Nuevo e-book
Tendencias claves que cambian la profesión de auditoría.
No es una sorpresa que en un clima económico con turbulencias los líderes ejecutivos estén enfocados en el crecimiento sostenible, la mejora de los flujos, los beneficios y retorno en la inversión (ROI) de los accionistas, para fortalecer la posición financiera de la empresa y protegerla de cara a futuros inciertos.
El impulso por el crecimiento está asociado con la necesidad de manejar un presupuesto prudente para este ejercicio económico del año 2023. El presupuesto asignado para inversiones en tecnología debe estar rigurosamente justificado, con un ROI claramente identificable.
La tecnología puede ofrecer beneficios en las tres áreas, pero la mejora de la eficiencia y la minimización de los riesgos de gobierno son sus áreas de influencia clave. Estos pueden ser más difíciles de cuantificar que el crecimiento directo de los ingresos, pero son fundamentales para el caso de negocios, particularmente en el entorno actual donde el gobierno corporativo se enfrenta a un escrutinio más estricto que nunca.
Ampliaremos los tres criterios de ROI en relación con el gobierno corporativo:
Al invertir en tecnología para respaldar el gobierno corporativo y la gestión de riesgos, las organizaciones pueden demostrar de manera más efectiva un enfoque riguroso y basado en datos para evitar algunos de los riesgos financieros, legales y, en última instancia, existenciales relacionados a las malas prácticas.
Lograr un buen gobierno no es solo una obligación regulatoria y ética, sino que también se ha vuelto cada vez más conectado con el posicionamiento competitivo de una empresa a la luz de las altas sanciones por fallas en términos financieros y de reputación.
El uso efectivo de la tecnología es tan fundamental para garantizar un desempeño de gobierno competitivo como lo es para cualquier otra área de los negocios.
Posicionar la inversión en tecnología desde la perspectiva de su contribución al desempeño competitivo del negocio asegura que reciba la consideración que merece.
Además del beneficio estratégico de mejorar el gobierno corporativo, la inversión en tecnología también tiene un aspecto humano considerable. Esto es relevante dadas las cargas de trabajo de alta intensidad que manejan los equipos de gobierno corporativo y los desafíos actuales en torno a la contratación y retención de talentos.
La tecnología es una parte importante de la garantía de datos de gobierno, pero está estrechamente relacionada con el empoderamiento de las personas para que sean eficaces y se sientan realizados en su trabajo; este es un elemento importante del ROI que debe formar parte del caso de negocio. Esto significa comprender las cargas de trabajo del equipo de gobierno, las presiones y, a veces, las prioridades contrapuestas de las diferentes partes interesadas con las que interactúa el equipo.
Al describir cómo la tecnología de gobierno corporativo puede capacitar al equipo para satisfacer mejor las demandas del negocio, se presenta un caso sólido para la inversión.
Para aumentar las probabilidades de un viaje exitoso, busque una tecnología intuitiva y accesible, con una comunidad de clientes activa y la capacidad de escalar, crecer y evolucionar con los roles y responsabilidades en su gobierno corporativo. Haga clic aquí y descubra la tecnología que más se adapta a sus necesidades.
Las demandas normativas mundiales y la recuperación de la crisis financiera global crearon nuevas presiones para los directores de auditoría (CAE) y la profesión de auditoría interna. Hoy en día, los CAE deben tomar una difícil decisión: seguir siendo auditores tradicionales centrados en ejecutar el plan de auditoría o evolucionar en su rol, particularmente en el área de gestión de riesgos, para ser un socio comercial estratégico de la alta gerencia.
TENDENCIAS CLAVES QUE CAMBIAN LA PROFESIÓN DE AUDITORÍA
Los organismos reguladores se han hecho más estrictos a partir de la recesión global de 2007-2008. Esto fue resultado, en gran parte, de que las empresas de servicios financieros tuvieran habilidades de gestión de riesgos insuficientes. Por ese motivo, ahora se espera que los equipos ejecutivos y las juntas demuestren habilidades de gestión de riesgos mucho más desarrolladas.
