¿Cómo migrar hacia una auditoría ágil exitosamente y no morir en el intento?
Seguramente te has dado cuenta que muchas prácticas tradicionales de auditoría interna obstaculizan la capacidad de las organizaciones a responder a los cambios del panorama de riesgos dentro de un período de tiempo determinado. La realidad actual es que la velocidad del riesgo aumenta constantemente como sucede claramente en la Industria #fintech. Richard Chambers (ex-presidente de la IAA) comentó en el 2023 Focus on the Future: Internal Audit Must Accelerate Its Response in Addressing Key Risks:
“El futuro nunca es predecible con precisión. Esa es una razón importante por la cual la auditoría interna debe monitorear continuamente los riesgos para que pueda ajustar sus planes rápidamente en respuesta a las condiciones cambiantes. La era de una sola evaluación de riesgos anual para construir un plan de auditoría de 12 meses ha terminado”.
La auditoría guiada con propósito, o hecha con agilidad, brinda la flexibilidad necesaria para responder y reaccionar ante los cambios en la exposición al riesgo que enfrentan las organizaciones y nuevos emprendimientos. Cada empresa es única y su transformación hacía la agilidad diferirá según el tamaño de sus equipos, el nivel de madurez, la industria, las soluciones tecnológicas y otros recursos disponibles. Dependiendo de estos factores, las organizaciones más grandes pueden tener combinaciones de tecnología local y comercialmente disponible, así como servicios profesionales/equipos de transformación comercial, para respaldar su viaje hacia una mayor agilidad. Los nuevos emprendimientos, compañías familiares, y otro tipo de organizaciones (como asociaciones civiles) pueden tener recursos más limitados a su disposición, pero también pueden ajustar su forma de trabajar más fácilmente.
¿Cómo agregar flexibilidad a tu negocio con un enfoque de auditoría ágil?
Si bien todos los auditores internos generalmente reconocen la necesidad de un monitoreo continuo, puede llevar tiempo realizar cambios en un plan establecido y aprobado. Para muchas organizaciones, la planificación de la auditoría es un ejercicio anual e incluso puede ser reciclado por varios años más. Desafortunadamente, una vez que esos planes se aprueban y se ponen en marcha, los equipos de auditoría tradicionales se adhieren rígida, y obsesivamente diía yo, al plan sin considerar los cambios en el entorno derivado de los riesgos a los que están expuestos por su propia industría, incluyendo la aparición de una exposición nueva o modificada, e incluso de carácter ambiental. Los bancos y otras instituciones más reguladas enfrentan un desafío aún mayor dada la práctica de crear planes multi-anuales para brindar una cobertura integral de auditoría.
La auditoría ágil adopta un enfoque iterativo más flexible que se basa en un ciclo de vida de auditoría más corto y una comunicación abierta para garantizar que los equipos de auditoría brinden información sobre los riesgos comerciales más críticos relacionados con la administración en ese momento. Aún así, los auditores deben comprender por qué el proyecto está en el plan, reunirse con los ejecutivos en esta área, comprender los factores de riesgo y establecer el objetivo de la auditoría.
Una metodología ágil no altera fundamentalmente el trabajo de auditoría en sí. Su trabajo principal (evaluación de riesgos, programas de trabajo, pruebas, hallazgos de auditoría e informes de auditoría) sigue siendo el mismo.
La principal diferencia entre la auditoría tradicional y ágil es que en un ambiente ágil este se enfoca en atender las áreas de auditoría y los riesgos que son más importantes para la organización en ese momento, es decir en tiempo real. En una auditoría en tiempo real, el objetivo no es realizar auditorías de extremo a extremo (end-to-end), sino obtener y compartir conocimientos con la administración sobre las áreas auditadas. Una metodología ágil no altera fundamentalmente el trabajo de auditoría en sí. Su trabajo principal (evaluación de riesgos, programas de trabajo, pruebas, hallazgos de auditoría e informes de auditoría) sigue siendo el mismo. Lo que cambia es el tiempo, la comunicación, las áreas de enfoque y el grado de perfección del trabajo. Cuando se realiza correctamente, la auditoría ágil mejora la participación del cliente, el uso de recursos y agrega valor a la empresa.
