En primera línea: El Jedi ERM
Blogs Jason Stepnoski, CIA, CPA, CFE and CISA jul. 14, 2022
Los auditores internos son, en esencia, los Jedi de sus organizaciones. Los auditores, como los Jedi, son enviados a través de la galaxia de las organizaciones con nuestro plan de auditoría para guiarnos en la resolución de problemas complejos. Los Jedi abordan sus misiones de la misma manera que los auditores ejecutan sus proyectos. Considere las tres fases de una auditoría:
- Planificación. Un Jedi tiene que conocer acerca de un hallazgo para identificar problemas y determinar sus causas raíz.
- Trabajo de campo. Un Jedi debe ejecutar lo que ha conocido y recopilar evidencia sobre observaciones reportables.
- Informe. Un Jedi debe recomendar soluciones para hallazgos de alto riesgo que, si se implementan, pueden ayudar a la organización a alcanzar los objetivos. (Con suerte, no se trata de negociaciones agresivas).
Si lo estamos haciendo bien en todas estas fases, nos ganamos el apodo de asesor de confianza, también conocido como maestro Jedi. Los equipos de auditoría, como los Jedi, son socios comerciales independientes con una estructura de reporte única. La auditoría interna suele ser el único departamento que reporta directamente a un comité de la junta. (Díganme si las reuniones del Consejo Jedi no tienen una sorprendente similitud con las reuniones del comité de auditoría).
Uno de los otros servicios vitales que brinda auditoría interna es el asesoramiento relevante y valioso basado en sus evaluaciones de riesgo. Y al igual que los Jedi que utilizan la fuerza, los auditores deben estar constantemente al tanto de los entornos social y de negocios en constante cambio, para identificar y evaluar los riesgos actuales y futuros.
Es un poco irónico entonces que los Jedi no hayan sido como los auditores internos en todo, ya que fueron terribles para evaluar el riesgo. Si los Jedi hubieran asignado algunos recursos a la gestión de riesgos (ERM, por sus siglas en inglés) o la auditoría interna, tal vez incluso si hubieran incluido algunos libros de la librería de The IIA en su vasta biblioteca, habrían detectado y evitado que el más grande estafador se convirtiera en Emperador de la Galaxia
Los Lords Sith resultaron no ser la especialidad de los Jedi, como dijo una vez Obi-Wan Kenobi mientras estaba parado a unos metros de distancia del mismísimo Lord Sith , Palpatine, quien no mucho después provocó directamente el fin de la Orden Jedi tal como estaba constituida. Los Jedi ignoraron por completo los riesgos planteados por los eventos que ocurrieron a lo largo de las tres películas de la precuela, lo que llevó a abordar de manera inadecuada el problema de que un Lord Sith era el líder de su órgano de gobierno hasta que fue demasiado tarde.
La respuesta del Jedi fue ignorar la mayoría de las señales de alerta que conducían a la gran revelación de Sith Lord Palpatine, a pesar de haber pasado muchos, muchos años después de enterarse por primera vez de la amenaza de las fechorías de Darth Maul. Imagine evaluar inadecuadamente su riesgo más importante durante una década. Los Jedi fueron como el Blockbuster moderno, que ignoró el riesgo de las tecnologías emergentes de los servicios de transmisión y luego reaccionó de manera significativa demasiado tarde para sobrevivir. Ahora, como los Jedi, por allí existe el último Blockbuster.
Incluso las organizaciones con las mejores intenciones deben permanecer enfocadas en identificar y evaluar adecuadamente los riesgos. Tal vez alguna debida diligencia adicional habría ameritado el ejército de clones que surgió repentinamente en un momento muy conveniente para algunas fusiones y adquisiciones necesarias. Luego, los Jedi continuaron y excedieron su objetivo como pacificadores y se convirtieron en generales de combate de un ejército de clones. Acciones éticamente cuestionables en el mejor de los casos, y definitivamente fuera de cualquier estatuto de auditoría aprobado.
No había forma de que Yoda estuviera fomentando una cultura corporativa saludable. Él es el epítome de un micro gerente. Un día de entrenamiento, ya estaba montado en la espalda de Luke Skywalker y ladrándole instrucciones. No hay forma de que ese método de enseñanza equivalga a que una Academia Jedi tenga una fórmula ganadora para la cultura empresarial. Estas no son las acciones de una agencia que se toma en serio la gestión de riesgos.
La auditoría interna debe tener en cuenta el mantener su independencia al mismo tiempo que aprovecha las oportunidades para brindar consejo objetivo y relevante a nuestros socios de negocio y partes interesadas. Y lo que es más importante, debe ser un defensor de la buena cultura y el buen gobierno, teniendo en cuenta que debe mantenerse dentro del alcance de su estatuto de auditoría. Estas son definitivamente lecciones que incluso los maestros Jedi podrían aprender de los auditores internos.