Nuevo e-book
Tendencias claves que cambian la profesión de auditoría.
Te esperamos en el XV Congreso Internacional sobre Gobierno, Riesgos, Auditoria y Seguridad CIGRAS Reservá la fecha 5 al 9 de Agosto de 2024.
A través del CIGRAS, contribuimos a promover el intercambio de conocimientos entre profesionales, organizaciones y entusiastas, generando un ambiente propicio para aprender de las experiencias y realizar networking.
No es una sorpresa que en un clima económico con turbulencias los líderes ejecutivos estén enfocados en el crecimiento sostenible, la mejora de los flujos, los beneficios y retorno en la inversión (ROI) de los accionistas, para fortalecer la posición financiera de la empresa y protegerla de cara a futuros inciertos.
El impulso por el crecimiento está asociado con la necesidad de manejar un presupuesto prudente para este ejercicio económico del año 2023. El presupuesto asignado para inversiones en tecnología debe estar rigurosamente justificado, con un ROI claramente identificable.
La tecnología puede ofrecer beneficios en las tres áreas, pero la mejora de la eficiencia y la minimización de los riesgos de gobierno son sus áreas de influencia clave. Estos pueden ser más difíciles de cuantificar que el crecimiento directo de los ingresos, pero son fundamentales para el caso de negocios, particularmente en el entorno actual donde el gobierno corporativo se enfrenta a un escrutinio más estricto que nunca.
Ampliaremos los tres criterios de ROI en relación con el gobierno corporativo:
Al invertir en tecnología para respaldar el gobierno corporativo y la gestión de riesgos, las organizaciones pueden demostrar de manera más efectiva un enfoque riguroso y basado en datos para evitar algunos de los riesgos financieros, legales y, en última instancia, existenciales relacionados a las malas prácticas.
Lograr un buen gobierno no es solo una obligación regulatoria y ética, sino que también se ha vuelto cada vez más conectado con el posicionamiento competitivo de una empresa a la luz de las altas sanciones por fallas en términos financieros y de reputación.
El uso efectivo de la tecnología es tan fundamental para garantizar un desempeño de gobierno competitivo como lo es para cualquier otra área de los negocios.
Posicionar la inversión en tecnología desde la perspectiva de su contribución al desempeño competitivo del negocio asegura que reciba la consideración que merece.
Además del beneficio estratégico de mejorar el gobierno corporativo, la inversión en tecnología también tiene un aspecto humano considerable. Esto es relevante dadas las cargas de trabajo de alta intensidad que manejan los equipos de gobierno corporativo y los desafíos actuales en torno a la contratación y retención de talentos.
La tecnología es una parte importante de la garantía de datos de gobierno, pero está estrechamente relacionada con el empoderamiento de las personas para que sean eficaces y se sientan realizados en su trabajo; este es un elemento importante del ROI que debe formar parte del caso de negocio. Esto significa comprender las cargas de trabajo del equipo de gobierno, las presiones y, a veces, las prioridades contrapuestas de las diferentes partes interesadas con las que interactúa el equipo.
Al describir cómo la tecnología de gobierno corporativo puede capacitar al equipo para satisfacer mejor las demandas del negocio, se presenta un caso sólido para la inversión.
Para aumentar las probabilidades de un viaje exitoso, busque una tecnología intuitiva y accesible, con una comunidad de clientes activa y la capacidad de escalar, crecer y evolucionar con los roles y responsabilidades en su gobierno corporativo. Haga clic aquí y descubra la tecnología que más se adapta a sus necesidades.
Las demandas normativas mundiales y la recuperación de la crisis financiera global crearon nuevas presiones para los directores de auditoría (CAE) y la profesión de auditoría interna. Hoy en día, los CAE deben tomar una difícil decisión: seguir siendo auditores tradicionales centrados en ejecutar el plan de auditoría o evolucionar en su rol, particularmente en el área de gestión de riesgos, para ser un socio comercial estratégico de la alta gerencia.
TENDENCIAS CLAVES QUE CAMBIAN LA PROFESIÓN DE AUDITORÍA
Los organismos reguladores se han hecho más estrictos a partir de la recesión global de 2007-2008. Esto fue resultado, en gran parte, de que las empresas de servicios financieros tuvieran habilidades de gestión de riesgos insuficientes. Por ese motivo, ahora se espera que los equipos ejecutivos y las juntas demuestren habilidades de gestión de riesgos mucho más desarrolladas.
