EN ES
Solicitar una consulta
← Publicaciones

Tres hallazgos, no treinta. Lo que un comité de auditoría realmente necesita ver.

Un ensayo breve sobre la disciplina de la priorización — y una plantilla que usamos en cada compromiso. Para el director de auditoría que está reescribiendo el paquete trimestral en el avión de regreso del retiro, y el presidente del comité de auditoría que quisiera que la reunión durara 75 minutos en lugar de 150.

Andres J. Castañeda Socio — Asesoría de Riesgos y Controles Internos

Un comité de auditoría se reúne cuatro veces al año. La reunión más corta a la que he asistido duró 47 minutos. La más larga duró seis horas, y terminó con el presidente pidiendo a todos que regresaran el martes siguiente. La diferencia casi nunca fue el número de problemas en la institución — fue la disciplina del informe. La reunión de 47 minutos tenía tres hallazgos. La de seis horas tenía veintiocho.

Este es un artículo breve sobre un hábito específico que he visto desarrollar en varios directores de auditoría interna a lo largo de los años, y que ahora exigimos en cada compromiso de auditoría interna que ejecutamos.

El mazo de 28 hallazgos

El mazo llega a mi bandeja de entrada una semana antes de la reunión. Cuarenta páginas. Un resumen ejecutivo de dos páginas que nombra una docena de temas. Un mapa de calor de cuatro páginas que ha tenido los mismos colores durante los últimos cuatro trimestres. Un registro de riesgos que lista 28 hallazgos abiertos, codificados por colores según la severidad, con fechas de remediación previstas que se han pospuesto al menos una vez. Un apéndice con el detalle de las pruebas para las ocho auditorías que cerraron durante el trimestre.

Los directores leerán el resumen ejecutivo la mañana de la reunión. Quizás. El director de auditoría pasará cuarenta minutos repasando el mapa de calor, diez minutos en el registro de riesgos y quince en los temas. Las preguntas, cuando lleguen, serán sobre el hallazgo que todos ya están pensando — el incidente cibernético de octubre, el examen de AML de noviembre, la integración de TI de la adquisición que cerró en marzo. A ninguno de esos le habrán dedicado más de dos diapositivas.

La función de una reunión del comité de auditoría no es cobertura. Es dirección. Un informe de 28 hallazgos cubre todo; no dirige nada.

Lo que un director puede retener en su memoria

Los directores independientes son inteligentes, están ocupados y sirven en tres a cinco juntas. Están leyendo su paquete en un avión entre dos de esas juntas. El número de problemas con los que pueden salir de la reunión — es decir: capaces de recordar el problema, la acción, el responsable y la fecha sin volver a abrir el mazo — es pequeño. Tres a cinco. He visto trabajo empírico al respecto; coincide con lo que me dice cada director de auditoría que respeto: los directores que mejor sirven a su institución son los que pueden hacer las cuatro preguntas correctas en febrero que no podían haber hecho en noviembre.

Un informe que deja a un director con 28 hallazgos es un informe que los deja con cero. Los pierden todos porque no pueden retenerlos todos. Los elementos de acción se ordenan por fecha de remediación en la herramienta GRC y se ignoran.

La regla de triage que usamos

Cada trimestre, antes de redactar el paquete del comité, ordenamos los problemas abiertos en tres categorías:

  1. Hallazgos sobre los que el comité debe actuar este trimestre. Casi siempre tres. A veces dos. Raramente cuatro. Son hallazgos donde el comité tiene una decisión que tomar: aprobar un plan de remediación, autorizar un presupuesto, reemplazar a un líder, escalar al regulador, cambiar la cadencia de auditoría. El director de auditoría le debe al comité una solicitud clara sobre cada uno.
  2. Hallazgos de los que el comité debe estar al tanto. Típicamente de seis a diez. Son problemas abiertos con remediación activa que el comité debería saber que existen y poder preguntar al respecto, pero donde el comité no es el tomador de decisiones. Van en un documento de una página estructurado — no en un mapa de calor.
  3. Hallazgos que el comité no necesita ver. Todo lo demás. Estos pertenecen a la herramienta GRC, al comité de riesgo de gestión o al foro de riesgo operacional. No al comité de auditoría.

El triage requiere una conversación con el presidente del comité. El presidente es el socio que le dice que el elemento regulatorio que usted habría dejado en la segunda categoría necesita estar en la primera porque el examinador principal del OCC lo ha pedido dos veces. El presidente también es el socio que le dice que el elemento abierto que tenía en la primera categoría ya fue discutido en su conversación individual con el CEO y está bien en la segunda.

La plantilla

Una vez que el triage es correcto, la plantilla se escribe sola. Tres secciones, un hallazgo por página en la primera sección, una tabla estructurada en la segunda y un apéndice que el comité no abrirá a menos que quiera.

Informe del comité de auditoría · plantilla

Página 1 · Resumen ejecutivo · cinco oraciones, no más. Páginas 2–4 · Los tres hallazgos — una página cada uno, con el formato: hallazgo, causa raíz, impacto, acción, responsable, fecha, la pregunta para el comité. Página 5 · El registro de seguimiento — de seis a diez problemas abiertos, una línea cada uno, con un indicador de estado. Página 6 · Auditorías cerradas desde la última reunión. Apéndice · Detalle de cualquiera de los anteriores.

Son seis páginas. Producirá una reunión de 60 a 90 minutos, independientemente del tamaño de la institución.

La versión verbal

La otra mitad de la disciplina es la presentación verbal. El director de auditoría lleva al comité a través de los tres hallazgos en doce minutos. No el mazo. Los tres hallazgos. La disciplina consiste en poder decir cada uno en tres minutos: el hallazgo, la acción, la pregunta para el comité. Todo lo que no cabe en tres minutos pertenece al material de lectura previa, no a la reunión.

Les digo a todos los directores de auditoría que no han hecho esto antes que se cronometren en casa, sin audiencia, antes de la reunión. La primera vez tomará veinte minutos. La disciplina de reducirlo a nueve es la disciplina de descubrir qué es lo que realmente importa.

La llamada previa

La última pieza es la llamada previa con el presidente del comité. Veinte minutos, el viernes antes de la reunión. Lleve al presidente a través de los tres hallazgos, el registro de seguimiento y las preguntas que va a plantear. El presidente le dirá qué enfatizar y qué diferir. Llegará a la reunión habiendo ya alineado la agenda — lo que permite que la reunión dure 75 minutos en lugar de 150.

Nada de esto es original. La disciplina ha sido escrita por todos los directores de auditoría reflexivos que respeto; la estoy escribiendo de nuevo porque sigo recibiendo mazos de 40 páginas de clientes que me dicen, con cierto orgullo, que han elevado el rigor de sus informes al comité de auditoría. El rigor está en la sustracción.