Con todas estas presiones normativas, se podría decir que las empresas se excedieron en los esfuerzos de eliminar toda posibilidad de tener problemas de cumplimiento, financieros u operativos. Tan así, que los mismos riesgos se gestionaban varias veces. Es posible que este enfoque haya funcionado para riesgos tradicionales, pero no necesariamente para riesgos estratégicos. Hoy, el enfoque general en gestión de riesgos en negocios internacionales se inclina hacia los riesgos estratégicos.
Los nuevos líderes empresariales competentes en tecnología y con conciencia sobre las auditorías usarán todas las herramientas a disposición para encontrar los riesgos más rápido y cumplir con sus expectativas.
Para abordar estas demandas con éxito, se requiere una combinación de liderazgo, procesos y herramientas, como automatización, estudios analíticos y auditoría continua, para brindar más eficiencia y eficacia.
MISMO ROL, NUEVAS OPORTUNIDADES
La automatización de la auditoría brinda un beneficio adicional, que es particularmente valioso ante el panorama de una economía altamente volátil: la sostenibilidad. Al almacenar prácticas, conocimiento y datos en un sistema de fácil acceso e intuitivo en lugar de hacerlo únicamente en el cerebro de un individuo, las funciones de auditoría interna se posicionan mejor para administrar los tipos de cambios significativos que se dan con más frecuencia hoy en día
La posibilidad de que los riesgos actuales que hoy confrontan a los CAE con la función de auditoría interna generen recompensas o pérdidas el día de mañana depende, en gran medida, de qué tan efectivas (y sostenibles) sean sus respuestas a las presiones actuales.
Tendencias claves que cambian la profesión de auditoría.
Las cuestiones ambientales, sociales y de gobierno corporativo (ESG) son importantes prioridades para las empresas, impulsadas principalmente por las demandas de las partes interesadas y los órganos de gobierno. Estas demandas y la necesidad de informes ESG, sumado a otros informes, impulsan la estrategia, la creación de valor financiero y el rendimiento en torno a parámetros no financieros. En particular, a los inversionistas institucionales les preocupa el impacto que las cuestiones ESG puedan tener en el riesgo y los rendimientos a corto, mediano y largo plazo. Los mercados de capitales buscan información relevante, precisa, comparable y útil, para poder decidir sobre una base informada, y existe una mayor expectativa de que las empresas incorporen consideraciones ESG en sus procesos de negocio formales. Otras partes interesadas esperan datos e información confiables para satisfacer sus propias necesidades. Todas estas demandas plantean riesgos y oportunidades y generan la necesidad de desarrollar un entorno de control interno adecuado para ESG, en el que la auditoría interna desempeña un papel clave.
Proporcionar aseguramiento sobre la presentación de informes no financieros no es un territorio desconocido para la auditoría interna: tecnología de la información, gestión del talento o anticorrupción, caen bajo el paraguas no financiero. Los procesos comprobados y bien establecidos de la auditoría interna en estas áreas ofrecen un modelo listo para abordar cuestiones relacionadas con ESG.
Términos como sostenibilidad, responsabilidad corporativa y responsabilidad social empresaria, junto con la presentación de informes no financieros y ESG, se encuentran muy difundidos y son ampliamente comprendidos. Es importante reconocer que los temas ESG siempre han desempeñado un papel en el riesgo, las oportunidades y el impacto en el rendimiento y el valor de las organizaciones. Las áreas que forman parte de ESG abarcan:
Algunos temas cruzan varias categorías. Por ejemplo, el cambio climático, aunque normalmente se considera ambiental, tiene implicaciones sociales y de gobierno corporativo, al igual que la justicia ambiental. La pandemia de COVID-19 ilustra vívidamente cómo un tema de salud y seguridad puede afectar todos los aspectos de una organización, la cadena de suministro y la economía misma.
Un número creciente de empresas han incorporado la temática ESG en sus estrategias, objetivos y proyectos de negocio, como es el caso de las que han anunciado metas para lograr cero emisiones netas (de carbono). Los objetivos de algunas compañías se alinean con la meta de 2050 instaurada en el Acuerdo de París (Barclays, Cemex), mientras que otras compañías han establecido objetivos más ambiciosos, para 2040 (PepsiCo, Sainsbury, VISA) e incluso para 2030 (Apple, Burger King, Jacobs Engineering, Novo Nordisk).