Con todas estas presiones normativas, se podría decir que las empresas se excedieron en los esfuerzos de eliminar toda posibilidad de tener problemas de cumplimiento, financieros u operativos. Tan así, que los mismos riesgos se gestionaban varias veces. Es posible que este enfoque haya funcionado para riesgos tradicionales, pero no necesariamente para riesgos estratégicos. Hoy, el enfoque general en gestión de riesgos en negocios internacionales se inclina hacia los riesgos estratégicos.
Los nuevos líderes empresariales competentes en tecnología y con conciencia sobre las auditorías usarán todas las herramientas a disposición para encontrar los riesgos más rápido y cumplir con sus expectativas.
Para abordar estas demandas con éxito, se requiere una combinación de liderazgo, procesos y herramientas, como automatización, estudios analíticos y auditoría continua, para brindar más eficiencia y eficacia.
MISMO ROL, NUEVAS OPORTUNIDADES
La automatización de la auditoría brinda un beneficio adicional, que es particularmente valioso ante el panorama de una economía altamente volátil: la sostenibilidad. Al almacenar prácticas, conocimiento y datos en un sistema de fácil acceso e intuitivo en lugar de hacerlo únicamente en el cerebro de un individuo, las funciones de auditoría interna se posicionan mejor para administrar los tipos de cambios significativos que se dan con más frecuencia hoy en día
La posibilidad de que los riesgos actuales que hoy confrontan a los CAE con la función de auditoría interna generen recompensas o pérdidas el día de mañana depende, en gran medida, de qué tan efectivas (y sostenibles) sean sus respuestas a las presiones actuales.
Tendencias claves que cambian la profesión de auditoría.
Las cuestiones ambientales, sociales y de gobierno corporativo (ESG) son importantes prioridades para las empresas, impulsadas principalmente por las demandas de las partes interesadas y los órganos de gobierno. Estas demandas y la necesidad de informes ESG, sumado a otros informes, impulsan la estrategia, la creación de valor financiero y el rendimiento en torno a parámetros no financieros. En particular, a los inversionistas institucionales les preocupa el impacto que las cuestiones ESG puedan tener en el riesgo y los rendimientos a corto, mediano y largo plazo. Los mercados de capitales buscan información relevante, precisa, comparable y útil, para poder decidir sobre una base informada, y existe una mayor expectativa de que las empresas incorporen consideraciones ESG en sus procesos de negocio formales. Otras partes interesadas esperan datos e información confiables para satisfacer sus propias necesidades. Todas estas demandas plantean riesgos y oportunidades y generan la necesidad de desarrollar un entorno de control interno adecuado para ESG, en el que la auditoría interna desempeña un papel clave.
Proporcionar aseguramiento sobre la presentación de informes no financieros no es un territorio desconocido para la auditoría interna: tecnología de la información, gestión del talento o anticorrupción, caen bajo el paraguas no financiero. Los procesos comprobados y bien establecidos de la auditoría interna en estas áreas ofrecen un modelo listo para abordar cuestiones relacionadas con ESG.
Términos como sostenibilidad, responsabilidad corporativa y responsabilidad social empresaria, junto con la presentación de informes no financieros y ESG, se encuentran muy difundidos y son ampliamente comprendidos. Es importante reconocer que los temas ESG siempre han desempeñado un papel en el riesgo, las oportunidades y el impacto en el rendimiento y el valor de las organizaciones. Las áreas que forman parte de ESG abarcan:
Algunos temas cruzan varias categorías. Por ejemplo, el cambio climático, aunque normalmente se considera ambiental, tiene implicaciones sociales y de gobierno corporativo, al igual que la justicia ambiental. La pandemia de COVID-19 ilustra vívidamente cómo un tema de salud y seguridad puede afectar todos los aspectos de una organización, la cadena de suministro y la economía misma.
