El modelo de las tres líneas distingue claramente las funciones de los auditores internos de las de otros equipos de aseguramiento integrado, como los de cumplimiento, gestión de riesgos,y otras funciones de segunda línea. Si no se implementa de manera eficaz, existe la posibilidad de que los distintos equipos de aseguramiento operen de forma aislada. Esto conduciría inevitablemente a discrepancias en los mensajes dirigidos al Consejo, evaluaciones de riesgos inconexas, lagunas en la cobertura del aseguramiento, y un aumento de la fatiga del aseguramiento. Sin embargo, para respaldar el modelo de las tres líneas y evitar el aislamiento, los equipos de aseguramiento pueden trabajar en estrecha colaboración adoptando un enfoque de aseguramiento integrado. El aseguramiento integrado es un método probado para cerrar brechas y eliminar esfuerzos redundantes en las actividades de gobernanza, riesgo y control de una organización. Este artículo proporciona tres medidas que puede tomar para poner en marcha inmediatamente su programa de aseguramiento integrado, prestando especial atención a la preparación del equipo de auditoría interna.
Ponga en marcha su programa de aseguramiento integrado
Paso 1: Desarrollar una visión unificada
Lograr el consenso implica más que socializar la idea de los procesos integrados. El equipo de auditoría debe estar preparado con un argumento sólido que exponga el objetivo final del aseguramiento integrado. Los directores del comité de auditoría, de gestión de riesgos y del equipo de cumplimiento pueden oponerse si no comprenden la visión o si consideran que la auditoría interna se está extralimitando. Los responsables de auditoría deben identificar a las partes interesadas en el modelo final para prepararse y comprender cómo funcionarán las respectivas funciones con el fin de alcanzar un objetivo común. Por ejemplo, el objetivo final podría incluir la integración de los esfuerzos entre la auditoría interna, la gestión de riesgos, el cumplimiento y la seguridad de las tecnologías de la información, de modo que cada equipo trabaje para coordinar sus actividades de aseguramiento con el fin de evitar duplicaciones y maximizar la cobertura. A través de esta coordinación, los diferentes equipos evitan solapamientos y se centran en los riesgos de mayor prioridad para la organización.
Paso 2: Centrarse en la alineación operativa
Al implementar el aseguramiento integrado, los equipos deben centrarse en un único objetivo. El primer paso es alinear las metodologías de evaluación de riesgos de los distintos equipos. Esto debe incluir la adopción de una terminología unificada en torno a los riesgos y los controles, así como un enfoque uniforme para las evaluaciones de riesgos, de modo que la puntuación y los resultados sean coherentes. Esto también brindará la oportunidad de mantener conversaciones constructivas sobre cualquier variación en los riesgos y sobre por qué algunos grupos perciben los riesgos de manera diferente. Por ejemplo, el equipo de gestión de riesgos puede utilizar un marco de riesgos establecido con cinco riesgos comunes puntuados en una escala de diez puntos, mientras que la auditoría interna evalúa los riesgos detallados de los procesos utilizando una escala de cinco puntos. Ambos enfoques son válidos, pero los equipos deben utilizar un enfoque común para presentar una visión unificada de los riesgos. De este modo, cada equipo puede ponerse de acuerdo sobre cuáles son los riesgos de mayor prioridad y la organización puede planificar de forma más adecuada y eficiente sus esfuerzos para mitigar los riesgos que podrían afectar significativamente a la organización. Aunque los términos y el método son los mismos, cada disciplina de aseguramiento sigue teniendo una perspectiva única del riesgo que reflejará su evaluación y las subsiguientes actividades de control.
Paso 3: Consolidar los resultados para la elaboración de informes
La alta dirección de toda una organización depende de la comunicación periódica de los equipos de aseguramiento, pero recibir información de los distintos equipos puede ser fragmentario y contener información contradictoria si los equipos de aseguramiento no están alineados. Cuando los equipos trabajan con un objetivo común, el mensaje a los directivos es más directo, centrado y valioso. Para prepararse, los equipos de aseguramiento deben ponerse de acuerdo sobre el calendario, el formato y el contenido de la comunicación y establecer expectativas claras para cada uno, a fin de evitar confusiones, retrasos y errores ante el equipo directivo. Por ejemplo, auditoría interna puede reunirse con el comité de auditoría cada trimestre y presentar diapositivas con información actualizada. En cambio, la gestión de riesgos se reúne mensualmente con el Consejo para debatir los indicadores clave de riesgo (KRI) y la respuesta al riesgo cuando determinadas métricas superan un umbral. En el aseguramiento integrado, los dos grupos podrían tratar de alinear sus mensajes para centrarse en el entorno de riesgo total y en cómo el plan de auditoría y el seguimiento de los KRI encajan para abordar los riesgos de mayor prioridad.
Haga clic a continuación para ver una demostración de TeamMate+ Audit.
TeamMate+ Audit
Duración: 2 minutos, 54 segundos
Aprovechar la tecnología que garantiza la seguridad
El uso de una solución tecnológica como TeamMate+ puede ayudarle a poner en marcha su proceso de Aseguramiento Integrado. Mediante la coordinación de sus actividades con otros proveedores de aseguramiento, la documentación de los riesgos y controles de su organización utilizando un enfoque único y acordado, y una comunicación más clara a través de las actividades de aseguramiento, las funciones de auditoría interna pueden desempeñar un papel de liderazgo fundamental en:
- Identificar las lagunas en la cobertura del aseguramiento
- Reducir la fatiga de aseguramiento en toda la organización
- Mejorar la calidad de la gestión de riesgos
Evaluar y mitigar los riesgos críticos es un trabajo de equipo, y no hay razón para retrasar la puesta en marcha de su programa de aseguramiento integrado.