INTERNALAUDITOR.ORG

La confianza y las terceras partes

Las recompensas de la auditoría no financiera

Una función de auditoría ágil

¿Están abordando sus recomendaciones?

DICIEMBRE DE 2017

DIC

IEM

BR

E D

E 2

017

INT

ER

NA

L A

UD

ITO

RIN

TE

LIG

EN

CIA

AR

TIF

ICIA

L

LA IA HA LLEGADO

La inteligencia artificial está aquí, allí y en todas partes; es fundamental que los auditores comprendan sus implicancias.

Desarrolle unequipo más fuerte

Audit Intelligence Suite (AIS) es una solución de primer nivel que le permite realizar una evaluación comparativa de su actividad de auditoría, examinar las habilidades de su equipo y encuestar a las partes interesadas clave. Hasta el 31 de marzo de 2018, los participantes que completen los tres componentes recibirán el paquete de AIS* gratis Y tendrán un descuento de 500 USD en la formación grupal in situ. Nuestros especialistas en formación usarán los resultados de AIS para personalizar un programa de formación que aborde cualquier brecha en su actividad de auditoría.

Para más información, visite www.theiia.org/AISandOnsite

Obtenga un descuento de 500 USD en formación y un paquete GRATUITO de Audit Intelligence Suite.

* El paquete Audit Intelligence Suite incluye un informe de Evaluación comparativa, examen de

habilidades y de partes interesadas. El descuento no se puede combinar con otras ofertas.

Find out why Pentana Audit should be your Audit Team’s next move

ideagen.com/pentana

Don’t allow your Audit Team to be forced into Checkmate

Copyright © 2017 Ideagen PLC

ideagen +44 (0)1629 699100 | info@ideagen.com Ideagen are a representative vendor in Gartner’s 2017 Market

Guide for Corporate Compliance and Oversight Solutions

Let Ideagen help your audit team plantheir next move with Pentana Audit

2017

-113

9

2017-1139 CON-2018 Dubai IC Ia Mag Ad-FNL-crx.indd 1 11/17/17 2:56 PM

Conectando Al Mundo A Través De La InnovaciónConéctese | Aprenda | Innove | Lidere

DUBÁI, EAU, 6 a 9 DE MAYO DE 2018

Únase a los líderes del sector en Dubái 100+ 70+ 2,500+Inscríbase hoy y aproveche esta impresionante oportunidad de aprender de sus pares de todas partes del mundo y conectarse con ellos. Disfrute de sesiones dinámicas que destaquen las soluciones para ayudar a los líderes de auditoría del mundo a seguirle el ritmo a los cambios en tecnología y técnicas.

oradores de todas partes del mundo

sesiones en 10 corrientes educativas

auditores y proveedores del

sector de auditoría de más de 100 países

NUEVO ORADOR CONFIRMADO

Tanmay Bakshi, Arquitecto de redes neurales, Asesor honorífico de IBM Cloud

Desarrollo de código abierto: Seguridad de la información y auditoría de tecnología

Este fenómeno de 14 años ha cautivado al mundo de la tecnología. Sus conocimientos en redes neurales e inteligencia artificial están transformando la manera en la cual se usa la tecnología para superar obstáculos en campos como la atención médica.

Inscríbase hoyic.globaliia.org

PARA CONOCER LOS ÚLTIMOS TITULARES RELACIONADOS CON AUDITORÍA visite InternalAuditor.org

ARTÍCULOS

DICIEMBRE DE 2017 VOLUMEN LXXIV: VI

24 PORTADA Auditoría en la era de las máquinas inteligentes La inteligencia artificial, que ya se utiliza en muchas organizaciones, está lista para transformar la manera en la que funcionan los negocios. POR TIM MCCOLLUM

31 Relaciones riesgosas Una estrategia de auditoría holística puede proporcionar confianza en el desempeño de terceros asociados. POR BEN ARNOLD Y ALISTAIR PURT

38 Más allá de las cifras Los auditores pueden ayudar a asegurar que la información no financiera se entregue a las partes interesadas que la necesiten. POR ARTHUR PIPER

43 Desempeño ágil Impulsado por el rápido cambio de la organización, el DEA de una empresa multinacional de seguros adoptó un modelo de auditoría radicalmente diferente. POR RUTH PRICKETT

¡DESCARGUE la aplicación Ia en App Store y Google Play!

48 Cuando no se abordan las recomendaciones Auditoría interna debe comprender por qué no se están implementando las recomendaciones para trabajar en pos de una solución. POR JANE SEAGO

54 El valor monetario de las auditorías que buscan errores Al descubrir errores y fraude significativos, los auditores pueden ilustrar mejor el impacto de un control fallido. POR CHRISTOPHER KELLY

No Gimmicks

No Metaphors

No Ridiculous Claims

No Clichés

Trusted by Companies, Governments and Individuals Worldwide.

Find out more at www.mkinsight.com

Just Brilliant Software.

Audit Management Software

SECCIONES

Internal Auditor ISSN 0020-5745 se publica en febrero, abril, junio, agosto, octubre y diciembre. Tarifas de suscripción anual: USD 75 en Estados Unidos y Canadá, y USD 99 fuera de Norteamérica. No se reintegran las tarifas por cancelación. Oficina editorial y de anuncios: 1035 Greenwood Blvd., Suite 401, Lake Mary, FL, 32746, EE. UU. Copyright © 2017 The Institute of Internal Auditors Inc. Los avisos de cambio de domicilio y suscripciones deben dirigirse al Servicio al Cliente del IIA al teléfono +1-407-937-1111. Pago de franqueo de publicaciones periódicas en Lake Mary, Florida y otras oficinas. ADMINISTRADOR DE CORREOS: Envíe el formulario 3579 a: Internal Auditor, 1035 Greenwood Blvd., Suite 401, Lake Mary, FL, 32746, EE. UU. CANADA POST INTERNATIONAL: Número de acuerdo de ventas de envío por correo de las publicaciones (distribución en Canadá): 545880; Número de registro de GST: R124590001. Las opiniones expresadas en Internal Auditor pueden diferir de las políticas y enunciados oficiales del Instituto de Auditores Internos y sus comités, y de las opiniones que respaldan los empleadores del autor o el editor de esta publicación.Internal Auditor no certifica que el contenido del autor sea original.

EN LÍNEA InternalAuditor.orgCard Abuse Runs Rampant (El abuso de tarjetas de crédito causa estragos) Los organismos gubernamentales australianos están supuestamente plagados de uso no autorizado de tarjetas de crédito. El experto en fraude Art Stewart examina el supuesto abuso.

AI in the Real World (La IA en el mundo real)Descubra cómo las empresas están usando la inteligencia artificial, lo que incluye aplicaciones para reunir información de clientes, en una versión ampliada de nuestra historia de portada. 

The Value of Mentorship (El valor de los mentores)Tres de los ex Líderes emergentes de Internal Auditor  describen sus experiencias con mentores y el impacto que esas personas han tenido en sus carreras profesionales. 

Top Articles of 2017 (Principales artículos de 2017)Vea qué artículos de Internal Auditor fueron los más populares este año, según las visitas a InternalAuditor.org.

IMÁG

ENES

: PO

RTAD

A, M

ICK 

WIG

GIN

S; A

RRIB

A, M

ICH

AEL 

D B

ROW

N /

 SH

UTT

ERST

OCK

.CO

M; D

EREC

HA

, JIR

SAK 

/ SH

UTT

ERST

OCK

.CO

M

21 Observaciones de fraude Un DEA investiga el desvío de medicamentos.

PERCEPCIONES60 Perspectivas de gobierno Crear un centro de excelencia para cerrar las brechas en la defensa.

63 Los pensamientos de Jacka El valor de auditoría interna a menudo se transmite mejor a través de sus clientes. 

64 Vigilar el negocio Presidente del IIA ofrece perspectivas sobre auditoría interna en 2018.  

68 En mi opinión Los auditores que auditan por correo electrónico se pierden percepciones potencialmente claves. 

7 Nota del editor

8 Foro de lectores

67 Calendario

PRÁCTICAS

11 Actualización Los directores no ven el valor de la diversidad; pocas empresas consideran los riesgos del cambio climático; y el NACD exhorta a los consejos de administración a que incrementen la supervisión de los riesgos culturales. 

14 Volver a lo básico El cumplimiento de las normas antilavado de dinero reciben mayor escrutinio. 

16 Auditoría de TI Auditoría y seguridad de la información unen fuerzas contra las amenazas cibernéticas. 

18 Vigilancia del riesgo Las tecnologías disruptivas representan nuevos riesgos para que consideren los auditores. 

DICIEMBRE DE 2017   VOLUMEN LXXIV: VI

Una nueva miradahacia la auditoría interna.

Presentamos la Audit Intelligence Suite:Realice evaluaciones comparativas | Examine | Encueste

Realice una evaluación comparativa de su función de auditoría, examine a su equipo y encueste a las partes interesadas clave. Una vez que sepa los resultados, estará en una mejor posición para mejorar su función de auditoría.

Obtenga más información.www.theiia.org/AuditIntelligenceSuite

Nota del editor

DICIEMBRE DE 2017 7INTERNAL AUDITOR

@AMillage en Twitter

LOS ROBOTS VIENEN... TRAS MI FAMILIA

El fin de semana pasado mi esposo y yo almorzamos con nuestro hijo de 19 años que es estudiante de segundo año en la universidad. Seguirá la especialidad en TI. Intenté persuadirlo de que le diera un vistazo a la inteligencia artificial (IA) como opción profesional. Después de todo, probablemente vaya a tomar el control de los trabajos

de su familia (y necesitaremos que él nos mantenga). Verán, su padre es contador, uno de «Los cinco trabajos que tomarán los robots en

primer lugar», según la revista AdAge. «La contabilidad robotizada está en sus inicios», explica el artículo, «pero es increíble para lidiar con las cuentas por cobrar y por pagar, el control de inventario, las auditorías y otras funciones de contabilidad para las cuales solían necesitarse humanos».

¿Otro de los principales cinco trabajos que tomarán los robots según AdAge? El de su madre. Dado el hecho de que, el año pasado, IBM y la empresa de marketing The Drum anunciaron que Watson, la herramienta de IA de IBM, editó una revista entera por su cuenta, mis días como editora podrían estar, de hecho, contados.

Y, por último, está su hermana. Ella planea seguir los pasos de una larga línea de maestros en nuestra familia. Desafortunadamente, podría ser el final de la línea. Teacher Advisor With Watson de IBM «está cargado con planes de lecciones y estrategias demostradas [necesarias] para enseñar abarcando una variedad de niveles de grados primarios y habilidades de los estudiantes», informa 3BL Media. «Y como es cognitivo, Teacher Advisor será cada vez más inteligente (y mejor) con el entrenamiento y el uso».

Según «Harnessing Automation for a Future That Works» (Aprovechar la automatización para un futuro que trabaje), un informe del McKinsey Global Institute, «casi todas las ocupaciones tienen potencial para automatizarse parcialmente». El informe calcula que aproximadamente la mitad de todas las actividades que hacen los empleados de la fuerza laboral mundial y por las cuales se les paga podrían automatizarse si se adaptaran las tecnologías actuales.

Las buenas noticias, según McKinsey, es que menos de un 5 por ciento de las ocupaciones son candidatas para una automatización total. Consideremos a auditoría interna por ejemplo. En la historia de portada de este mes, «La auditoría en la era de las máquinas inteligentes» (ver la página 24), David Schubmehl, director de investigación de Sistemas de IA y cognitivos en IDC, dice «Va a haber un crecimiento tremendo en la auditoria basada en IA, en la observacion del riesgo y las desviaciones, y en la observacion de datos».

Así que quizás haya esperanza después de todo. Quizás estas tecnologías solo complementarán y mejorarán nuestros trabajos. Quizás incluso nos harán más productivos. Quizás mi familia y los perros no tendremos que irnos a vivir con mi hijo.

Mientras todavía soy la editora, me gustaría darle la bienvenida a Kayla Flanders, gerente de auditoría de rango superior en Pella Corp., quien se une a nuestro equipo como la nueva editora colaboradora de «Perspectivas de gobierno». Un enorme gracias para Mark Brinkley por sus años desempeñando ese cargo. Y, por último, le diremos adiós al blog «Marks on Governance» (Comentarios de Marks sobre gobierno) de InternalAuditor.org a finales de diciembre. Las contribuciones de Norman Marks a la revista han sido invaluables. Además de su blog, ha prestado servicios como editor colaborador y ha redactado numerosos artículos a lo largo de los años. Norman también fue miembro del Comité Asesor de Publicaciones del IIA y continúa en sus funciones en el Consejo Consultivo Editorial de la revista. Esperamos seguir contando con estas colaboraciones.

Concuerdo totalmente con Ian Douglas. Asumir el enfoque amable al profesionalismo es muy útil. La gente responde mejor a las relaciones que a meramente los hechos. Sin embargo, se necesita un enfoque equilibrado ya que las personas instintivamente quieren atacar al que transmite el mensaje. No podemos evitar que los clientes siempre deseen concentrarse en los asuntos negativos cuando están preocupados sobre sus trabajos. Al fin de cuentas, no podemos ignorar quiénes somos y debemos hacer nuestros trabajos. No es importante si somos o no amigos del cliente. Lo importante es que lo protejamos en su rol y a la organización que representa.

IVETTE REICK comenta sobre el artículo «Influencie, no antagonice» de Ian Douglas («En mi opinión», octubre de 2017).

Valoraciones que funcionanAunque estoy de acuerdo en teoría con lo que dice Jim Pelletier, en la práctica, la dirección y el comité de auditoría generalmente buscan un criterio comparativo sobre el cual determinar el nivel global de cumplimiento de un conjunto de normas. Si no se utilizara algún tipo de esquema de valoración, sería muy difícil proporcionar ese criterio. Incluso

el IIA utiliza un esquema de valoración para las revisiones de aseguramiento de la calidad para indicarle a la gente en dónde se encuentra.

En mi opinión, los esquemas de valoración funcionan bien si todos están de acuerdo en cuanto a lo que representan las valoraciones y cuál es la base para la valoración. Si el creador no define las valoraciones y el receptor no las comprende, las personas por lo general inventarán su propia definición de lo que significa la valoración y allí yace el problema. Si nosotros como auditores no podemos proporcionar algún tipo de «nivel de preocupación» a la dirección y al comité de auditoría sobre lo que estamos informando, sacan sus propias conclusiones, las cuales, si son significativamente diferentes que las nuestras, determinarán qué haremos.

PAUL FLORA comenta sobre el artículo «De valoraciones a recomendaciones» de Jim Pelletier (“En mi opinión”, agosto de 2017).

DesglosarlasCreo que debemos comenzar por la cultura de riesgo y la cultura cibernética. Son las más actuales, y las expectativas que las rodean todavía están madurando y se están definiendo. Es menos probable

Eliminar la emociónUn concepto que les he presentado a mis equipos de auditoría es escribir el primer borrador del informe de auditoría sin adjetivos ni adverbios. Después de revisar el informe basado en hechos, abordamos las palabras que añadirían color y contexto. El beneficio es doble. En primer lugar, reduce la cantidad de reescrituras. En segundo lugar, ayuda al equipo de auditoría a quitar las emociones del informe de auditoría sin sacrificar la importancia relativa de los hallazgos.

DENNIS FITZGERALD comenta sobre el artículo «Influencie, no antagonice» de Ian Douglas («En mi opinión», octubre de 2017).

JEFA DE REDACCIÓN

Anne Millage

DIRECTOR DE EDICIÓN

David Salierno

DIRECTOR DE EDICIÓN ADJUNTO

Tim McCollum

EDITORA SENIOR

Shannon Steffee

DIRECCIÓN DE ARTE

Yacinski Design, LLC

GERENTA DE PRODUCCIÓN

Gretchen Gorfine

INFORMACIÓN DE CONTACTOPUBLICIDAD

advertising@theiia.org +1-407-937-1109; fax +1-407-937-1101

SUSCRIPCIONES, CAMBIO DE DOMICILIO, NÚMEROS FALTANTES

customerrelations@theiia.org +1-407-937-1111; fax +1-407-937-1101

EDITORIALDavid Salierno, david.salierno@theiia.org +1-407-937-1233; fax +1-407-937-1101

AUTORIZACIONES Y REIMPRESIONESeditor@theiia.org +1-407-937-1232; fax +1-407-937-1101

PAUTAS PARA LOS AUTORES

InternalAuditor.org (haga clic en «Writer’s Guidelines» (Pautas para los autores))

Se les otorga autorización para fotocopiar a los usuarios registrados en el Servicio de Información de Transacciones del Centro de Autorización de Derechos de Autor (CCC, en inglés), bajo la condición de abonar directamente la tarifa actual al CCC, 222 Rosewood Dr., Danvers, MA 01923 EE. UU.; teléfono: +1-508-750-8400. Internal Auditor no asume responsabilidad alguna por las afirmaciones de sus anunciantes, aunque agradece que los lectores informen cualquier inquietud relacionada con los avisos publicados.

Stephen Tiley, cia

Robert Venczel, cia, crma, cisa

Curtis Verschoor, cia, cpa, cfe

David Weiss, cia

Scott White, cia, cfsa, crma

Benito Ybarra, cia

PRESIDENTE EJECUTIVO DEL IIARichard F. Chambers, cia, qial, cgap, ccsa, crma

PRESIDENTE DEL CONSEJO DE ADMINISTRACIÓN DEL IIAJ. Michael Peppers, cia, qial, crma

Daniel Helming, cia, cpa

Karin L. Hill, cia, cgap, crma

J. Michael Jacka, cia, cpcu, cfe, cpa

Gary Jordan, cia, crma

Sandra Kasahara, cia, cpa

Michael Levy, cia, crma, cisa, cissp

Merek Lipson, cia

Thomas Luccock, cia, cpa

Michael Marinaccio, cia

Norman Marks, cpa, crma

Alyssa G. Martin, cpa

Dennis McGuffie, cpa

Stephen Minder, cia

Jack Murray, Jr., cba, crp

Hans Nieuwlands, cia, ra, ccsa, cgap

Bryant Richards, cia, crma

Jeffrey Ridley, cia, fcis, fiia

Marshall Romney, phd, cpa, cfe

James Roth, phd, cia, ccsa

Katherine Shamai, cia, ca, cfe, crma

Debora Shelton, cia, crma

Laura Soileau, cia, crma

Jerry Strawser, phd, cpa Glenn Sumners, phd, cia, cpa, crma

Sonia Thomas, crma

EDITORES COLABORADORESWade Cassels, cia, ccsa, crma, cfe

Kayla Flanders, cia, crma

J. Michael Jacka, cia, cpcu, cfe, cpa

Steve Mar, cfsa, cisa

Bryant Richards, cia, crma

James Roth, phd, cia, ccsa, crma

Charlie Wright, cia, cpa, cisa

CONSEJO CONSULTIVO EDITORIALDennis Applegate, cia, cpa, cma, cfe

Lal Balkaran, cia, cga, fcis, fcma

Mark Brinkley, cia, cfsa, crma

Robin Altia BrownAdil Buhariwalla, cia, crma, cfe, fca

Wade Cassels, cia, ccsa, crma, cfe

Daniel J. Clemens, cia

Michael Cox, fiia(nz), at

Dominic Daher, jd, llm

Haylee Deniston, cpa

Kayla Flanders, cia, crma

James Fox, cia, cfe

Peter Francis, cia

Michael Garvey, cia

Nancy Haig, cia, cfe, ccsa, crma

DICIEMBRE DE 2017VOLUMEN LXXIV:VI

PUBLICADO POR EL INSTITUTE OF INTERNAL

AUDITORS INC.

¡NOS INTERESA SU OPINIÓN! ¿Qué le pareció este número?Escríbanos por correo electrónico a editor@theiia.org. El contenido de las cartas puede editarse por razones de claridad y extensión.

Foro de lectores

DICIEMBRE DE 20178 INTERNAL AUDITOR

DICIEMBRE DE 2017 9INTERNAL AUDITOR

VISITE InternalAuditor.org para ver los últimos blogs.

OVERCOME YOUR GREATEST RISK.

RISK | SECURITY | COMPLIANCE | PEACE OF MIND www.SecuranceConsulting.com • 877.578.0215

que los directivos se sientan atacados personalmente por los malos resultados. Incluso podrían querer las malas noticias para impulsar acciones para mejorar la cultura. La seguridad es probablemente la más desafiante, en mi opinión.

ROGER NGONG comenta sobre la publicación «Bite-size Culture Audits» (Bocaditos de auditoría de la cultura) del blog Points of View by Pelletier (Puntos de vista por Pelletier) (InternalAuditor.org).

Métodos jurásicosEstos son todos excelentes puntos en el ámbito teórico, pero en la realidad es muy difícil permitir que un auditor simplemente busque riesgos y responda. La mayoría de la gente necesita algún tipo de plantilla, lista de control, etc. para trabajar eficazmente. A menos que esté dispuesto a pagar por un departamento entero repleto de gente del calibre de un DEA, esto es simplemente poco realista.

La dirección y los directivos parecen desear y las pautas del IIA parecen exigir

específicamente algunos de los elementos que menciona Chambers como anticuados. Me encantaría suprimir este tonto plan de auditoría y simplemente auditar con base en las evaluaciones de riesgo, pero, de nuevo, es poco práctico y difícil demostrar que uno ha cumplido con las pautas específicas. Además, en la mayoría de las empresas, auditoría interna tiene un tiempo y una exposición limitados a los directores y ejecutivos. Hasta que cambien las normas a nivel del consejo de administración y comité de auditoría para incrementar su participación y comprensión de la auditoría interna, deberá usarse el método jurásico porque los directores y ejecutivos jurásicos así lo prefieren.

PAUL sobre la publicación del blog Chambers on the Profession (Opinión de Chambers sobre la profesión), «Seven Signs You Might Be a Jurassic Auditor» (Siete señales de que usted podría ser un auditor jurásico) (InternalAuditor.org).

Mire al futuroComo auditores, podemos mirar la gestión de riesgos y presentar una revisión prospectiva. Si nos concentramos en la toma de decisiones, estaríamos regresando a una revisión retroactiva y reactiva. Las personas encargadas de tomar las decisiones con frecuencia tienen que tomar las decisiones en base a información incompleta e imperfecta. Hacer que eso sea un hallazgo de auditoría no mejora la organización ni informa a la dirección. Nuestro enfoque de auditoría actual en alcanzar objetivos y gestionar riesgos puede hacer ambos.