Los cambios afectarán todos los elementos del ciclo de vida de la auditoría al concentrar todo el horizonte de auditoría de un año en un trimestre. La modificación significa completar la evaluación de riesgos, todo el trabajo de campo de auditoría y todos los informes dentro de un período de tres meses y comenzar el próximo trimestre con una evaluación actualizada que incorpore los objetivos e inquietudes actuales de la organización.
¿Qué pasos debo seguir para migrar a una auditoría ágil?
Ciclos de auditoría más cortos
Como primer paso, la auditoría interna debe adoptar un ciclo de auditoría más corto, idealmente un ciclo trimestral desde la evaluación hasta el informe al comité de auditoría. Los líderes de auditoría deben permanecer cerca del negocio y asociarse con ellos para comprender los riesgos más urgentes que deben agregarse al plan de auditoría en el próximo trimestre. Muchos departamentos de auditoría con visión de futuro están rastreando métricas de riesgo en tiempo real para adoptar un enfoque más basado en datos, en lugar de simplemente confiar en las entrevistas con las partes interesadas. Si los líderes de auditoría no pueden predecir qué riesgos tendrán prioridad dentro de seis meses, no pueden hacer planes con tres o cuatro años de anticipación.
Evaluaciones de riesgo trimestrales
Para muchos departamentos de auditoría interna, el proceso de evaluación de riesgos lleva mucho tiempo e involucra a personas de toda la empresa. El ciclo más corto significaría realizar evaluaciones de riesgo trimestrales. Pasar a una evaluación de riesgos habilitada por tecnología o incluso en tiempo real reduce el tiempo para cada evaluación trimestral, lo que permite a los líderes de auditoría priorizar los riesgos y decidir un plan para el trimestre, auditando los riesgos correctos en el momento correcto.
Planificación de auditoría ágil
Durante la fase de planificación de la auditoría, los riesgos se dividen en partes manejables y se priorizan en sprints, generalmente de una a dos semanas de trabajo. Por ejemplo, puede decidir que formará tres sprints, y cada uno entregará uno o dos trabajos significativos que podría presentar a su cliente para mostrar resultados procesables al final del sprint. En la medida de lo posible, se debe priorizar el trabajo según el nivel de riesgo asociado con las pruebas.
El primer entregable en un enfoque ágil es el más básico; un concepto llamado producto mínimo viable (MVP). El entregable contiene las dos o tres cosas específicas que el equipo debe lograr durante el proyecto. En un contexto de auditoría, el equipo primero debe auditar los riesgos de mayor prioridad para lograr el MVP. Ampliar el alcance más allá de lo que se necesitaba para lograr el MVP significa eliminar otras áreas de alto riesgo, por lo que tomar esa decisión requiere una cuidadosa consideración. Por ejemplo, el gerente del proyecto (llamado "scrum master" en el marco ágil) puede determinar que el MVP será desde el sprint cero (es decir, la fase de planificación) hasta el sprint dos. Si tiene tiempo y el proyecto se mantiene encaminado, puede llegar al sprint tres. De lo contrario, deje ese sprint para pasar a otro proyecto de mayor valor agregado.
La planificación ágil se parece a la auditoría tradicional hasta que llega al programa de trabajo de auditoría. Los auditores no pueden crear un programa de trabajo de auditoría completo por adelantado porque el programa solo destaca las áreas de riesgo más críticas. En cambio, el equipo comienza creando un programa de trabajo de alto nivel con el trabajo que pretenden realizar para lograr el MVP. En una auditoría ágil, este programa de trabajo de alto nivel en el sprint cero es nuestro backlog, que representa el trabajo por realizar a medida que se vuelve relevante a lo largo del proyecto.
Composición del equipo de trabajo de campo
También puede ser necesario cambiar la composición de los equipos de auditoría que realizan el trabajo de campo. Un concepto clave de dotación de personal en Agile incluye el uso de un administrador de proyectos y equipos auto-organizados (PMO). El director del proyecto elimina los obstáculos que impiden las pruebas del equipo y se asegura de que tengan los recursos necesarios. También lleva a cabo reuniones de sprint semanales o quincenales con las partes interesadas para discutir el progreso de la auditoría y cualquier problema. Los equipos auto-organizados incluyen personas con diversos antecedentes, lo que les permite tomar decisiones en el momento y solo acuden al liderazgo de auditoría para las decisiones importantes que afectan el alcance del trabajo.
