La forma de auditar deberia cambiar





Ian Rosam considera que los auditores deben dejar de auditar el pasado y comenzar a auditor el futuro para asegurar que se mantenga la relevancia de las auditorias
La crisis financiera ha afectado a todo el mundo. Puede argumentarse que fue debida a una falta repentina de confianza en que los sistema de gestión y los procesos funcionaría como estaba previsto.


Estos sistemas eran auditados internamente y por terceras partes, con reportes revisados por los altos niveles de las organizaciones; entonces, ¿qué funcionó mal con las auditorías?. Más importante aún, ¿qué podríamos hacer para que no nos pase lo mismo a nosotros?. 

Mirando el pasado

Los gerentes deberían saber lo que está por pasar, de tal manera de poder tener un cierto nivel de confianza en el desempeño futuro de los sistemas y procesos. Sin embargo, reciben información de lo que ya pasó. ¿La industria de la auditoría está demasiado focalizada en el pasado y las fallas ocurridas?. El problema que tiene mirar el pasado es que no se lo puede cambiar – nadie puede cambiar algo sobre lo que ha pasado.
Pero debemos mirar las actividades que han ocurrido o, si no, no habría evidencias objetivas que auditar - cierto, no?.  Pero las evidencias objetivas pueden provenir de otras fuentes también. El problema con los resultados tradicionales de las auditorías – indicadores clave de desempeño, resultados del negocio y encuestas – es que a todos les falta indicadores relacionados con los riesgos. En otras palabras, derivarían de eventos que ya han ocurrido. No tenemos porqué descartarlos, pero necesitamos introducir indicadores proactivos - lo que daría confianza sobre lo que es probable que esté por pasar.

Formas de auditar

¿Cómo podemos hacerlo, entonces? Tradicionalmente, los auditores, tanto internos como externos, miran los resultados de las actividades, procesos y sistemas. Sin embargo, no todos los resultados son tangibles, tales como cultura y liderazgo. Por lo tanto, para obtener una mejor imagen de lo que está sucediendo, podríamos auditar estos temas.  
Los auditores no pueden estar presentes cuando suceden los hechos, por lo que necesitamos contar con el apoyo de más ojos. No estoy sugiriendo contar con más auditores, en realidad propongo lo opuesto. Necesitamos implementar una forma distinta de auditar para recolectar evidencias sobre el comportamiento de la gente: mirar lo que realmente hacen, y no  lo que dicen que hacen o escriben.  
Los comportamientos de la gente son los mejores indicadores que necesitamos, porque suceden antes que se genere el resultado. Comprender y reportar el probable impacto de los comportamientos sobre los resultados advertirá a la gerenciar sobre la necesidad de introducir cambios con el fin de afectar los resultados en al dirección deseada. La clave es obtener evidencias de todos los que están involucrados o afectados, por ejemplo todas las partes interesadas, e identificar el impacto de los comportamientos. Esto es auditorías en 360 grados. Por ejemplo:
  • cuando se audita compras, involucrar a la gente que no pertenece al departamento de compras
  • si está auditando ventas, hablar con el sector de operaciones y los clientes
  • cuando esté conduciendo una auditoría ISO 9001, hablar con clientes, proveedores y otras partes interesadas.  
Este enfoque es esencial con el fin de comprender los riesgos reales, pero demanda del uso de muchos recursos, por lo que debería usar métodos informáticos para detectar y analizar datos. Sus métodos de auditoría deben ser diferentes, ya que los comportamientos durante las auditorías son diametralmente diferentes a los tradicionales utilizados hasta la fecha.

El informe

Los gerentes deberían entender el impacto potencial de estos datos (de carácter táctico) en su objetivos, por lo que cuando elaboren un informe no solamente comente sobre las no conformidades detectadas, sino que reporte lo que realmente es importante.  Por ejemplo, si está auditando un proceso de ventas, ¿qué es lo más interesante para la gerencia?: que los riesgos detrás de sus metas de ventas y los objetivos no se estén cumpliendo, o que algunos formularios no se han completado?.  
Ambos temas debería formar parte del informe, pero lo que afecte directamente al gerente seguramente será atendido con más cuidado y presteza. En una auditoría ISO 9001, ¿qué es más importante para los gerentes?: saber el grado de cumplimiento con los requisitos de la norma ISO 9001 (foto del pasado) o los riesgos sobre iniciativas relacionadas con el desempeño y la madurez del negocio? (fotos del futuro). Es más importante para el gerente saber que una cláusula particular muestra un no cumplimiento desde hace 6 meses o que los recursos no se están utilizando en forma efectiva o no están focalizados en sus objetivos de negocio?.
Finalmente, está es mi sugerencia clave hacia nuevas formas de auditoría: ponga foco en comportamientos que producen los resultados (qué significa para la organización) más que solamente en los resultados (o sea el producido). Esto le permitirá evaluar lo que realmente sucede en el mundo real, no solamente lo que le gente pone por escrito.  
Ud. no puede cambiar el pasado, pero sí puede cambiar el futuro usando los comportamientos de la gente como indicadores clave de posibles riesgos, más que auditar resultados y el estado de indicadores clave de desempeño, que son indicadores del pasado. Aprendamos de nuestras auditorías del pasado. No deberíamos descartarlas, pero mejoremos nuestras habilidades y enfoques de auditoría para adecuarse a las necesidades del futuro. 
Tomado de Ian Rosam, director de High Performance Organization Group (www.the-hpo.com). Ha publicado varios libros sobre auditorías.