Un número creciente de empresas han incorporado la temática ESG en sus estrategias, objetivos y proyectos de negocio, como es el caso de las que han anunciado metas para lograr cero emisiones netas (de carbono). Los objetivos de algunas compañías se alinean con la meta de 2050 instaurada en el Acuerdo de París (Barclays, Cemex), mientras que otras compañías han establecido objetivos más ambiciosos, para 2040 (PepsiCo, Sainsbury, VISA) e incluso para 2030 (Apple, Burger King, Jacobs Engineering, Novo Nordisk).
No hay un conjunto único de temas o métricas que cubra la totalidad de la problemática ESG para todas las organizaciones. Además, el área ESG es dinámica. Variaciones en las expectativas, los riesgos y las operaciones de las partes interesadas podrían elevar el perfil de ciertas cuestiones dentro de una organización en particular.
En general, las empresas deberían desarrollar estrategias, programas y controles para lograr sus objetivos específicos, sabiendo que los inversionistas y otras partes interesadas esperarán que rindan cuentas de ello.
Fuente: ? FLAI Auditores Internos LATAM y IIA-The Institute of Internal Auditors
Cómo comprender los efectos destructivos de los datos oscuros en las organizaciones.
El uso de documentos generados por procesadores de texto y hojas de cálculo como forma primaria de capturar y documentar procedimientos, resultados y evidencias de auditorías se está convirtiendo rápidamente en un anacronismo oxidado —y peligroso—. En el escenario digital actual, este enfoque obstaculiza de varias maneras a las organizaciones.
El problema es que la información queda atrapada dentro de los documentos electrónicos y las hojas de cálculo, donde efectivamente se transforma en “datos oscuros”: imposibles de buscar, referenciar, analizar, exportar, reportar o acceder en dispositivos móviles.
Gartner define los datos oscuros como “los activos de información que las organizaciones recopilan, procesan y almacenan durante sus actividades empresariales normales, pero que generalmente no logran aprovechar para otros fines (por ejemplo, estudios analíticos, relaciones comerciales y monetización directa). Como la materia oscura en física, los datos oscuros suelen abarcar la mayor parte del universo de activos de información de la organización. Por eso, las organizaciones suelen conservar los datos oscuros únicamente a los fines del cumplimiento.
Los problemas claves creados por el enfoque basado en documentos para la gestión de las auditorías incluyen:
01 ) Los datos oscuros quedan atrapados dentro de los documentos o las hojas de cálculo.
02 ) Los documentos no protegen la integridad de los datos.
03 ) Por su naturaleza, la información dentro de documentos y hojas de cálculo no puede mantener sus relaciones con otra información.
04 ) Propagar las auditorías es difícil y exige mucho trabajo manual.
05 ) Exportar y archivar fuera del software es imposible.
06 ) Las dependencias causan conflictos entre las versiones del software y dificultan las actualizaciones.
07 ) Cargas de TI.
Comprender la evidencia digital de auditoría = comprender la necesidad de cambio.
Desde un punto de vista de la metodología fundamental de auditoría, la documentación crítica de auditoría cae dentro de dos grandes categorías:
01 Análisis y conceptos primarios de la auditoría: Incluye la información que representa el pensamiento original del auditor y que formará parte del reporte de auditoría; por ejemplo, sus análisis y comentarios sobre los procedimientos llevados a cabo, por qué se hicieron, los resultados, conclusiones, etc.
02 Evidencia de respaldo de la auditoría: Los elementos adquiridos durante la auditoría que evidencian directamente qué llevó al auditor a sus conclusiones.
Invertir en la gestión de los cambios de corto plazo necesarios para que la organización pase de las auditorías basadas principalmente en documentos al software de gestión de auditoría aporta beneficios claves:
Esta misma transición también libera la carga administrativa y de TI de la organización.
Cómo aumenta la tecnología el valor de la auditoría.
Hasta hace muy poco tiempo, la gestión de riesgos tradicional se basaba en el marco de tres líneas de defensa (3LOD), que contaba con algunas desventajas inherentes, tales como compartimentación de datos, confusión en cuanto a los roles y las responsabilidades en las tres líneas, dificultades de comunicación entre los equipos de riesgos y las demás áreas de la empresa, desafíos para la coordinación, interrupción de procesos y generación de reportes poco precisos. Todas estas situaciones también alientan el desarrollo de una mirada negativa de los equipos de riesgos, aseguramiento y cumplimiento.