RICK FOWLER comenta sobre la publicación del blog Marks on Governance (Comentarios de Marks sobre gobierno), «Maybe Objectives, Risk, and Controls Are the Wrong Focus» (Quizás los objetivos, riesgos y controles son el enfoque incorrecto).

Grant Thornton International Ltd (GTIL) y las firmas miembro no forman una sociedad internacional. GTIL y cada firma miembro son una entidad legal independiente. Los servicios son prestados por las firmas miembro. GTIL no presta servicios a clientes. GTIL y sus firmas miembro no se representan ni obligan entre sí y no son responsables de los actos u omisiones de las demás. Para más información, por favor visite grantthornton.global.

Estamos listos para ayudarle a administrar riesgos

y aprovechar oportunidades, con presencia local,

alcance global y amplias capacidades en servicios

de gestión de riesgo.

Audit | Tax | Advisory | grantthornton.global

PARA CONOCER LOS ÚLTIMOS TITULARES RELACIONADOS CON AUDITORÍA, síganos en Twitter @IaMag_IIA

DICIEMBRE DE 2017 11INTERNAL AUDITOR

Decenas de millones pagan sobornos… Las empresas se demoran en emitir informes de responsabilidad social… Prepararse para el desastre… NACD recomienda una intensificada supervisión cultural.

IMÁG

ENES

: ARR

IBA

, MIC

HAE

L D

BRO

WN

/ S

HU

TTER

STO

CK.C

OM

; D

EREC

HA

, KAT

EETC

/ S

HU

TTER

STO

CK.C

OM

77 %dice que usar herramientas con IA previene más vulneraciones.

78 %

81 %

Fuente: Cylance, Inteligencia artificial en la empresa: La carrera de la IA ha comenzado

LA INTELIGENCIA ARTIFICIAL GENERA UN IMPACTOLos equipos de seguridad dicen que la IA les proporciona una ventaja contra el ransomware y las vulneraciones de datos.

dice que la IA encuentra amenazas que los humanos no pudieron ver.

Los miembros del consejo de administración no están convencidos de la importancia de la diversidad racial y de género en la sala de reuniones, según la Encuesta anual

a directores de empresas de 2017 de PwC que incluyó a 886 directores de EE. UU. Solo un 24 por ciento dice que la diversidad racial en el consejo de administración es muy importante para aportar diversidad de pensamiento a sus reuniones, mientras que un porcentaje igual dice que no es para nada importante.

Los encuestados están ligeramente más a favor de la diversidad de género. Más de la mitad (55 por ciento) dice que su consejo de administración necesita más diversidad de género, y un 41 por ciento dice que es muy importante para desarrollar diversidad de pensamiento. Las mujeres encuestadas tienen más probabilidades

de considerar que la diversidad de género (68 por ciento) y racial (42 por ciento) es muy importante, observa el informe.

«Todavía queda más trabajo por hacer en áreas como incrementar la diversidad en las sala del consejo de administración, lo que incluye la diversidad socioeconómica, ética y de género», dice Paula Loop, líder del Centro de perspectivas de gobierno de PwC. Solo un 21 por ciento de los puestos en los consejos de administración de las empresas del S&P 500 está ocupado por mujeres, mientras que entre las primeras 200 empresas del S&P, las minorías raciales tienen solo un 15 por ciento de los puestos en los consejos de administración.

Loop indica que los inversores están impulsando un objetivo progresista en diversidad, cuestiones sociales y participación

LOS CONSEJOS DE ADMINISTRACIÓN NO COMPRAN LA DIVERSIDAD

A pesar de las preocupaciones de los inversores, los directores no ven el valor de los esfuerzos de diversidad.

dice que la IA detecta amenazas antes que sus equipos de seguridad.

dice que su equipo de seguridad utiliza IA en sus estrategias de prevención de amenazas.

70 %

Actualización

DICIEMBRE DE 201712 INTERNAL AUDITOR

Prácticas/Actualización

IMÁG

ENES

: ARR

IBA

, ART

GRAP

HIC

S /

SHU

TTER

STO

CK.C

OM

; IZ

QU

IERD

A, L

IGH

TSPR

ING

/ SH

UTT

ERST

OCK

.CO

M

66 % DE LOS PROFESIONALES

DE SEGURIDAD DE TI ADMITE

que ha accedido a información de la empresa que no es

necesaria para su trabajo.

71 % DE LOS EJECUTIVOS DE SEGURIDAD DE TI

ha accedido a esa información.

45 %HA BUSCADO

INFORMACIÓN DELICADA SOBRE EL DESEMPEÑO

DE LA EMPRESA.

responsabilidad empresarial de 2017 de KPMG. Ninguna de las empresas que reconocen estos riesgos los cuantifican en términos financieros ni usan

Solo un 28 por ciento de las empresas grandes y medianas a nivel global (y un 49 por ciento de

las 75 principales empresas estadounidenses según los ingresos) reconoce los riesgos financieros del cambio climático en sus informes financieros anuales, según la Encuesta de generación de informes de

los análisis de escenarios para modelar el impacto financiero posible.

«Incluso entre las empresas más grandes del mundo, muy pocos están proporcionándoles a los inversores indicaciones adecuadas del valor en riesgo por el cambio climático», dice Jose Luis Blasco, director global de servicios de sostenibilidad en KPMG.

Las empresas continúan demorándose en la tarea de generar informes sobre responsabilidad empresarial.

EL RIESGO FINANCIERO DEL CAMBIO CLIMÁTICO

Decenas de millones pagan sobornos en gran parte del hemisferio occidental.

dice que ha bajado la corrupción. «El soborno representa un medio para el enriquecimiento de unos pocos, y una barrera significativa para acceder a servicios públicos clave, particularmente para los más vulnerables de la sociedad», dice José Ugaz, presidente de Transparency International.

Casi la mitad de los encuestados dice que todos o la mayoría de los policías y políticos en su país son corruptos (más alto que en cualquier otra institución). Un cincuenta y tres por ciento dice que su gobierno está haciendo un mal trabajo en la lucha contra la corrupción; un 35 por ciento dice que se maneja bien.

Para combatir los sobornos en la región, Transparency International recomienda fortalecer el imperio de la ley, ofreciendo medios confidenciales para que los ciudadanos denuncien su experiencia con servicios públicos, y fortalecer instituciones que manejen delitos relacionados con la corrupción. — D. SALIERNO

EL AMPLIO ALCANCE DEL SOBORNO

Casi un 30 por ciento de los ciudadanos de América Latina y el Caribe pagó un soborno cuando utilizaba servicios públicos clave, como escuelas,

proveedores de servicios públicos y tribunales en los últimos 12 meses, según el organismo de vigilancia global anticorrupción Transparencia Internacional. Un informe de Transparency International, «People and Corruption: Latin American and the Caribbean» (La gente y la corrupción: América Latina y el Caribe), equipara este porcentaje con 90 millones de personas en los 20 países encuestados.

A pesar de las recientes protestas anticorrupción en gran parte de la región, casi dos tercios de los 22 000 ciudadanos encuestados dicen que la corrupción ha aumentado en su país. Solo un 10 por ciento

de los accionistas. De hecho, casi un 70 por ciento de los inversores que respondieron a una encuesta global reciente de Investor Shareholder Services (ISS) ve a la ausencia de mujeres en los consejos de administración como algo problemático. Un cuarenta y tres por ciento dice que la falta de mujeres directoras indica problemas en el proceso de contratación de los miembros del consejo de administración. «Algunos inversores institucionales continúan expresando frustración con una falta percibida de progreso en el aumento de la diversidad de género en ciertos mercados o sectores económicos», indica ISS.

El desempeño del consejo de administración es un área en la cual los directores concuerdan con los inversores; y a muchos no les gusta lo que ven, indica PwC. Casi la mitad de los directores dice que deberían reemplazar a uno o más de sus colegas.

No obstante, los consejos de administración no están realizando esas acciones. Solo un 15 por ciento de los encuestados dice que su consejo de administración ha proporcionado asesoramiento a un director con bajo desempeño o se ha negado a nominar a esa persona para otro mandato. — T. MCCOLLUM

«Si esa información acaba en las manos equivocadas, la pérdida de datos empresariales, la exposición de datos de los clientes o las infracciones de cumplimiento son posibles riesgos que podrían producir un daño irreversible a la reputación y situación financiera de las empresas», dice John Milburn, presidente y gerente general de One Identity.

Fuente: One Identity, Encuesta Global anual

DICIEMBRE DE 2017 13INTERNAL AUDITOR

Prácticas/Actualización

IMÁG

ENES

: ARR

IBA

, ART

GRAP

HIC

S /

SHU

TTER

STO

CK.C

OM

; IZ

QU

IERD

A, L

IGH

TSPR

ING

/ SH

UTT

ERST

OCK

.CO

M

FOTO

: DER

ECH

A, M

ON

KEY

BUSI

NES

S IM

AGES

/ S

HU

TTER

STO

CK.C

OM

La NACD recomienda que los directores intensifiquen su supervisión de los riesgos culturales.

Un informe de la Asociación Nacional de Directores Corporativos (NACD, en inglés) insta a los consejos de administración a que apliquen la misma

supervisión de riesgos a la cultura que la que le dan a otros riesgos empresariales. Los directores «debemos aportar mayor claridad y rigurosidad a nuestros debates con la dirección sobre cultura», dice Helene Gayle, copresidente de la Comisión «Blue Ribbon» de cultura como activo empresarial de la NACD, la cual produjo el informe. Gayle, que es directora ejecutiva de

HACER QUE LA CULTURA SEA UN ACTIVO

McKinsey Social Initiative, dice que los directores necesitan un enfoque de supervisión que trate a la cultura como activo empresarial.

El informe recomienda que los consejos de administración realicen acciones en seis áreas: responsabilidades de supervisión del consejo de administración; evaluaciones de la cultura en la sala de reuniones del consejo de administración; evaluación y selección de directores ejecutivos; sistemas de reconocimiento y recompensa; comunicaciones con accionistas y partes interesadas; y debates de estrategia, riesgo y desempeño. La NACD recomienda a los consejos de administración que miren más allá del cumplimiento a la hora de establecer el alcance de su supervisión de la cultura. Los directores también deberían tener una visión «de campo» mediante la interacción con empleados de todos los niveles de la organización.

El comité de auditoría puede contribuir con la cultura a través de su supervisión de los resultados de las auditorías internas y externas, las denuncias recibidas en la línea de denuncias para empleados, los informes financieros y los procesos de gestión de riesgos, indica el informe. — T. MCCOLLUM

¿ESTÁ PREPARADO?Los recientes desastres naturales y fallos tecnológicos demuestran por qué la recuperación de desastres debería ser parte de las evaluaciones de riesgo, dice el consultor Steven Ulmer.

¿Cuál es el rol de auditoría interna en la tarea de asegurar que la organización tenga un plan de recuperación de desastres? Como hemos visto recientemente, los desastres (ya sean naturales o a partir de la actividad humana) han demostrado la necesidad de planes de recuperación de desastres sólidos. Los auditores internos desempeñan un rol de aseguramiento y consultoría en esta área, así que necesitan comprender las actitudes hacia el riesgo de recuperación de desastres dentro de sus organizaciones. La recuperación de desastres debería ser parte del proceso global de gestión de continuidad de los negocios. Para las organizaciones que son ad hoc o reactivas en su nivel de madurez de recuperación de desastres, auditoría interna quizás deba asistir en la tarea de plantear el caso a la alta dirección para prepararse mejor.

Como parte de su proceso de evaluación de riesgos, auditoría interna debería examinar el plan para determinar si se han

priorizado adecuadamente las operaciones, y si las evaluaciones de riesgo y respuestas son suficientes y rentables. Auditoría interna debería observar si el plan es un documento de trabajo que se actualiza oportunamente a medida que se producen cambios importantes, lo que incluye negocios adquiridos y nuevos software y tecnologías. Basándose en el nivel de riesgo, auditoría interna debería programar las auditorías de los procesos de recuperación de desastres para proporcionar aseguramiento de que no hay brechas significativas. Otra oportunidad para auditoría interna es educar a la alta dirección y al consejo de administración sobre sus responsabilidades con el fin de asegurar que haya prácticas de gestión de riesgos eficaces implementadas para cualquier acuerdo de tercerización.

Para el informe, KPMG estudió 4900 informes financieros anuales e informes de responsabilidad social empresarial de las 100 principales empresas según sus ingresos (N100) en 49 países. El análisis detectó solo cinco países donde la mayoría de las principales 100 empresas mencionan riesgos financieros relacionados con el clima en sus informes financieros: Taiwán, Francia, Sudáfrica, EE. UU. y Canadá.

Hay tres factores que están impulsando el crecimiento en la generación de informes de responsabilidad empresarial en informes anuales en los EE. UU, según Katherine Blue, socia en servicios de sostenibilidad de EE. UU. de KPMG. Estos son el interés de los inversores y accionistas en la sostenibilidad, la exigencia de la Comisión del Mercado de Valores de Estados Unidos de incluir divulgaciones relacionadas con el cambio climático, y las Normas contables de sostenibilidad específicas del sector del Consejo de Normas Contables de Sostenibilidad que aconsejan a las empresas sobre qué debería incluirse en las presentaciones financieras obligatorias ante la comisión del mercado de valores.

A nivel global, los Objetivos de desarrollo sostenible de las Naciones Unidas, creados en 2015 para poner fin a la pobreza, proteger al planeta y asegurar la prosperidad para todos, han tenido un impacto en los informes empresariales en los dos años que han transcurrido desde su creación. Un cuarenta y tres por ciento de las 250 empresas globales más grandes según los ingresos están vinculando las actividades de responsabilidad empresarial con los Objetivos de desarrollo sostenible, y un 39 por ciento de las empresas del N100 lo están haciendo. — S. STEFFEE

VISITE EL SITIO www.InternalAuditor.org para leer una entrevista amplia con Steven Ulmer.

Volver a lo básico

DICIEMBRE DE 201714 INTERNAL AUDITOR

ENVÍE IDEAS PARA ARTÍCULOS DE LA SECCIÓN VOLVER A LO BÁSICO a James Roth a: jamesroth@audittrends.com

POR K.V. HARI PRASAD + EYAD AL RESHAID EDITADO POR JAMES ROTH + WADE CASSELS

El escrutinio normativo creciente exige que los auditores evalúen mejor los procesos de ALD/CFT.

EL ROL DE AUDITORÍA INTERNA EN LA PREVENCIÓN DEL LAVADO DE DINERO

El lavado de dinero se trata de canalizar dinero ilegal y «sucio» a través de un medio legítimo para hacer que parezca dinero «limpio» dentro del sistema. Esto se puede explicar en tres fases: colocación, formación de capas e integración. En la fase de colocación, el dinero ilegal ingresa físicamente al sistema financiero, como por ejemplo depósitos enormes en cuentas bancarias a través de cajeros automáticos o empleados del banco. La fase de formación de capas implica ejecutar transacciones complejas con la única intención de ocultar el origen de los fondos y diluir la pista de auditoría para las investigaciones posteriores. En la fase de integración, los fondos reingresan al sistema financiero como fondos legítimos aparentes. El lavado de dinero es un delito derivado; en otras palabras, es un delito que deriva de otro delito. Su naturaleza como delito depende del origen de los fondos.

El rol de auditoría internaEl objetivo de la persona que lava dinero es convertir

El coste de contar con una función de cumplimiento para las tareas antilavado

de dinero y contra el financiamiento del terrorismo (ALD/CFT) en una organización es mucho menor que el coste que podría pagar por incumplimiento. Debido al mayor interés normativo, las sanciones impuestas afectan el balance final y se convierten en un problema para los negocios en marcha con cancelaciones o suspensiones de licencias. Dadas las ramificaciones sociales, económicas y políticas del lavado de dinero y del financiamiento del terrorismo, a las organizaciones se les hace más difícil ignorar conscientemente el cumplimiento de las medidas ALD/CFT. Los próximos 10 años podrían ser testigos de un incremento en el cumplimiento normativo en todas las jurisdicciones, por lo que el rol de auditoría interna en la tarea de asegurar el cumplimiento estricto de los procesos ALD/CFT adquiere una mayor importancia.

el dinero obtenido de forma ilegal en moneda legal a través de métodos inapropiados y en el proceso evitar la atención de los fiscales o auditores. Comprender claramente los procesos ALD/CFT ayuda a los auditores internos a llevar a cabo las revisiones de forma más eficaz. Como mínimo, auditoría interna debería concentrarse en estas áreas:

Intención de la alta dirección. Realice entrevistas con personas clave de la alta dirección. Comúnmente en estas entrevistas se utilizan cuestionarios de control interno, listas de verificación y cartas de la dirección. No obstante, evalúe también la predisposición y el compromiso de la alta dirección para proteger a la organización de la amenaza del lavado de dinero y financiamiento del terrorismo. Este ejercicio crucial debería convertirse en la base para la revisión y la profundidad de la cobertura de muestra.

Operaciones de negocios. Comprenda las operaciones

DICIEMBRE DE 2017 15INTERNAL AUDITOR

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a hari.prasad@theiia.org

de negocios de la organización en detalle. Si una comprensión minuciosa, los auditores no serán capaces de identificar una transacción que sea atípica al curso de los negocios.

Clientes. En las instituciones financieras, asegúrese de que la organización está cumpliendo con los procedimientos de «conozca a sus clientes» tanto en forma como en espíritu. Las políticas y los procedimientos deberían proporcionar medidas para actualizar anualmente los formularios de «conozca a sus clientes», los cuales establecen la identidad del cliente, la naturaleza de sus actividades y los riesgos de lavado de dinero, si los hubiera, asociados con ese cliente. Compruebe si las declaraciones hechas por los clientes en sus compromisos se están siguiendo en la realidad. Por ejemplo, un cliente podría declarar que podría invertir hasta 25 000 EUR por año en gestión de cartera. Sin embargo, durante el año invierte casi 50 000 EUR de ingresos no divulgados. La organización podría no detectar esto como una señal de alarma debido a las comisiones en esas transacciones.

Evaluaciones de riesgo. Asegúrese de que la organización ha realizado una evaluación de riesgo de los clientes, las afiliaciones geográficas, los productos de la empresa, los canales de enrutamiento de los productos, etc. Revise la naturaleza y el volumen de las transacciones y los tipos de productos con los que trabaja la organización.

Transacciones sospechosas. Por naturaleza, las transacciones sospechosas son más complejas y poco claras. Los auditores internos deberían llegar al fondo de estas transacciones para asegurarse de que sean genuinas y no deberían quitarlas de su listado a menos que estén totalmente convencidos sobre su objetivo. Se deberían tomar mayores medidas de diligencia debida para las transacciones de negocios que no sean cara a cara cuando no se ha visto al cliente o no se han visitado las instalaciones de la empresa.

Cultura de denuncias. Revise la serie de denuncias sobre transacciones sospechosas que haya recabado el director de cumplimiento durante el período de revisión y evalúe cuáles no se informaron a las unidades de inteligencia financiera en los respectivos países. Estas podrían ser falsas alarmas, pero analizar esas transacciones sospechosas no denunciadas que podrían ser potencialmente transacciones de lavado de dinero podría revelar una ocultación por parte de la dirección o un silenciamiento de los denunciantes.

De y para. Todas las transacciones deberían tener la documentación requerida, lo que incluye los detalles del originador y del beneficiario. La información faltante en transacciones transfronterizas ha revelado algunos de los casos más grandes de lavado de dinero que requirieron una década o más en resolverse, así que revise detalladamente todas las transacciones bancarias transfronterizas. Los sistemas ALD también deberían revisarse para asegurarse de que la aplicación no tiene opciones para suprimir datos.

Nombres en listas negras. Revise el sistema ALD y pruebe su capacidad de capturar datos a tiempo e identificar y alertar los incluidos en las listas negras y listas de Personas específicamente designadas de las Naciones Unidas y de la Oficina de Control de Activos Extranjeros de los EE. UU., respectivamente. Determine si el sistema es capaz de identificar correctamente los nombres incluidos en las listas negras en los idiomas locales y en inglés.

Personas políticamente expuestas. A las personas con inmunidad diplomática, definidas en virtud de la categoría de personas políticamente expuestas, se les asigna una función pública prominente y tienen un mayor riesgo de participar en transacciones de lavado de dinero y financiamiento del terrorismo. Asegúrese de que la organización tenga mecanismos para identificar a los clientes de esta categoría y lleve a cabo una mayor diligencia debida.

Organizaciones sin fines de lucro. En muchos países, las organizaciones exentas se convierten en los medios frontales que más se usan indebidamente para lavar dinero. Revise las subvenciones recibidas, la naturaleza y el origen de los recibos y los beneficiarios finales de las subvenciones, si es una organización destinataria. En las organizaciones donadoras, determine si las donaciones se realizan a organizaciones sin fines de lucro genuinas y fiables con un objetivo y que esos fondos no se remiten a redes terroristas.

Países de alto riesgo. Trabajar con países que no cumplen las normas ALD/CFT (según lo indica el Grupo de acción financiera intergubernamental) representa una mayor amenaza de incumplimiento. Revise cómo está cumpliendo la organización con los procedimientos cuando trabaja con las subsidiarias o los asociados que se encuentran en esos países.

Protección de los empleados. Revise la política de protección de los denunciantes y la protección para empleados que generan las señales de alarma. Las fuentes internas son muchas veces la pista más sólida para un auditor interno a la hora de ayudar a detectar las malas prácticas en el lavado de dinero.

Piense con originalidadDetectar transacciones de lavado de dinero y financiamiento del terrorismo es un desafío para los auditores internos porque los responsables que ingresan al sistema dinero obtenido indebidamente ocultan activamente la pista de auditoría para evitar sanciones y procesamientos. En consecuencia, los auditores internos que realizan revisiones de los procesos ALD/CFT deberían estar más alertas, atentos y ser más creativos para descubrir la irregularidad y asegurar el cumplimiento.

