Nuevo e-book
Tendencias claves que cambian la profesión de auditoría.
Las demandas normativas mundiales y la recuperación de la crisis financiera global crearon nuevas presiones para los directores de auditoría (CAE) y la profesión de auditoría interna. Hoy en día, los CAE deben tomar una difícil decisión: seguir siendo auditores tradicionales centrados en ejecutar el plan de auditoría o evolucionar en su rol, particularmente en el área de gestión de riesgos, para ser un socio comercial estratégico de la alta gerencia.
TENDENCIAS CLAVES QUE CAMBIAN LA PROFESIÓN DE AUDITORÍA
Los organismos reguladores se han hecho más estrictos a partir de la recesión global de 2007-2008. Esto fue resultado, en gran parte, de que las empresas de servicios financieros tuvieran habilidades de gestión de riesgos insuficientes. Por ese motivo, ahora se espera que los equipos ejecutivos y las juntas demuestren habilidades de gestión de riesgos mucho más desarrolladas.
Con todas estas presiones normativas, se podría decir que las empresas se excedieron en los esfuerzos de eliminar toda posibilidad de tener problemas de cumplimiento, financieros u operativos. Tan así, que los mismos riesgos se gestionaban varias veces. Es posible que este enfoque haya funcionado para riesgos tradicionales, pero no necesariamente para riesgos estratégicos. Hoy, el enfoque general en gestión de riesgos en negocios internacionales se inclina hacia los riesgos estratégicos.
Los nuevos líderes empresariales competentes en tecnología y con conciencia sobre las auditorías usarán todas las herramientas a disposición para encontrar los riesgos más rápido y cumplir con sus expectativas.
Para abordar estas demandas con éxito, se requiere una combinación de liderazgo, procesos y herramientas, como automatización, estudios analíticos y auditoría continua, para brindar más eficiencia y eficacia.
MISMO ROL, NUEVAS OPORTUNIDADES
La automatización de la auditoría brinda un beneficio adicional, que es particularmente valioso ante el panorama de una economía altamente volátil: la sostenibilidad. Al almacenar prácticas, conocimiento y datos en un sistema de fácil acceso e intuitivo en lugar de hacerlo únicamente en el cerebro de un individuo, las funciones de auditoría interna se posicionan mejor para administrar los tipos de cambios significativos que se dan con más frecuencia hoy en día
La posibilidad de que los riesgos actuales que hoy confrontan a los CAE con la función de auditoría interna generen recompensas o pérdidas el día de mañana depende, en gran medida, de qué tan efectivas (y sostenibles) sean sus respuestas a las presiones actuales.
Tendencias claves que cambian la profesión de auditoría.
Las cuestiones ambientales, sociales y de gobierno corporativo (ESG) son importantes prioridades para las empresas, impulsadas principalmente por las demandas de las partes interesadas y los órganos de gobierno. Estas demandas y la necesidad de informes ESG, sumado a otros informes, impulsan la estrategia, la creación de valor financiero y el rendimiento en torno a parámetros no financieros. En particular, a los inversionistas institucionales les preocupa el impacto que las cuestiones ESG puedan tener en el riesgo y los rendimientos a corto, mediano y largo plazo. Los mercados de capitales buscan información relevante, precisa, comparable y útil, para poder decidir sobre una base informada, y existe una mayor expectativa de que las empresas incorporen consideraciones ESG en sus procesos de negocio formales. Otras partes interesadas esperan datos e información confiables para satisfacer sus propias necesidades. Todas estas demandas plantean riesgos y oportunidades y generan la necesidad de desarrollar un entorno de control interno adecuado para ESG, en el que la auditoría interna desempeña un papel clave.
Proporcionar aseguramiento sobre la presentación de informes no financieros no es un territorio desconocido para la auditoría interna: tecnología de la información, gestión del talento o anticorrupción, caen bajo el paraguas no financiero. Los procesos comprobados y bien establecidos de la auditoría interna en estas áreas ofrecen un modelo listo para abordar cuestiones relacionadas con ESG.