No hay un conjunto único de temas o métricas que cubra la totalidad de la problemática ESG para todas las organizaciones. Además, el área ESG es dinámica. Variaciones en las expectativas, los riesgos y las operaciones de las partes interesadas podrían elevar el perfil de ciertas cuestiones dentro de una organización en particular.
En general, las empresas deberían desarrollar estrategias, programas y controles para lograr sus objetivos específicos, sabiendo que los inversionistas y otras partes interesadas esperarán que rindan cuentas de ello.
Fuente: ? FLAI Auditores Internos LATAM y IIA-The Institute of Internal Auditors
Cómo comprender los efectos destructivos de los datos oscuros en las organizaciones.
El uso de documentos generados por procesadores de texto y hojas de cálculo como forma primaria de capturar y documentar procedimientos, resultados y evidencias de auditorías se está convirtiendo rápidamente en un anacronismo oxidado —y peligroso—. En el escenario digital actual, este enfoque obstaculiza de varias maneras a las organizaciones.
El problema es que la información queda atrapada dentro de los documentos electrónicos y las hojas de cálculo, donde efectivamente se transforma en “datos oscuros”: imposibles de buscar, referenciar, analizar, exportar, reportar o acceder en dispositivos móviles.
Gartner define los datos oscuros como “los activos de información que las organizaciones recopilan, procesan y almacenan durante sus actividades empresariales normales, pero que generalmente no logran aprovechar para otros fines (por ejemplo, estudios analíticos, relaciones comerciales y monetización directa). Como la materia oscura en física, los datos oscuros suelen abarcar la mayor parte del universo de activos de información de la organización. Por eso, las organizaciones suelen conservar los datos oscuros únicamente a los fines del cumplimiento.
Los problemas claves creados por el enfoque basado en documentos para la gestión de las auditorías incluyen:
01 ) Los datos oscuros quedan atrapados dentro de los documentos o las hojas de cálculo.
02 ) Los documentos no protegen la integridad de los datos.
03 ) Por su naturaleza, la información dentro de documentos y hojas de cálculo no puede mantener sus relaciones con otra información.
04 ) Propagar las auditorías es difícil y exige mucho trabajo manual.
05 ) Exportar y archivar fuera del software es imposible.
06 ) Las dependencias causan conflictos entre las versiones del software y dificultan las actualizaciones.
07 ) Cargas de TI.
Comprender la evidencia digital de auditoría = comprender la necesidad de cambio.
Desde un punto de vista de la metodología fundamental de auditoría, la documentación crítica de auditoría cae dentro de dos grandes categorías:
01 Análisis y conceptos primarios de la auditoría: Incluye la información que representa el pensamiento original del auditor y que formará parte del reporte de auditoría; por ejemplo, sus análisis y comentarios sobre los procedimientos llevados a cabo, por qué se hicieron, los resultados, conclusiones, etc.
02 Evidencia de respaldo de la auditoría: Los elementos adquiridos durante la auditoría que evidencian directamente qué llevó al auditor a sus conclusiones.
Invertir en la gestión de los cambios de corto plazo necesarios para que la organización pase de las auditorías basadas principalmente en documentos al software de gestión de auditoría aporta beneficios claves:
Esta misma transición también libera la carga administrativa y de TI de la organización.
Cómo aumenta la tecnología el valor de la auditoría.
Hasta hace muy poco tiempo, la gestión de riesgos tradicional se basaba en el marco de tres líneas de defensa (3LOD), que contaba con algunas desventajas inherentes, tales como compartimentación de datos, confusión en cuanto a los roles y las responsabilidades en las tres líneas, dificultades de comunicación entre los equipos de riesgos y las demás áreas de la empresa, desafíos para la coordinación, interrupción de procesos y generación de reportes poco precisos. Todas estas situaciones también alientan el desarrollo de una mirada negativa de los equipos de riesgos, aseguramiento y cumplimiento.
A principios de 2020, en respuesta a estos comentarios, el Instituto de Auditores Internos (IIA) comenzó una revisión integral del modelo 3LOD y, en julio del mismo año, presentó una actualización completa, junto con un cambio de nombre.
