Hace poco leí la sección de proveedores de la revista trimestral del IIA y vi todas las empresas de para auditoría de software alineadas una al lado de la otra con sus respectivos textos publicitarios. Parece que cada uno es “el mejor del mundo”, “el nuevo estándar” o la herramienta “más completa” disponible. Voy a arriesgarme a decir que todas estas empresas son buenas en lo que hacen y que no debería tener miedo de entablar una conversación con cualquiera de ellas sobre sus necesidades de software de auditoría. Como persona que lleva mucho tiempo en este mercado, también puedo decirle que los productos no suelen ser los mismos.
Lo que confunde a la mayoría de los compradores es que si alineas cada producto junto a tu conjunto de requisitos estándar, cada producto tendrá una respuesta razonable para todo. La mayoría de los proveedores, por ejemplo, ofrecen gestión y planificación de evaluaciones, gestión de problemas y elaboración de informes con facilidades ad hoc. Piense en estos productos como si fueran coches. Todos tienen ruedas, un motor, asientos y permiten arrancar y parar. Entonces, ¿cuál es la diferencia? ¿Cuál es la mejor opción?
De acuerdo, no hay una respuesta sencilla, aparte de la obvia. El mejor programa es el que es adecuado para usted y para lo que está tratando de hacer. Sé que esto no parece útil, pero es cierto. Piensa en la analogía del coche. La próxima vez que vayas por la autopista (con cuidado) fíjate en los vehículos que te rodean y piensa en sus diseños. Está claro que cada uno de ellos hace bien lo básico, es decir, conducir por la autopista. Pero cada uno de ellos también está construido para un fin determinado.
Las herramientas de auditoría más sencillas te dan básicamente una estructura de árbol de archivos y algunas plantillas estándar que puedes rellenar para registrar tu trabajo, adjuntar documentos y cosas por el estilo. Puedes renombrar y reutilizar estos conceptos si quieres crear una cuestión o una nota de revisión, o si quieres ser más específico a la hora de enumerar riesgos, controles, objetivos, etc. Cuando termine de rellenar los formularios y de completar la estructura de árbol, habrá terminado y podrá guardar su auditoría para futuras consultas. La mayoría de los proveedores crearán algunos informes de buen aspecto, incluido un informe de auditoría final que toma su información y la reorganiza en una salida amigable.
Ambos sistemas te servirán, pero están construidos sobre marcos diferentes. No puedes convertir uno en otro, como tampoco puedes convertir un coche pequeño en una camioneta. La analogía del coche es un poco tonta, lo reconozco, pero la utilizo porque es fácil distinguir un coche compacto de una camioneta. Es menos fácil distinguir las herramientas de software de auditoría durante una RFP. Si la diferencia es crítica para usted y su organización, entonces me gustaría ofrecerle algunos puntos a considerar cuando busque un software de auditoría:
¿Necesita una instalación centralizada para modelar su universo de auditoría?
Para muchas empresas, esto es mucho más que crear un par de jerarquías y adjuntarles planes de pruebas. Es posible que también necesite clasificar y calificar los riesgos, controles, procesos y otros artefactos de múltiples maneras (riesgo principal, unidad organizativa, proceso empresarial clave, control clave, etc.). Si se trata de una organización global, es posible que realice evaluaciones de riesgos con una granularidad diferente a la de las auditorías. Si se añade la geografía, los resultados de la puntuación de los riesgos departamentales de las auditorías y evaluaciones anteriores, las pruebas SOX, los requisitos de confidencialidad, todo ello no puede gestionarse de forma fiable sin una herramienta más sofisticada.
Una herramienta que haya construido todos estos elementos de forma adecuada garantizará que se puedan hacer las referencias cruzadas y las conexiones necesarias entre estos elementos y que estas conexiones impulsen el comportamiento y la automatización que se espera. Las herramientas de auditoría menos sofisticadas pueden, de hecho, seguir funcionando para usted. El peligro es que están estirando sus conceptos para lograr la funcionalidad, lo que significa que puede tener compromisos inesperados en su futuro. Estos compromisos suelen llevar a abandonar parte de su sistema en favor de hojas de cálculo o alguna otra herramienta flexible.
