top of page

¿Cómo migrar hacia una auditoría ágil exitosamente y no morir en el intento?

Seguramente te has dado cuenta que muchas prácticas tradicionales de auditoría interna obstaculizan la capacidad de las organizaciones a responder a los cambios del panorama de riesgos dentro de un período de tiempo determinado. La realidad actual es que la velocidad del riesgo aumenta constantemente como sucede claramente en la Industria #fintech. Richard Chambers (ex-presidente de la IAA) comentó en el 2023 Focus on the Future: Internal Audit Must Accelerate Its Response in Addressing Key Risks:

“El futuro nunca es predecible con precisión. Esa es una razón importante por la cual la auditoría interna debe monitorear continuamente los riesgos para que pueda ajustar sus planes rápidamente en respuesta a las condiciones cambiantes. La era de una sola evaluación de riesgos anual para construir un plan de auditoría de 12 meses ha terminado”.

La auditoría guiada con propósito, o hecha con agilidad, brinda la flexibilidad necesaria para responder y reaccionar ante los cambios en la exposición al riesgo que enfrentan las organizaciones y nuevos emprendimientos. Cada empresa es única y su transformación hacía la agilidad diferirá según el tamaño de sus equipos, el nivel de madurez, la industria, las soluciones tecnológicas y otros recursos disponibles. Dependiendo de estos factores, las organizaciones más grandes pueden tener combinaciones de tecnología local y comercialmente disponible, así como servicios profesionales/equipos de transformación comercial, para respaldar su viaje hacia una mayor agilidad. Los nuevos emprendimientos, compañías familiares, y otro tipo de organizaciones (como asociaciones civiles) pueden tener recursos más limitados a su disposición, pero también pueden ajustar su forma de trabajar más fácilmente.


¿Cómo agregar flexibilidad a tu negocio con un enfoque de auditoría ágil?


Si bien todos los auditores internos generalmente reconocen la necesidad de un monitoreo continuo, puede llevar tiempo realizar cambios en un plan establecido y aprobado. Para muchas organizaciones, la planificación de la auditoría es un ejercicio anual e incluso puede ser reciclado por varios años más. Desafortunadamente, una vez que esos planes se aprueban y se ponen en marcha, los equipos de auditoría tradicionales se adhieren rígida, y obsesivamente diía yo, al plan sin considerar los cambios en el entorno derivado de los riesgos a los que están expuestos por su propia industría, incluyendo la aparición de una exposición nueva o modificada, e incluso de carácter ambiental. Los bancos y otras instituciones más reguladas enfrentan un desafío aún mayor dada la práctica de crear planes multi-anuales para brindar una cobertura integral de auditoría.


La auditoría ágil adopta un enfoque iterativo más flexible que se basa en un ciclo de vida de auditoría más corto y una comunicación abierta para garantizar que los equipos de auditoría brinden información sobre los riesgos comerciales más críticos relacionados con la administración en ese momento. Aún así, los auditores deben comprender por qué el proyecto está en el plan, reunirse con los ejecutivos en esta área, comprender los factores de riesgo y establecer el objetivo de la auditoría.

Una metodología ágil no altera fundamentalmente el trabajo de auditoría en sí. Su trabajo principal (evaluación de riesgos, programas de trabajo, pruebas, hallazgos de auditoría e informes de auditoría) sigue siendo el mismo.

La principal diferencia entre la auditoría tradicional y ágil es que en un ambiente ágil este se enfoca en atender las áreas de auditoría y los riesgos que son más importantes para la organización en ese momento, es decir en tiempo real. En una auditoría en tiempo real, el objetivo no es realizar auditorías de extremo a extremo (end-to-end), sino obtener y compartir conocimientos con la administración sobre las áreas auditadas. Una metodología ágil no altera fundamentalmente el trabajo de auditoría en sí. Su trabajo principal (evaluación de riesgos, programas de trabajo, pruebas, hallazgos de auditoría e informes de auditoría) sigue siendo el mismo. Lo que cambia es el tiempo, la comunicación, las áreas de enfoque y el grado de perfección del trabajo. Cuando se realiza correctamente, la auditoría ágil mejora la participación del cliente, el uso de recursos y agrega valor a la empresa.