En el nuevo marco, el IIA quita el término “defensa” del nombre y se centra en un “modelo de tres líneas” que implica que la gestión de riesgos no debería ser una simple reacción para limitar actividades, sino que debería aportar una función de gobernanza clave. Además, el foco recae sobre la generación y la protección de valor, tanto para accionistas como para otras partes interesadas.
Hoy, las empresas tienen una alternativa mucho más efectiva y fortalecedora: la gestión integrada de riesgos (IRM). Como el nombre lo indica, la IRM supera a la ERM y el GRC, ya que es un enfoque holístico que integra la gestión de riesgos en cada proceso, actividad y operación de la organización. De esta forma, cada integrante de la empresa, ya sea en los sectores de logística, producción, finanzas, RR.HH., asuntos legales, TI, seguridad o marketing, comprende claramente los riesgos dentro de su área.
Para ellos existen tres pilares que son, la base de su éxito.
1 Un “panel transparente” para las organizaciones de cualquier complejidad.
2 Instalación y ejecución rápidas.
3 Más productividad, menos errores.
IRM es el enfoque disciplinado y unificado que puede adoptar su organización a fin de gobernar todos los riesgos que enfrenta para que los ejecutivos puedan tomar decisiones más acertadas e impulsar un mejor desempeño empresarial.
Elegir la solución de IRM adecuada es fundamental para que su empresa se mantenga a la vanguardia. Cuando usted puede evaluar todos los riesgos asociados con los desafíos y oportunidades que enfrenta, es más fácil determinar dónde es necesario invertir en la empresa con el fin de capitalizar las mejores oportunidades.
Cómo aumenta la tecnología el valor de la auditoría.
El acceso a la información puede ser su principal ventaja competitiva: con la información correcta, puede tomar decisiones informadas sobre cada nueva oportunidad o desafío, pero ¿cómo puede asegurarse de tener los datos correctos cuando los equipos de administración de riesgos de su empresa están desconectados entre sí?
Las organizaciones a menudo utilizan una serie de proveedores independientes de análisis de datos y tecnología GRC, lo que dificulta compartir recursos e información y analizar datos con precisión. Sin una imagen completa de los factores de riesgo involucrados, es difícil descubrir y abordar rápidamente los riesgos emergentes y aún más difícil aprovechar las oportunidades de crecimiento potencial.
Además, es posible que sus equipos de GRC deban depender en gran medida de los desarrolladores y otro personal que tenga la capacidad técnica para automatizar flujos de trabajo, configurar integraciones y extraer y analizar datos. Esto puede afectar la puntualidad, y si sus equipos intentan hacerlo ellos mismos sin la experiencia necesaria, existe una mayor probabilidad de errores.
Todo esto puede generar interrupciones operativas, riesgos pasados por alto y posibles problemas de cumplimiento, lo que puede tener consecuencias negativas para su negocio, como multas y sanciones.
Reducir los errores y tener una visión integral de todos sus riesgos puede ayudarlo a obtener esa ventaja competitiva, por lo que es importante pasar a una solución de gestión de riesgos integrada.
IRM se refiere a un enfoque en el que la gestión de riesgos se integra en cada proceso, actividad y operación dentro de una organización, para que todos puedan comprender el riesgo dentro de su espacio. Esto incluye gestión logística, procesos de producción, finanzas, recursos humanos, legal, TI, seguridad y marketing.
Las partes interesadas de toda la empresa deben poder acceder a una vista en tiempo real de los riesgos de cada activo, sistema y proveedor externo, lo que les permite tomar decisiones informadas en función de su apetito por el riesgo.
IRM también requiere una cultura que priorice el fácil acceso a los datos para que los equipos de gestión de riesgos puedan interpretar y responder a las amenazas rápidamente. Al crear una empresa consciente de los riesgos que eleve el papel de la gestión de riesgos en cada área de la organización, no solo en ciberseguridad o legal, puede gestionar las amenazas en toda la empresa de manera más eficaz.
El rol tradicional de GRC puede incluir una multitud de soluciones mal integradas y muchos procesos manuales que pueden ralentizar su empresa y aumentar las posibilidades de errores o riesgos pasados por alto.