¿Cuáles son sus expectativas con respecto a la automatización de los documentos de trabajo?
Recuerde que el objetivo aquí debe ser facilitar a los auditores la realización de su trabajo de forma completa y respaldar el informe final con credibilidad. Si sólo necesita un sistema de registro, entonces una herramienta menos sofisticada será suficiente. Mientras haya muchos lugares para escribir y una forma fácil de categorizar y vincular las cosas, no tendrá muchos problemas para garantizar que su trabajo se almacene electrónicamente y sea fácil de acceder y de informar.
Sin embargo, la automatización del papel de trabajo también puede ser bastante profunda. De hecho, hace poco participé en un estudio sobre herramientas de auditoría y descubrí que sólo un puñado de proveedores (según admiten) han invertido realmente en la creación de funciones específicas de gestión del papel de trabajo. Estos proveedores han creado conceptos específicos para cosas como el enfoque de la auditoría, la matriz de control clave, los riesgos, los controles, las pruebas, las afirmaciones, el alcance, las cuestiones y las pruebas. Cada uno de estos conceptos tiene sus propios flujos de trabajo, facilidades de colaboración y automatización configurable que se presenta al auditor según sus necesidades. Las características están diseñadas para agilizar el trabajo, minimizar la mecanización y permitir la reutilización de componentes y conocimientos estándar en la empresa.
Uno de los mayores diferenciadores en el espacio de las herramientas de auditoría es, con mucho, el apoyo a la gestión o automatización de los papeles de trabajo. Es básicamente la diferencia entre una herramienta de evaluación general y una herramienta de auditoría y siempre está presente cuando se comparan las herramientas de tipo A (funcionalidad básica de auditoría) con las de tipo B (funcionalidad sofisticada de auditoría).
Planificación de la auditoría
Muchas de las herramientas de las que disponen los auditores y la gente de cumplimiento tienen algún concepto que permite la planificación. Desde la perspectiva de la auditoría, se trata de garantizar que el esfuerzo de la misma se concentre en las áreas de la empresa que más lo necesitan. Para muchas tiendas, esto significa una herramienta que les ayude a realizar miniauditorías o autoevaluaciones para poder clasificar cada unidad auditable en términos de riesgo. En última instancia, esta información se utiliza para diseñar un plan de auditoría para el año. Una vez más, lo más grande no siempre es lo mejor. Hay productos de tipo A que hacen un buen trabajo para ayudar a los auditores en esta tarea. De hecho, muchos de los productos que fallan completamente en términos de automatización del papel de trabajo tienen en realidad grandes características de evaluación de riesgos y planificación.
Teniendo en cuenta este hecho, asegúrese de comprender cuáles son sus verdaderos requisitos. Por ejemplo, ¿son las “unidades evaluables” de su empresa (la unidad más pequeña que evaluará el riesgo) las mismas que sus unidades auditables (la organización sobre la que planificará y ejecutará una auditoría)? Las empresas más grandes o sofisticadas no suelen alinear estos dos conceptos. Asegúrese de que su sistema de candidatos puede manejar por separado las ideas de unidad auditable, evaluaciones y unidad organizativa. Asegúrese de que las reglas de puntuación, y la forma en que se despliegan, no dependen de ninguna relación jerárquica.
ERM y cumplimiento
Recientemente tuve una conversación con algunos pensadores de la OCEG y me confirmaron que a los auditores se les pide que se ocupen de más pruebas de cumplimiento y de la recopilación de información sobre la gestión de riesgos empresariales. El debate sobre cómo las herramientas gestionan esto o deberían gestionarlo es tan largo que debería dividirse en varios blogs (este ya es demasiado largo).
Diré que si los tres primeros puntos que he discutido en este artículo se construyen con cuidado y con la sofisticación adecuada, entonces lo más probable es que esté bien configurado para ayudar a gestionar los problemas de ERM y de cumplimiento para su empresa. Recuerde que las definiciones de riesgo varían según la normativa o el marco de ERM que adopte. Las definiciones de control tampoco son una excepción. Hemos visto que los riesgos se definen como causas raíz (el proveedor envía piezas defectuosas), eventos (el producto de la empresa falla cuando un cliente intenta utilizarlo) o consecuencias (pleito y mala prensa).