K.V. HARI PRASAD, CISA, CRISC, es socio de Russell Bedford Consulting en Kuwait. EYAD AL RESHAID, CIA, CPA, CMA, CISA, es socio de rango superior en Russell Bedford Consulting.

Auditoría de TI

ENVÍE IDEAS PARA ARTÍCULOS DE LA SECCIÓN AUDITORÍA DE TI a Steve Mar a: steve_mar2003@msn.com

DICIEMBRE DE 201716 INTERNAL AUDITOR

POR JON WEST EDITADO POR STEVE MAR

ASPECTOS FUNDAMENTALES DE UN PROGRAMA DE SEGURIDAD CIBERNÉTICA

Los auditores internos y los profesionales de la seguridad de la información pueden unir fuerzas para preparar a la organización para las amenazas cibernéticas.

Las recientes y graves vulneraciones de datos en Equifax y Deloitte son recordatorios de

los peligros que conlleva no emplear los aspectos fundamentales de la seguridad cibernética. En Equifax, más de 143 millones de registros quedaron expuestos, lo que incluye nombres, direcciones, números de la Seguridad Social e información crediticia. La vulneración en Deloitte comprometió la información de cientos de clientes globales.

El riesgo en la seguridad cibernética no es solamente un asunto de TI, es un problema que concierne a la empresa y a auditoría. Conjuntamente, el asesoramiento que los profesionales de seguridad de la información y de auditoría interna proporcionan a los líderes de la empresa nunca ha sido más importante. Para asociarse en la tarea de abordar los desafíos actuales de seguridad cibernética, los líderes de auditoría y de seguridad deben comenzar con un poco de sentido común.

Pensemos, por ejemplo, en el propietario de una casa. Hay objetos valiosos en la vivienda, así que es importante que solo

gente de confianza tenga una copia de la llave de la casa. Para ser prudente, el propietario debería realizar un inventario de los artículos que hay en el hogar y calcular su valor para saber cuántos necesitan protección y asegurarse de que los objetos estén guardados de forma segura. El propietario también debería asegurarse de que funcionen los detectores de humo y montar un servicio de supervisión de seguridad con vigilancia por vídeo para recibir alertas y reaccionar rápidamente en caso de que se produjera un incendio o un robo.

Las organizaciones deben aplicar los mismos principios cuando evalúen el riesgo digital para la información de los clientes, empleados y demás información de la empresa. Los auditores y profesionales de la seguridad deberían priorizar tres aspectos fundamentales para ayudar a hacer que el programa de seguridad de la información sea más eficaz y tenga mayor impacto.

1. Mejorar la visibilidad¿Cómo pueden las organizaciones proteger lo que no pueden ver? Identificar los elementos valiosos, o

los activos, dentro de una organización es probablemente el aspecto más primordial de un programa de seguridad. No obstante, continúa siendo un punto débil. Las soluciones técnicas pueden ayudar, con el apoyo y el financiamiento correctos, pero la gestión de activos es un proceso y una disciplina, no solo una herramienta.

Conocer los activos de la organización y su valor orientará sobre cuáles recibirán supervisión y cómo. Las soluciones de supervisión de seguridad están mejorando, con funciones más amplias de análisis y aprendizaje automático además de una integración más extensa. Las organizaciones deberían supervisar sus entornos en todo momento. Para las organizaciones de pequeño y mediano tamaño que no tienen los recursos internos para esa supervisión, asociarse con un tercero o proveedor de servicio de seguridad es una opción.

Otro aspecto fundamental de mejorar la visibilidad y supervisión es buscar proactivamente las debilidades o vulnerabilidades existentes y aplicarles parches. Equifax

DICIEMBRE DE 2017 17INTERNAL AUDITOR

Mantener un estado de preparación es más que probar periódicamente el plan.

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a jon.west@theiia.org

sufrió una vulneración de datos por no haber aplicado parches a los sistemas que tenían una vulnerabilidad de Apache Struts. La vulnerabilidad permite que se produzcan ataques de inyección de comandos debido a un manejo incorrecto de las excepciones. Como consecuencia, un usuario no autorizado puede obtener acceso como usuario privilegiado a un servidor web y ejecutar comandos remotos contra él. Esta vulneración podría haberse tratado si se normalizaba e incrementaba la frecuencia de los ciclos de escaneo y aplicación de parches.

Los equipos de seguridad y auditoría pueden trabajar juntos para asegurar que los riesgos correctos se estén mitigando y para ayudar a sus asociados de negocios a pensar en el riesgo en lugar de solo marcarlo en una lista de requisitos que deben cumplirse. También se pueden asociar para implementar un proceso de evaluación de riesgos repetible. Esto ya no es simplemente una buena práctica o norma. Ahora es una cuestión de cumplimiento de las normativas, como la Regulación General de Protección de Datos europea y la CR500 del Departamento de Servicios Financieros de Nueva York.

2. Mejorar la resistencia¿La organización está preparada para manejar lo inevitable? ¿Puede recuperarse adecuadamente?? Mejorar la visibilidad y recibir avisos de amenazas e incidentes es excelente, pero una respuesta inadecuada o inoportuna puede generar un coste mucho mayor. La habilidad de la organización para diagnosticar, contener y recuperarse rápidamente de una vulneración de datos o un incidente de privacidad potencial o real impacta directamente en las operaciones de negocios y en el coste para la organización.

Un plan de respuesta para incidentes bien planeado y probado puede reducir el impacto y el coste total del incidente.

Responder con rapidez es un deber ahora que muchas leyes sobre notificación de vulneraciones de datos de los Estados Unidos y del mundo establecen plazos agresivos para los avisos. Una de las formas en las cuales las funciones de auditoría interna y seguridad de la información pueden aumentar la velocidad de sus investigaciones y tiempos de respuesta es mantener un buen proceso de gestión de activos.

Mantener un estado de preparación es más que tener un documento o probar periódicamente el plan. Se trata de tener un buen equipo de gente de las áreas correctas de la organización. Los equipos de seguridad y auditoría pueden asociarse para asegurar que el plan de respuesta a incidentes tenga todos los elementos necesarios implementados y se está siguiendo. Para responder ante una crisis es necesario que las personas trabajen juntas de una forma que normalmente no trabajan, lo que requiere el desarrollo y mantenimiento de las buenas relaciones.

3. Mejorar la sensibilidad¿Los empleados y colaboradores de la organización comprenden lo que está en juego con la seguridad cibernética? Incrementar la sensibilidad a los riesgos cibernéticos debe estar vinculado con la relevancia del personal, porque la gente responde mejor cuando le impacta directamente.

Recordemos la analogía del propietario de la casa. Para algunas personas, podría ser fácil sentirse demasiado cómodas en su vecindario e insensibilizarse a los posibles riesgos de robo al punto de olvidarse de cerrar las puertas y ventanas. O podrían pasar a ser demasiado liberales acerca de quién tiene una copia de la llave de su hogar y qué hace con ella. Hay lecciones aquí para los empleados que deberían provocar su respuesta.

La ingeniería social, lo que incluye simulaciones de phishing y seguridad física, debe ser un aspecto primario y regular de los programas de formación sobre sensibilidad al riesgo cibernético. Los ataques mediante phishing que tienen como objetivo robar las credenciales de inicio de sesión del usuario causan la mayoría de las vulneraciones de datos denunciadas. Estos tipos de ataques se pueden frustrar mediante un uso más extenso de la autenticación de múltiples factores, la cual es una combinación de algo que sabe la persona, como una contraseña o un número de PIN, con algo que tiene la persona, como un token o teléfono inteligente. Los controles técnicos pueden ser eficaces, pero también deben ir acompañados de educación para el usuario. Como método de formación, las simulaciones de phishing confirman lo que los auditores internos y profesionales de la seguridad ya saben: nunca habrá una tasa de clics del 0 por ciento. No obstante, estos proporcionan una oportunidad para reiterar el contenido

de la formación.

Practicar los aspectos básicos de seguridadPoco después del pirateo que sufrió Sony en 2014, el expresidente Barack Obama comparó a la seguridad cibernética con un juego de baloncesto, «en el sentido de que

no existe una línea clara entre la ofensa y la defensa. Las cosas van y vienen todo el tiempo». Esto tiene algo de verdad.

En el baloncesto, los equipos a menudo pierden porque reaccionan exageradamente a una nueva jugada y olvidan los aspectos básicos. La reacción usual de los entrenadores es hacer que los equipos practiquen lo básico, como los pases, las bandejas y los tiros libres. De manera similar, las organizaciones tienen varias prioridades, y muchas de ellas compiten entre sí. A veces cuando parece que los riesgos cibernéticos superan a las organizaciones, estas necesitan rever los aspectos básicos como la visibilidad, resistencia y sensibilidad. Los auditores pueden asociarse con los directores de seguridad de la información en este esfuerzo para asegurar que el programa esté teniendo un enfoque equilibrado, basado en riesgo y orientado a los negocios.

JON WEST, CISM, CISSP, CIPT, PCIP, es director de seguridad de la información de Kemper Corp. en Jacksonville, Fla.

Vigilancia del riesgo

ENVÍE IDEAS PARA ARTÍCULOS DE LA SECCIÓN VIGILANCIA DEL RIESGO a Charlie Wright a charliewright.audit@gmail.com

DICIEMBRE DE 201718 INTERNAL AUDITOR

POR CHARLIE WRIGHT

Los riesgos de la tecnología disruptiva se están convirtiendo en una preocupación crítica para los auditores internos.

LA GESTIÓN DEL RIESGO EMPRESARIAL DE MAÑANA HOY

A medida que los programas de gestión del riesgo empresarial ERM, en inglés

continúan madurando en las organizaciones del mundo, los auditores internos ahora se enfrentan a un nuevo desafío. Los riesgos tecnológicos están evolucionando y cambiando tan rápido que es difícil que la dirección evalúe las nuevas amenazas y ajuste sus estrategias para gestionarlas y mitigarlas. Las aplicaciones que utilizan tecnologías disruptivas, como la inteligencia artificial, robótica avanzada, impresión 3D, cadena de bloques e Internet de los objetos, se están diseñando con rapidez y a menudo generan nuevos mercados de gran crecimiento. Los auditores internos están luchando por mantenerse al corriente de los desarrollos más recientes e identificar controles internos nuevos que añadan valor.

Además, el crecimiento exponencial del poder informático ha permitido que las organizaciones capitalicen el uso de dispositivos móviles y aprovechen la omnipresencia de Internet para llegar a sus mercados casi instantáneamente. Aunque esta es una oportunidad

emocionante y desafiante para los profesionales del marketing y los gerentes de empresas, ha inyectado nuevas consideraciones de riesgos para los auditores internos.

Avances de negociosLa digitalización de los datos ha creado oportunidades para mejorar el análisis de datos, usar algoritmos para facilitar la inteligencia cognitiva y crear aplicaciones con bots que realicen tareas automatizadas. La esencia de los riesgos y controles no ha cambiado tanto como la tecnología subyacente. Los procesos todavía deben respetar las políticas y los procedimientos de la organización, el cambio de las prácticas de gestión aún es un componente vital en la transición hacia nuevas herramientas y procesos, y se deben aplicar los controles de acceso y sistema.

No obstante, algunos controles que eran importantes en el pasado ahora toman un nuevo nivel de criticidad. Los algoritmos automatizados generan una menor transparencia del proceso de base. Cuando se usan y comparten datos a través de estos procesos, la precisión y

exhaustividad se convierten en una necesidad. Una organización necesita controles muy específicos para asegurarse de que un bot no prolifere datos erróneos. Los procesos de control de acceso y seguridad de la información deben tratar al bot como si fuera una persona y solo permitirle el acceso a los datos que correspondan. Se deben integrar controles y verificaciones al proceso para asegurar que los resultados sean correctos, que se cumplan los acuerdos de nivel de servicios y que se respeten los contratos.

Los materiales avanzados, la impresión 3D y los vehículos autónomos son otros avances que están transformando el panorama de los negocios. Las nuevas empresas creadas por estas tecnologías deben seguir procesos de gobierno establecidos y diseñar una gestión de riesgos y controles internos para incorporarlos en sus procesos de negocios. A medida que se desarrollan productos y mercados totalmente nuevos, es importante que los gestores de riesgos y auditores internos se involucren de forma proactiva.

Muchas aplicaciones que usan la nube e Internet están sufriendo una transformación

DICIEMBRE DE 2017 19INTERNAL AUDITOR

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a charlie.wright@theiia.org

Los auditores internos deben dedicarse constantemente a formarse sobre nuevas tecnologías.

gracias a otro nuevo proceso subyacente llamado cadena de bloques. La cadena de bloques es un libro mayor distribuido que mantiene una lista de registros compartida. Cada uno de estos registros contiene datos con marcas de tiempo que están codificados y vinculados a cada una de las otras transacciones previas en esa cadena de transacciones. El almacenamiento descentralizado y distribuido de estos registros proporciona visibilidad para todos en la red y asegura que ninguna entidad por su cuenta pueda cambiar ninguno de los registros históricos. Aunque la cadena de bloques ya se está usando en numerosas aplicaciones, en particular las monedas digitales, muchos otros sectores económicos están explorando la tecnología. Los bancos están probando las transacciones financieras transfronterizas, y hay mucha especulación sobre el potencial de usar la cadena de bloques para eliminar el intermediario en negocios inmobiliarios, contratos, compras de inventario y otras transacciones similares. Si la cadena de bloques es eficaz a la hora de eliminar intermediarios, el nuevo modelo de negocios expondrá a todas las partes de la transacción a riesgos nuevos, los cuales gestionaba anteriormente el intermediario.

Efecto de la auditoría en la disrupciónHay varias formas en las cuales los auditores internos pueden ayudar a gestionar el efecto de las tecnologías disruptivas en sus organizaciones. Al enfocarse en el aseguramiento, proporcionar su perspectiva a la dirección y demostrar la competencia y los conocimientos en nuevas tecnologías, los auditores internos serán capaces de contribuir significativamente al éxito global de sus organizaciones.

Foco en el aseguramiento Durante muchos años se han alentado a las organizaciones a que se concentren en lo que hacen mejor. Ese también es un consejo inteligente para la profesión de auditoría interna. Al continuar enfocándose en el gobierno, el riesgo y los controles internos, los auditores pueden ayudar a asegurar que los procesos estén diseñados y funcionen de forma eficaz. Independientemente de la naturaleza o el ritmo de los cambios, los auditores entonces tendrán que cumplir con su misión. Asimismo, ayudar proactivamente a sus organizaciones a prever los riesgos emergentes y cambios tecnológicos puede posicionar a auditoría interna como una autoridad y ayudar a preparar a la organización para responder a los eventos disruptivos.

Trabajar con las partes interesadas y los expertos en la materia Al alinearse con las expectativas de las partes interesadas clave y trabajar de cerca con expertos en la materia que estén implementando tecnologías disruptivas, auditoría interna puede concentrarse en los temas más relevantes y significativos.

Por ejemplo, la seguridad cibernética y la privacidad de los datos son temas que todas las organizaciones están gestionando. Identificar las tendencias que afectarán a la organización y colaborar con las partes interesadas a la vez que se les proporcionan percepciones puede permitir que auditoría interna impacte significativamente en los planes de la empresa.

Invertir en formación sobre tecnologías disruptivas Más que nunca, los auditores internos deben dedicarse constantemente a formarse para aprender sobre las nuevas tecnologías y los nuevos riesgos complejos y emergentes que se incorporan a sus organizaciones. Además, los directores ejecutivos de auditoría deben concentrarse en desarrollar un modelo de dotación de personal adaptativo, flexible e innovador. Este modelo nuevo debe sacar partido de una reserva de talentos altamente especializados que tenga la competencia tecnológica de comprender y aprovechar rápidamente las nuevas herramientas, técnicas y procesos.

Poner a trabajar a las nuevas tecnologías Quizás lo más importante que pueden hacer los auditores para prepararse para las innovaciones tecnológicas es adoptar y aprovechar las nuevas tecnologías en su propio trabajo. Los auditores internos deben estar a la vanguardia y adoptar la inteligencia artificial, la informática cognitiva y los robots inteligentes. Los auditores deben comprender completamente cómo funcionan las tecnologías como la cadena de bloques y cómo se pueden usar en sus organizaciones. Deben sacar provecho del aprendizaje automático y del análisis de datos en sus procesos de auditoría. Asimismo, la auditoría continua debería ser la opción normal y predeterminada para las nuevas rutinas de auditoría, y la auditoría en tiempo real

debería ser un requisito a medida que las organizaciones implementen los nuevos procesos de negocios.

Una mejora de la auditoríaJusto cuando las organizaciones estaban comenzando a dominar la gestión del riesgo empresarial, ha llegado la amenaza

de las tecnologías disruptivas y afectará a cada organización independientemente de su tamaño u objetivos. Cuando Gordon Moore observó en 1965 que la cantidad de transistores de un circuito integrado se había duplicado cada año desde que se habían inventado los transistores, uno duda que se imaginara que ese crecimiento exponencial continuaría durante más de 50 años. A medida que aumenta el poder informático, la tecnología se torna más móvil, los datos se hacen más accesibles y utilizables, y los nuevos competidores capitalizan las oportunidades que surgen. Los gestores de riesgos tendrán que evaluar las amenazas emergentes consistentemente. Los auditores internos deberán responder a esas amenazas con formas nuevas y mejores para llevar a cabo las auditorías y rediseñar sus propios procesos (o podrían toparse con la disrupción ellos mismos).

CHARLIE WRIGHT, CIA, CISA, CPA, es director de Soluciones de riesgo empresarial, en BKD LLP en Edmond, Okla.

As a director in Nielsen’s Internal Audit department, Carlo Casagrande works at the forefront of the highly competitive and rapidly changing environment that is digital audience measurement. In addition to directing risk assessments and internal audits, Carlo also serves as Nielsen’s digital measurement compliance leader, helping to align Nielsen with digital ratings industry standards, guidelines and best practices.  We asked Carlo to share insights from his current role and career path. Q: You have a diverse background in audit and media measurement. Can you share how you arrived in your current role? A: I came to Nielsen from EY, where I was an external auditor of data ratings services seeking compliance with industry regulations. I worked with a variety of measurement vendors, ad servers and publishers across digital, television, audio and mobile platforms to provide audit opinions on the effectiveness of internal controls, IT general controls and compliance with third-party standards. I have a bachelor’s degree in accounting, and prior to joining EY, I worked as a tax auditor for the State of Florida. I was also an internal auditor for a global financial services firm before that, so I have been doing audit in some form – whether it be internal or external, financial, operational, compliance, IT, etc. – for more than 10 years, and each of these roles has brought with it a distinct perspective on similar issues.

Carlo maintains the Certified Information Systems Auditor (CISA), Certified in Risk and Information Systems Control (CRISC) and Certified Fraud Examiner (CFE) professional designations. He also recently passed the certificate programs for the COSO Internal Controls Certificate offered by the IIA and the Cybersecurity Nexus Fundamentals (CSX-F) from ISACA.

Q: You have numerous certifications. What would you advise to others who are considering investing in training for professional certifications?

A: It’s a good idea to spend time thinking about your training and certification path carefully. Talk to your leaders to understand where they want to grow the team’s collective skill set, so you know the certifications you pursue will also bring value to your organization. For some, obtaining a certification can immediately impact their career by qualifying them for a promotion, as the CISA did for me when preparing to become a manager. But, it can also be used to expand your knowledge base and drive your career in a new direction. This is especially important in today’s job market, where advancements in technology are creating new skill sets and quickly causing others to become obsolete, or at least less relevant.

Continuing education demonstrates to your employer and your clients that you are dedicated to ongoing excellence, and shows that you are up to date with the best practices in your field.

Q: Media consumption has been heavily disrupted in the past decade. What are the challenges of being an internal auditor in an industry where the pace of change is so rapid?

A: The greatest risks today in the media measurement and rating industry are the constant advances in technology and rapidly shifting environment. Not only are the demands of technology heightening in complexity, but consumer behaviors are becoming more volatile, making it difficult to predict what clients will desire in the near future. We, as auditors in this field, need to be growing and adapting as rapidly as the environment itself if we want to continue to deliver value to our organizations. Security is also critical to every organization’s success, as we have all seen in the high-profile breaches that have been in the news just this year. This is one reason I have chosen to focus my recent continuing education efforts around risk management and cybersecurity. These fields are growing for a reason. The risks posed to information security threaten companies’ reputations, profitability and their very existence.

AUDITOR SPOTLIGHT CARLO P. CASAGRANDE, CISA, CRISC, CFE

advertisement

Observaciones de fraude

21INTERNAL AUDITORDICIEMBRE DE 2017

ENVÍE IDEAS PARA ARTÍCULOS DE LA SECCIÓN OBSERVACIONES DE FRAUDE a Bryant Richards abryant_richards@yahoo.com

POR SCOTT MARK EDITADO POR BRYANT RICHARDS

Detectar el fraude de desvío de medicamentes dentro de los hospitales es un proceso colaborativo.

ROBAR RIQUEZA

Cuando asistió a una conferencia, Angus Munro, el presidente ejecutivo de un gran

centro médico académico, escuchó las experiencias de sus colegas con el desvío de medicamentos, algo que cada vez le preocupaba más en su hospital. Los medicamentos representaban casi un 20 por ciento de sus costes y aumentaban cada año. Las conversaciones que tuvo con su director de farmacia lo dejaron poco satisfecho con la rigurosidad de los controles implementados para estos almacenes de inventario de múltiples millones de dólares. Aunque su preocupación principal estaba centrada en los medicamentos no controlados excepcionalmente costosos, también era consciente del creciente problema de abuso de opioides en la comunidad. Si una historia de un periódico diera a entender que el hospital estaba contribuyendo a la crisis gracias a sus controles internos pobres, sería devastador. Se comunicó de inmediato con Mary Nicholls, la directora ejecutiva de auditoría (DEA), para probar los controles internos.

Después de cierta investigación, Nicholls descubrió que el desvío de fármacos estaba en alza a nivel nacional y que los métodos se habían tornado más sofisticados. Las redes de desvío recientes involucraban a múltiples hospitales y varios actores que colaboraban activamente a numerosos niveles de la organización. Históricamente, el desvío de medicamentos recetados de las farmacias incluía casi exclusivamente sustancias controladas (narcóticos u otros medicamentos de los cuales se abusa comúnmente), principalmente narcóticos de la categoría II de la Administración para el Control de Drogas de los EE. UU. y otros opioides que tienen un alto potencial de abuso y dependencia. Estos medicamentos se vendían en las calles directamente a los adictos.

