Como consecuencia de las transformaciones en los modelos de operación de los negocios de los bancos impulsados por los avances de la tecnología de información, las auditorías internas de los bancos enfrentan la necesidad de evolucionar de un enfoque de verificación de soporte de transacciones financieras y contables, efectuadas con posterioridad a los hechos, a un enfoque preventivo y proactivo, basados en la valoración de los riesgos del negocio y la evaluación de la efectividad y eficiencia de los procedimientos y los controles internos establecidos en las entidades bancarias.

Al igual que cualquier otra área de la organización, la auditoría interna puede verse expuesta a diferentes riesgos que dificulten, entorpezcan o hagan ineficiente o insuficiente su labor. El área de auditoría interna cumple un papel clave para el funcionamiento adecuado de los distintos procesos de una entidad bancaria, pues entre otras labores se encarga de vigilar y monitorear que estos se realizan y se cumplen correctamente.

El objetivo de las auditorías debe ser agregar valor constante a la entidad bancaria y aportar al cumplimiento de sus metas. Así, un auditor interno tiene la responsabilidad de verificar si los sistemas de gestión que ha implementado la entidad funcionan de manera eficiente y eficaz. Además, por medio de los informes de su auditoría, debe presentar cuáles son las falencias, inconformidades y oportunidades de mejora que tienen estos sistemas.

De esta forma el auditor ayuda a evitar la materialización de riesgos como fraudes, lavado de activo, riesgos operacionales, incumplimientos normativos, ataques cibernéticos, entre otros, pues recomienda cuáles son las acciones que se deben tomar y los controles que se deben ajustar en los sistemas para que esto no suceda.

En la actualidad el sector bancario mantiene constantes cambios que requieren de adaptaciones cada vez más rigurosa y de una comprensión más clara por parte de los profesionales de la auditoría, manteniéndoles apegados a los cambio del sector, para ello debe existir por parte del profesional de la auditoría, una constante actualización por los distintos medio que puedan existir para llegar al cumplimiento y adecuación de los cambios implementados por el sector bancario.

Los auditores internos pueden estar expuestos a riesgos al momento de realizar su labor. Esto se conoce como riesgo de auditoría y consiste, en general, en causas internas y externas que obstaculizan este proceso, impidiendo muchas veces que se conozcan las vulnerabilidades o fallas de los sistemas, evitando así que se lleven a cabo mejoras.

Los principales riesgos en las auditoría internas de los bancos son:

1. Compresión de que es una verdadera auditoría basada en riesgos, en la que se requiere identificar los riesgos; evaluar los niveles a que están expuestos los bancos en el manejo y administración de los mismos y que sirvan de apoyo al auditor identificando áreas críticas y a focalizar su examen cuando deba establecer las actividades a auditar.

2.Desactualización por parte de muchos auditores de bancos medianos y pequeños, de la norma en la que va a basar su auditoría (ISO 9001, ISO 27001, ISO 31000, entre otras). Esto tiene que ver con una mala o incompleta aplicación de las metodologías utilizadas para las auditorías, lo que posibilita que no se realice correctamente según lo dispuesto por un estándar.

3. Marco normativo “ Instructivo para la Función de Auditoría Interna en las EIF” que requiere de importante mejoras el cual data desde el año 2012, y que no reflejas los avances que en materia de auditoría interna se han alcanzado.

4. Falta de apoyo y de confianza por parte de la alta gerencia. Sin el apoyo, compromiso e interés de la alta gerencia es difícil que el auditor pueda demostrar la importancia de la labor que realiza y lo beneficiosa que es para el mejoramiento continuo de los procesos y por ende, para la continuidad de la empresa.

5. Deficiencia en el Plan de Trabajo de la Auditoría. Es importante que el auditor planifique el proceso adecuadamente, considerando los procesos y personas a auditar, así como el tiempo necesario que le tomará hacerlo. Si hay una buena planeación, no debería haber incumplimientos en el plazo límite para terminarla.

6. Planes rígidos e inmodificables. Si bien se debe seguir un plan de auditoría, el auditor debe estar en la capacidad de adaptarlo o ajustarlo según las condiciones que se presenten durante el proceso porque estamos en un entorno en constante cambio y todo puede ser susceptible de cambiar, incluso las áreas o procesos a auditar.

7. Dificultad o incapacidad para auditar algunas fuentes de riesgo como son las áreas de tesorería y de tecnología o ciberseguridad. Puede ser por falta de conocimiento o porque el auditor prefiere ser cauteloso y tomar distancia de algunas áreas o procesos para evitar discordias o señalamientos, sin embargo, no debe ser así porque independiente del área y del abolengo del director, se debe evaluar y auditar para garantizar que está funcionando correctamente y no representa posibles riesgos para la entidad bancaria.

8. Comunicación inoportuna. Los resultados de la auditoría y recomendaciones a aplicar no solo deben presentarse de manera clara y precisa, también debe hacerse oportunamente, en el menor tiempo posible y no meses después para que la alta gerencia y los encargados de las áreas auditadas puedan tomar acción rápidamente y prevenir así que las fallas identificadas faciliten la materialización de riesgos.

9. No contar con personal calificado en sus equipos, enfocarse en encontrar culpables y no en la prevención, realizar una investigación y evaluación incompleta, falta de información y de recursos, entre otros.

10. Falta de independencia. La Función de Auditoría Interna debe estar libre de todo conflicto de interés o de influencia indebida, ya sea real o por presunción, y no puede estar directamente involucrada en la gestión, toma de decisión, ni ejecución de las actividades que audita.

Finalmente, recordar que el área de Auditoría Interna de la entidad bancaria deberá reportar funcionalmente al Comité de Auditoría, o en su defecto al Consejo de Administración, y administrativamente, al principal ejecutivo de la entidad a los fines de garantizar su independencia y efectividad en los resultados del trabajo realizado.

La Superintendencia de Bancos tiene un importante reto en aras de importantizar y fortalecer la función de auditoría interna de las entidades bancarias, que debería empezar revisando el marco normativo que data desde el año 2012, y que a raíz de la transformación de los sistemas de información, y la digitalización de los procesos, se requiere de otro enfoque y no de la panacea de las palabras “auditoría basada en riesgos”

La columna “La Banca Dominicana por Dentro”, es desarrollada por Jesús Geraldo Martínez, en el interés de aportar al fortalecimiento del Sistema Financiero Dominicano desde una perspectiva analítica y práctica orientada a la formación de conocimientos y divulgación de informaciones exclusivas de dicho sector. Para contactar con el autor. Email jgmartinez20@icloud.com, o seguir a @Jesusgeraldomartinez en Instagram.