Los cambios afectarán todos los elementos del ciclo de vida de la auditoría al concentrar todo el horizonte de auditoría de un año en un trimestre. La modificación significa completar la evaluación de riesgos, todo el trabajo de campo de auditoría y todos los informes dentro de un período de tres meses y comenzar el próximo trimestre con una evaluación actualizada que incorpore los objetivos e inquietudes actuales de la organización.



¿Qué pasos debo seguir para migrar a una auditoría ágil?


Ciclos de auditoría más cortos


Como primer paso, la auditoría interna debe adoptar un ciclo de auditoría más corto, idealmente un ciclo trimestral desde la evaluación hasta el informe al comité de auditoría. Los líderes de auditoría deben permanecer cerca del negocio y asociarse con ellos para comprender los riesgos más urgentes que deben agregarse al plan de auditoría en el próximo trimestre. Muchos departamentos de auditoría con visión de futuro están rastreando métricas de riesgo en tiempo real para adoptar un enfoque más basado en datos, en lugar de simplemente confiar en las entrevistas con las partes interesadas. Si los líderes de auditoría no pueden predecir qué riesgos tendrán prioridad dentro de seis meses, no pueden hacer planes con tres o cuatro años de anticipación.


Evaluaciones de riesgo trimestrales


Para muchos departamentos de auditoría interna, el proceso de evaluación de riesgos lleva mucho tiempo e involucra a personas de toda la empresa. El ciclo más corto significaría realizar evaluaciones de riesgo trimestrales. Pasar a una evaluación de riesgos habilitada por tecnología o incluso en tiempo real reduce el tiempo para cada evaluación trimestral, lo que permite a los líderes de auditoría priorizar los riesgos y decidir un plan para el trimestre, auditando los riesgos correctos en el momento correcto.


Planificación de auditoría ágil


Durante la fase de planificación de la auditoría, los riesgos se dividen en partes manejables y se priorizan en sprints, generalmente de una a dos semanas de trabajo. Por ejemplo, puede decidir que formará tres sprints, y cada uno entregará uno o dos trabajos significativos que podría presentar a su cliente para mostrar resultados procesables al final del sprint. En la medida de lo posible, se debe priorizar el trabajo según el nivel de riesgo asociado con las pruebas.


El primer entregable en un enfoque ágil es el más básico; un concepto llamado producto mínimo viable (MVP). El entregable contiene las dos o tres cosas específicas que el equipo debe lograr durante el proyecto. En un contexto de auditoría, el equipo primero debe auditar los riesgos de mayor prioridad para lograr el MVP. Ampliar el alcance más allá de lo que se necesitaba para lograr el MVP significa eliminar otras áreas de alto riesgo, por lo que tomar esa decisión requiere una cuidadosa consideración. Por ejemplo, el gerente del proyecto (llamado "scrum master" en el marco ágil) puede determinar que el MVP será desde el sprint cero (es decir, la fase de planificación) hasta el sprint dos. Si tiene tiempo y el proyecto se mantiene encaminado, puede llegar al sprint tres. De lo contrario, deje ese sprint para pasar a otro proyecto de mayor valor agregado.


La planificación ágil se parece a la auditoría tradicional hasta que llega al programa de trabajo de auditoría. Los auditores no pueden crear un programa de trabajo de auditoría completo por adelantado porque el programa solo destaca las áreas de riesgo más críticas. En cambio, el equipo comienza creando un programa de trabajo de alto nivel con el trabajo que pretenden realizar para lograr el MVP. En una auditoría ágil, este programa de trabajo de alto nivel en el sprint cero es nuestro backlog, que representa el trabajo por realizar a medida que se vuelve relevante a lo largo del proyecto.


Composición del equipo de trabajo de campo


También puede ser necesario cambiar la composición de los equipos de auditoría que realizan el trabajo de campo. Un concepto clave de dotación de personal en Agile incluye el uso de un administrador de proyectos y equipos auto-organizados (PMO). El director del proyecto elimina los obstáculos que impiden las pruebas del equipo y se asegura de que tengan los recursos necesarios. También lleva a cabo reuniones de sprint semanales o quincenales con las partes interesadas