Otro factor que contribuía al desvío fue el surgimiento las «fiestas de píldoras» y «fiestas rave». Estas eran comunes entre los estudiantes de la escuela intermedia y secundaria, quienes robaban píldoras de los botiquines de sus padres

o trabajaban en áreas para obtener acceso a medicamentos al azar para los invitados de las fiestas.

Incluso más preocupante para Nicholls eran las denuncias de químicos amateurs que fabricaban medicamentos ilegales utilizando medicamentos recetados no controlados y medicamentos de venta libre. Por ejemplo, el medicamento de venta libre para resfriados que se utiliza comúnmente, la pseudoefedrina, se puede usar para fabricar metanfetaminas. Debido a esto, algunos medicamentos de venta libre pasaron a estar disponibles solo con receta y algunos medicamentos recetados pasaron a estar controlados. Nicholls concluyó que había suficiente riesgo para realizar una auditoría rigurosa de los controles en torno al uso de medicamentos.

Aunque Nicholls sabía que era posible que no detectara ningún desvío activo, también sabía que la gente a menudo compromete su ética por necesidad durante épocas de angustia, incertidumbre y dificultades económicas. Muchos planes de atención

Turn risks into rewards

TAX l ASSURANCE l ADVISORY

bpmcpa.com/RAAS

At BPM, we provide more than accounting services. Our risk assurance and advisory professionals bring innovative and integrated solutions to help decision makers effectively manage their business and meet regulatory requirements.

Whether your risks are financial, operational, regulatory or technological, we help clients reduce unwanted surprises and uncover opportunities.

Contact us today to find out how.

Ashwani VermaPartner, Risk Assurance & Advisory Services Group Leader(415) 677-4502averma@bpmcpa.com

DICIEMBRE DE 2017 23INTERNAL AUDITOR

Prácticas/Observaciones de fraudePARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a scott.mark@theiia.org

LECCIONES APRENDIDAS » Aunque las prácticas profesionales en la atención

médica podrían no controlar tradicionalmente los medicamentos que tienen un bajo potencial de abuso, igualmente deben implementarse controles de riesgo e inventario en los artículos de alto coste.

» Los DEA y los gestores de riesgos desempeñan un rol clave en la tarea de asegurar que los hospitales y sistemas de salud cumplan con las normas de control y auditoría, independientemente de las prácticas profesionales tradicionales.

» Las prácticas profesionales de la atención médica deben probarse rigurosamente comparándolas con las normas de cumplimiento y auditoría para evaluar el riesgo y las vulnerabilidades.

» Los profesionales de la atención médica rara vez revisan las prácticas operativas a través de la lente de auditoría, cumplimiento y contabilidad, y se benefician en gran medida por los conocimientos de un DEA.

» Las drogas farmacéuticas representan un promedio del 20 por ciento de los costes del hospital. No controlar su desvío puede tener un impacto sustancial en los estados financieros.

» Un control pobre de los medicamentos puede conducir al desvío de estos y representa un riesgo significativo para la reputación del hospital si se informara en los medios.

médica no cubren medicamentos nuevos, biológicos de alto coste, para el VIH y de quimioterapia. Esto, en combinación con la pérdida de empleos, ha generado el surgimiento de un mercado negro para fármacos no controlados y de alto coste. En estos casos, los clientes no son adictos, sino pacientes enfermos o familiares que no pueden pagar sus medicamentos.

La mayor red de desvío descubierta en los EE. UU. comenzó con un empleado de inventario de una farmacia que robaba un medicamento no controlado de médula ósea para un familiar con cáncer que no podía pagarlo. El empleado pronto descubrió un mercado negro para pacientes con necesidades y reclutó a otros empleados de su hospital y de los hospitales cercanos.

Irónicamente, el descubrimiento se hizo cuando el camión que llevaba los medicamentos desviados fue secuestrado por ladrones que esperaban robar narcóticos de grado farmacéutico. Los ladrones abandonaron el camión cuando descubrieron que estaba lleno con medicamentos biológicos, para el cáncer y el VIH. Los ladrones fueron atrapados, lo cual condujo a la policía hacia la red de desvío. Eventualmente, se descubrió que algunos de los medicamentos robados se estaban revendiendo a mayoristas para redistribuirlos a los mismos hospitales.

Dentro de su hospital, Nicholls descubrió que las sustancias controladas tenían controles más firmes (automatización, conteos y verificaciones dobles, y separación de las tareas) que las sustancias no controladas, las cuales pueden tener un coste de decenas de miles de dólares por dosis. En la farmacia descubrió que había una persona designada para crear las órdenes de compra (OC), colocar los pedidos, recibir los medicamentos y conciliar los pedidos con las OC. La falta de una división de responsabilidades representaba una oportunidad significativa para el desvío. Nicholls también descubrió que debido a la naturaleza única de la supervisión del uso de los medicamentos, la farmacia estaba exenta de las precauciones que estaban implementadas dentro del departamento de gestión de materiales y otras áreas de supervisión de la cadena de suministro.

Una auditoría de los registros de compra detectó medicamentos de quimioterapia y otros medicamentos de alto coste que ya no estaban en el inventario y para los cuales los

registros de dispensación no respaldaban su uso en la atención de pacientes. Una auditoría selecta de los dos medicamentos con el coste más alto en comparación con su uso registrado demostró discrepancias significativas, lo que sugirió un problema sustancial y generalizado que se acercaba al 20 por ciento de las compras.

Dentro de la farmacia, los medicamentos no controlados por lo general se almacenaban en estanterías abiertas y en frigoríficos sin cerradura gracias a la creencia de que solo los medicamentos de abuso serían el objetivo de un posible robo. Se realizaba un inventario por año, pero no se conciliaba con las compras, el uso o el desecho. Como consecuencia, no era posible determinar las pérdidas por robo u otras causas. Además, los sistemas informáticos del hospital no están diseñados para conciliar los medicamentos administrados con las compras del hospital, como uno podría conciliar las ventas con las compras en una operación minorista.

Nicholls rápidamente concluyó que los niveles insuficientes de controles para los sistemas de uso de medicamentos y la farmacia, en combinación con el valor alto en la calle de estos medicamentos, proporcionaban una oportunidad significativa para que hubiera una red de desvío dentro del hospital. Recomendó una auditoría amplia para examinar el impacto sustancial en los estados financieros del hospital.

Asimismo, cualquier medicamento desviado podría generar una posible fuente de litigio para el hospital. Una investigación de antecedentes reveló varias redes de desvío de medicamentos de alto perfil en todos los Estados Unidos en instituciones médicas como la Universidad de Colorado, la Universidad de Maryland y la Universidad de Georgetown, las cuales resultaron en multas, sentencias a prisión y vergüenza pública. El acuerdo entre partes en el caso del Hospital de la Universidad de Georgetown tuvo como consecuencia la venta del hospital por parte de la universidad para pagarlo. Allí, los desviadores reemplazaban los medicamentos no utilizados con frascos usados, lo que exponía a los pacientes a enfermedades infecciosas. La sentencia en la demanda colectiva excedió la capacidad del hospital de pagar la reclamación.

SCOTT MARK, PHARMD, es vicepresidente de Craneware Healthcare Intelligence en Pittsburgh.

TECNOLOGÍAS EMERGENTES

Tim McCollum

Ilustración de Mick Wiggins

Mientras supervisaba transacciones, un analista de datos bancarios de alertas notó pagos inusuales de un fabricante de ordenadores para un casino. Dado que los casinos están ampliamente informatizados, uno esperaría que los pagos fueran a la empresa de ordenadores. El analista alertó a un agente investigador, quien rápidamente exploró sitios web, almacenes de datos privados y fuentes de Internet oscura para encontrar información detallada sobre las dos partes. Los datos revelaron que el fabricante de ordenadores estaba enfrentando cargos penales y una demanda civil. Mientras tanto, el casino había perdido su licencia de apuestas debido a lavado de dinero y había montado su negocio en otro país. Una investigación adicional reveló que el fabricante de ordenadores estaba usando al casino para lavar dinero antes de que los problemas legales de la empresa lo llevaran a la quiebra.

El analista de datos del banco era un algoritmo de aprendizaje automático. El agente investigador era un agente de inteligencia artifi cial (IA).

La IA nos rodea. Está supervisando transacciones fi nancieras. Está diagnosticando enfermedades, a menudo con mayor precisión que los médicos. Está realizando operaciones bursátiles, examinando postulantes a empleos, recomendando productos y servicios y diciéndole a la gente qué debe ver en la televisión. Está en sus teléfonos y pronto estará conduciendo sus coches.

Y está llegando a las organizaciones, quizás antes de lo que la gente cree. La empresa de investigación International Data Corp. dice que el gasto global en sistemas cognitivos y de IA será de 12 mil millones de dólares este año. Predice que el gasto llegará a los 57 mil millones de dólares en 2021.

auditoría en la era de las máquinas inteligentes

La inteligencia artifi cial, que ya se utiliza en muchas organizaciones, está lista para transformar la manera en la que funcionan los negocios.

24 INTERNAL AUDITOR DICIEMBRE DE 2017

25INTERNAL AUDITORDICIEMBRE DE 2017

DICIEMBRE DE 201726 INTERNAL AUDITOR

«La tecnología nunca va a acusar a alguien de un delito o una infracción normativa».

David McLaughlin

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a tim.mccollum@theiia.org

«Si cree que la IA no va hacia usted, es probable que llegue antes de lo que usted crea», dice Yulia Gurman, directora de auditoría interna y seguridad empresarial para Packaging Corporation of America en Lake Forest, Illinois. Justo después de asistir a una mesa redonda de directores ejecutivos de auditoría sobre IA, Gurman dice que la IA no habría estado en la orden del día hace un año. Al igual que la mayoría de sus pares presentes, no ha tenido que abordar la IA dentro de su organización aún. Ahora está en su radar de evaluación de riesgos. «Los auditores internos deberían alertar al consejo de administración sobre lo que está por venir», dice.

EL ALGORITMO DE APRENDIZAJE

La tecnología inteligente ya ha encontrado un lugar en los dispositivos de uso diario. Ese asistente personal sobre la encimera de la cocina o en el teléfono es una IA. Alexa, Cortana y Siri pueden encontrar todo tipo de información para la gente y pueden hablar con otras máquinas como sistemas de alarma, control climático y robots de limpieza.

No obstante, la mayoría de las personas no se da cuenta de que está interactuando con IA. Casi dos tercios de los encuestados en una reciente encuesta de la empresa de software Pegasystems dicen que no han interactuado con IA o no están seguros de haberlo hecho. Pero las preguntas sobre las tecnologías que usan (tales como asistentes personales, fi ltros de correos electrónicos no deseados, noticias recomendadas en Facebook y recomendaciones de compras por Internet) revelan que un 84 por ciento está interactuando con IA, según el informe «What Consumers Really Think About AI» (Qué piensan realmente los consumidores sobre la IA).

Lo que hace posible la IA es la actual disponibilidad masiva de datos y el poder informático, además de los avances significativos en la calidad de los algoritmos de aprendizaje automático que hacen posibles las aplicaciones de IA, dice Pedro Domingos, profesor de ciencias informáticas de la Universidad de Washington en Seattle y autor de The Master Algorithm (El algoritmo maestro). Cuando los investigadores

de IA como Domingos hablan sobre la tecnología, a menudo se refi eren al aprendizaje automático. A diferencia de otras aplicaciones informáticas que la gente debe escribir paso a paso, los algoritmos de aprendizaje automático están diseñados para programar ellos mismos. El algoritmo lo hace al analizar enormes cantidad de datos, aprender sobre ellos y desarrollar un modelo predictivo con base en lo que ha aprendido. Por ejemplo, el algoritmo puede desarrollar un modelo para predecir el riesgo de que una persona no pague la deuda de su tarjeta de crédito con base en varios factores sobre la persona, además de factores históricos que llevaran a la falta de pago.

IMPULSADA POR DATOSUtilizar IA para realizar predicciones requiere enormes cantidades de datos. Pero los datos no son simplemente el combustible de la IA, también son la aplicación asesina. En los últimos años, las organizaciones han estado intentando aprovechar el poder de los macrodatos. El problema es que hay demasiados datos para que las personas y las herramientas existentes de minería de datos los analicen rápidamente.

Esta se encuentra entre las razones por las cuales las empresas impulsadas por datos están recurriendo a la IA. Cinco sectores económicos (bancario, minorista, fabricación discreta, atención médica y fabricación por procesos) gastarán cada uno más de mil millones de dólares en IA este año y se prevé que implicarán casi un 55 por ciento del gasto mundial en IA en 2021, según la última Worldwide Semiannual Cognitive Artifi cial Intelligence Systems Spending Guide (Guía mundial semestral de gasto en sistemas de inteligencia artifi cial cognitiva). Lo que estos sectores económicos tienen en común es montones de buenos datos, dice David Schubmehl, director de investigación de Sistemas de IA y cognitivos, en IDC. «Si no se tienen los datos, no se puede desarrollar una aplicación de IA», explica «Poseer los tipos correctos de datos es lo que hace que estos usos sean posibles».

Los servicios fi nancieros y minoristas están liderando el camino con la IA. En el sector minorista, las soluciones de

«Los audito-res internos deberían alertar al consejo de administra-ción sobre lo que está por venir».

Yulia Gurman

AUDITORÍA EN LA ERA DE LAS MÁQUINAS INTELIGENTES

DICIEMBRE DE 2017 27INTERNAL AUDITOR

La inteligencia artificial sumará 15,7 billones de dólares a la

economía global para 2030, liderada por China y América del Norte, indica el estudio «AI Sizing the Prize» de PwC.

recomendaciones de productos basadas en IA de Amazon han empujado a otros minoristas tradicionales y por Internet como Macy’s y Wal-Mart Stores Inc. a hacer lo propio. Pero no son solo los minoristas en sí que están impulsando las recomendaciones de productos, dice Schubmehl. Las aplicaciones de IA de reconocimiento de imágenes pueden permitir que la gente haga una fotografía de un producto que vio en Facebook o Pinterest y busque ese producto (o algo similar y menos costoso). «Es una enorme oportunidad en el mercado», dice.

Mientras tanto, los bancos y las empresas de servicios financieros están usando la IA para atención al cliente y sistemas de recomendación de asesoramiento y productos financieros. La investigación de fraude es un foco grande. «La idea de usar aprendizaje automático y aprendizaje profundo para conectar los puntos es algo que es muy útil para las organizaciones que han dependido tradicionalmente de que los investigadores experimentados tengan el “el momento eureka”», dice Schubmehl.

Eso fue lo que sucedió con el casino y el fabricante de ordenadores. «La forma en la que la IA funciona en esa situación es decir “Hay algo diferente. Llevémoslo al cerebro central y analicemos si es riesgoso o no”», dice David McLaughlin, director ejecutivo y fundador de la empresa de software de IA QuantaVerse, con sede en Wayne, Pennsylvania. «La tecnología nunca va a acusar a alguien de un delito o una infracción normativa. Lo que va a hacer es permitir que la gente que necesita tomar una decisión se concentre en las áreas correctas».

En la actualidad, IDC dice que los agentes automatizados de atención al cliente y los sistemas de tratamiento y diagnóstico de atención médica son las aplicaciones en las cuales más están invirtiendo las organizaciones. Algunos de los usos de la IA que se espera que aumente más en los próximos años son automatización de procesamiento inteligente, asesores expertos en compra y respuesta ante emergencias y seguridad pública.

Independientemente del uso, Schubmehl dice que son las unidades de negocios las que están empujando a las organizaciones a adoptar la IA para hacer avanzar su empresa y

enfrentar los posibles cambios disruptivos. Debido al poder informático necesario, la mayoría de los sectores económicos están recurriendo a proveedores en la nube, algunos de los cuales podrían ayudar también a desarrollar algoritmos de aprendizaje automático.

¿HAY QUE TEMERLE A LA IA?A pesar de su potencial, hay mucho que temer sobre los riesgos que representa la IA para las empresas y la sociedad en su totalidad. A algunos les preocupa que las máquinas se tornen demasiado inteligentes y se salgan de control.

Ha habido algunos problemas muy publicitados. Microsoft desarrolló un bot conversacional con IA, Clippy, el cual después de interactuar con la gente, comenzó a usar lenguaje insultante y racista, y fue necesario desactivarlo. Un caso más reciente es el de Facebook, que apagó un sistema de IA experimental después de que sus bots conversacionales comenzaran a comunicarse entre ellos en su propio lenguaje, infringiendo su programación. En el sector financiero, dos «caídas instantáneas» en el mercado

LA CUESTIÓN DE LOS TRABAJOS

A esta altura, los auditores internos podrían estarse preguntando «¿La IA va quitarme mi trabajo?». Después de todo, un estudio de la Universidad de Oxford clasificó a los contadores y auditores

entre los profesionales más vulnerables a la automatización. Por supuesto, los auditores internos no son contadores. ¿Pero sus trabajos están seguros?

En realidad, la IA podría ser una oportunidad, dice David Schubmehl de IDC. Dice que muchos de los procesos manuales que revisan los auditores internos van a ser automatizados. Los auditores deberán comprobar cómo se derivan los algoritmos de aprendizaje automático y validar los datos sobre los cuales se basan. Y deberán ayudar a los ejecutivos superiores a comprender los riesgos relacionados con la IA. «Va a haber un crecimiento tremendo en la auditoría, la observación del riesgo y los desvíos, la observación de datos basadas en la IA», explica Schubmehl. «Los auditores ayudarán a identificar y certificar que el aprendizaje automático y las aplicaciones de IA estén funcionando bien».

Utilizar la IA para automatizar los procesos de las empresas creará nuevos riesgos para que aborden los auditores, dice Will Bible de Deloitte & Touche LLP. Lo compara al momento en el cual las organizaciones comenzaron a implementar sistemas de planificación de recursos empresariales, los cuales cambiaron el foco de algunos auditores que pasaron de revisar documentos a auditar sistemas de control. «No preveo el fin de la profesión de auditoría debido a la IA», dice. «Pero a medida que se produzca transformación digital, veo a la profesión de auditoría teniendo que reevaluar los riesgos que son relevantes para la auditoría».

bursátil se atribuyeron a aplicaciones de IA con consecuencias no deseadas.

Los encuestados de la Encuesta de percepción de riesgos globales de 2017 del Foro Económico Mundial (WEF, en inglés) calificaron a la IA en lo más alto en cuanto a posibles consecuencias negativas entre 12 tecnologías emergentes. Específicamente, la IA quedó en el puesto más alto entre las tecnologías en cuanto al riesgo económico, geopolítico y tecnológico, y quedó en la tercera posición en riesgo para la sociedad, según el Informe de riesgos globales de 2017 del WEF.

Empleo Una de las mayores preocupaciones es si la IA podría eliminar muchos trabajos y qué podría significar eso para la gente tanto económica como personalmente. Pensemos en la conducción de camiones, la profesión más común del mundo. Más de 3 millones de personas en los EE. UU. se ganan la vida conduciendo camiones y camionetas. La empresa de consultoría McKinsey predice que un tercio de los camiones comerciales será reemplazado por vehículos autónomos para 2025.

DICIEMBRE DE 201728 INTERNAL AUDITOR

AUDITORÍA EN LA ERA DE LAS MÁQUINAS INTELIGENTES

Según la reciente encuesta Automatización en la vida cotidiana del Pew Research Center realizada en EE. UU., un 72 por ciento de los encuestados están preocupados porque los robots realicen trabajos de humanos. Pero solo un 30 por ciento cree que su propio trabajo podría verse reemplazado (ver «La cuestión de los trabajos» en la página 27). Eso podría ser un pensamiento deseoso. «No importa cuánto tiempo tome, no habrá ningún sector económico vertical donde no exista la posibilidad de automatizar y quitar a los humanos de un trabajo», dice John C. Havens, director ejecutivo de la Iniciativa global de ética de la IA del IEEE. Dice que será así mientras las empresas se midan principalmente por su habilidad para alcanzar objetivos financieros. «La cuestión más importante no es la IA. Es la economía».

Ética Con las organizaciones que corren para desarrollar IA, hay preocupación de

que se vayan a perder los valores humanos en el camino. Havens y la Iniciativa de ética de la IA del IEEE están abogando por colocar a la ética aplicada al frente del trabajo de desarrollo de IA. Pensemos en los factores económicos de los niños o las personas mayores que pasan a pensar en un robot de compañía de la misma forma que pensarían en una persona o un animal. ¿Y quién sería responsable en un accidente que involucrara a un coche autónomo? ¿El vehículo o la persona que viaja en él?

«La frase que usamos es “la ética es la tendencia actual”», explica Havens, comparando la ética de la IA con el mundo de la responsabilidad empresarial. «Cuando uno aborda estos aspectos muy humanos de la emoción y la representación desde el principio (mucho antes que cuando se están abordando ahora), entonces se desarrollan sistemas que están más alineados con los valores de la gente. Se

evitan las consecuencias negativas no deseadas y se identifican oportunidades más positivas para la innovación».

Privacidad y seguridad Utilizar la IA para recabar datos representa riesgos de privacidad para las personas y las empresas. Todas esas solicitudes para el asistente personal, las recomendaciones de productos e interacciones de atención al cliente están reuniendo datos sobre la gente. Datos que las organizaciones a la larga podrían usar para desarrollar un modelo amplio sobre sus clientes. Las organizaciones que usan agentes de personalización deben caminar sobre una línea fina. «Uno desea personalizar algo hasta el punto en el cual pueda recibir la oferta de compra», dice Schubmehl, «pero no se desea personalizarlo demasiado para que digan “Esta cosa asusta y sabe cosas sobre mí que no quiero que sepa”».

Todos esos datos también crean una obligación de cumplimiento para las organizaciones. Y además es valioso para los atacantes cibernéticos.

