Por María Teresa Lavayén
J. Michael Peppers
Foto: Gabriel Reig
El sistema de contabilidad de doble entrada inventado en el siglo 13 por el fraile milanés Luca Pacioli brindó a los comerciantes de la época un instrumento para controlar las transacciones con sus proveedores y sus clientes y también para controlar el trabajo de los empleados.
Los registros históricos sugieren que ya en el siglo 15, reyes o comerciantes empleaban auditores para detectar o impedir robos, fraudes o alguna otra forma de delito. Se cree que fue por entonces que aparecieron las técnicas de control, como la separación de tareas, la verificación independiente y el interrogatorio para detectar e impedir regularidades. Eran las primeras manifestaciones de auditoría interna.
Así fue, entonces, que desde el comienzo mismo las funciones asignadas a los auditores eran detectar el fraude y tranquilizar al amo diciéndole que los agentes mostraban la verdadera situación financiera del negocio. Mucho más tarde en la historia, esa obligación cambió porque los auditores no son garantes y no hay forma en que puedan verificar al 100% que el informe preparado y presentado por los agentes esté libre de fraude. Por lo tanto, de ellos se comenzó a esperar que aporten habilidad y presten atención al decir si los extractos financieros representan fielmente la situación financiera del negocio. Los roles cambiaron y se expandieron junto con los cambios en el mundo.
Sin embargo, la percepción que tiene hoy del auditor el público en general sigue siendo la de un contador de carrera. Es una idea equivocada pero muy difícil de erradicar, como lo demuestra el chiste que circula aún hoy en el folclore popular:
–”¿Qué es un auditor?”
–”Un contador con opinión”
Para disertar en el XXII Congreso Latinoamericano de Auditores Internos que se realizó en Buenos Aires en la primera semana de octubre llegó de Estados Unidos Michael Peppers, quien además de ser presidente del Consejo de Administración Mundial del Instituto de Auditores Internos es director ejecutivo de auditoría de la Universidad de Texas System y miembro de la Junta Asesora de Contabilidad de la Universidad de Houston.
En su opinión los buenos auditores internos deben ser vistos como indispensables para la organización. Deben ser “asesores de confianza” (trusted advisors), dice citando el título del libro publicado por el presidente y CEO del Instituto de Auditores, Richard Chambers, en el que el autor describe los atributos que convierten al auditor en un recurso indispensable de su organización. Un asesor confiable para el directorio y para el CEO; una persona a la que recurrir cuando hay un problema o preocupaciones que surgen. Para eso debe tener un profundo conocimiento de todos los aspectos de la compañía.
“La palabra confianza no es muy usada cuando se trata de describir la forma en que los distintos grupos de stakeholders ven a los auditores. Y sin embargo, saber ganarse la confianza de esos grupos es fundamental para poder ser eficaces y productivos”, dice Chambers en el libro.
–¿Enron y WorldCom tenían auditoría interna?
–En el caso de WorldCom fue una auditora interna quien, a través de su trabajo identificó los temas que se debían investigar. Yo siempre digo que los auditores, cuando identifican irregularidades, deben tener confianza en sus capacidades para identificar cosas pero también tienen que tener un poco de coraje, porque a veces, si identifican problemas –especialmente si están en una zona donde la alta gerencia no quiere escuchar ciertas cosas– tienen que estar dispuestos a llevar adelante lo que descubrieron y, en ese ejemplo en particular que usted plantea, eso fue exactamente lo que hizo Cynthia Cooper, como auditora interna.
–¿Cómo evolucionó el rol del auditor interno en el tiempo?
–Puede tener muchos matices, pero en general siempre se lo ha identificado con los elementos clave del gobierno de la empresa. La gerencia decide sus objetivos, su poder, sus lineamientos, pero después todos deben tener la seguridad de que esos objetivos se manejan bien y esa es la seguridad que brinda el equipo de auditoría interna.
Algo de esa evolución se produjo a medida que la gerencia fue advirtiendo el valor que los auditores pueden ofrecer a la organización y luego, a su vez, los auditores se fueron capacitando cada vez más para brindar servicios. Cuando brindan un buen servicio la gerencia ve que valen y comienzan a pedirles más cosas. Entonces, la evolución significó que, además de opinar sobre controles internos, balances y procesos, ahora brindan asesoramiento y ayudan a la gerencia a tomar decisiones.
–¿Cuáles son las habilidades que necesita un auditor para realizar bien su tarea y cuáles son las más importantes?
–Las tradicionales siempre fueron contabilidad y conocimiento de los elementos centrales. Eso sigue siendo fundamental y deben tener esas habilidades. Pero el rol se expandió hacia otras competencias. Hoy las empresas buscan habilidades técnicas y pensamiento analítico.
El auditor debe tener competencias duras y blandas. Para mí, las más difíciles son las blandas, que tienen que ver con la cultura de una organización, con los matices políticos; con las relaciones humanas. Doy mucha importancia a la capacidad de comunicar.
–¿Usted cree que si la empresa queda librada a su criterio es bastante probable que haga trampa? ¿Cree que los auditores están allí para que la organización no mienta o esconda cosas?
–No sé si las organizaciones dejadas a su libre albedrío tomarían automáticamente por el camino oscuro. Creo que si elaboramos una sólida estructura de gobierno, deberíamos esperar que tengan una buena base, buen gobierno y controles. La función de los auditores internos es ayudar a reforzar esa estructura.
Hay un modelo al que a veces nos referimos, que se llama “las tres líneas de defensa”. El modelo distingue tres líneas de actividades que participan en una efectiva gestión y supervisión de riesgos. La alineación de las tres líneas de defensa permite mitigar los riesgos.