Términos como sostenibilidad, responsabilidad corporativa y responsabilidad social empresaria, junto con la presentación de informes no financieros y ESG, se encuentran muy difundidos y son ampliamente comprendidos. Es importante reconocer que los temas ESG siempre han desempeñado un papel en el riesgo, las oportunidades y el impacto en el rendimiento y el valor de las organizaciones. Las áreas que forman parte de ESG abarcan:
Algunos temas cruzan varias categorías. Por ejemplo, el cambio climático, aunque normalmente se considera ambiental, tiene implicaciones sociales y de gobierno corporativo, al igual que la justicia ambiental. La pandemia de COVID-19 ilustra vívidamente cómo un tema de salud y seguridad puede afectar todos los aspectos de una organización, la cadena de suministro y la economía misma.
Un número creciente de empresas han incorporado la temática ESG en sus estrategias, objetivos y proyectos de negocio, como es el caso de las que han anunciado metas para lograr cero emisiones netas (de carbono). Los objetivos de algunas compañías se alinean con la meta de 2050 instaurada en el Acuerdo de París (Barclays, Cemex), mientras que otras compañías han establecido objetivos más ambiciosos, para 2040 (PepsiCo, Sainsbury, VISA) e incluso para 2030 (Apple, Burger King, Jacobs Engineering, Novo Nordisk).
No hay un conjunto único de temas o métricas que cubra la totalidad de la problemática ESG para todas las organizaciones. Además, el área ESG es dinámica. Variaciones en las expectativas, los riesgos y las operaciones de las partes interesadas podrían elevar el perfil de ciertas cuestiones dentro de una organización en particular.
En general, las empresas deberían desarrollar estrategias, programas y controles para lograr sus objetivos específicos, sabiendo que los inversionistas y otras partes interesadas esperarán que rindan cuentas de ello.
Fuente: ? FLAI Auditores Internos LATAM y IIA-The Institute of Internal Auditors
Cómo comprender los efectos destructivos de los datos oscuros en las organizaciones.
El uso de documentos generados por procesadores de texto y hojas de cálculo como forma primaria de capturar y documentar procedimientos, resultados y evidencias de auditorías se está convirtiendo rápidamente en un anacronismo oxidado —y peligroso—. En el escenario digital actual, este enfoque obstaculiza de varias maneras a las organizaciones.
El problema es que la información queda atrapada dentro de los documentos electrónicos y las hojas de cálculo, donde efectivamente se transforma en “datos oscuros”: imposibles de buscar, referenciar, analizar, exportar, reportar o acceder en dispositivos móviles.
Gartner define los datos oscuros como “los activos de información que las organizaciones recopilan, procesan y almacenan durante sus actividades empresariales normales, pero que generalmente no logran aprovechar para otros fines (por ejemplo, estudios analíticos, relaciones comerciales y monetización directa). Como la materia oscura en física, los datos oscuros suelen abarcar la mayor parte del universo de activos de información de la organización. Por eso, las organizaciones suelen conservar los datos oscuros únicamente a los fines del cumplimiento.
Los problemas claves creados por el enfoque basado en documentos para la gestión de las auditorías incluyen:
01 ) Los datos oscuros quedan atrapados dentro de los documentos o las hojas de cálculo.
02 ) Los documentos no protegen la integridad de los datos.
03 ) Por su naturaleza, la información dentro de documentos y hojas de cálculo no puede mantener sus relaciones con otra información.
04 ) Propagar las auditorías es difícil y exige mucho trabajo manual.
05 ) Exportar y archivar fuera del software es imposible.
06 ) Las dependencias causan conflictos entre las versiones del software y dificultan las actualizaciones.
07 ) Cargas de TI.
Comprender la evidencia digital de auditoría = comprender la necesidad de cambio.
Desde un punto de vista de la metodología fundamental de auditoría, la documentación crítica de auditoría cae dentro de dos grandes categorías:
01 Análisis y conceptos primarios de la auditoría: Incluye la información que representa el pensamiento original del auditor y que formará parte del reporte de auditoría; por ejemplo, sus análisis y comentarios sobre los procedimientos llevados a cabo, por qué se hicieron, los resultados, conclusiones, etc.
02 Evidencia de respaldo de la auditoría: Los elementos adquiridos durante la auditoría que evidencian directamente qué llevó al auditor a sus conclusiones.
Invertir en la gestión de los cambios de corto plazo necesarios para que la organización pase de las auditorías basadas principalmente en documentos al software de gestión de auditoría aporta beneficios claves:
Esta misma transición también libera la carga administrativa y de TI de la organización.
Cómo aumenta la tecnología el valor de la auditoría.