Producto Aunque la IA tiene el potencial de ayudar a las organizaciones a tomar decisiones con mayor rapidez, las organizaciones deben determinar si pueden confiar en las recomendaciones y predicciones del modelo de IA. Todo eso depende de la fiabilidad de los datos, dice Domingos. Si los datos no son fiables o son tendenciosos, entonces el modelo tampoco será fiable. Asimismo, los algoritmos de aprendizaje automático pueden interpretar de más los datos o interpretarlos incorrectamente. «Pueden mostrar patrones», señala. «Pero hay otros patrones que funcionarían igual de bien para explicar lo que se está viendo».

Control Si los algoritmos de aprendizaje automático se tornan demasiado inteligentes, ¿pueden controlarse? Domingos dice que hay formas para controlar los algoritmos de aprendizaje automático, en particular se puede elevar o disminuir su habilidad de corresponder los datos, como por ejemplo al limitar la cantidad de cálculos, utilizar pruebas de significado estadístico y penalizar la complejidad del modelo.

Dice que una de las mayores ideas erróneas sobre la IA es que los algoritmos son más inteligentes de lo que realmente son. «Los sistemas de aprendizaje automático no son muy inteligentes cuando están tomando decisiones importantes», dice. Porque no tienen sentido común, pueden cometer errores que la gente no comete. Y es difícil saber al observar el modelo dónde está la posibilidad de error. Su solución es hacer algoritmos más transparentes y hacerlos más inteligentes. «El riesgo no proviene de la malicia. Viene de la incompetencia», dice. «Para reducir el riesgo de la IA, lo que debemos es hacer que el ordenador sea más inteligente. El gran riesgo es que los ordenadores tontos hagan cosas tontas».

Conocimiento Domingos dice que las preocupaciones sobre la competencia de la IA se aplican también a la gente que está a cargo de ponerlas en uso en las empresas. Ve una gran brecha de conocimiento entre los investigadores académicos que trabajan en el desarrollo de IA y los empleados de las empresas que desarrollan algoritmos de aprendizaje automático, quienes podrían no comprender lo que están haciendo. Y dice, «Parte del problema es que sus jefes no lo comprenden tampoco».

Gobierno Esa preocupación por el gobierno es un área de las preguntas del Informe de riesgo global del WEF (específicamente, si se puede gobernar o regular la IA). Los componentes del IA caen bajo varios organismos de normalización: robots industriales por las normas ISO, robots domésticos por normas de certificación de productos y en algunos casos los datos usados para

Auditoría interna podría usar la IA para analizar un conjunto de datos entero con el fin de identificar casos que requieran mayor escrutinio.

Para obtener más información sobre el rol de auditoría interna en la IA, DESCARGUE «Artificial Intelligence:  Considerations for the Profession of Internal Auditing» (Inteligencia artificial: consideraciones para la profesión de auditoría interna) del IIA.

DICIEMBRE DE 2017 29INTERNAL AUDITOR

«Parte del problemaes que sus jefes tampoco la comprenden [a la IA]».

Pedro Domingos

«No se desea per-sonalizarlo demasiado para que digan “Esta cosa asusta y sabe cosas sobre mí que no quiero que sepa”».

David Schubmehl

el aprendizaje automático por normas de privacidad y gobierno de datos. Por sí solas, estas piezas podrían no ser un gran riesgo, pero conjuntamente podrían ser un problema. «Sería difícil regular cosas así antes de que sucedan», indica el informe, «y cualquier consecuencia imprevisible o problemas de control podrían exceder el gobierno una vez que ocurren».

LA IA EN LA AI Las cuestiones de riesgo, gobierno y control son donde ingresan los auditores internos. Hay similitudes entre desarrollar IA e implementar otro software y tecnología, con riesgos similares, observa Will Bible, socio de aseguramiento y auditoría en Deloitte & Touche LLP en Parsippany, Nueva Jersey. «Lo importante que hay que recordar es que la IA sigue siendo software informático, independientemente de cómo la llamemos», dice. Un área donde podrían ser útiles los auditores internos, dice Bible, es en la evaluación de controles en torno a los algoritmos de IA (específi camente si la gente está asegurándose de que la máquina está funcionando correctamente).

Si los auditores internos recién están comenzando con la IA, sus pares de auditoría externa en las 4 empresas principales de contabilidad ya le están dando uso como herramienta de auditoría. Bible y sus colegas en Deloitte están usando una tecnología de reconocimiento óptico de caracteres llamada Argus para digitalizar documentos y convertirlos a un formato legible para su análisis. Esto permite que los auditores usen rutinas de extracción de datos para localizar datos de una gran población de documentos que es relevante para la auditoría.

Para los auditores, la IA acelera el proceso de llegar a un punto decisivo y mejora la calidad del trabajo porque comete menos errores en la extracción de datos. «Uno se puede imaginar el día en el que pulse un botón y reciba las cosas que necesita para darles seguimiento», dice Bible. «Todavía queda esa interrogación e investigación, pero se llega a ella más rápido, lo que la convierte en una mejor experiencia para los clientes de auditoría».

McLaughlin de QuantaVerse dice que los auditores internos podrían llevar a la IA incluso más lejos al aplicarla a áreas como investigación de fraude y trabajo de cumplimiento. Por ejemplo, en lugar de depender de que los auditores o el personal de cumplimiento capten posibles infracciones antisobornos, auditoría interna podría usar la IA para analizar un conjunto de datos entero de informes de gastos para identifi car casos de comportamiento anómalo que requieren el mayor escrutinio. «Ahora auditoría interna tiene los cinco casos que realmente necesitan de un humano que los comprenda e investigue», dice McLaughlin. «Eso cambia drásticamente la efi cacia de un departamento de auditoría interna para proteger la organización».

La clave allí es asegurarse de que haya aún una persona en el ciclo, dice Bible. «La naturaleza de los sistemas de IA es que uno los arroja a situaciones que probablemente no hayan visto aún», observa. Una persona involucrada en el proceso puede evaluar el producto y corregir a la máquina cuando se equivoca.

DESARROLLAR LA INTELIGENCIABible y McLaughlin recomiendan a los departamentos de auditoría interna que comiencen con un proyecto pequeño, antes de ampliar su uso a herramientas de IA. Eso también se aplica a la organización. Las organizaciones primero deben evaluar sus activos en datos y organizarlos, una tarea en la cual pueden brindar ayuda los auditores internos.

Para los ejecutivos de auditoría como Gurman, el objetivo es subir la velocidad lo máximo posible en la IA y todos sus riesgos relacionados, para que puedan educar al comité de auditoría y al consejo de administración. «Hay mucho desconocido», reconoce. «¿Qué riesgos estamos trayendo a la organización al ser más efi cientes y usar robots en lugar de seres humanos? El uso de nuevas tecnologías acarrea nuevos riesgos».

TIM MCCOLLUM es director de edición adjunto de Internal Auditor.

VISITE InternalAuditor.org obtener más información sobre cómo las organizaciones están poniendo en uso la IA, lo que incluye aplicaciones para reunir información de clientes.

Congreso de Usuarios de TeamMate 2018

30 de septiembre al 3 de octubre | Miami, Florida

Contenido valioso

Créditos CPE

2270+ 5Sesiones electivas Sesiones generales

Audiencia diversa

Obtenga conocimiento práctico que tendrá un impacto inmediato en su trabajo mientras gana créditos CPE.

Descubra más: CongresoTeamMate.com

500+ Organizaciones

Países Industrias27+ 40+

Copyright © 2018 Wolters Kluwer Financial Services, Inc. 10244

DICIEMBRE DE 2017

os terceros se están haciendo cada vez más importantes para tener éxito en el entorno de negocios complejo de hoy en día. Muchas organizaciones están evaluando sus fortalezas principales y recurriendo a un rango diverso de organizaciones externas cuando se necesitan aptitudes especializadas. Aunque esas relaciones pueden proporcionarles a las organizaciones una ventaja competitiva, también pueden tener un impacto en sus reputaciones.

Al igual que con todas las relaciones de negocios, la confianza es fundamental para trabajar con terceros. Los auditores internos pueden ayudar a que su organización se asegure de que esa confianza se fomente y mantenga. Asimismo, pueden evaluar si la organización ha establecido procesos eficaces para respaldar sus relaciones con terceros.

UNA HISTORIA DE CONTRATIEMPOSUtilizar terceros tiene sus riesgos. Elegir un asociado y determinar el tipo de acuerdo contractual que se implementará puede ser difícil debido al rango de opciones disponibles (ver «Relaciones con terceros e impactos» en la página 33).

Una vez elegido, no hay garantías de que la relación con el tercero tendrá éxito. Existen numerosos ejemplos donde las acciones de terceros han dañado significativamente la reputación y fuerza financiera de la organización contratante. En estas instancias, la competencia aprovecha su ventaja.

TSKJ Una empresa conjunta formada por M.W. Kellogg Co. (ahora conocida como KBR) de EE. UU., Technip de Francia, JGC de Japón y Snamprogetti de Italia, TSKJ ganó cuatro

Una estrategia de auditoría holística puede proporcionar confianza en el desempeño de terceros asociados.

Ben Arnold Alistair Purt

LRelacionesriesgosas

31INTERNAL AUDITOR

RELACIONES CON TERCEROS

DICIEMBRE DE 201732 INTERNAL AUDITOR

RELACIONES RIESGOSAS

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO a los autores a ben.arnold@theiia.org

crédito de clientes. Se utilizó un ataque de phishing para obtener acceso a la red de la empresa y comprometer a un tercero proveedor. La cadena sufrió un daño significativo en su reputación. El coste de la vulneración fue un estimado de 202 millones de dólares, y la cadena pagó 18,5 millones de dólares para llegar a acuerdos por demandas legales en 47 estados.

Contaminación de alimentos En enero de 2013, unos medios de comunicación informaron que ciertos alimentos que indicaban que contenían carne de res contenían carne de caballo no declarada o inadecuadamente declarada (tanto como el 100 por ciento del contenido en algunos casos). Esto lo descubrió inicialmente la Autoridad de Seguridad de los Alimentos de Irlanda, la cual encontró ADN de caballo en hamburguesas congeladas de carne de res que se vendían en varios supermercados británicos e irlandeses. Las investigaciones descubrieron cadenas de suministro complejas; una incluía ocho proveedores separados y comerciantes en cinco países europeos. Los supermercados no tenían visibilidad de toda la cadena de suministro y no poseían los controles adecuados para comprobar el producto final.

La reputación de los supermercados se vio significativamente perjudicada, con repercusiones financieras también. Un informe de la Cámara de los Comunes del Reino Unido indicó «La evidencia sugiere una red compleja de empresas que comercializaban y etiquetaban incorrectamente carne de res o productos de carne de res, lo cual es fraudulento e ilegal».

LA IMPORTANCIA DE PLANIFICAR LA AUDITORÍALa confianza en terceros consta en la mayoría de los planes de auditoría, sea o no parte de una revisión, de una revisión del tercero, en sí, o de una auditoría holística del marco de gobierno del tercero. Comprender el perfil de riesgo o la cadena de suministro de la organización y compararlo con el marco de gobierno del tercero puede ayudar a auditoría interna a abordar los riesgos correctos, prevenir resultados adversos y añadir valor a la dirección. Ya sea que se auditen actividades individuales o el marco de gobierno del tercero en su totalidad, los auditores pueden compararlos con los elementos del «Marco de gobierno de

contratos por un valor de más de 6 mil millones de dólares entre 1995 y 2004 para diseñar y construir instalaciones de gas natural licuado en Bonny Island, Nigeria. Ninguno de los participantes tenían una participación mayoritaria en la empresa conjunta. TSKJ presuntamente utilizó agentes para sobornar a funcionarios del gobierno nigeriano, y la Comisión del Mercado de Valores de Estados Unidos (SEC, en inglés) inició el caso en 2009. La SEC declaró que cada socio de la empresa conjunta tenía conocimiento culpable de los pagos porque los altos directivos de cada empresa, incluso algunos que prestaban servicio en el comité directivo de TSKJ, participaron en reuniones donde se habló del soborno.

Las cuatro empresas pagaron una suma total de 1,7 mil millones de dólares en sanciones civiles y penales por la trama de sobornos que había durado una década. Estas incluyen: Snamprogetti y su empresa

matriz ENI pagaron 365 millones de dólares; Technip pagó 338 millones de dólares; y la líder del consorcio KBR y su ex empresa matriz Halliburton pagaron 579 millones de dólares.

Los impactos no financieros en este caso incluyeron daño a la reputación y cargos penales contra empleados actuales y anteriores de la empresa conjunta. Las infracciones por parte de KBR de la Ley para Prevenir Prácticas de Corrupción en el Extranjero (FCPA, en inglés) de los EE. UU. impactaron en la responsabilidad del sucesor después de que Halliburton adquiriera a KBR en 1998. Estas se basaron en las infracciones de libros y registros y a la falta de supervisión posterior a la adquisición por parte de Halliburton. En el lado financiero, las investigaciones de la FCPA y la Ley Contra Sobornos del Reino Unido afectaron el precio de las acciones y la capitalización para todas las empresas.

Ataque cibernético a un supermercado En 2013, un ataque cibernético a una cadena estadounidense de supermercados impactó a un estimado de 40 millones de tarjetas de débito y

Los supermercados no tenían visibilidad de toda la cadena de suministro.

DICIEMBRE DE 2017 33INTERNAL AUDITOR

Solo un 50 % de los profesionales de auditoría describió la supervisión que hace su organización de las actividades de los terceros proveedores de servicios existentes como adecuada o sólida (Encuesta «Pulse of Internal Audit» de 2017 del IIA).

» ¿Hay una definición clara de roles y partes interesadas para todos los aspectos del ciclo de vida contractual?

» ¿Todo el personal relevante tiene los conocimientos, las destrezas y la experiencia adecuados?

» ¿Las mediciones de desempeño establecidas se basan en riesgos identificados?

» ¿La alineación cultural se refuerza continuamente?

» ¿La tecnología y los datos se están usando como facilitadores eficaces para gestionar la relación?

» ¿La entrega de información entre asociados se alinea con los requisitos antimonopolios?

terceros» en la página 35 para identificar áreas de mejora

PLANIFICARCon un amplio rango de estructuras de asociaciones y operaciones que abarcan varios sectores económicos, la implementación de un proceso de gobierno puede ser desafiante. La gestión de riesgos dentro de relaciones de confianza dependerá de la naturaleza de la relación, lo que incluye el nivel de influencia, el control de gestión o propiedad, y el nivel de aceptación que tengan los terceros para la gestión de riesgos y supervisión de controles. Las preguntas que deben plantearse incluyen:

» ¿La organización es capaz de prestar el servicio internamente?

» ¿La organización ha llevado a cabo una diligencia debida adecuada antes de trabajar con el tercero?

» ¿La organización ha priorizado y clasificado sus relaciones con terceros de acuerdo con el riesgo?

» ¿La organización ha seleccionado el tipo correcto de relación con el tercero, como una alianza, una empresa conjunta o un contrato?

» ¿El tercero representará a la organización eficazmente y se alineará con su cultura?

» ¿El contrato con el tercero incluye una cláusula de auditoría?

Los objetivos de la auditoría incluyen: » Un panorama claro y estrategia

del tercero para proporcionar el servicio.

» Diseño consistente de la estructura de gobierno del tercero.

» Un modelo de estratificación de riesgos.

» Procedimientos de diligencia debida, lo que incluye alineación cultural.

» Diseño y uso de una plantilla de contrato normalizada y basada en el riesgo.

EJECUTARAuditoría interna por lo general percibe la fase de ejecución como la que tiene el mayor impacto directo en el desempeño. Los auditores deberían evaluar si hay procesos que respalden el trabajo con terceros para alcanzar objetivos compartidos. Las preguntas de la auditoría incluyen:

RELACIONES CON TERCEROS E IMPACTOS

Los terceros tienen un impacto directo en los objetivos de la organización. Las relaciones exitosas pueden conducir a importantes aspectos positivos; no obstante, también

hay muchos riesgos que deben comprenderse y mitigarse.

Contratistas

TransparenciaConfianza

Margen y flujo de caja

ReputaciónDesempeño

Socios de empresas

(conjuntas) Proveedores

Agentes

DistribuidoresAlianzas

Tercerizar

Los objetivos de la auditoría incluyen: » Identificación y resolución

oportuna de problemas. » Gestión de desempeño eficaz a lo largo

de todo el ciclo de vida contractual. » Generación de informes

oportunos, correctos y transparentes del tercero.

» Una cultura conjunta de mejora continua dentro de la organización y del tercero.

SUPERVISAREl aseguramiento de terceros con frecuencia se centra en cómo el tercero se gestiona directamente. También es importante comprender cómo se supervisa y evalúa. En organizaciones grandes y complejas, esto implica comprender cómo

Effectively Manage Third Party Risks with

www.navexglobal.com | +1 866 297 0224 | info@navexglobal.com

© 2017 NAVEX Global, Inc. All Rights Reserved.

Protect your organization against legal, reputational and financial risk with RiskRate:

Learn more about RiskRate today www.navexglobal.com/RiskRate

• Automated Screening Process

• Continuous Due Diligence Monitoring

• Flexibility Where You Need It 

• Optional Analyst-Driven Reports

DICIEMBRE DE 2017 35INTERNAL AUDITOR

las responsabilidades se dividen entre la primera y la segunda líneas de las tres líneas de defensa.

La auditoría también debe considerar cómo la dirección usa datos para asegurar una supervisión efi caz. Las organizaciones a menudo generan volúmenes signifi cativos de datos completos, no siempre los usan efi cazmente. Los auditores deberían preguntar:

» ¿Los riesgos clave se han tenido en cuenta en el aseguramiento del tercero?

» ¿Qué nivel de aseguramiento se necesita? ¿Se pueden usar informes de aseguramiento de terceros?

» ¿Qué aseguramiento proporciona la segunda línea de defensa?

» ¿Se han identifi cado los indicadores clave de desempeño (KPI, en inglés) y las señales de alerta? ¿Se supervisan continuamente y la dirección actúa cuando se identifi ca un desempeño pobre?

» ¿El tercero tiene mecanismos de aseguramiento efi caces?

Los objetivos de la auditoría incluyen: » Modelo de aseguramiento basado

en el riesgo. » Alcance que cubra los riesgos

del tercero íntegramente, como subcontratistas.

» Programa de cumplimiento contractual basado en el análisis.

» Generación de informes de cuadro de mandos basado en KPI, lo que incluye señales de alarma.

Durante esta etapa, auditoría interna debería buscar señales de advertencia como por ejemplo si la dirección está identifi cando y actuando según las señales de alarma. Como ejemplos se pueden mencionar:

» Seguridad: incidentes de seguridad, un gran cantidad de lesiones registrables y hallazgos de auditoría signifi cativos.

» Desempeño: KPI no alcanzados, servicio disruptivo y gobierno pobre del tercero.

MARCO DE GOBIERNO DE TERCEROSEste marco de gobierno de terceros demuestra un punto de referencia que usan las organizaciones efi caces a la hora de gestionar relaciones con terceros para obtener resultados exitosos y de mutuo benefi cio.

» Gente: alta rotación, cultura e imagen de la dirección pobres y capacidad y aptitud reducidas.

» Información: fugas de datos, mala prensa e incumplimientos normativos.

MEJORARPara alcanzar relaciones efi caces con terceros, se deben identifi car, comunicar y resolver las áreas que deben mejorarse para que no empeore la gravedad de los problemas. La dirección y las actividades de aseguramiento a menudo pasan por alto esta fase. La mejora debería ser continua y se puede aplicar a terceros individuales y al marco de gobierno general. Auditoría interna debería evaluar si esto se está realizando mediante estas preguntas:

» ¿Los gestores de contratos están suficientemente formados para integrar la mejora continua?

» ¿Los problemas se usan para impulsar acciones de mejora?

1. Planifi car Determinar qué terceros necesita y cómo deberían estar estructurados para obtener el máximo benefi cio para su organización.

4. MejorarIdentifi cación y acción de problemas identifi cados, tanto para terceros individuales como para su marco de gestión general.

2. EjecutarGestión integral de los terceros para asegurar que estén trabajando en colaboración en pos de alcanzar los objetivos compartidos.

3. SupervisarLos mecanismos de aseguramiento y generación de informes utilizados para supervisar el éxito de los acuerdos con terceros.

Tercero

VISITE nuestra aplicación móvil e InternalAuditor.org para ver un vídeo sobre riesgo de terceros.

La práctica de las normas tiene sentido www.theiia.org/WeHaveStandards

2017-0470

Los auditores internos no son solo un grupo de personas que cumplen las reglas. Somos personas que nos enfocamos en la solución y tenemos principios. Seguimos las normas y las estructuras. De hecho, los expertos mundiales en la industria del IIA desarrollaron, registraron y presentaron las normas de la profesión. Las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna ayudan a todos los auditores internos a ser más efi caces.

No creerás lo útil que resulta contar con normas.

DICIEMBRE DE 2017 37INTERNAL AUDITOR

Los proveedores de servicios de TI, servicios de negocios y equipamiento son los terceros más signifi cativos en los modelos de negocios de las organizaciones (Encuesta «Pulse of Internal Audit» de 2017 del IIA).

» ¿La efi cacia del marco se supervisa a través del uso de mediciones basadas en la cartera?

» ¿Con qué frecuencia se revisan los controles de los procesos generales?

» ¿Los resultados de terceros son rutinariamente exitosos?

Los objetivos de la auditoría incluyen: » Las acciones de mejora se

implementan rutinariamente. » Hay una cultura conjunta de

mejora continua implementada. » El marco de gobierno del tercero se

evalúa y mejora sistemáticamente.

ALCANZAR EL ÉXITOLa colaboración, la comunicación y el compromiso son claves para mantener relaciones con terceros. Los principios clave para el éxito sostenible son:

» Establecer un liderazgo y patrocinio sólidos.

» Involucrar a los terceros tempranamente.

» Desarrollar acuerdos que incluyan planes de incentivos dobles.

» Identifi car las oportunidades de mejora continua.

» Alinear la realización de benefi cios con los objetivos estratégicos.

» Colaborar en el diseño de productos y servicios.

» Trabajar en la mejora conjunta de los procesos.

» Integrar sistemas y aplicar tecnología de forma efi caz.

» Establecer KPI compartidos enfocados en resultados.

