Prepararse para planear o planear para fallar
Mientras los equipos de auditoría comienzan a pensar en sus planes para el 2018, es fundamental poder identificar las nuevas tendencias en las áreas de riesgo emergentes que amenazan con interrumpir el rendimiento empresarial durante este año.
Este artículo explica 12 riesgos, conectados por cuatro grandes temas de riesgo, que las organizaciones deben tener en su radar y lo que los equipos de Auditoría necesitan para identificar y comunicar estos riesgos de manera más efectiva a sus organizaciones y partes interesadas.
Los eventos mundiales imprevistos de este año, resultados electorales, desastres naturales, escándalos corporativos y demás, han aumentado la sensibilidad de los ejecutivos y la Junta directiva hacia el riesgo. En consecuencia, los comités de auditoría cada vez asignan más tareas a la Auditoría Interna para brindar seguridad sobre un conjunto más amplio de riesgos, más allá de las áreas tradicionales de enfoque financiero y operativo.
Anualmente, CEB, ahora Gartner, encuesta más de 200 jefes de auditoría en todo el mundo sobre los riesgos que deberían ser prioritarios para las organizaciones durante este año. Este año, nuestro informe “Hot Spots” del Plan de Auditoría identificó cuatro temas generales que comprenden los riesgos que los Directores Ejecutivos de Auditoría (CAE) expresan como críticos para incluir en sus planes de auditoría en el 2018, estos son:
Tema 1: Dispersión Organizacional
Para reducir costos y aumentar la agilidad, las organizaciones están ampliando el uso de terceros y estructuras de empleo no tradicionales. Mediante la externalización de departamentos anteriormente centrales, como la gestión de la infraestructura de TI y la contratación de más empleados contingentes o temporales, los límites tradicionales de una organización se vuelven borrosos. Esto da lugar a tres riesgos para el 2018:
- Una fuerza de trabajo en evolución hace que la planificación estratégica de la fuerza de trabajo sea más difícil. Este año, por primera vez, cinco generaciones han estado en la fuerza de trabajo al mismo tiempo. Con personal, probablemente más movible o con una tenencia más corta que antes, esta situación ha creado desafíos de gestión del conocimiento para las organizaciones.
- La computación en la nube ha formado un nuevo tipo de relación con terceros, quienes poseen datos importantes sobre clientes y empleados. La información tradicionalmente mantenida en la empresa ahora se maneja en otros lugares, lo que hace que la supervisión sea más desafiante. Además, el hecho de que los tres principales vendedores en la nube representen el 70% de la participación en el mercado de la nube, ha llevado a efectos de bloqueo involuntario del proveedor.
- Finalmente, siendo la privacidad de los datos una preocupación permanente, el próximo Reglamento General de Protección de Datos (GDPR) en Estados Unidos va a generar un nuevo conjunto de desafíos, haciendo a las organizaciones responsables del uso de sus datos por terceras partes. El riesgo de privacidad de los datos se ve agravado por la fragmentación regulatoria, con la implementación de diferentes regulaciones en China y Rusia.
Para estos riesgos, hay auditorías específicas que deben agregarse al plan de auditoría, como lo es la revisión de los contratos y acuerdos con proveedores de la nube, pero también hay factores que pueden integrarse como una lente en diferentes auditorías, como la integridad de los datos y la suficiencia del talento.
Tema 2: Digitalización
La transformación digital de las empresas continúa alterando la forma en que operan las organizaciones. Esto lleva a muchos riesgos bien publicitados, pero también a una ventaja significativa. Sin embargo, para aprovechar esta ventaja, las organizaciones deben superar los siguientes riesgos:
- La preparación para la digitalización es esencial para las organizaciones, pero se hace más difícil debido al rápido ritmo de la automatización y el uso de la robótica, las cuales requieren a menudo de empleados no capacitados para interactuar con tecnologías desconocidas. Grandes brechas en la visión digital tendrán que superarse en el 2018.
- Las infracciones de datos ahora ocurren a diario. La mayoría de estos ocurren debido a un error humano, como un usuario final que hace clic en un enlace de phishing [2] o personal de TI que deja de priorizar el mantenimiento y el parcheo de los sistemas. Un entorno de creciente actividad digital agrava estas dificultades, haciendo que el riesgo de conductas deficientes de seguridad de la información sea más pronunciado.