Una plataforma integrada de gestión de riesgos, por el contrario, es todo en uno. Es una solución integral que brinda a todo su equipo de GRC la visibilidad y los conocimientos profundos que necesitan para comprender el riesgo de su organización, brindar seguridad e informar rápidamente a las partes interesadas ejecutivas para tomar decisiones más informadas y basadas en datos.
Una plataforma integrada de gestión de riesgos le permite:
Al pasar de una colección de herramientas y activos de GRC en silos a una solución integrada de gestión de riesgos, tendrá una visibilidad profunda de los factores de riesgo y las iniciativas de cumplimiento en toda su organización y métricas poderosas para ayudarlo a entender todo y avanzar con confianza. Podrá comprender los problemas a nivel individual, así como detectar tendencias que afectan a su organización a nivel estructural.
Con todos sus datos juntos en un solo lugar para una colaboración fluida, sus equipos de GRC pueden reenfocar sus esfuerzos. En lugar de marcar casillas y ceñirse únicamente a las tareas de cumplimiento, podrán automatizar esas funciones y liberar su tiempo para brindar un verdadero soporte estratégico a la organización.
Un equipo de gestión de riesgos integrado y ágil es crucial para ayudar a su organización a mantenerse competitiva y aprovechar las oportunidades comerciales adecuadas. Al aprovechar una solución de IRM que reúne todos sus datos en un solo lugar, sus equipos de GRC tendrán los conocimientos necesarios para ayudar a que su negocio avance.
Los amplios impactos globales de COVID-19 crearon lo que podría decirse que es la mayor disrupción para la auditoría interna en la historia de la profesión. La pandemia aumentó los riesgos en prácticamente todas las facetas de las operaciones empresariales. Sin embargo, los auditores internos enfrentaron desafíos sin precedentes a través de acciones transformadoras y resiliencia, según la encuesta de Focus on the Future de 2022 a los líderes de auditoría.
No obstante, los auditores internos reconocen la necesidad de prepararse para el futuro aumentando los recursos y el talento para gestionar eficazmente los riesgos en el horizonte. La encuesta Focus on the Future 2022 revela las áreas críticas en las que los auditores dirigen sus esfuerzos desde 2022 hasta 2025.
2022 – 2025 Principales riesgos y esfuerzo de auditoría
La ciberseguridad / privacidad de los datos, sigue siendo la categoría de mayor riesgo para 2022, con más del 90% de los líderes de auditoría interna calificándola como de “alto riesgo”. Además, los líderes informan que los esfuerzos de su departamento finalmente se están poniendo al día con la importancia de la ciberseguridad.
Además, se proyecta que varias áreas de riesgo que se clasificaron como bajas para 2022 tendrán evaluaciones de riesgo más altas en 2025. Estas incluyen:
Recursos y Talento
Una señal positiva para la auditoría interna es que los recursos aumentaron en 2021, y se espera que aumenten aún más para 2025. Aproximadamente la mitad de los encuestados esperan aumentos de personal y presupuesto durante los próximos 12 a 24 meses, mientras que solo unos pocos anticipan disminuciones.
Los conjuntos de habilidades donde las funciones de auditoría interna desean mejorar más las habilidades de su personal son el pensamiento analítico / crítico, la perspicacia comercial, la gestión de riesgos, las TI y la ciberseguridad.
Efectos del trabajo remoto en la auditoría interna
Más de la mitad de los líderes de auditoría interna dijeron que contrataron a trabajadores remotos debido a la pandemia, mientras que una cuarta parte vio a sus trabajadores “robados” por otras organizaciones.
Los equipos de auditoría interna también ampliaron significativamente su uso de la tecnología. Los auditores aumentaron el uso de plataformas de video para celebrar reuniones virtuales y confiaron más en la extracción de datos / análisis avanzado y el software de gestión de auditoría basado en la nube. Los departamentos de auditoría interna probablemente encontrarán beneficios a largo plazo de estas mejoras, incluso después de que la vida vuelva más a las normas anteriores a COVID.