Los terceros pueden causar una exposición signifi cativa y consecuencias adversas para los objetivos de una organización. Implementar y evaluar un marco de gobierno maximizará la oportunidad de alcanzar mutuamente objetivos estratégicos.

Gestión de riesgos y auditoría interna deberían ser activos en el gobierno del tercero, desde liderazgo de pensamiento y apoyo durante el desarrollo de estrategias hasta supervisión de controles, ejecución de auditorías del tercero y seguimiento. El proceso correcto de auditoría y riesgo incluirá razonamiento y defi nición en torno a las exposiciones de riesgo y la implementación de supervisión y criterios de desempeño de riesgo. La supervisión continua a lo largo del proceso ayudará a asegurar la vigilancia adecuada de los terceros y, en última instancia, la confi anza con ellos.

BEN ARNOLD, CIA, CA, CFE, FGIA, se encuentra en Perth, Australia.ALISTAIR PURT, ACA, FCA, es director de A&P Advisory en Perth, Australia.

Maximising internal audit

added value at the internal audit function levelISBN 9783906861135

Minimising internal audit risks to

achieving internal audit strategies and

objectivesISBN 9783906861159

Available in Print and EBook, at the IIA Bookstore, www.theiia.org/Bookstore or Amazon, Lulu, iBook Store, Barnes Noble, Ingram

Minimising internal Maximising

+ + =

Maximising internal audit

added value of the internal audit engagementsISBN 9783906861180

The business approach to

driving internal audit value on 740

pagesISBN 9783906861203

NEW – INTERNAL AUDIT BEST PRACTICE STRATEGY GUIDES

=

The business

PRACTICE STRATEGY GUIDES

+ +

Maximising

PRACTICE STRATEGY GUIDES

DICIEMBRE DE 201738 INTERNAL AUDITOR

INFORMES NO FINANCIEROS

a auditoría interna debería tratarse del mañana», dice Charlotta Hjelm, jefa de auditoría interna en la cooperativa de seguros sueca Länsförsäkringar, Estocolmo. «Si la función se concentra principalmente en auditorías financieras, está observando mayormente lo que sucedió ayer y hoy».

Hjelm dice que los consejos de administración y clientes de auditoría están a la búsqueda de directores ejecutivos de auditoría (DEA) que les proporcionen aseguramiento de sus operaciones y estrategias prospectivas (especialmente en áreas de rápido cambio, como lanzamientos de productos o iniciativas de TI). Como consecuencia, las funciones que históricamente se han concentrado en controles de auditoría de información financiera se han visto empujadas a salir de sus zonas de confort y pasar al mundo más confuso de la auditoría no financiera.

«Si uno realiza auditorías financieras, las cosas se ven en blanco o negro», dice Hjelm. «Los controles están bien o mal». Por el contrario, las llamadas auditorías no financieras podrían ocuparse de mejorar la eficiencia de los procesos de negocios o la calidad de los servicios. Los auditores que trabajen en esas áreas necesitan un conocimiento adecuado de la empresa y sus funciones (desde recursos humanos y ventas hasta cadenas de suministro

“LIL

UST

RACI

ÓN

DE

SEAN

YAT

ES

Más allá de las cifras

DICIEMBRE DE 2017 39INTERNAL AUDITOR

y clientes). «Si una empresa quiere ser la mejor, la más eficiente y ofrecer la calidad más alta de bienes y servicios, eso puede ser difícil de definir», indica.

Esta falta de claridad tiene un impacto en auditoría interna. Si el establecimiento de objetivos de una organización no es preciso, los auditores pueden tener dificultades para comprender qué separa al área de auditoría más importante, por ejemplo, del área levemente menos importante. Asimismo, los riesgos en áreas dinámicas de la empresa pueden cambiar rápidamente, impactar los procesos de negocios en otras partes de la empresa y ser difíciles de abarcar integralmente. Los equipos de auditoría interna que trabajan en áreas no financieras de la empresa necesitan un rango más amplio de habilidades técnicas, habilidades blandas más generales y un conocimiento de la empresa más profundo. Pero las recompensas de trabajar en estas áreas incluyen proporcionar una mejor perspectiva a la empresa sobre la calidad de sus operaciones y los riesgos que enfrentará mañana.

ALINEARSE CON LA EMPRESA El cambio en el énfasis de auditorías estáticas y retrospectivas ha provenido de los consejos de administración y de la profesión en sí, a medida que ha buscado obtener ese codiciado puesto en la mesa directiva donde se toman las decisiones. De hecho, durante los últimos 15 años los auditores internos de la mayoría de los sectores se han estado alineando más de cerca con las estrategias de sus organizaciones. Según Impulsar el éxito en un mundo cambiante: 10 esenciales para auditoría interna, un informe de 2015 del IIA que contiene las cifras más recientes, globalmente un 57 por ciento de los departamentos de auditoría dice que está alineado totalmente o en su mayoría con los objetivos y las metas de su empresa. A medida que continúa creciendo ese porcentaje, una mayor cantidad de auditores pasará a esas áreas dinámicas de la empresa que más necesitan aseguramiento (independientemente de que su naturaleza sea principalmente financiera o no).

Esta realineación con auditar áreas no financieras ha llevado a un cambio en el enfoque que coloca un mayor valor en lo que significan los hallazgos de auditoría para la empresa en lugar de si la organización cumple o no con las normativas. En áreas reguladas como finanzas, por ejemplo, los consejos de administración todavía desean saber si cumplen con Solvencia II (una directiva de la Unión Europea que se centra principalmente en las obligaciones de capital de las empresas de seguros), donde hay un rol claro para la auditoría interna tradicional, explica Hjelm. «Pero también desean saber cuánto costará, si contamos con los recursos para hacer lo necesario, cómo afectará el plan estratégico y si he auditado las áreas correctas». La comunicación en un rango tan amplio de cuestiones claramente se ha convertido en una dimensión importante del trabajo de Hjelm.

Los auditores pueden ayudar a asegurar que la información no financiera se entregue a las partes interesadas que la necesiten. Arthur Piper

Más allá de las cifras

DICIEMBRE DE 201740 INTERNAL AUDITOR

MÁS ALLÁ DE LAS CIFRAS

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a arthur.piper@theiia.org

Malcolm Zack, que ha liderado equipos de auditoría en los sectores de consumidores, pagos, servicios de alimentos, correo, entretenimiento y viajes y que ahora encabeza Zack Associates, una consultora de auditoría interna con sede en Londres, dice que ha estado auditando áreas no financieras de las empresas en las que ha trabajado durante más de 20 años. Con el transcurso del tiempo, ha trabajado en una variedad de áreas que incluyen auditoría de TI, planificación de contingencias, salud y seguridad, códigos de conducta, riesgo de proveedores, compras y comercialización, y redes sociales, para nombrar solo algunas. Pero concuerda con Hjelm en que últimamente los consejos de administración han estado alentando a los auditores internos a pasar a áreas donde los negocios están cambiando rápidamente porque allí es donde pueden estar los riesgos grandes.

«En los últimos años, he estado trabajando más y más en proyectos de cambios de empresas y en aseguramiento de programas y proyectos», dice. «Los nuevos productos y sistemas se encuentran donde están los riesgos más altos, y la auditoría continua de esos se ha tornado muy importante».

Él ve como esa tendencia se intensificará en los años venideros

a medida que los auditores se concentren más en el significado comercial y operativo de sus hallazgos en áreas tan dinámicas, en lugar de concentrarse solo en los datos financieros en sí. Dado que las finanzas son solo un elemento en el cual el consejo de administración necesita aseguramiento, dice Zack, eso ha cambiado la composición de muchos equipos de auditoría para apartarse de contadores y especialistas en auditorías puros. Los expertos en gestión de proyectos, TI o recursos humanos, por ejemplo, podrían necesitarse tanto como la habilidad técnica de auditoría. Un equipo

de auditoría en una institución financiera con la que estaba familiarizado Zack, por ejemplo, empleó psicólogos en su equipo durante una auditoría de su cultura.

«Esto ha representado un cambio para la profesión», dice. «Nos están solicitando que proporcionemos potencialmente una visión del riesgo y los controles en toda la organización». Eso exige que el equipo de auditoría esté formado por un núcleo de auditores experimentados respaldados por una mezcla más fluida de personas de diferentes áreas de especialidad y culturas para que proporcionen una profundidad de conocimientos en el área que se está auditando, indica.

CAMBIO DE FOCO La diferencia entre una auditoría financiera y una auditoría no financiera puede ser el foco, explica Phil Tarling, un consultor de auditoría interna del Sudeste de Inglaterra, Reino Unido, exvicepresidente de Internal Audit Capability y jefe del Centro de excelencia de auditoría interna en la empresa global de telecomunicaciones Huawei Technologies. En una auditoría de la cadena de suministro en la que participó, por ejemplo, cuando los productos no se enviaban a tiempo por transporte marítimo, se enviaban con un coste mayor por vía aérea. Los hallazgos

financieros fueron significativos, pero la parte no financiera de la auditoría también demostró que la cadena de suministro

estaba mal estructurada e incluyó recomendaciones sobre cómo corregir el problema.«En la auditoría no financiera, uno

necesita que las personas comprendan que la empresa existe para generar ganancias y que los costes tienen un impacto negativo en su habilidad para hacerlo», dice. «No todos los auditores piensan así, y tampoco lo hace toda la gente que trabaja en la empresa piensa».Por ese motivo Tarling es precavido

a la hora de incorporar personas con astucia empresarial, o con conocimientos en el área en cuestión, a la función

Las tendencias en las áreas de auditoría no financiera están quedando bajo la lupa.

«Cuando uno habla de “astucia empresa-rial”, ¿se refiere a gente que comprende cómo se hacen las cosas o la forma en que deberían hacerse?»Phil Tarling «Puede

convertirse en el facilitador que ayude a conectar los puntos en toda la organiza-ción y más allá».

Karem Obeid

DICIEMBRE DE 2017 41INTERNAL AUDITOR

Cuatro de cada cinco inversores globales dicen que las empresas no divulgan adecuadamente los riesgos no financieros que podrían afectar a su empresa, según una encuesta de EY de 2017.

de auditoría. «Cuando uno habla de “astucia empresarial”, ¿se refiere a gente que comprende cómo se hacen las cosas o la forma en que deberían hacerse?», pregunta. Advierte que el personal externo de la empresa puede traer consigo una carga negativa y podría estar demasiado atrapado en las nimiedades de su rol para ver el panorama completo o para imaginar diferentes formas de trabajo.

«Significa que uno tiene que trabajar mucho más para obtener la gente correcta en el equipo de auditoría», indica.

Volviendo a su ejemplo de la cadena de suministro, él recomendaría contratar a una persona que tenga experiencia de alto nivel en el establecimiento de una cadena de suministro y la formaría en cuanto a auditoría y riesgo. Las funciones de auditoría más pequeñas necesitarían compartir parcialmente ese personal con un proveedor de auditoría interna y transferir conocimientos al equipo central durante el proyecto, dice.

PENSAMIENTO INTEGRADO

Las tendencias en la auditoría de áreas no financieras están quedando bajo la lupa de los organismos de control, los establecedores de normas y los grupos de empresas que meditan sobre las causas del desplome financiero y económico de 2007 (cuyos efectos todavía se sienten en la actualidad en forma de tasas de interés históricamente bajas y lento crecimiento en muchos países). El consenso entre grupos como el Consejo Internacional de Informes Integrados (IIRC, en inglés) es que muchas empresas no comprendían cómo los riesgos dentro de sus empresas se relacionan entre ellos y con el mundo más extenso de los negocios. Proporcionar alguna forma de aseguramiento coordinado de todos los aspectos no financieros de la actividad corporativa se puede lograr mediante los informes integrados (<IR>, en inglés).

El Marco Internacional de <IR> del IIRC argumenta que, con demasiada frecuencia, las empresas tienen prácticas de generación de informes inconexos que están más impulsados por las normas que por la necesidad de la empresa. Eso ha llevado a un enfoque fragmentado en cuanto a lo que se reporta. Lo que se necesita, dice el marco, es que se les proporcione un <IR> a los accionistas y a las partes interesadas que brinde un panorama completo de la empresa y sus riesgos, lo cual está respaldado por el pensamiento integrado.

«El pensamiento integrado es la consideración activa por parte de una organización de las relaciones entre varias unidades funcionales y operativas y los capitales que usa o afecta la organización», dice el marco. «El pensamiento integrado conduce a una toma de decisiones y acciones integradas que consideran la creación de valor en el corto, mediano y largo plazo».

El IIA expresó hace poco el rol potencial de auditoría interna en el ámbito del pensamiento integrado. Su proyecto concluyó que la esfera de incumbencia holística que tiene auditoría interna de la organización la posiciona de forma única para respaldar las metas del pensamiento integrado de toma de decisiones estratégicas, planificación y entrega en una forma que considera las perspectivas de la empresa, sus diversas partes interesadas y los recursos necesarios para generar riqueza.

«Auditoría interna se concentra en las mismas inquietudes centrales que impulsan el avance a un pensamiento integrado y una mejor generación de informes externos», dice Anton van Wyk, expresidente del consejo de administración del IIA que lideró el grupo de trabajo de informes integrados de la organización. «Al proporcionar perspectivas, asesoramiento y aseguramiento bien informados, consistentes con los Principios centrales para el Ejercicio Profesional de la Auditoría Interna del IIA, los auditores

internos pueden hacer una contribución significativa a sus clientes apoyándoles en su viaje hacia el pensamiento integrado».

CONECTAR LOS PUNTOSAlgunos auditores concuerdan. Karem Obeid, DEA del Consejo Económico de Tawazun en Abu Dhabi, Emiratos Árabes Unidos, dice que los consejos de administración se volvieron más sofisticados en su comprensión de lo que puede ofrecer auditoría interna (especialmente la habilidad de la función para generar valor al impulsar la mejora de la empresa y asesorar sobre el riesgo en áreas dinámicas de la organización). «Si como auditor uno se involucra en el establecimiento como referencia del pensamiento integrado y la generación de informes en una etapa temprana», dice Obeid, «puede convertirse en el facilitador que ayude a conectar los puntos en toda la organización y más allá».

Él considera que asumir el rol de impulsar el proyecto del pensamiento integrado es una gran forma de demostrar el valor que auditoría interna puede añadir a la empresa. También puede ayudar al equipo de auditoría a dirigir mejor su trabajo y sus recursos a donde sean más necesarios y permitir que auditoría interna sirva a la organización como asesor de confianza.

Los auditores pueden hacer esto al desarrollar su experiencia en la auditoría de áreas no financieras de la empresa, dice Obeid (quien contribuyó en la preparación del documento técnico, Percepciones y perspectivas globales: más allá de los números: el papel de auditoría interna en los informes no financieros. Pero, añade, el pensamiento integrado es un proyecto que tiene desafíos. El DEA y su equipo, por ejemplo, deben comprender a la empresa desde un punto de vista técnico y práctico. Aquellos que cuenten con muchos años de experiencia en auditoría no financiera estarán en un mejor lugar viendo cómo las diferentes áreas (que a menudo se denominan silos) se relacionan y cómo podrían auditarse en toda la empresa. Otros necesitarían una curva de aprendizaje pronunciada.

En segundo lugar, el pensamiento integrado y la generación de informes

El pensamiento integrado debe servir a un rango más amplio de partes interesadas.

DICIEMBRE DE 201742 INTERNAL AUDITOR

MÁS ALLÁ DE LAS CIFRAS

que produce deben servir a un rango más amplio de partes interesadas (tanto dentro como fuera de la empresa). Aunque la mayoría de los auditores internos son efi caces a la hora de lidiar con el consejo de administración, la dirección y algunas otras funciones (como riesgo y cumplimiento), pocos tienen experiencia a la hora de tratar directamente con partes interesadas externas, como los clientes y grupos de presión externos.

«Los auditores internos deben comunicarse más con las partes interesadas, no solo a través de las reuniones de negocios, sino en las redes sociales, socializando en persona y conociendo la cultura y las mentalidades de esos grupos», dice Obeid. «Además, el equipo de auditoría debe incrementar entre esos grupos una concientización y comprensión del rol de auditoría; y la importancia de seguir las Normas del IIA».

SOSTENIBILIDAD Un área de rápido cambio en el mundo de los informes integrados es la de las divulgaciones fi nancieras relacionadas con el clima. Aunque un documento publicado en junio por el Consejo de Estabilidad Financiera (FSB) de los EE. UU. se relaciona con las empresas de servicios fi nancieros, es un buen ejemplo de cómo los gobiernos importantes ven ahora el impacto ambiental de las decisiones de los inversores en la sociedad. El documento, «Task Force on Climate-related Financial Disclosures: Overview of Recommendations» (Grupo de trabajo sobre divulgaciones fi nancieras relacionadas con el clima: resumen de recomendaciones), propone divulgaciones reforzadas y voluntarias sobre cómo el gobierno, la estrategia, la gestión de riesgos y las mediciones de cada organización la ayudan a reportar de forma correcta y efi caz sobre los riesgos relacionados con el clima.

Para Richard Goode, director ejecutivo en Servicios de sostenibilidad y cambio climático en América de EY, el documento es una indicación clara de cómo los organismos gubernamentales y los inversores están pidiendo ver cada vez más evidencia de la «licencia social para funcionar» de las organizaciones. Según el Centro para asuntos de consejos de administración de EY , más de la mitad de las propuestas de los accionistas durante

la revisión estacional de representantes de 2017 se relacionaron con cuestiones sociales y ambientales (en otras palabras, está creciendo la presión para que las empresas demuestren sus credenciales sociales, éticas y ambientales).

«Esta es un área clave para que auditoría interna actúe como asesor de confi anza de la empresa», dice. «Los directores de las empresas les están pidiendo a los auditores internos que los ayuden a articular cuáles son sus riesgos no fi nancieros y qué tan bien se están implementando y llevando a cabo sus programas de sostenibilidad».

Goode añade que aunque los auditores internos pueden asumir un rol de liderazgo, deberían evitar una petición emocional a la alta dirección o al consejo de administración. «Hable el lenguaje del riesgo, recopile y analice los datos, realice un análisis comparativo dentro su sector económico y entre los que sobresalgan en desempeño de otros sectores, y demuestre qué es importante y por qué».

ASESOR NO FINANCIERO DE CONFIANZAGoode resalta la importancia de tener los conocimientos correctos para ayudar a enfrentar los aspectos más técnicos de esas áreas no fi nancieras. Por otro lado, la falta de esos conocimientos no debería usarse como excusa para la inacción.

«Asegúrese de que el tema se encuentre en el ámbito del riesgo y hable con la empresa sobre qué riesgos están enfrentando en esa área», dice. «Hable con los directivos, los inversores institucionales y las partes interesadas y arme una evaluación honesta de sustancialidad». Si el riesgo es real y sustancial, es probable que se aporten los recursos, añade.

Hjelm concuerda. «Cuanto más éxito tenga en estas áreas no fi nancieras, mayor confi anza le tendrán para que haga menos pruebas», dice. «Estará proporcionando perspectivas verdaderas para la empresa sobre sus posibles riesgos futuros y ayudando a la empresa a generar dinero el día de mañana. Además, como auditor interno es mucho más gratifi cante ayudar a la gente y divertirse mientras lo hace».

ARTHUR PIPER es escritor especializado en gobierno corporativo, auditoría interna, gestión de riesgos y tecnología.

«Los directores de las empresas les están pidiendo a los auditores internos que los ayuden a articular cuáles son sus riesgos no financieros».

Richard Goode«Cuanto más éxito tenga en estas áreas no financieras, mayor confianza le tendrán para que haga menos pruebas».

Charlotta Hjelm

Ralph Daals, auditor jefe de grupo de RSA Insurance con sede en Londres, le apasiona el viaje que él y su equipo

han emprendido en los últimos dos años. «Las semillas para la transformación se sembraron en octubre de 2013 cuando auditoría interna descubrió irregularidades signifi cativas durante una revisión de rutina en nuestra empresa irlandesa», explica. «Ese evento se reportó públicamente y nos trajo el mensaje de que, al fi n de cuentas,

Impulsado por el rápido cambio de la organización, el DEA de una empresa multinacional de seguros adoptó un modelo de auditoría radicalmente diferente.

Ruth Prickett

Desempeño ágil

A

INNOVACIÓN DE AUDITORÍA

DICIEMBRE DE 2017 43INTERNAL AUDITOR

FRAN

KIE’

S /

SHU

TTER

STO

CK.C

OM

DICIEMBRE DE 201744 INTERNAL AUDITOR

DESEMPEÑO ÁGIL

auditoría interna será juzgada por las cosas que pasa por alto».

Esta claridad acerca de la responsabilidad de auditoría interna condujo a nuevas expectativas prospectivas de la función. Daals recuerda: «Nuestro presidente lo dijo en buenos términos: “Me gustaría que fuera capaz de decirme que el edificio está a punto de incendiarse, en lugar de señalarme el incendio después de que haya ocurrido”».

Mientras tanto, RSA se estaba transformando con un programa de racionalización estratégica significativa, reducción de costes y cambios operativos. La empresa estaba cambiando rápidamente con innovaciones relacionadas con los macrodatos, la robótica y desarrollos más digitales y ágiles; y con estos cambios surgió un nuevo perfil de riesgos. «Por lo general, auditoría interna sigue a la empresa», dice Daals, «pero nos impulsaron a dar un enorme salto para salir adelante y mantenernos allí».

Los desafíos fueron difíciles. «No solo tuvimos que pasar a ser más dinámicos, mirar más hacia el futuro y entender los nuevos riesgos que enfrentaba RSA, sino que también tuvimos que cumplir nuestro rol desde el punto de vista de coste y eficiencia. Teníamos que hacer más con menos; estamos hablando de una reducción de costes en un porcentaje de dos dígitos aquí», dice. «Hacer esto correctamente significaba reinventarnos y cambiar fundamentalmente nuestro modo de pensar, habilidades y formas de trabajo».

TRANSFORMACIÓN DE AUDITORÍA INTERNALos ambiciosos cambios que Daals buscaba precisaban que la función sea creativa; sobre todo porque, enfatiza, no tenía muchos fondos y no podía contratar

sorprendentemente rápido). Daals explica que tomó prestada la cultura de innovación de la empresa de animación por ordenador Pixar y comenzó a experimentar, probar y refinar ideas.