A principios de 2020, en respuesta a estos comentarios, el Instituto de Auditores Internos (IIA) comenzó una revisión integral del modelo 3LOD y, en julio del mismo año, presentó una actualización completa, junto con un cambio de nombre.
En el nuevo marco, el IIA quita el término “defensa” del nombre y se centra en un “modelo de tres líneas” que implica que la gestión de riesgos no debería ser una simple reacción para limitar actividades, sino que debería aportar una función de gobernanza clave. Además, el foco recae sobre la generación y la protección de valor, tanto para accionistas como para otras partes interesadas.
Hoy, las empresas tienen una alternativa mucho más efectiva y fortalecedora: la gestión integrada de riesgos (IRM). Como el nombre lo indica, la IRM supera a la ERM y el GRC, ya que es un enfoque holístico que integra la gestión de riesgos en cada proceso, actividad y operación de la organización. De esta forma, cada integrante de la empresa, ya sea en los sectores de logística, producción, finanzas, RR.HH., asuntos legales, TI, seguridad o marketing, comprende claramente los riesgos dentro de su área.
Para ellos existen tres pilares que son, la base de su éxito.
1 Un “panel transparente” para las organizaciones de cualquier complejidad.
2 Instalación y ejecución rápidas.
3 Más productividad, menos errores.
IRM es el enfoque disciplinado y unificado que puede adoptar su organización a fin de gobernar todos los riesgos que enfrenta para que los ejecutivos puedan tomar decisiones más acertadas e impulsar un mejor desempeño empresarial.
Elegir la solución de IRM adecuada es fundamental para que su empresa se mantenga a la vanguardia. Cuando usted puede evaluar todos los riesgos asociados con los desafíos y oportunidades que enfrenta, es más fácil determinar dónde es necesario invertir en la empresa con el fin de capitalizar las mejores oportunidades.
Cómo aumenta la tecnología el valor de la auditoría.
La auditoría interna debe aprovechar la tecnología.
La auditoría interna ha evolucionado —y la tecnología de auditoría, también—. Ahora, los líderes empresariales tienen expectativas mucho más altas sobre el valor que los auditores internos deben aportar a sus organizaciones. Sabemos que la tecnología es muy importante para ayudar a los auditores a hacer su trabajo y aportar más valor a la alta gerencia. Pero existe una gran brecha de desempeño entre las tecnologías. Muchos equipos de auditoría siguen dependiendo de tecnologías y procesos obsoletos, y eso limita su capacidad de proporcionar información significativa que realmente aporte valor.
Para transformar su eficacia mediante la tecnología, la auditoría interna debe:
Usar software creado especialmente para aumentar el valor de la auditoría interna
¿Está listo para presentar software especializado a su equipo de auditoría?
Estos son algunos pasos que le ayudarán a empezar. No son particularmente complejos ni difíciles de implementar, pero exigen un cambio de mentalidad. Y presentan una oportunidad real para que los líderes de auditoría mejoren su imagen dentro de la organización.
1) Lograr la aceptación de la directiva y alinear estrategias
2) Establecer metas y medir el progreso
3) Alinear la tecnología con los objetivos estratégicos
4) Mapear los procesos de AI para ver dónde se adapta la tecnología
5) Acabar con las barreras dentro de la organización
6) Aprovechar los estudios analíticos de datos
7) Impulsar la nueva visión centrada en la tecnología
Contamos con tecnología especialmente diseñada para ayudar a los auditores internos a proporcionar la información estratégica que piden las juntas directivas y los ejecutivos, y convertirse en valiosos socios de negocios.
Vea estos y otros temas en detalle ¡Descargue el e-book gratis!
Cómo aumenta la tecnología el valor de la auditoría.
La puesta en práctica de un marco de control efectivo.
A medida que aumenta la prevalencia de las violaciones de ciberseguridad, los fraudes y los factores de riesgo de terceros, y los requisitos de cumplimiento se vuelven más exigentes, es importante que las instituciones financieras cuenten con un rol de liderazgo dedicado a crear políticas para mantener controles férreos sobre todos los factores de riesgo operacional y hacerlas cumplir.