- La dependencia a los sistemas de TI lleva a las organizaciones a ser más vulnerables a las interrupciones. Estas preocupaciones sobre la continuidad del negocio y la recuperación ante desastres (BCDR) también han salido a la luz por fenómenos meteorológicos extremos, como huracanes e inundaciones, que ahora se producen con mayor frecuencia debido a los cambios climáticos.
La auditoría puede ayudar a la organización a enfrentar estos riesgos al considerar el gobierno de la nueva tecnología, incluidos los aspectos de comportamiento en las auditorías de seguridad de la información y la realización de auditorías exhaustivas de BCDR.
Tema 3: Transparencia
Las redes sociales han facilitado que personas ajenas puedan ver dentro de las organizaciones. Si bien una mayor visibilidad en una empresa es a menudo una característica fundamental de un lugar de trabajo ético, esto también les brinda a los extraños la posibilidad de explotar vulnerabilidades ocultas o desconocidas y avanzar rápidamente. Esto se relaciona con tres riesgos:
- El fraude va en aumento, en parte debido al mayor acceso a herramientas tecnológicas como las ofertas de fraude como servicio. Esto ha llevado a un escrutinio regulatorio amplificado, así como a herramientas que facilitan el examen de fraudes previamente indetectables. El resultado es una mayor exposición tanto a los fraudes como a las medidas reglamentarias derivadas de ello.
- Los empleados alguna vez tuvieron que trabajar en una empresa para tratar de influir en su cultura corporativa. La mayor visibilidad de hoy ha resultado en un creciente escrutinio de los inversionistas y del público sobre la cultura corporativa, a menudo con énfasis en la ética y la diversidad. Una cultura pobre se ve como una causa raíz de los titulares recientes que involucran mala conducta en varias organizaciones.
- Finalmente, los inversionistas aprovechan la misma visibilidad. La intervención de los accionistas a menudo proviene de inversionistas activistas que buscan rendimientos a corto plazo, pero también es probable que provenga de inversionistas pasivos, con preocupaciones a largo plazo como la sostenibilidad.
Para enfrentar esto, la Auditoría debe revisar el alcance de sus esfuerzos de fraude; explorar auditorías culturales separadas o incluir aspectos culturales en todas las auditorías, y finalmente discutir con la gerencia si las funciones corporativas están proporcionando suficiente visibilidad de las posibles intervenciones de los accionistas.
Tema 4: Regulaciones y Volatilidad del mercado
La incertidumbre fue una faceta clave en el 2017, y los líderes empresariales de todo el mundo no están seguros de qué resultados esperar de las políticas. Esta incertidumbre se manifiesta en tres riesgos:
- La incertidumbre geopolítica en sí misma plantea un riesgo significativo para muchas organizaciones, debido en gran medida a que el comercio mundial crece más lentamente que el PIB – GDP, y a la grave falta de resoluciones a importantes cuestiones de política en los mercados desarrollados.
- Los nuevos estándares de reconocimiento de ingresos, que entraron en vigencia en enero, han dejado a las organizaciones sin preparación, a pesar de que llevan años construyéndose. La mayoría de las organizaciones subestiman tanto la complejidad de la implementación como los cambios al marco de control interno que se requiere.
- Finalmente, las presiones de crecimiento e innovación han afectado a la mayoría de los C-suites [2]. La evolución de las preferencias de los clientes ha dificultado la consecución de los objetivos de crecimiento y la aversión al riesgo en muchas organizaciones. Esto también ha limitado su capacidad para colocar las apuestas correctas en la innovación.
Los riesgos políticos y de crecimiento pueden parecer difíciles de enfrentar por la Auditoría, pero el riesgo puede mitigarse mediante actividades como el examen de “R&D” (Investigación y desarrollo) de las organizaciones y el portafolio de seguros. En términos de nuevos estándares de reconocimiento de ingresos, estos requieren que la Auditoría revise su marco de control interno para ver si existe la necesidad de actualizar los controles, como la segregación de funciones.
Desafío de la Auditoría Interna
Durante el 2018, será fundamental para las organizaciones gestionar estos 12 riesgos. Para ello, la Auditoría debe brindar seguridad frente a nuevos riesgos que tradicionalmente no forman parte de su portafolio y continuar desarrollando su enfoque de aseguramiento al tiempo que mantiene su objetividad e independencia.
[1] Uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial.
[2] Ejecutivos más importantes de la organización.
Por: Malcolm Murray, co-autor Bart Edgerton
(Traducción no oficial, para fines académicos –Tatyana Martínez, Colaboradora de Auditool)
Fuente: http://www.corporatecomplianceinsights.com