La primera es el control de la gerencia, donde cada área operativa de la organización pone en práctica la gestión de sus propios riesgos y controles, para asegurar el cumplimiento de los objetivos de la empresa mediante un adecuado sistema de control interno.
La segunda línea contempla las funciones de supervisión de riesgos, controles y cumplimiento de políticas y estándares establecidas por la administración. Y en la tercera línea está el aseguramiento independiente, la auditoría interna, que aporta supervisión objetiva sobre las dos primeras líneas de defensa, evalúa el sistema de control interno de la organización en su conjunto para identificar debilidades y recomendar mejoras.
Otra disciplina que también se aplica en esto es GRC: gobierno, riesgo y controles. Son tres facetas relacionadas que ayudan a asegurar que una organización logre sus objetivos, maneje la incertidumbre y actúe con integridad y honradez.
Gobierno es la combinación de procesos establecidos y ejecutados por el directorio, que se reflejan en la estructura de la organización y en la forma en que es manejada y conducida hacia el logro de los objetivos. Gestión del riesgo consiste en prever y manejar los riesgos que podrían impedir que la organización logre de manera confiable sus objetivos en un clima de incertidumbre. Controles para el cumplimiento implica adherir a los mandatos y sus límites (leyes y regulaciones) y fronteras voluntarias (políticas y procedimientos de la compañía):
Este es otro de los modelos que existen para asegurar que haya un buen gobierno, que se manejen bien los riesgos, que la empresa evalúe los riesgos en su entorno, en el terreno político y económico y que tenga sus controles en orden.
–¿De quién depende el auditor interno?
–Eso varía según la organización. Generalmente lo mejor es cuando depende directamente del directorio, del presidente de ese cuerpo independiente de supervisión. Eso le permite tener independencia de la gerencia. Pero igualmente a veces hay problemas al informar al directorio. A veces hay voluntarios que no están en la organización todo el tiempo y eso dificulta la interacción.
Por eso muchas veces la relación de dependencia es con el directorio pero para todo lo relacionado con la administración (administrar el presupuesto las actividades operativas, etc.) puede depender del CEO. Lo que observamos en nuestras investigaciones es que cuando los auditores actúan con esa estructura aumentan su independencia.
Algunos años atrás la orden era depender del gerente de Finanzas (CFO), pero eso, además de no brindar un buen nivel de independencia daba la idea equivocada de que la auditoría interna debe dedicarse solamente al terreno financiero.
Y no es así, es necesario entender que la auditoría interna debe involucrarse en todas las áreas de la organización. Nuestras actividades de evaluación de riesgo cubren todos los elementos de la organización, de modo que no solo trabajamos con el CFO, sino también con el gerente de recursos humanos o el CIO, con TI. La cíberseguridad es un área en la que también debemos involucrarnos.
–¿Qué pasa cuando el equipo auditor es presionado para que omita o modifique algún descubrimiento importante o para que no audite algún área de alto riesgo?
–Lo ideal es que el auditor dependa del directorio, porque si eso ocurre y el auditor depende de alguien que está algo más abajo en escala jerárquica, puede ocurrir que la presión sea fuerte. Incluso un CEO sin escrúpulos puede decidir que un área está fuera de la jurisdicción de la auditoría. En esos casos el auditor debe tener el coraje de decir que nada está fuera de su jurisdicción. Por eso debe tener el apoyo del directorio.
Si alguien presiona al auditor seguramente hay un problema ético en el que alguien está tratando de esconder algo o de reorientar la función de la auditoría. Pero aspiramos a que el auditor interno tenga el valor de acudir a un nivel más alto en busca de apoyo o de seguir delante y hacer lo que le están diciendo que no haga: no modificar el informe por miedo a perder el puesto.
–Entonces el coraje es una de las habilidades.
–Totalmente. Volviendo al caso de WorldCom. Cynthia Cooper, la ejecutiva de auditoría interna perdió el puesto cuando se plantó y siguió adelante con su denuncia. Los auditores tienen un alto grado de riesgo personal y profesional pero es importante que puedan afirmarse en su posición y hacer lo correcto.
–A 15 años de la era de escándalos que se inició con Enron y de la dura regulación que vino después, 2015 fue otra vez un año plagado de grandes escándalos: Volkswagen, FIFA, Toshiba, Valean, Turing Pharmaceuticals. ¿Estamos mejor hoy que a principios de siglo en cuanto a transparencia?
–Según mi opinión personal, siempre va a haber organizaciones donde ocurran hechos poco éticos. La clave para el buen gobierno en cualquier organización es que haya una buena estructura de control para que exista la posibilidad de informar cosas; para que cuando un empleado o un auditor saque a la luz problemas de ética haya sistemas y procesos en pie para solucionarlos. Hay que ser eficaz y dar respuestas. En los ejemplos que mencionó hacía falta ese tipo de controles.
–Y cuando hay casos de fraude empresarial, ¿se puede hacer responsable al equipo de auditoría interna?
–Los auditores van a revisar en todas las áreas de riesgo pero no pueden estar en todas partes. Aunque diseñemos muy buenos tests nunca van a dar una total seguridad. No hay forma de que podamos hacer eso con tantas áreas. Por eso creo que si realizan su trabajo de acuerdo con los estándares que tenemos en la profesión, que exigen competencia y atención profesional, y a pesar de todo eso se producen situaciones irregulares, nosotros creemos que hemos cumplido con nuestra responsabilidad.
–Muchas de las actividades actuales podrían no existir en el futuro. ¿Debe preocuparse la auditoría interna con la llegada de los robots?
–Toda generación dice que no puede imaginar que las cosas puedan seguir cambiando, pero siempre cambian. Nos dicen que en diez años los auditores seremos la mitad. Sí, los auditores internos también sufriremos con la robótica, pero podemos ser parte de ese cambio para no quedar afuera de la evolución que se viene.
