Piense en las muchas veces que los auditores completaron una auditoría y estaban listos para pasar al siguiente proyecto (puedo imaginar sus caras). Aprendimos mucho sobre un área nueva, hicimos muchas pruebas y pasamos mucho tiempo con la gerencia comunicando los hallazgos y discutiendo las recomendaciones de auditoría para asegurarnos de que fueran razonables y factibles. Hubo muchas conversaciones, pero aún no hemos recibido los planes de acción. No digo que suceda en todos los proyectos, pero es más común de lo que deseamos.
Luego, cuando finalmente vimos los planes de remediación de la gerencia, estábamos tan cansados que tuvimos la tentación de simplemente pegarlos en el informe de auditoría y terminar. Una vez muy de vez en cuando (exagero), los planes de acción estaban dentro de los criterios aceptables de ser específicos, medibles, alcanzables, responsables y con plazos determinados (SMART). Estos son los desafíos (oportunidades) más típicos que encuentro:
- Es posible que los planes no aborden adecuadamente las causas raíz de los problemas. Si los auditores permiten que eso suceda, la organización desperdiciará recursos y los mismos síntomas que acabamos de ver estarán allí cuando regresemos para validar las mejoras.
- La fecha de finalización prevista por la gerencia no es realista. A veces, la gerencia está tan comprometida que quiere solucionar los problemas desde “ayer”. En esos casos, los auditores deben dejarle saber a la gerencia que, si bien apreciamos su compromiso, creemos que la fecha límite propuesta sería difícil de cumplir. Debemos decirle a la gerencia que lo respaldaremos con el comité de auditoría y la gerencia ejecutiva si cuestionan el tiempo extendido. No queremos volver para validar las mejoras y descubrir que los problemas no se han abordado por completo.
- La gerencia quiere demasiado tiempo para completar el plan. A veces, el plan de remediación de la gerencia parece estar bien, pero las acciones no se completarían en un tiempo razonable. Los auditores tampoco pueden permitir que eso suceda. Debemos preguntarle a la gerencia qué se hará mientras tanto para mitigar el riesgo. De lo contrario, debemos recomendar a la gerencia que proporcione una fecha de vencimiento más temprana.
Después de todo el trabajo en conjunto con la gerencia, los auditores aún pueden encontrar que los planes de acción siguen siendo inaceptables. Es cuando la gerencia está aceptando un riesgo que estaría más allá del nivel de apetito o tolerancia por el riesgo de la organización. Esto sólo debe aplicarse a riesgos importantes, incluida la seguridad, la protección, la reputación, la ética, las leyes y los asuntos estratégicos.
En este caso, los auditores deben escalar la situación al siguiente nivel de gerencia y hasta el máximo nivel posible, hasta que obtengamos las respuestas adecuadas. Idealmente, deberíamos poder resolverlo a medida que nos relacionamos con ejecutivos más seniors. Sin embargo, podría ser que los planes de acción no se hayan actualizado, y es entonces cuando debemos tener una conversación con el comité de auditoría. He experimentado esto un par de veces y creo que podría haberlo hecho mucho mejor al asociarme con la gerencia para evitar tener que involucrar a la junta.
Por lo tanto, no se apresure y trate de hacer su mejor esfuerzo antes de ir al a junta, ese debería ser su último recurso. Usted podría considerar retrasar la publicación formal del informe de auditoría hasta que hayan obtenido los planes de acción adecuados. Se necesita mucho tiempo para generar confianza y respeto, y más tiempo para reconstruir puentes.
Ahora volvamos otra vez a nuestra misión de auditoría interna. En pocas palabras, los auditores internos protegen y mejoran el valor de la organización al garantizar que los planes de remediación de la gerencia sean adecuados. Como resultado, proporcionamos a la gerencia datos procesables para permitir cambios positivos en nuestras organizaciones.