COMPONENTES BÁSICOSLa transformación yacía sobre cuatro «componentes básicos» principales interconectados. El primero de estos fue simplificar y normalizar lo que hacía el equipo y cuándo lo hacía. Esto tenía el objetivo de minimizar la complejidad y las distracciones para permitir que auditoría interna concentrara todo su tiempo y esfuerzos en lo que más importaba. Una parte vital de este proceso era que auditoría interna tenía que estar cómoda con el hecho de no hacer algunas de las cosas que había asumido en el pasado. Daals dice que comenzó con una “lista de locuras”, que evolucionaron para convertirse en un ejercicio de aprendizaje que abarca a toda la función con el objetivo de hacer que esta sea más eficiente y concentrada.

«También queríamos mantenerlo simple para asegurar que de nuestras actividades principales emergiera un valor real», dice. «No deberíamos tener que recurrir a actividades «complementarias», como revisiones de asesoramiento, antes de que se cree o reconozca valor. Implicaría que algo está fundamentalmente mal».

El segundo componente básico incluía aumentar la relevancia y puntualidad de las percepciones e intervenciones. El proceso tradicional de planificación anual se convirtió en un plan flexible y progresivo de seis más seis con una perspectiva estratégica de tres años. Eso permitió que las auditorías se hicieran en paralelo con los cambios en la empresa y los riesgos emergentes y que previeran mejor las habilidades que necesitaba el equipo ahora si tenía que estar preparado para el futuro.

Al mismo tiempo, el equipo colocó la entrega del plan en línea con la presentación de informes a ejecutivos y no ejecutivos, recortando al mínimo el tiempo entre identificar los hallazgos y presentar informes al comité. «Nuestro equipo ahora entrega 100 por ciento de nuestro plan

consultores costosos. «La limitación fue una impulsora clave de la innovación y, en última instancia, se convirtió en una amiga de verdad», dice.

El equipo comenzó a evaluar el mundo que lo rodeaba, identificando y aprendiendo de las empresas de vanguardia independientemente del sector económico y la función. «Acabamos buscando opciones de forma bastante amplia y después adoptando y ajustando lo que creímos que podría funcionar para nosotros», dice Daals. “El libro de Jim Collins, Good to Great, nos proporcionó mucha inspiración al principio. Todo se trataba de comenzar con un propósito y con gente; atraer y retener los talentos correctos, dándoles libertad dentro de un marco y aprovechando sus fortalezas».

Desconfiaba porque, en demasiados casos, los programas de cambio introducían procesos nuevos que existían en papel, pero no llevaban a formas nuevas de trabajo en el largo plazo. El de ellos no fue, argumenta, un programa de transformación tradicional:

no tenía planes de proyectos, defensores ni montones de documentación.

«Buscamos hacer que el cambio fuera fácil y contagioso, con pequeñas mejoras iterativas impulsadas por la obsesión por las cosas correctas: compartir los logros, desafiarnos los unos a los otros y, al fin de cuentas, integrar profundamente las prácticas y mejoras en nuestro comportamiento y cultura», indica. «En cualquier momento dado tenemos cinco “obsesiones” que abarcan toda la función, de comportamiento y técnicas. Estas generan una transformación basada en el efecto dominó. El contagio puede ser muy poderoso».

Este enfoque permitió que la gente viera y sintiera la acumulación de impulso y significó que la evolución podía producirse a un ritmo creciente (y a menudo

Los ambiciosos cambios que Daals buscaba precisaban que la función sea creativa.

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO a la autora a ruth.prickett@theiia.org

DICIEMBRE DE 2017 45INTERNAL AUDITOR

Las funciones de auditoría ágiles que están alineadas más estrechamente con la empresa en el punto de disrupción y riesgo ayudan a la organización a gestionar mejor el evento de riesgo, según el estudio «Navigating Disruption» (Sortear la disrupción) de 2017 de PwC.

que contratar a gente notable es su única actividad más importante.

«Ajustamos esto; solo la gente con la pasión y la aptitud para esto participa en la contratación», dice. «Nuestros encargados de contrataciones, por lo general las personas de los niveles más superiores, dedican una cantidad significativa de tiempo a encontrar el talento correcto. Cada candidato se contrata con una entrevista internacional como norma».

Daals y su equipo también observaron los deportes de elite en busca de ideas. «Trabajamos de cerca con la empresa de rendimiento PlanetK2, la cual usa el mismo tipo de ideas de psicología

del rendimiento con nosotros que usa con los equipos olímpicos. Se desafían a todos sobre cómo sacar lo mejor de sí mismos y de los demás».

Todos estos cambios ayudaron a crear lo que Daals caracteriza como una función ágil. «La agilidad para nosotros es ser dinámicos y flexibles. Se trata de nuestra habilidad para prever, responder y mejorar continuamente». Añade que la agilidad debe estar incorporada en la mentalidad, la cultura y los valores del equipo; los procesos y las metodologías siguen después de forma natural. «Se trata de tener un equipo que mejore cada vez más con cada desafío que se le arroje», dice.

Indica que esta habilidad tiene muchas ventajas: auditoría interna ahora es mejor en la tarea de usar las aptitudes y experiencia completas del equipo, puede reunir rápidamente e implementar los recursos adecuados a través de los escuadrones, y el intercambio rápido entre las partes interesadas y la función facilita las mejoras rápidas y constantes en lo que hace la función y cómo lo hace.

La responsabilidad se mantuvo como punto focal a lo largo de los cambios. «Nuestra responsabilidad

cada trimestre, lo cual era inaudito en el pasado», dice Daals.

El tercer componente básico incluía implementar un modelo operativo «AsOne» (Como uno), inspirado por el trabajo anterior de Daals en Deloitte. «Tiramos abajo las barreras que existen generalmente en una función internacional y eliminamos las estructuras y órdenes jerárquicas tradicionales», explica.

Auditoría interna de RSA cuenta con más de 60 personas que se encuentran en ciudades clave de tres regiones: el Reino Unido, Irlanda y Oriente Medio; Canadá; y Escandinavia. Daals dice que el modelo AsOne «facilita un alto nivel de conectividad y colaboración entre los equipos» para que puedan trabajar juntos como si estuvieran en la misma sala. Esto requería una nueva forma digital de trabajar y usar los canales de comunicación como Yammer.

«Al desarrollar sobre AsOne, avanzamos nuestra forma de trabajar con base en la cultura ágil del servicio de transmisión de música de Spotify. Incluso adoptamos algunas de sus convenciones de nomenclatura», dice Daals. «Ahora nos estructuramos en torno a “escuadrones”: equipos fluidos que reúnen a la gente correcta para una auditoría u otra iniciativa, independientemente de la posición jerárquica o la localización».

Para las partes interesadas de la función de auditoría, Daals dice que AsOne incrementó la calidad y consistencia del producto y la cobertura, mejoró la forma en la que auditoría interna compartía las buenas prácticas, y elevó la eficiencia al reducir la duplicación y, en última instancia, el coste.

El cuarto componente básico se trataba de empeñarse por desarrollar una cultura de alto desempeño. «Esto podría sonar como un cliché (y muchos hablan de eso), pero al fin de cuentas somos un negocio de personas, así que desarrollar una cultura de alto desempeño era crucial», explica Daals. «Para nosotros, esto se trata de esforzarnos por crear un entorno en el cual podamos atraer y retener a los mejores». Lo inspiró el enfoque de Google de invertir en talento y su punto de vista de

La agilidad debe estar incorporada en la mentalidad, la cultura y los valores del equipo.

Para obtener información

sobre los premios recientes que

obtuvo auditoría interna de RSA por desempeño

e innovación destacados del IIA colegiado

del Reino Unido, VISITE http://bit.

ly/2ArW56I.

IIA Quality Services, LLC le proporciona las herramientas, la experiencia y los servicios que necesita para respaldar su QAIP. Obtenga más información en www.theiia.org/Quality.

2017

-127

5Aproveche una Evaluación de calidad externa en 2018

Desarrolle la confianza con sus partes interesadas con un programa de mejoras y aseguramiento de calidad (QAIP, en inglés). Confíe en los profesionales expertos de IIA Quality Services, quienes le proporcionarán:

■ Servicios integrales de evaluación de la calidad externa.

■ Soluciones únicas y sugerencias de éxito para la práctica basadas en una amplia experiencia profesional.

■ Mayor credibilidad con un QAIP orientado hacia el futuro.

Deje la calidad en manos de expertos

DICIEMBRE DE 2017 47INTERNAL AUDITOR

Casi un 50 por ciento de los DEA dice que la innovación y mejora de procesos son habilidades de auditoría interna «muy esenciales» o «extremadamente esenciales», según «North American Pulse of Internal Audit» (El ritmo de la auditoría interna en América del Norte) de 2017 del IIA.

atravesar las barreras típicas del talento», dice. «Sabemos muy bien que lo que estamos creando no es apto para todos, requiere tenacidad y resistencia. En ocasiones hemos tenido que tomar algunas decisiones difíciles, pero eso está bien».

Para ayudar a los miembros del equipo a alcanzar su potencial pleno, Daals ha introducido innovaciones como un «Viernes de aprendizaje» dedicado mes por medio en el cual todos pueden elegir qué aprender. No se permite trabajar.

«Tomamos mucha inspiración sobre cómo crear el mejor lugar de trabajo de una empresa [de educación en línea] llamada Mindvalley», explica Daals. «Es importante que aportemos no solo nuevas

habilidades, sino que nos aseguremos de que toda la gente tenga las herramientas para el futuro. Así que estamos invirtiendo en desarrollar las habilidades de la gente en cuanto a los “nuevos riesgos del mundo”, como lo son los riesgos cibernéticos y los que surgen de los macrodatos y del uso de la robótica y la inteligencia artificial». Esto incluye enseñarles los aspectos básicos de la codificación, cómo auditar desarrollos ágiles de auditoría y simular crisis tales como un ataque cibernético. Daals espera que todos sean altamente competentes con las herramientas de análisis de datos.

También quería alejarse de un sistema en el cual la gente no podía progresar hasta que la persona que tuviera en la posición superior se fuera. La nueva estructura no tiene un número fijo de gente por nivel, así que si alguien está listo para el ascenso, puede tenerlo.

RETROSPECTIVA E INNOVACIÓNY entonces, ¿qué sigue? «Hasta ahora ha estado bien», dice Daals. «Nuestros calificaciones en las encuestas de satisfaccións han estado subiendo consistentemente y la empresa tiene

es siempre una prioridad», dice Daals. «Regularmente nos hacemos nuestra pregunta asesina: “¿Hemos pasado por alto algo significativo?”»

«Para responder», continúa, «realizamos un ejercicio de mitad de año en el cual observamos nuestros negocios a través de la lente de problemas planteados por otros, incidentes de riesgo y eventos externos sustanciales. Nos preguntamos “¿Dónde estábamos? ¿Lo detectamos?”, y si fue así, “¿Lo hemos informado adecuadamente?”. Las lecciones identificadas se debaten ampliamente y se incorporan a la mejora continua de la función, y Daals dice que los resultados están mejorando cada vez. Él ve esto como crucial para cumplir con el propósito de auditoría interna de mantener a RSA segura y mejorando.

Daals también toma en serio el aseguramiento de la calidad. Emplea a Deloitte para revisar y objetar las auditorías realizadas en el trimestre anterior. Los revisores evalúan si las auditorías se enfocaron en las áreas adecuadas e identificaron los riesgos y problemas correctos.

HABILIDADES PARA EL FUTUROEl equipo de auditoría interna de nuevo estilo debe atraer un nuevo tipo de auditor interno, con habilidades que serán importantes para la organización del futuro. Esto significa que debe ofrecer una proposición interesante en términos de entorno de trabajo y oportunidades, dice Daals. Los nuevos contratados podrían venir de otros sectores o tener un historial ajeno a auditoría. El equipo en la actualidad incluye miembros no comunes como un desarrollador web y de aplicaciones y un criminólogo. «Es importante alcanzar el equilibrio correcto entre mantener sus habilidades y perspectivas únicas y aprender los aspectos fundamentales de la auditoría interna», añade Daals.

Su búsqueda de personas innovadoras que estén dispuestas a que las saquen de su zona de confort y estén ávidas de mejorar constantemente está haciendo que el equipo sea más distintivo y versado. «Siempre preguntamos cómo podemos

una alta demanda de nuestro personal. Tenemos un modelo más ágil y que mira más al futuro, y esperamos que nos ayude a enfrentar lo que sea que se nos cruce por el camino. Pero no se acaba aquí. Hemos identificado, por ejemplo, siete formas de inyectar innovación en la auditoría, lo que incluye realizar pruebas de estrés en el entorno de control y auditoría basada en situaciones y eventos de riesgo. Mientras respalde nuestro objetivo y mantengamos un control adecuado sobre lo que llamamos “riesgo de auditoría”, no dudaremos en probarlo.

No obstante, está deseoso de destacar que ágil no es lo mismo que caos y necesita gestión cuidadosa. Le aconseja a

otros que busquen crear una cultura ágil que establezcan primero una «columna vertebral» estable. También es necesario que encuentren una forma de combinar los opuestos. «Mirar hacia el futuro es excelente, pero no si uno no mira hacia el pasado al mismo tiempo», advierte. «La sostenibilidad de los controles y la actividad de subsanación es igual de importante, si no más». Perseguir riesgos emergentes o cambios en la organización puede ser catastrófico si uno no se enfoca en las áreas que todos dan por sentado, pero aun así puede perjudicar a la empresa.

Daals concluye: «Quizás nos saldrá mal a veces; uno no puede ganar sin fracasar nunca. Pero en el final, es divertido arriesgarse. Si fracasa, fracase y aprenda rápido, pero nunca haga concesiones en cuanto al resultado».

RUTH PRICKETT es editora de la revista

Audit & Risk.

Una versión de este artículo se publicó por primera vez en la edición 36 de Audit & Risk, la revista del Instituto de Auditores Internos Certificados. Reproducción autorizada.

El equipo de auditoría interna de nuevo estilo debe atraer un nuevo tipo de auditor.

48 INTERNAL AUDITOR DICIEMBRE DE 2017

LCuando no se abordan las

recomendaciones Jane Seago

Ilustración por Gary Hovland

RIESGO

49INTERNAL AUDITORDICIEMBRE DE 2017

L Auditoría interna debe comprender por qué no se están implementando las recomendaciones para trabajar en pos de una solución.

a situación: una auditora interna realiza una serie de recomendaciones a un cliente de auditoría interna, quien se niega a implementar una de las recomendaciones o abordar el hallazgo.

El punto de vista de la auditora interna: la recomendación abarca un punto importante. Su supervisor concuerda en que el riesgo de no implementar la acción correctiva o no abordarla sería significativo para la organización.

La perspectiva del cliente: concuerda con el hallazgo, pero cree que la acción

correctiva tomaría demasiado tiempo y usaría demasiados recursos.

El resultado: después de varios intentos infructuosos para persuadir al cliente de la validez de la recomendación, el tema se eleva al director ejecutivo. Como no hay resolución con ese paso, la recomendación se remite al comité de auditoría. La auditora interna y su director ejecutivo de auditoría (DEA) asisten a la reunión del comité de auditoría para abordar la recomendación, donde obtienen el apoyo del comité y del director

DICIEMBRE DE 201750 INTERNAL AUDITOR

CUANDO NO SE ABORDAN LAS RECOMENDACIONES

financiero. El tema se resuelve (idealmente, el cliente asiste a la reunión del comité de auditoría y escucha directamente la decisión del comité, pero si eso no es posible, se puede usar el acta de la reunión del comité de auditoría para informar al cliente) y la relación cordial de trabajo continúa.

Aunque los detalles de esta situación puedan variar, probablemente describa una situación que sea demasiado familiar para la mayoría de los auditores internos. Las recomendaciones que presenta el auditor interno podrían no siempre recibirse positivamente ni ser factibles, pero realizar esas recomendaciones es fundamental para el rol de auditoría interna. Ese rol, como lo describe Michael Levy, director de auditoría interna en Student Transportation Inc. en Wall, Nueva Jersey, es «detectar problemas y asegurarse de que la gente correspondiente esté al tanto e informada».

Pero concientizar y compartir información no siempre produce los resultados necesarios. Un cliente de auditoría podría negarse a implementar hasta la recomendación mejor investigada y claramente explicada, dejando riesgos que podrían afectar la habilidad de la organización de alcanzar objetivos completos. Cuando sucede esto, la Norma 2600: comunicación de la aceptación de de riesgos, indica que el DEA debe tratar la cuestión con la alta dirección o elevar el tema al consejo de administración, si fuera necesario.

¿QUÉ HAY DETRÁS DEL «NO»?

Como sucede con muchas instancias, cuando dos partes no se ponen de acuerdo, quizás la comunicación inadecuada o defectuosa podría ser la culpable. En el caso de recomendaciones no abordadas, quizás los auditores internos no explicaron totalmente el valor de una recomendación o no definieron adecuadamente qué significa «recomendación» en la cultura de la organización o no describieron las posibles consecuencias de no implementar la recomendación.

O tal vez no se trata de un caso de comunicación inadecuada, sino de

demasiada comunicación. «Muchas veces, los auditores tienden a incluir cada detalle de la auditoría en el informe», dice Levy. «He notado que la dirección ejecutiva y el consejo de administración ya no buscan la versión “novel” de los informes que se han tornado comunes con el transcurso de los años». Los auditores internos deben concentrarse en crear informes bien organizados que se limiten al punto, cubriendo lo que el lector necesita saber, no todo lo que sabe el auditor. Cada recomendación debería estar respaldada por una descripción completa del riesgo relacionado, lo cual ayudará a establecer la importancia de la recomendación y las posibles implicaciones si no se aborda.

Kevin Alvero, vicepresidente de rango superior de auditoría interna en Nielsen, en Tampa, Florida, recomienda utilizar un enfoque de categorización para clarificar la comunicación con el cliente. «Si uno categoriza claramente las recomendaciones basándose en el riesgo (alto, medio, bajo), se reducen en gran medida las probabilidades de que las más importantes no sean abordadas», explica. «Creo que es muy intuitivo para la gente: comprenden que si no abordan las recomendaciones de alta prioridad, hay un riesgo de que ese problema avanzará». En un proceso de auditoría anual, las recomendaciones que aparecen múltiples veces podrían moverse a una categoría de riesgo superior (una señal para la dirección acerca de su importancia relevante para el riesgo).

En Principal Financial Group en Des Moines, Iowa, Cindy Bolton, directora de auditoría, indica que la implementación de un marco de gestión del riesgo empresarial ha fomentado la comunicación en torno al riesgo y las mediciones de riesgos por parte del director de riesgo y todos los ejecutivos de riesgo de toda la empresa. «Tenemos muchos debates sobre el riesgo y los controles de la segunda y tercera líneas de defensa, también», añade, «y mucho tiempo trabajando en conjunto con la segunda línea, así que el mensaje a la primera línea es un flujo continuo».

«La dirección ejecutiva y el consejo de ad-ministración ya no buscan la versión “novel” de los informes.

Michael Levy

DICIEMBRE DE 2017 51INTERNAL AUDITOR

«Si no abordan las recomen-daciones de alta prioridad, hay un riesgo de que ese problema avanzará».

Kevin Alvero

Además de la comunicación, otra razón posible para la falta de implementación se relaciona con los recursos. Los benefi cios que se deben derivar de la recomendación podrían no justifi car su coste, a los ojos del cliente. O la pérdida en otros recursos no fi nancieros podría ser exorbitante (aunque si las recomendaciones se concentran en cuestiones que exceden la tolerancia de riesgo establecida por la organización, esto debería justifi car añadir recursos). Los auditores tienen la responsabilidad de comprender la empresa lo sufi cientemente bien para ser conscientes del impacto fi nanciero de las recomendaciones que están realizando. «De lo contrario,» dice Alvero, «no están atendiendo totalmente las necesidades del cliente».

A la hora de desarrollar una comprensión de una cuestión que se incluirá en el informe de auditoría, los auditores internos deben considerar el coste, impacto y signifi cado relacionado con la cuestión. Esto permite que el auditor equilibre el alto coste que se debe subsanar y el posible bajo impacto y probabilidad de tergiversación que podría tener posiblemente el problema. Aunque el auditor interno debería defi nitivamente tomar la delantera en estas consideraciones, no debería ser un ejercicio solitario. El cliente debería desempeñar un rol activo.

Evitar la objeción del costo y benefi cio puede ser tan simple como debatir con el

cliente la factibilidad de varios enfoques y formular un plan de acción de gestión en conjunto con la dirección. Cuando se llevan a cabo esos debates, el resultado «no es “auditoría interna recomienda y la dirección responde”», dice Bolton. «La dirección ya está involucrada».

Si se desconoce el coste de una recomendación, el enfoque podría dividirse

en dos partes: que la dirección investigue el coste de las posibles soluciones y que auditoría interna determine si estas soluciones abordan adecuadamente la recomendación. Esto permite que se logre un progreso, en lugar de chocarse contra el muro del «no» al momento en que se considera el coste. Otra solución alternativa a las recomendaciones costosas es que auditoría interna realice recomendaciones adicionales (como revisiones adicionales y revisiones de calidad) para satisfacerlas.

«Desarrollar recomendaciones es una de las áreas donde nosotros, como profesión, tenemos la oportunidad de actuar como consultores y no solo añadir valor directamente a la organización, sino también a nuestras partes interesadas», observa Levy. «Muchas veces, cuando las recomendaciones se desarrollan en un vacío, sin el aporte de la dirección, el resultado deseado no se alcanza».

La comunicación y los recursos no son los únicos obstáculos para implementar las recomendaciones. Kevin Patton, director de auditoría interna de la Universidad del Estado de Ohio en Columbus, señala que la adopción de una recomendación por parte de un cliente podría verse afectada por cambios en los sistemas de información existentes o la implementación de nuevos sistemas de información, la cual a menudo toma más tiempo del previsto. «Los problemas del sistema parecen necesitar

más tiempo para resolverse que otros comentarios, como los fi nancieros y operativos», explica Patton. «En esos casos,

le preguntamos a la unidad cómo están mitigando el riesgo y obtenemos una comprensión de sus procesos». En algunas empresas, pasar a una nueva plataforma podría hacer que una recomendación quede obsoleta, lo que haría que la dirección decidiera que una corrección a corto plazo no vale el coste. Como sucede con las recomendaciones costosas, el

La comunicación y los recursos no son los únicos obstáculos para la implementación.

