La externalización de la función de auditoría interna, una opción cada vez más rentable

En los últimos años, ha habido una evolución en la función de Auditoría Interna donde, cada vez más, la demanda por parte de los Consejos de Administración, las Comisiones de Auditoría y el marco regulatorio al que están expuestas las organizaciones es más relevante y deriva en que los ámbitos a cubrir por la propia función son cada vez más amplios, exigentes y con un componente de especialización muy acentuado. Adicionalmente, la función de Auditoría Interna está orientándose hacia un enfoque más preventivo frente a los enfoques detectivos tradicionales, hecho que exige para el desarrollo de las obligaciones de la función tanto un número cada vez más elevado de recursos internos dedicados al cumplimiento de las actuaciones dispuestas en los planes de auditoría interna, como que los profesionales dispongan de los conocimientos técnicos adecuados para atender los múltiples ámbitos que deben ser auditados.

Asimismo, las empresas se enfrentan a un entorno cada vez más cambiante así como a nuevos riesgos que años atrás ni siquiera se planteaban incluir como prioritarios en los mapas de riesgos. Ello implica un sobresfuerzo de las unidades de Auditoría Interna en cuanto a medidas para la identificación de deficiencias del entorno de control asociado a procesos.

A la hora de panificar las actuaciones que den cobertura a la consecución de los objetivos de la función de Auditoría Interna, deben determinarse cuáles son las actividades que por su naturaleza es necesario que se lleven a cabo de forma interna y cuáles pueden ser susceptibles de ser llevadas a cabo por parte de terceros especializados. En este sentido y respecto a soportes externalizados para el desarrollo de la función, deben tomarse en consideración aquellos ámbitos de revisión que requieren de un nivel muy alto de especialización y / o de una intensidad en la dedicación de los recursos humanos y / o tecnológicos que no son fácilmente asumibles para determinadas estructuras internas o en los plazos exigidos para su ejecución. Estos niveles de especialización no recaen exclusivamente en los ámbitos de auditoría interna, sino también en conocimientos normativos, legales, tecnológicos, etc. A título ilustrativo, tipologías de revisión que suelen ser susceptibles de subcontratación a expertos con la suficiente experiencia y acreditación serían las siguientes:

• Auditorias de cumplimiento normativo y de ámbito regulatorio.
• Auditorias de sistemas informáticos, de seguridad y ciberseguridad.
• Auditorias de continuidad de negocio.
• Verificación del cumplimiento de los Sistemas/Modelos de Prevención de Delitos (Supervisión del Compliance Penal).
• Auditorias de proveedores y de servicios externalizados (Third Party Assurance).
• Evaluación de los Sistemas de Control Interno sobre Información Financiera (SCIIF).
• Auditorias de privacidad de datos - Privacy Assurance (RGPD).
• Auditorias que requieran la utilización de tecnologías y herramientas avanzadas de análisis y tratamiento de datos.
• Auditoría de modelos y de calidad de datos.
• Auditorías de provisiones actuariales.
• Revisiones bajo estándares ISAE 3402/ SSAE 18.
• Revisiones de cumplimiento de Contratos (Contract Compliance), entre otras.

La tendencia a la externalización o subcontratación de una parte de las actuaciones a desempeñar por la función de Auditoría Interna, si bien desde hace ya unos años es una opción real de aquellas sociedades sometidas a unos altos niveles de exigencia en materia de Control Interno y de Gobierno Corporativo, siempre con sus niveles adecuados de supervisión y responsabilidad dentro de las compañías, para el resto de las organizaciones forma parte también del presente en aras de un óptimo, eficaz así como eficiente cumplimiento de los objetivos que deben alcanzar.

Para la consecución de una externalización o subcontratación de servicios de auditoría interna exitosa es primordial tanto el análisis previo de la idoneidad de las acciones a ser llevadas por terceros como el establecimiento de los mecanismos oportunos y razonables para que la ejecución de estos trabajos esté intrínsecamente alineada con los objetivos pretendidos por la organización y que están determinados por los órganos de gobierno de la misma.

A modo de síntesis, entre las principales ventajas que la cada vez más habitual externalización de determinadas actuaciones de auditoría interna proporciona, se encontrarían las siguientes:

• Facilitación de un alineamiento entre las necesidades fruto de los mandatos de las Comisiones de Auditoría y su ejecución efectiva en los plazos definidos.
• Disponibilidad de perfiles altamente cualificados y especializados para atender con el nivel de profundidad y detalle suficiente el amplio espectro de tipologías de trabajos a los que debe hacer frente la función de Auditoria Interna.
• Focalización de los esfuerzos y recursos de los equipos de Auditoría Interna de las organizaciones a aquellos procesos core / críticos del negocio y que deben conformar el principal foco de sus actuaciones.
• Asignación de recursos exclusivamente cuando son necesarios sin ocasionar sobredimensionamiento de estructura de plantillas de forma permanente: Optimización del coste de la función.

Por todo ello, la tendencia a la externalización en el ámbito de la auditoría interna está más presente que nunca, permitiendo un mayor fortalecimiento y ampliación de la cobertura por parte de los equipos de auditoría interna y una anticipación eficiente a los principales riesgos que pueden afectar a la consecución de los objetivos de las compañías. Las organizaciones deben plantearse, por tanto, su estrategia de cómo afrontar sus responsabilidades y obligaciones de buen gobierno teniendo en cuenta esta tendencia que ha venido para quedarse.

• By BDO
• 20/05/2021
• Auditoría Interna, función de auditoría interna