Stand-up Meetings (reuniones de pie) diarias
Las reuniones stand-up (una reunión corta que se lleva a cabo a diario para hablar sobre el progreso e identificar los impedimentos) permiten que un equipo de proyecto analice el progreso y los impedimentos antes de que se conviertan en un problema, para que puedan pedir ayuda o colaborar en soluciones para respaldar la finalización del trabajo comprometido. Inicialmente, las personas pueden resistirse a reunirse todos los días, pero las reuniones diarias son cruciales para desarrollar una mentalidad ágil.
En una reunión diaria, el equipo del proyecto se reúne a una hora y en un lugar determinados para discutir el trabajo de ese día. En 15 minutos, los miembros del equipo responden tres preguntas:
¿Qué lograste ayer?
¿Qué vas a lograr hoy?
¿Qué impedimentos estás enfrentando?
Luego, el equipo identifica los pasos a seguir ese día para hacer avanzar el sprint. Luego, el equipo se va con claridad y acción para los impedimentos, actualiza el trabajo pendiente con elementos de acción o tareas adicionales y programa reuniones de seguimiento para abordar temas que requieren más discusión. Las reuniones diarias ayudan a mantener el proyecto encaminado y respaldan la colaboración interfuncional porque la conexión diaria evita que las personas trabajen en silos.
Revisiones de Sprint
Al final de cada sprint, el equipo comparte los resultados con las partes interesadas en una revisión de sprint, a menudo compartiendo un documento de informe compacto, a menudo denominado "Punto de vista" para informar los hallazgos de ese sprint antes del informe de auditoría final. Durante esta revisión, se presentan todos los problemas y se recopilan o confirman los planes de acción. En este punto, la remediación debe comenzar si aún no lo ha hecho. La participación más frecuente permite a los propietarios de problemas comenzar a trabajar en planes de acción de gestión a lo largo del proyecto en lugar de esperar hasta el final, lo que resuelve algunos de los problemas de demora experimentados con el enfoque tradicional en cascada. Brindar información de esta manera también puede ayudarlo a darse cuenta de cuándo ha hecho suficiente trabajo para identificar los riesgos más críticos y podría acortar su proyecto de auditoría para pasar a un trabajo más valioso.
Informes de auditoría ágiles
Una de las quejas más comunes entre los auditores es que los informes se prolongan demasiado. En un enfoque ágil, los auditores están más preocupados por comunicar los resultados a tiempo a la gerencia y al comité de auditoría que por escribir un informe. Sería un perjuicio para la organización retener esta información durante tres a seis meses mientras se espera una reunión formal del comité de auditoría. Al reformular el propósito de la función de auditoría interna como una que obtenga información sobre la exposición al riesgo a través de pruebas de control, la necesidad de informes casi en tiempo real se vuelve crítica.
Retrospectiva de auditoría
El equipo de auditoría realiza una retrospectiva al final de la auditoría para determinar qué mejoras se deben realizar. Las retrospectivas son discusiones abiertas y honestas sobre la auditoría que describen lo que salió bien y lo que podría haber sido mejor. Los resultados se comparten con el departamento de auditoría para que todos puedan beneficiarse.
A primera vista, estos cambios pueden parecer abrumadores, pero adoptar la mentalidad ágil y tener la flexibilidad para
auditar los riesgos más críticos sin perder tiempo en actividades de bajo valor es realmente enriquecedor. Combinar este resultado con una práctica de mejora continua agrega nuevo entusiasmo al equipo, ya que todos se unen para crear una función de auditoría eficiente, eficaz y flexible. El primer paso es planificar estos cambios para que la transformación de la auditoría tradicional a la ágil tenga éxito.
El cambio a la auditoría ágil es una de las mejoras más emocionantes de la profesión de auditoría interna en los últimos años. Al adoptar la mentalidad ágil, los auditores internos están más alineados con los riesgos clave del negocio y pueden reaccionar ante las tendencias de riesgo emergentes y las nuevas regulaciones. Para obtener más información sobre cómo hacer una transición exitosa de la auditoría tradicional a la ágil, ponte en contacto con Advisory Plus, en donde estaremos emocionados por ayudarte a dar el siguiente pasado a la transformación.
¿Estás listo para hacer el salto a la transformación de tus áreas de control?
Aprende cómo mejorar la comunicación con tus clientes.