Entonces, como director de riesgos, ¿cuáles son los primeros pasos que debe dar para dominar la complejidad del panorama de controles?
Considere las siguientes como sus prioridades iniciales:
DEFINA UN MARCO DE CONTROL INTEGRAL MÍNIMO
Primero, fíjese en sus objetivos organizacionales generales y diseñe un sistema de controles que se ajuste. Si tiene 10.000 ubicaciones en el mundo, es posible que encuentre variaciones regionales en la forma de operar de sus ubicaciones; por eso, en lugar de preocuparse por pequeñeces, piense primero en los asuntos operacionales que realmente afectan la seguridad o el cumplimiento de sus sucursales y básese en ellos. El proceso incluirá:
CREAR UN SISTEMA PARA AUTOMATIZACIÓN
Cuando haya desarrollado los controles y disparadores de riesgo necesarios en su proceso, es importante desarrollar la pila de tecnología adecuada para ayudar a gestionar y monitorear sus factores de riesgo. Céntrese en pasar de procesos manuales a automatizados, comience con iniciativas pequeñas antes de implementar procesos automatizados en toda la empresa. Su software debe permitir un uso intuitivo y ofrecer oportunidades de aportar datos en tiempo real para el análisis de riesgos.
ASOCIE EXPERIENCIA HUMANA CON APRENDIZAJE AUTOMÁTICO
Una vez que cuente con un sistema de automatización para ayudar al seguimiento de los controles, puede aprovechar al máximo un sistema que asocia el aprendizaje automático con el análisis especializado de expertos en la materia. Mediante la asociación de tecnología con analistas humanos para corroborar datos y profundizar en los potenciales problemas, puede estar seguro de que sus especialistas dedican su tiempo a los análisis estratégicos en los que son expertos, en lugar de realizar simples tareas repetitivas. Las enormes cantidades de datos y su disponibilidad inmediata —junto a nuevas tecnologías, nuevos modelos de negocios y cadenas de valor— están transformando la forma en la que las organizaciones sirven a sus clientes, interactúan con terceros y funcionan internamente. El departamento de riesgo operacional debe mantenerse al día con este entorno dinámico, incluido el cambiante panorama de riesgos.
Las mejores instituciones ya no miran únicamente el riesgo financiero. Están configurando procesos integrales para implementar controles y mitigar riesgos operacionales de todo tipo, con protocolos agregados para monitorear qué tan bien se siguen los controles en los distintos departamentos. En lugar de depender de auditorías poco frecuentes para el seguimiento del éxito de sus esfuerzos, aprovechan el aprendizaje automático para obtener análisis en tiempo real del grado de cumplimiento de cada división con los puntos de referencia del proceso de los controles.
La puesta en práctica de un marco de control efectivo.
Abreviatura de “ambiental, social y de gobierno”, ESG por sus siglas en inglés representa un enfoque más centrado en las partes interesadas para hacer negocios. A medida que ESG se vuelve cada vez más importante para los directores, es esencial considerar los matices globales que impulsan el enfoque región por región.
Las empresas que se adhieren a los estándares ESG acuerdan comportarse de manera ética en esas tres áreas y pueden recurrir a una variedad de estrategias, tácticas y soluciones ESG para hacerlo.
Pero con una gama tan amplia de posibles enfoques y soluciones, y una variedad de problemas que caen bajo el paraguas de ESG, ¿dónde deberían enfocarse las organizaciones? ¿Cómo deberían empezar?
Un buen primer paso es identificar los problemas que encajan en las categorías generales a nivel ambiental, social y de gobernanza. Estos pueden incluir:
Ambiental
Preservación de nuestro mundo natural.
Social
Consideración de los seres humanos y nuestras interdependencias
Gobernanza
Logística y proceso definido para administrar una empresa u organización.
El papel del software ESG en el respaldo de programas ESG exitosos
El software ESG está desempeñando un papel cada vez más central en los programas ESG de muchas organizaciones. Los desafíos de datos que plantea la necesidad de informes ESG sólidos pueden parecer desalentadores, pero tenemos una variedad de soluciones disponibles para dar sentido a sus diversas iniciativas ESG.