Mantener la resiliencia de la auditoría interna en una era de volatilidad del riesgo
Los resultados de la encuesta Focus on the Future de 2022 ofrecen varias oportunidades importantes para que los líderes de auditoría interna optimicen su impacto:
La pandemia de COVID-19 marcó el comienzo de una era de mayor volatilidad del riesgo, que requirió cambios importantes en la forma en que vivimos y trabajamos para enfrentar sus desafíos. Para seguir teniendo éxito en el futuro, la auditoría interna debe ser adaptable y capaz de adelantarse a los riesgos de manera temprana.
Su solución GRC es la columna vertebral de sus equipos de cumplimiento y administración de riesgos, por lo que es crucial que su tecnología no experimente fallas de seguridad o interrupciones del servicio y pueda actualizarse fácilmente cuando sea necesario.
Al alojar su plataforma GRC, su organización tiene dos opciones: en la nube o en las instalaciones. Evaluaremos los pros y los contras de cada uno.
Cuando decide alojar su plataforma GRC en las instalaciones, eso significa que está utilizando servidores internos e infraestructura de TI para ejecutar el software.
Cuando se cambia a un entorno de nube, depende de los servidores del proveedor para alojar su aplicación y podrá acceder a ella desde cualquier dispositivo, sin importar dónde se encuentre.
Si bien el software local puede ser necesario para ciertas empresas debido a los requisitos de cumplimiento, la gran mayoría de las organizaciones ahora tienen la libertad de migrar a la nube. Y como muchos proveedores de software basados en la nube se han asegurado de que sus soluciones sean lo suficientemente seguras y estables para el uso empresarial y gubernamental, hemos visto que las tasas de adopción se dispararon: Gartner predice que el gasto en la nube pública en todo el mundo crecerá un 23% al termino del 2021.
La pandemia de COVID-19 y el cambio a equipos más distribuidos ha demostrado los peligros de depender de herramientas e infraestructura locales. Al adoptar la transformación digital y crear una pila tecnológica segura de herramientas basadas en la nube, puede dormir tranquilo sabiendo que sus equipos tienen las herramientas para trabajar desde cualquier lugar, en cualquier momento, sin comprometer la seguridad de su organización.
Al elegir una herramienta GRC basada en la nube, debería proporcionar una plataforma integrada donde todo su equipo de gestión de riesgos pueda colaborar y compartir datos. También debe tener la capacidad de automatizar los flujos de trabajo de cumplimiento comunes y proporcionar imágenes y análisis en tiempo real para ayudarlo a medir sus niveles de riesgo para los indicadores clave de riesgo.
Pasar de una solución local a una basada en la nube puede ser un gran acto de fe, pero con el socio adecuado, verá muchos beneficios. La elección es clara: una solución GRC basada en la nube es el camino del futuro.
Diligent, está modernizando la gobernanza con tecnología que ayuda a los líderes a tomar mejores decisiones, para sus organizaciones y para el mundo.
Steele fue pionera en el espacio de cumplimiento, permitiendo a las organizaciones construir una cultura de ética. El enfoque innovador de Galvanize para la gestión de riesgos, la auditoría y el cumplimiento aprovecha la automatización de procesos robóticos para crear el sistema operativo de organizaciones conscientes.
Al unir a Steele, Galvanize y Diligent, brindamos a los líderes una visión conectada de sus organizaciones, empoderando a las juntas, ejecutivos y líderes en todos los niveles de una organización para que lideren con un propósito, no solo para los accionistas, sino también para los clientes, los empleados y la comunidad.
Para los líderes de hoy, alcanzar las métricas financieras ya no es suficiente. Las partes interesadas esperan que las organizaciones demuestren progreso en ESG mientras administran métricas no financieras como riesgo, cumplimiento, diversidad y transformación digital.
La plataforma GRC integrada de Diligent reúne soluciones de Diligent, Steele y Galvanize para conectar el liderazgo con los conocimientos más importantes. Con nuestras capacidades combinadas, las organizaciones pueden acceder a la información para impulsar el crecimiento, ser más rentables, superar las expectativas de las partes interesadas y liderar con un propósito.
Al experimentar un rápido crecimiento, la compañía identificó la necesidad de reemplazar sus sistemas de hojas de cálculo y software heredado con una plataforma de gestión de riesgos automatizada para simplificar los procesos y exponer y gestionar mejor los factores de riesgo críticos.