un paso esencial para que el equipo de auditoría madure en el uso de la tecnología es la comparación con otros en su sector. Por último, la dirección de auditoría debe estar al tanto de las posibles soluciones que se presenten en el futuro para planificar el tratamiento adecuado de los riesgos para la organización.
Alineación con la organización
El modelo de madurez digital de auditoría debe alinearse con la estrategia tecnológica más amplia de la organización. El CAE puede empezar por establecer relaciones y fijar expectativas con los equipos de informática. Algunas organizaciones esperan que el CAE presupueste la tecnología con cargo a su presupuesto asignado, mientras que otras presupuestan todo el gasto en tecnología dentro de la organización de informática. En este último caso, el CAE debe crear un caso de negocio y establecer expectativas sobre el coste, el calendario y el proceso de implantación. El CAE también tiene que trabajar en el proceso de compras de la organización, que probablemente incluirá la recopilación de propuestas, evaluaciones técnicas y revisiones legales de los contratos. Todos estos pasos añaden tiempo al proceso general que debe tenerse en cuenta en el plan de madurez, por lo que es mejor empezar a planificar con tiempo.
Antes de adquirir nueva tecnología, también se debe tener en cuenta el inventario actual de soluciones. Es posible que otras personas de la organización ya tengan acceso a soluciones analíticas, software de automatización o herramientas de generación de informes. Por otro lado, si no encuentra soluciones internas, tal vez le convenga asociarse con otros para encontrar una solución mutuamente beneficiosa.
Ejemplo de plan estratégico de auditoría interna:
- Auditoría Interna, Gestión de Riesgos Empresariales y Cumplimiento pueden elegir una única plataforma de aseguramiento.
- Auditoría Interna puede asociarse con Contabilidad para utilizar las mismas herramientas de análisis de datos.
- Auditoría Interna puede aprovechar una solución AI/RPA existente que utilice el equipo de tecnología.
Planificación de las actualizaciones de la estrategia de auditoría interna
La auditoría interna necesita una estrategia de auditoría dinámica para mantenerse al día con los cambios en el panorama de riesgos, por lo que el CAE debe planificar las actualizaciones. Algunos eventos pueden requerir actualizaciones más frecuentes, tales como cambios organizativos, cambios en liderazgo, actualizaciones de políticas y procedimientos, nuevas leyes y reglamentos, la introducción de nuevos marcos, o los resultados de las evaluaciones internas y externas de la función de auditoría interna (por ejemplo, los resultados del QAIP). Fuera de los eventos importantes, el CAE debe considerar las actualizaciones del plan estratégico de auditoría interna cuando se encuentre con tecnologías emergentes que alteren fundamentalmente el enfoque de planificación, pruebas e informes de auditoría.
Si la estrategia de auditoría interna necesita actualizaciones, el CAE debe revisar la estrategia con el Consejo y la alta dirección. Las normas no especifican la frecuencia, pero dado que la estrategia marca la pauta para toda la función de auditoría, puede tener sentido utilizar el plan estratégico como punto de referencia durante todas las reuniones del comité de auditoría. La revisión puede incluir un calendario para alcanzar los objetivos del plan, actualizaciones de los progresos realizados en esos objetivos y cualquier preocupación relacionada con la consecución de objetivos específicos.
Planificar el éxito
La creación de un plan estratégico de auditoría interna sienta las bases del éxito. El CAE siempre ha sido responsable del plan de auditoría y del equipo, y la nueva norma exige más formalidad. Al documentar la estrategia de auditoría interna, compartirla con el equipo de auditoría y revisarla con el Consejo y la alta dirección, el CAE muestra la cuidadosa planificación necesaria para mantener una función de auditoría preparada para evaluar el entorno de control de la organización y la exposición al riesgo. La estrategia documentada asegura que el equipo de auditoría está trabajando hacia una misión común, guiado por la visión del CAE para el equipo, y considera las necesidades de la organización y de los miembros individuales del equipo de auditoría. Construir la estrategia de auditoría interna es esencial para planificar el éxito futuro.