Una solución de gestión de datos ESG puede ayudar a coordinar las partes móviles, informar sobre el progreso y estar a la vanguardia. Elegir la solución correcta es vital, y las organizaciones deben priorizar determinados criterios claves y áreas de funcionalidad al preseleccionar opciones:
El acceso a la información puede ser su principal ventaja competitiva: con la información correcta, puede tomar decisiones informadas sobre cada nueva oportunidad o desafío, pero ¿cómo puede asegurarse de tener los datos correctos cuando los equipos de administración de riesgos de su empresa están desconectados entre sí?
Las organizaciones a menudo utilizan una serie de proveedores independientes de análisis de datos y tecnología GRC, lo que dificulta compartir recursos e información y analizar datos con precisión. Sin una imagen completa de los factores de riesgo involucrados, es difícil descubrir y abordar rápidamente los riesgos emergentes y aún más difícil aprovechar las oportunidades de crecimiento potencial.
Además, es posible que sus equipos de GRC deban depender en gran medida de los desarrolladores y otro personal que tenga la capacidad técnica para automatizar flujos de trabajo, configurar integraciones y extraer y analizar datos. Esto puede afectar la puntualidad, y si sus equipos intentan hacerlo ellos mismos sin la experiencia necesaria, existe una mayor probabilidad de errores.
Todo esto puede generar interrupciones operativas, riesgos pasados por alto y posibles problemas de cumplimiento, lo que puede tener consecuencias negativas para su negocio, como multas y sanciones.
Reducir los errores y tener una visión integral de todos sus riesgos puede ayudarlo a obtener esa ventaja competitiva, por lo que es importante pasar a una solución de gestión de riesgos integrada.
IRM se refiere a un enfoque en el que la gestión de riesgos se integra en cada proceso, actividad y operación dentro de una organización, para que todos puedan comprender el riesgo dentro de su espacio. Esto incluye gestión logística, procesos de producción, finanzas, recursos humanos, legal, TI, seguridad y marketing.
Las partes interesadas de toda la empresa deben poder acceder a una vista en tiempo real de los riesgos de cada activo, sistema y proveedor externo, lo que les permite tomar decisiones informadas en función de su apetito por el riesgo.
IRM también requiere una cultura que priorice el fácil acceso a los datos para que los equipos de gestión de riesgos puedan interpretar y responder a las amenazas rápidamente. Al crear una empresa consciente de los riesgos que eleve el papel de la gestión de riesgos en cada área de la organización, no solo en ciberseguridad o legal, puede gestionar las amenazas en toda la empresa de manera más eficaz.
El rol tradicional de GRC puede incluir una multitud de soluciones mal integradas y muchos procesos manuales que pueden ralentizar su empresa y aumentar las posibilidades de errores o riesgos pasados por alto.
Una plataforma integrada de gestión de riesgos, por el contrario, es todo en uno. Es una solución integral que brinda a todo su equipo de GRC la visibilidad y los conocimientos profundos que necesitan para comprender el riesgo de su organización, brindar seguridad e informar rápidamente a las partes interesadas ejecutivas para tomar decisiones más informadas y basadas en datos.
Una plataforma integrada de gestión de riesgos le permite:
Al pasar de una colección de herramientas y activos de GRC en silos a una solución integrada de gestión de riesgos, tendrá una visibilidad profunda de los factores de riesgo y las iniciativas de cumplimiento en toda su organización y métricas poderosas para ayudarlo a entender todo y avanzar con confianza. Podrá comprender los problemas a nivel individual, así como detectar tendencias que afectan a su organización a nivel estructural.
Con todos sus datos juntos en un solo lugar para una colaboración fluida, sus equipos de GRC pueden reenfocar sus esfuerzos. En lugar de marcar casillas y ceñirse únicamente a las tareas de cumplimiento, podrán automatizar esas funciones y liberar su tiempo para brindar un verdadero soporte estratégico a la organización.
Un equipo de gestión de riesgos integrado y ágil es crucial para ayudar a su organización a mantenerse competitiva y aprovechar las oportunidades comerciales adecuadas. Al aprovechar una solución de IRM que reúne todos sus datos en un solo lugar, sus equipos de GRC tendrán los conocimientos necesarios para ayudar a que su negocio avance.