Hasta hace muy poco tiempo, la gestión de riesgos tradicional se basaba en el marco de tres líneas de defensa (3LOD), que contaba con algunas desventajas inherentes, tales como compartimentación de datos, confusión en cuanto a los roles y las responsabilidades en las tres líneas, dificultades de comunicación entre los equipos de riesgos y las demás áreas de la empresa, desafíos para la coordinación, interrupción de procesos y generación de reportes poco precisos. Todas estas situaciones también alientan el desarrollo de una mirada negativa de los equipos de riesgos, aseguramiento y cumplimiento.
A principios de 2020, en respuesta a estos comentarios, el Instituto de Auditores Internos (IIA) comenzó una revisión integral del modelo 3LOD y, en julio del mismo año, presentó una actualización completa, junto con un cambio de nombre.
En el nuevo marco, el IIA quita el término “defensa” del nombre y se centra en un “modelo de tres líneas” que implica que la gestión de riesgos no debería ser una simple reacción para limitar actividades, sino que debería aportar una función de gobernanza clave. Además, el foco recae sobre la generación y la protección de valor, tanto para accionistas como para otras partes interesadas.
Hoy, las empresas tienen una alternativa mucho más efectiva y fortalecedora: la gestión integrada de riesgos (IRM). Como el nombre lo indica, la IRM supera a la ERM y el GRC, ya que es un enfoque holístico que integra la gestión de riesgos en cada proceso, actividad y operación de la organización. De esta forma, cada integrante de la empresa, ya sea en los sectores de logística, producción, finanzas, RR.HH., asuntos legales, TI, seguridad o marketing, comprende claramente los riesgos dentro de su área.
Para ellos existen tres pilares que son, la base de su éxito.
1 Un “panel transparente” para las organizaciones de cualquier complejidad.
2 Instalación y ejecución rápidas.
3 Más productividad, menos errores.
IRM es el enfoque disciplinado y unificado que puede adoptar su organización a fin de gobernar todos los riesgos que enfrenta para que los ejecutivos puedan tomar decisiones más acertadas e impulsar un mejor desempeño empresarial.
Elegir la solución de IRM adecuada es fundamental para que su empresa se mantenga a la vanguardia. Cuando usted puede evaluar todos los riesgos asociados con los desafíos y oportunidades que enfrenta, es más fácil determinar dónde es necesario invertir en la empresa con el fin de capitalizar las mejores oportunidades.
Cómo aumenta la tecnología el valor de la auditoría.
Seis vulnerabilidades comunes relacionadas con ERP y su insuficiencia en controles que pueden estar dejando escapar sus ingresos y exponiéndolo a riesgos de cumplimiento.
Los sistemas ERP están destinados a minimizar los riesgos, pero a veces crean riesgos propios:
Puede ser una gran organización que ejecuta múltiples ERP y aplicaciones que se vinculan a esos sistemas. Los controles en aplicaciones independientes y en el punto de conexión a un ERP pueden ocultar debilidades, creando riesgos adicionales.
Con múltiples instancias de ERP distribuidas en diferentes ubicaciones físicas de negocios y entidades comerciales, puede suceder que se puedan procesar facturas y pagos duplicados si el mismo proveedor está configurado tanto en la entidad corporativa como en la sucursal de la compañía.
Esto parece simple, pero dentro de cualquier instancia de ERP dada, a menudo se desactivan las configuraciones de control, muchas veces para aumentar la eficiencia y minimizar el tiempo que se ocupa de las excepciones. Otras veces se apagan involuntariamente. Pero tenerlos encendidos es imprescindible.
La presión de implementar un nuevo sistema puede ser estresante, y los controles pueden pasarse por alto fácilmente como resultado de presiones de tiempo y distracciones que el proyecto de implementación en sí mismo puede causar con tantas partes móviles y consideraciones. Los equipos a veces pueden tomar decisiones deliberadas para no activar ciertos controles en aras de la eficiencia y la flexibilidad.
Incluso si está activado, la mayoría de las configuraciones de control están sujetas a “soluciones”: las personas pueden ser muy creativas. Y, por supuesto, el fraude y el abuso también motivan muchos enfoques creativos para evitar los controles.
Algo tan simple como la falta de ortografía es sorprendentemente común y extremadamente difícil de eliminar. Por ejemplo, se crea un proveedor duplicado con una ortografía de nombres ligeramente diferente. Esto crea una apertura amplia (y no detectada) para que ocurran pagos duplicados, errores y fraudes.