Uno de los temas recurrentes en los textos sobre auditoría se relaciona con la excelencia de las sugerencias y las tácticas para lograr perfeccionar la manera en que son formuladas y presentadas. Esto se hace con el fin de garantizar la obtención de los resultados deseados. En sus labores, los auditores invierten una significativa cantidad de tiempo y energía en el análisis de procesos, en la evaluación de procedimientos, saldos y transacciones, así como en la identificación de debilidades de control y otras diversas actividades. Todo esto con el propósito de reflejar en las recomendaciones el valor adicional que proporcionan a las organizaciones clientes.
Las direcciones superiores de las empresas esperan que los auditores aprovechen su vasto conocimiento y experiencia analítica para proponer mejoras en los procesos que reduzcan los riesgos principales, aumenten la eficacia y se alineen con los objetivos de corto y largo plazo del negocio.
En este contexto, los equipos de auditoría se ven confrontados con la decisión de establecer el alcance adecuado para las recomendaciones que permitirán solucionar los problemas identificados. Existen una variedad de enfoques y alcances que van desde simples correcciones hasta detalladas listas de pasos a seguir. Para todos los escenarios, se deben tener en cuenta factores como la cultura empresarial, la tolerancia al riesgo, el sector industrial y otros elementos.
Diversas consideraciones que los auditores y equipos de auditoría deben considerar al momento de proponer recomendaciones son las siguientes:
Identificar la raíz del problema
La primera cuestión que surge para el auditor o su equipo cuando se detecta un hallazgo es qué hacer al respecto. Si se examina con detenimiento una situación aparentemente simple de resolver, podría en realidad esconder un problema más complejo o una debilidad más importante. Por ejemplo, un hallazgo como “El informe carece de una firma de acuse de recibo” podría parecer fácil de solucionar, con la respuesta obvia de “Firmarlo”. Sin embargo, si no se identifica la causa raíz, es probable que la situación vuelva a ocurrir en el futuro. Entre las posibles causas subyacentes se podrían incluir:
- Falta de designación de un responsable de la firma.
- Salida de la persona encargada de la firma.
- Ausencia de procedimiento que establezca quién es responsable.
- Falta de claridad en la rendición de cuentas.
- Falta de priorización de la tarea.
Un ejemplo adicional sería: “Las entradas manuales en el diario no reciben aprobación de un supervisor”. El auditor debe recopilar y anotar todos los datos pertinentes. En este caso, podrían surgir situaciones como: - Ausencia de procedimiento o política para la implementación de la aprobación.
- El supervisor ha dejado el puesto y no se ha nombrado a un reemplazo.
- El solicitante y el aprobador en contabilidad son la misma persona.
- La aprobación del supervisor es necesaria en circunstancias específicas.
Normalmente, el auditor está en una posición favorable para identificar los factores que desencadenan los problemas y llegar a la raíz del problema. Una vez que se determinan, estos deben discutirse con la dirección para asegurar la coherencia.
Describir de manera adecuada el hallazgo
Cuando un auditor identifica una debilidad en el control, es esencial centrarse en hechos objetivos y evitar emitir juicios sobre la situación o sus circunstancias. El auditor debe mantener un enfoque escéptico, independiente y objetivo al evaluar la situación, considerando su impacto en el rendimiento del proceso y teniendo en cuenta los objetivos empresariales y la disposición al riesgo.
A partir de la información recolectada y los hechos identificados, el auditor debe contar con suficientes elementos para describir el problema. Por ejemplo: “Tras analizar una muestra de “xxx”, que representa el “y%” de la población y el “z%” del valor total, se constató que “yyy” no poseían una aprobación formal debido a . La falta de supervisión y aprobación por parte de puede llevar a _.”
Hacer recomendaciones pertinentes
Es importante recordar que las recomendaciones de auditoría son orientaciones que resaltan las acciones que debe tomar la administración. Se espera que, al implementar estas recomendaciones, los riesgos inherentes al proceso se reduzcan y el rendimiento mejore. Según la cultura empresarial, el impacto del problema y otros factores, las recomendaciones pueden ser más o menos detalladas. En este sentido, los auditores deben encontrar un equilibrio entre ser demasiado simplistas y proporcionar procedimientos excesivamente detallados que intenten asumir las responsabilidades de la gerencia. Además, la importancia y la gravedad del hallazgo influirán en el tono del informe. Por ejemplo: “La administración podría / debería / debe considerar las siguientes acciones…”. Dependiendo de la pertinencia y la complejidad de las observaciones realizadas, el nivel de detalle de las recomendaciones variará. A continuación, se describen algunas categorías:
- Acciones directas:
Cuando la causa raíz está claramente identificada, el auditor puede proponer acciones específicas que sean factibles de implementar. En algunos casos, estas acciones pueden llevarse a cabo durante el trabajo de campo, y esto debe mencionarse en el informe como “implementado”. Por ejemplo: “El empleado de AP debe recibir formación sobre cómo procesar ciertos tipos de pagos para garantizar la utilización de la codificación correcta”. En este caso, la recomendación es muy específica. Sin embargo, la administración debe decidir la manera y el momento de lograr este objetivo. Si la capacitación tuvo lugar durante el trabajo de campo, la recomendación puede calificarse como “implementada”.
- Acciones genéricas:
Existen situaciones en las que varios grupos empresariales deben colaborar para abordar un problema, lo que requerirá esfuerzos conjuntos para definir las acciones a seguir. Dado que esto es más complejo, el auditor puede proporcionar orientación en la recomendación, pero probablemente no un plan de acción detallado. Por ejemplo, la recomendación podría ser: “Los supervisores deben notificar al departamento de recursos humanos y a TI de cualquier cambio en sus equipos al mismo tiempo, para asegurar la correcta gestión de los perfiles de usuario. Es necesario establecer un procedimiento formal que garantice esta comunicación. Además, TI podría proponer herramientas para agilizar este proceso y mantener los datos restringidos según sea necesario”. En este caso, el auditor deja las opciones abiertas, pero establece requisitos mínimos.
- Acciones detalladas:
Cuando la cultura organizacional se encuentra en una etapa de aprendizaje y el auditor posee un profundo conocimiento del proceso auditado, puede proporcionar una recomendación específica. Por ejemplo, la recomendación podría ser: “Es necesario desarrollar un procedimiento para la contabilización y gestión diferida de los ingresos. Este procedimiento debe incluir, como mínimo, las siguientes etapas: a), b), c)… Una vez establecido, el procedimiento debe recibir la aprobación formal de todas las partes involucradas pertinentes y debe proporcionarse formación a todos los actores relacionados con el proceso. Esta capacitación debe ser parte integral del proceso de integración para los nuevos empleados del departamento financiero. Los registros de formación deben archivarse para garantizar el cumplimiento de este requisito”. En este ejemplo, la recomendación del auditor brinda suficiente orientación a la administración para asegurarse de que se cumplan todos los requisitos de conformidad.
Como se puede apreciar, no es suficiente realizar una labor de campo excelente con total profesionalismo. También es esencial saber presentar los resultados de manera efectiva para llegar a conclusiones beneficiosas para el cliente y asegurarse de que los esfuerzos invertidos no se desperdicien debido a una comunicación inadecuada de las propuestas de mejora, lo que podría afectar en última instancia la calidad del trabajo conjunto.