La fatiga de auditoría (audit fatigue)

Hola,

Que nadie piense que la fatiga de auditoría (audit fatigue) consiste en estar cansado de trabajar en auditoría, aunque imagino que para más de uno sí podría significar algo parecido.

La fatiga de auditoría es un término de reciente adopción dentro de las tendencias de gestión, y puede emplearse bajo distintos puntos de vista, según la óptica desde la que se quiera enfocar el problema. En la mayoría de casos, el concepto de fatiga de auditoría lo emplean los proveedores, que manifiestan sufrir esa fatiga cuando los ofertantes exigen un cumplimento férreo y recurrente de sus requisitos para establecer colaboración, con el propósito de robustecer y perpetuar la cadena de suministro en el tiempo. Este exceso de control es concurrente, ya que los proveedores suelen dar servicio a más de una empresa, lo que permite que el mismo oferente tenga que dar cumplimiento a las exigencias de varios clientes simultáneamente, algo que conlleva a un desgaste no sólo de la eficiencia, sino de la tesorería, por los altos costes que implica la pérdida de productividad derivada de la atención de los requisitos, que además, son poco relevantes en la cadena de valor primaria de un proveedor.

En estos casos suele recomendarse compartir los datos de cumplimiento entre los ofertantes de servicios y los proveedores, lo que pretenderá finalmente que los esfuerzos de cumplimiento de los proveedores se reduzcan al mínimo, buscando y aprovechando similitudes entre los requisitos de todos sus clientes. Si los oferentes proporcionan datos de cumplimiento para cubrir sus expectativas, y posteriormente saben alinear el tipo de requisitos que le impone cada cliente, cualquier proveedor debería ser capaz de encontrar similitudes, y dar cobertura simultánea a las exigencias de igual naturaleza. Es posible encontrar el mismo proceso de fatiga en el sentido inverso, si bien no es algo demasiado frecuente. Cuando los proveedores tienen un poder de negociación muy fuerte, como ocurre en la prestación de servicios muy especializados, pueden someter a sus propios clientes a una batería de requisitos intensa, que además puede ser múltiple y simultánea, si la empresa recibe peticiones de muchos proveedores con iguales pretensiones en los mismos plazos de tiempo.

Un ejemplo clásico son las certificaciones, donde es muy normal que un proveedor reciba la misma exigencia por parte de distintos clientes, los cuales instan a la presentación de certificados, como por ejemplo, de Gestión de Seguridad de la Información (familia ISO 27000). Si el proveedor se anticipa y comprende que muchos clientes le irán pidiendo la misma información para cubrir prácticamente los mismos propósitos, lo más sensato es atender conjuntamente las peticiones, para no incurrir en la repetición de todos los pasos necesarios para atender los nuevos requerimientos por parte de nuevos clientes. Afrontar estas peticiones consume recursos, y no optimizar la atención puede provocar pérdidas de eficiencia significativas, sobre todo cuando los requisitos son fuertes y requieren de un proceso de aceptación exigente y prolongado por parte del cliente.

Otra manera de fatiga, ajena al concepto que hemos explicado tiene que ver con el desgaste organizativo que sufren las empresas cuando se ven sometidas a un exceso de control de cumplimiento y a la ejecución de un excesivo número de auditorías, ya sea por repetitividad, ya sea por la necesidad de involucrar continuamente a las mismas personas receptoras de la auditoría en procesos de verificación similares, o que demandan actuaciones similares. Esta fatiga no tiene por qué tener a la auditoría interna o el control interno como protagonista, sino que en muchos casos, especialmente en procesos regulatorios externalizados (LOPD, SOX, otros) puede provocarla la concurrencia de servicios de auditoría externos actuando sobre los mismos temas, y sobre las mismas personas. Al igual que antes, atender los requisitos de auditoría consume recursos, y se hace imprescindible organizar bien cómo atenderlos, tanto del lado del receptor como del lado del promotor de los trabajos de análisis.

No hay fórmulas mágicas para resolver los problemas de fatiga de auditoría, aunque a buen seguro, compartir y aplicar conjuntamente los esfuerzos de análisis puede hacer que se reduzca la necesidad de preguntar m veces distintas, por parte de n equipos distintos, las mismas k cuestiones a las mismas l personas. En el caso de servicios externos, planificar la actuación de los mismos en función de los objetivos del trabajo es fundamental, tratando de agrupar los encuentros en los que se prevea tratar temas similares.

El próximo día 30 de septiembre, ISACA ofrece una charla en línea sobre la fatiga de auditoría. Esta sesión es una repetición de la que tuvo lugar el pasado 8 de julio, también a través del canal online de ISACA. A quien os interese el tema os recomiendo confirméis asistencia, y de paso obtendréis 3 CPE para el modelo de educación continua.

Un saludo

Un pensamiento en “La fatiga de auditoría (audit fatigue)

Comentarios cerrados.