Para la mayoría de los Directores Ejecutivos de Auditoría (CAE, por sus siglas en inglés), determinar el alcance de la auditoría parece sencillo. Por lo general, se evalúan los riesgos organizacionales, se analiza la capacidad del equipo y las limitaciones de tiempo, se alinea la cobertura con las prioridades y se desarrolla un plan de auditoría. Estos son fundamentos profesionales ampliamente reconocidos.

El universo de auditoría que usted define señala lo que le importa. Las brechas muestran lo que usted elige no proteger.

El problema de un alcance demasiado limitado es bien conocido. Si su universo cubre consistentemente los mismos procesos, unidades de negocio y categorías de riesgo año tras año, independientemente de cómo esté cambiando el perfil de riesgo de la organización, no está auditando la organización. Está auditando su zona de confort. El comité de auditoría eventualmente hará la pregunta que ningún CAE quiere responder: ¿por qué no auditamos esto antes de que se convirtiera en un problema?

El problema de un alcance demasiado amplio se discute menos, pero es igualmente perjudicial. Un CAE que establece un universo expansivo sin los recursos para cubrirlo de manera significativa no está demostrando ambición; está creando un problema estructural de credibilidad. Los grupos de interés (stakeholders) a quienes se les prometió cobertura pero nunca la recibieron, lo recuerdan. Esa pérdida de confianza se acumula poco a poco y toma años recuperarla.

"La decisión sobre el alcance también tiene una dimensión a futuro que la mayoría de los planes de auditoría no capturan: los riesgos emergentes aparecen en el entorno operativo antes de aparecer en el ciclo formal de evaluación de riesgos"

Una práctica distintiva entre los CAE eficaces es la discusión anual y explícita con el comité de auditoría sobre las concesiones de cobertura (trade-offs), no solo sobre los planes de cobertura. Mientras que un plan de cobertura detalla los proyectos de auditoría a ejecutar, una discusión sobre las concesiones aclara lo que el equipo de auditoría no abordará, la justificación de estas omisiones y los riesgos asociados que la organización asume. Aunque es más difícil de preparar, esta conversación mejora significativamente la relación de gobernanza.

Establezca su alcance al nivel que sus recursos puedan cubrir bien, no al nivel que sus ambiciones desearían alcanzar. La transparencia sobre estas brechas no es una debilidad. Es la forma en que los CAE se ganan el derecho a tener las conversaciones sobre recursos que lograrán cerrar esa brecha con el tiempo.

Para reflexionar: ¿sabe su comité de auditoría qué áreas de riesgo no está cubriendo su función este año, y por qué? Si no es así, esa es una conversación de gobernanza que vale la pena tener antes del próximo ciclo de planificación, no después del próximo incidente.