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a jane.seago@theiia.org

DICIEMBRE DE 201752 INTERNAL AUDITOR

CUANDO NO SE ABORDAN LAS RECOMENDACIONES

auditor debería comprender la empresa lo sufi cientemente bien para estar consciente de los planes de los sistemas antes de realizar una recomendación relacionada.

Otras situaciones posibles que podrían afectar la disposición o habilidad del cliente de implementar una recomendación incluyen un cambio en la estrategia de negocios, pérdida de personal o cambios en este, o prioridades competitivas en el área del cliente. La comunicación continua con los clientes es crucial para la efi cacia de auditoría interna en esas circunstancias. Ayudará a asegurar que el auditor interno está informado sobre las cuestiones del cliente y puede funcionar como asociado a la hora de abordarlos.

EL FINO ARTE DEL SEGUIMIENTO La Norma 2500 del IIA: supervisión del avance indica que el DEA «debe establecer y mantener un sistema para supervisar la disposición de los resultados comunicados al a dirección». El punto 2500.A1 habla sobre la responsabilidad del DEA de establecer un proceso de seguimiento para supervisar y garantizar que las medidas de la dirección se hayan implementado o que la alta dirección haya aceptado el riesgo de

no hacerlo. El punto 2500.C1 especifi ca que es responsabilidad de auditoría interna supervisar la disposición de los resultados de los trabajos de consultoría (hasta el grado acordado con el cliente).

Sea cual sea la razón para la falta de implementación de recomendaciones de auditoría interna, esa falta podría potencialmente exponer a la organización a un riesgo. Por lo tanto, auditoría interna tiene un rol distintivo a la hora de supervisar si la dirección implementa los controles acordados. Aunque el tamaño y la naturaleza del riesgo infl uenciarán el tipo y la cantidad de actividad de seguimiento, «Following Up Recommendations/

Management Actions» (Seguimiento de recomendaciones o acciones de la dirección), un documento de 2016 del Instituto de Auditores Internos colegiado del Reino Unido, delinea actividades generales posteriores a una recomendación que deben aclararse al cliente antes de la auditoría:

» Cómo se dará seguimiento a las recomendaciones o actividades de la dirección pendientes.

» Cómo se informarán y validarán las resoluciones.

» Qué acción de seguimiento podría ser necesaria.

» Cómo se llevará a cabo esto para proporcionar aseguramiento de que los riesgos identifi cados se están abordando adecuadamente.

Warren Hersh, auditor general de New Jersey Transit en Newark, dice que un proceso sólido de seguimiento debe comenzar por establecer la fi losofía de verifi cación del departamento, la cual por lo general seguirá uno de dos enfoques: 1) realizar realmente una auditoría de seguimiento, probando para verifi car que se hayan implementado las acciones

correctivas; o 2) aceptar la declaración de la dirección sobre el estado de las acciones correctivas. Según la experiencia de Hersh, seguir

el primer enfoque requiere recursos y un foco signifi cativos. Su departamento actual utiliza el segundo enfoque, con una variación. «Si tenemos una auditoría que tiene hallazgos signifi cativos que impactan los riesgos clave que enfrenta el departamento, además de reportarlos al comité de auditoría, programamos automáticamente una auditoría de seguimiento más adelante en ese año del plan de auditoría o en el siguiente año del plan de auditoría».

El equipo de Hersh usa software de gestión de auditoría para supervisar el estado de las acciones correctivas, y ese estado se informa en cada reunión del comité de auditoría porque recibe la atención de la alta dirección.

«Si tenemos una auditoría con hallazgos significativos... automática-mente programamos una auditoría de seguimien-to».

Warren Hersh

No implementar las recomendaciones expone a la organización al riesgo.

DICIEMBRE DE 2017 53INTERNAL AUDITOR

En la universidad del estado de Ohio, el equipo de Patton utiliza un proceso de revisión de seguimiento formal para todas las recomendaciones que están incluidas en el informe final. La primera fase es realizar el seguimiento con los clientes cada 90 a 120 días hasta que se resuelvan las recomendaciones. Se emite un informe de revisión de seguimiento a la misma lista de distribución que recibió el informe final. Después del segundo seguimiento, cualquier hallazgo pendiente no resuelto se eleva a los líderes superiores de la universidad para que los consideren y prioricen con la unidad. De hecho, según Patton, durante la segunda revisión de seguimiento, el líder de rango superior es responsable de obtener una respuesta de la dirección y un marco de tiempo de resolución actualizados para establecer la prioridad para la unidad. Si, después de una tercera revisión de seguimiento, continúa habiendo comentarios sin resolver, Patton los aborda en detalle con el comité de cumplimiento y auditoría.

Pero hay otra posibilidad también. La dirección podría decidir aceptar el riesgo y no resolver los comentarios. Estas situaciones también se elevan al comité de cumplimiento y auditoría para su debate. Patton observa, «Por supuesto que esperamos que no llegue a ese punto. Y raramente lo hace para nosotros».

El proceso de Principal Financial Group para el seguimiento es similar al de la universidad del estado de Ohio, con comprobaciones de avance trimestrales. Bolton explica que las recomendaciones se clasifican como críticas, altas, moderadas y bajas. Cualquiera moderada o superior recibe una prueba adicional para asegurar que se implemente a satisfacción de auditoría interna. Los elementos bajos no se prueban con tanta intensidad: «Aceptamos su palabra de que está hecho». Un informe trimestral sobre el porcentaje completo y el estado de los elementos de seguimiento se emite a la alta dirección y al comité de auditoría.

COMPRENDER LA RAZÓN

Alvero señala la necesidad de determinar la razón para la falta de implementación. ¿La dirección tomó una decisión de

negocios, al elegir no implementar la acción recomendada basándose en el riesgo para los objetivos de la empresa equilibrados en comparación con otros factores, como coste y recursos? ¿O la dirección simplemente ignoró las recomendaciones?

«Tomar una decisión de negocios de no implementar una recomendación no es necesariamente una señal de alarma», dice. «No es lo mismo que ignorar una recomendación, lo cual sería obviamente una preocupación». Se podría necesitar investigación sobre el alcance de la negación a implementar, porque esa no es por lo general una decisión de una unidad. En muchas empresas, la oficina de negocios, el director financiero, el comité de auditoría y otras personas o grupos, según la estructura de la organización, tendrán que respaldar la decisión.

En algunos casos, los recursos limitados dentro del departamento de auditoría interna podrían afectar los esfuerzos de seguimiento. En estos casos, Hersh recomienda que auditoría interna priorice los riesgos clave y después se concentre en la implementación de acciones correctivas para los riesgos más significativos. Él considera que esto es necesario a la hora de evaluar si la dirección ha aceptado inadecuadamente un riesgo, según la opinión de auditoría interna, al no implementar acciones correctivas.

TRABAJAR HACIA UN OBJETIVOAl fin de cuentas, como sucede con tantas transacciones de negocios, lo que se está haciendo a menudo es secundario a cómo se está haciendo. Para que sus recomendaciones tengan peso y sean consideradas totalmente, auditoría interna debe actuar como asesor de confianza para la empresa, estableciendo y demostrando una mentalidad de cooperación y colaboración, no una relación contenciosa. Como lo resume Bolton, «Tenemos diferentes unidades, diferentes prioridades, diferentes objetivos, pero en última instancia somos una empresa. Todos estamos trabajando juntos, intentando hacer lo correcto».

JANE SEAGO es escritora técnica y de negocios en Tulsa, Oklahoma.

«Aceptamos su palabra de que está hecho [cuando se trata de recomen- daciones de baja clasifica-ción]».

Cindy Bolton

Para leer la Guía Práctica, Informes de auditoría: comunicación de resultados de trabajos de aseguramiento, VISITE http://bit.ly/2zpIXkf

ANGE

LO L

ANO

/ S

HU

TTER

STO

CK.C

OM

CONTROLES INTERNOS

$a atención al riesgo de errores y fraude signifi cativos es un tema recurrente a lo largo del Marco internacional para la práctica profesional del IIA. Por ejemplo, en virtud de la Norma sobre Atributos 1220.A1, los auditores internos deben considerar la «probabilidad de errores, fraude o incumplimiento signifi cativos» para ejercer un debido cuidado profesional.

En los sectores públicos y privados, los errores que pasan de largo en los ciclos normales de negocios probablemente sean no intencionales. Fraude se defi ne en el Glosario de las normas como «Cualquier acto ilegal caracterizado por el engaño, la ocultación o la violación de la confi anza» y, por lo tanto, conlleva la intencionalidad por parte del malhechor. La dicotomía entre qué es un error no intencional y qué es un fraude intencional podría no ser siempre tan obvia.

Algunos métodos de auditoría parecen más idóneos para hallar errores y fraude que otros. Los métodos de auditoría que dependen de las declaraciones de la dirección, y mediante los cuales los auditores obtienen la confi rmación de que los controles han funcionado como se pretendía (como entrevistas, listas de verifi cación de autoevaluación de control, pruebas paso a paso,

Al descubrir errores y fraude signifi cativos, los auditores pueden ilustrar mejor el impacto de un control fallido.

L

El valor monetario de las auditorías que buscan errores

55INTERNAL AUDITOR

Christopher Kelly

DICIEMBRE DE 201756 INTERNAL AUDITOR

EL VALOR MONETARIO DE LAS AUDITORÍAS QUE BUSCAN ERRORES

$ 1

muestreo de transacciones y revisión analítica de razonabilidad) pueden ser vulnerables al sesgo de la confirmación. Conclusiones así podrían no ser controvertidas, pero podrían poner en riesgo la reputación de auditoría interna si errores o fraude significativos salieran a la luz en el futuro.

El error y el fraude se pueden ocultar más si no se han negociado suficientemente las acciones correctivas con el cliente de auditoría en las reuniones finales (ver «Cuando no se abordan las recomendaciones» en la página 48). La experiencia a lo largo de muchos años sugiere que la finalización oportuna de las acciones acordadas a veces permanecen

inacabadas o se implementan con menor diligencia de la que pretendía auditoría interna. Se desprende que el sesgo de confirmación en el campo de trabajo, combinado con acciones correctivas mal implementadas y mal negociadas, puede conspirar para ocultar la existencia posible de errores y fraude significativos, lo cual ocurre con mayor frecuencia de la que podría esperarse. Una forma de minimizar el riesgo de proporcionar aseguramiento falso y elevar el valor de auditoría interna al consejo de administración es buscar los mismos errores que los controles internos deberían prevenir.

EN BUSCA DE ERRORESBuscar errores y fraude significativos requiere formular hipótesis sobre qué podría ocurrir potencialmente. Idealmente, esto se hace mediante el aprovechamiento de la experiencia en múltiples sectores económicos y el pensamiento creativo (comenzar con las peores situaciones imaginables) y después el planeamiento del trabajo de campo de auditoría con el conocimiento previo de que los hallazgos reales podrían diferir de lo que se ha especulado.

Los métodos de detección de errores incluyen:

» Cruzar datos que normalmente no se vinculan, como metadatos

Buscar los mismos errores que los controles internos deberían prevenir.

de teléfonos celulares y datos de acceso de edificios.

» Usar minería de datos. » Usar la ley de Benford para

destacar las desviaciones en transacciones inusuales.

» Interrogar el contenido de correos electrónicos.

» Escuchar al personal que podría estar dispuesto a divulgar información sobre cómo se han eludido los controles.

Auditoría interna tiene una ventaja en el sentido de que normalmente tiene herramientas de minería de datos al alcance de la mano; una red de contactos de confianza en toda la organización que pueden ser fuentes valiosas de información; y una visión amplia de los procesos íntegros; mientras que muchos empleados están limitados a la perspectiva restringida de su propio departamento. Al aprovechar estas ventajas, auditoría interna puede ver lo que podría ser invisible para otros.

Es más fácil persuadir a la dirección del impacto de un control débil si se encuentra un error real con un impacto cuantificable en comparación con conjeturar sobre un fallo de control no demostrado con el potencial para causar un impacto financiero negativo. Auditoría interna tiene un argumento sólido para la mejora de procesos y la dirección tiene una defensa debilitada si un error real o múltiples errores se someten al debate en la reunión de cierre.

Al formular hipótesis de situaciones de error y fraude en nuestra planificación de auditoría a lo largo de varias organizaciones, mi equipo de auditoría interna ha sido capaz de elevar su reputación por hallazgos que se tradujeron en respuestas rápidas de la dirección, recuperaciones monetarias sustanciales y, en más de unos pocos casos, cambios de personal que estaban pendientes hace tiempo.

Caso n.º 1. Al buscar excesos de límites de depósitos, auditoría interna descubrió 75 millones de libras (99 millones de dólares estadounidenses) en depósitos del tesoro en una empresa británica de servicios de infraestructura con el fin de maximizar el interés bancario, pero que excedía significativamente los límites de depósitos con esas instituciones financieras aprobados por el consejo de administración. La dirección había elevado su propio interés

DICIEMBRE DE 2017 57INTERNAL AUDITOR

23

4

5

6

7

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a christopher.kelly@theiia.org

Los manejos de la dirección por mejorar sus propios intereses han sido un sesgo frecuentemente observado.

al maximizar las bonificaciones personales basadas en ingresos eludiendo el nivel de aceptación de riesgos del consejo de administración. Los manejos de la dirección por mejorar sus propios intereses han ha sido un sesgo frecuentemente observado palabras duplicadas que ha salido a la luz en auditorías que buscan errores.

Caso n.º 2. Los auditores internos encontraron 60 millones de dólares australianos (47 millones de dólares estadounidenses) en una única cuenta bancaria en una empresa de transporte australiana y generando cero interés, debido a la falta de atención por parte de la dirección al valor del dinero. El consejo de administración acordó que el dinero debería haberse invertido con bajo riesgo en varias instituciones para ganar intereses de al menos 900 000 dólares australianos (705 000 dólares estadounidenses) por año. Tanto en el caso n.º 1 como en el caso n.º 2, la falta de un informe de tesorería ocultaba al consejo de administración cómo se estaban administrando los fondos del tesoro, lo que resultó en el descubrimiento de una cantidad sustancial de dinero mantenida en los lugares incorrectos.

Caso n.º 3. Al construir numerosas hipótesis de error antes y durante el trabajo de campo, auditoría interna detectó 8 millones de libras (10,5 millones de dólares estadounidenses) en sobrecargos erróneos por parte de subcontratistas de mantenimiento de una empresa británica de ingeniería. Hubo aproximadamente 50 hallazgos separados de error y fraude ocultos en reclamos de pago con sumas globales que la dirección del cliente había aprobado sin realizar verificaciones adecuadas de diligencia debida antes de la aprobación del pago. Aunque se habían producido múltiples aprobaciones de la dirección hasta por el director ejecutivo, cada uno había asumido que el director subordinado había realizado verificaciones detalladas de los cargos del subcontratista. Una vez que auditoría interna cuantificó los sobrecargos, casi todo se pudo recuperar sin la necesidad de abogados. Un beneficio sorpresa que surgió de esta auditoría fue que cuando ascendieron después al director ejecutivo a una posición superior en una

empresa más grande, se llevó al director ejecutivo de auditoría (DEA) con él.

Caso n.º 4. Al revisar el libro mayor para activos no gestionados, se encontraron 4 millones de libras (5,3 millones de dólares estadounidenses) en deudas no cobradas y vencidas en la subsidiaria británica de una empresa matriz estadounidense. La deuda había escapado de la atención del control de crédito ya que era de clientes no rutinarios que quedaban afuera de los negocios normales, eludiendo así los informes rutinarios de deudores. No obstante, un 50 por ciento continuaba siendo cobrable, lo que generó un ingreso imprevisto en el flujo de caja de 2 millones de libras (2,6 millones de dólares estadounidenses) y un balance general más limpio.

Caso n.º 5. Cuentas a pagar no detectó 2 millones de dólares australianos (1,6 millones de dólares estadounidenses) en pagos duplicados a proveedores a lo largo de diferentes clientes en venta minorista, transporte, gobierno e ingeniería. Aunque los sistemas de cuentas a pagar fueron capaces de detectar los duplicados antes del pago, sin que lo supiera la alta

dirección, esas advertencias del sistema se habían deshabilitado o los supervisores locales las ignoraron. Auditoría interna utilizó su conocimiento de los controles que deberían haber estado implementados para realizar de forma independiente comprobaciones de minería de datos dirigidas específicamente a duplicados no detectados. Para nuestra sorpresa, se encontraron docenas. La dirección recuperó las sumas pagadas en exceso por parte de los proveedores y volvió a habilitar los controles integrados en el sistema de cuentas a pagar.

Caso n.º 6. Los auditores internos descubrieron 1 millón de dólares australianos (788 000 dólares estadounidenses) en bajas por

enfermedad fraudulentas y vacaciones anuales no registradas de los empleados de una empresa de transporte australiana al formular la hipótesis de que el fraude con las vacaciones era posible y buscar errores mediante el cruce de datos de nómina con uso de teléfonos móviles, uso de vehículos y datos de ingresos al edificio. Al principio, la dirección intentó argumentar que auditoría interna había infringido las normas de privacidad al analizar el paradero de los empleados. Pero el DEA demostró que el uso de los metadatos de comunicación propios de la organización para investigar el paradero de los empleados durante el horario laboral estaba permitido en virtud de las normas de privacidad locales. La auditoría concluyó no solo que la cultura de los empleados necesitaba reajustes, sino que también la cultura de la supervisión era pésima, lo que generó varios cambios en la dirección. Esto tuvo un impacto favorable en la productividad de la fuerza laboral, el pasivo por bajas y vacaciones en el balance y los costes de horas extra, que se habían incurrido como resultado directo de que los empleados obtuvieran bajas y vacaciones falsas durante muchos años. Caso n.º 7. En un caso que refleja un

error y fraude significativo, auditoría interna encontró políticas de uso de vehículos motorizados que estaban mal redactadas y se aplicaban vagamente en dos empresas separadas. Además, las empresas externas de leasing habían acumulado riesgos y recompensas de cargos de arrendamiento en su propio beneficio. Como consecuencia, los vehículos motorizados se estaban usando fraudulentamente para fines ajenos a los negocios, las organizaciones matrices desconocían las cancelaciones de permisos de conducir debido a declaraciones inexistentes de los conductores, las tasas de accidentes vehiculares estaban empeorando con el aumento, como consecuencia, de las primas de seguros debido a registros de conducción no comprobados, y las empresas de leasing estaban cobrando multas injustificadas por fin de arrendamiento. Aunque las

P: ¿Cómo empezó su organización a usar software de análisis de datos?

R: La primera vez que adoptamos una herramienta de análisis de datos fue para facilitar las auditorías en el Centro de control interno. Sabíamos que se prefiere el uso de estas herramientas de auditoría a las utilizadas tradicionalmente, por varias razones, por ejemplo:

• Ahorro de tiempo y de gastos de viaje

• Auditorías más frecuentes • Informes con resultados más rápidos

que permiten tomar las medidas oportunas a tiempo

• Entornos de control reforzado, que disuaden las acciones reprobables, la falta de productividad y el descuido en el trabajo

P: ¿Por qué eligieron CaseWare IDEA como solución de análisis de datos?

R: Mi compañero de trabajo estaba familiarizado con el software y sabía que estaba dando buenos resultados en agencias gubernamentales. Además, IDEA tiene muchas otras ventajas, por ejemplo, nos permite importar prácticamente cualquier tipo de archivo, como archivos de texto, informes en formato de texto o PDF, archivos Excel y otras bases de datos. IDEA tiene funciones diseñadas específicamente para auditores, como unión, comparación, resumen y estratificación de datos.

Además, es muy fácil de usar, especialmente cuando tienes que crear varias bases de datos secundarias a partir de una base de datos principal. Además, no es necesario tener conocimientos especializados sobre bases de datos para hacer esto.

P: ¿Cuáles son las cosas más interesantes que puede hacer con una herramienta de análisis de datos?

R: Podemos hacer referencias cruzadas

CaseWare Analytics tuvo la oportunidad recientemente de hablar con Marcelo Barreto Rodrigues (IM), contralmirante y director general del Centro de control interno de la Armada de Brasil, sobre el uso de herramientas de análisis de datos. Estas son algunas de las razones por las cuales defiende del uso de una solución de análisis de datos.

AUDITORDESTACADO

Publicidad

y comparar datos guardados en diferentes sistemas de la Armada, tanto internos como externos, para identificar, por ejemplo, pagos irregulares o duplicados. Somos capaces de verificar también hechos actuales, hacer las correcciones oportunas y realizar inspecciones fiscales preventivas, conectados a la red y a tiempo.

P: ¿Cómo ha afectado el uso de software de análisis de datos a sus auditorías?

R: Cambió la dinámica de nuestras auditorías, las cuales eran realizadas antes a través de conciliaciones manuales. Ahora el proceso es automático y se efectúa mediante la conciliación de bases de datos de la Armada brasileña y de otras agencias del gobierno federal.

P: ¿Cómo convencería a otros para que usen una herramienta de análisis de datos?

R: Simplemente les mostraría los resultados obtenidos al usar la herramienta. Ya les he sugerido a otras instituciones militares que deberían usar una solución de análisis de datos que mejore la efectividad de los procedimientos de control. Además compartimos nuestros logros en el terreno de la auditoría continua con los centros de control interno de las otras fuerzas armadas y les mostramos el ahorro de tiempo y dinero que pueden obtener en sus auditorías.

Si desea saber cómo CaseWare IDEA le puede ayudar a completar sus auditorías con más efectividad, visite www.casewareanalytics.com/es.

DICIEMBRE DE 2017 59INTERNAL AUDITOR

8Casi un 30 % de los casos de fraude identificados por los investigadores estuvieron

precedidos por informes de debilidad sustancial en los controles internos, según Internal Control Weaknesses and Financial Reporting Fraud.

Extent and Nature of Circulation

Average No. Copies (October 2016– August 2017)

Actual No. Copies (August 2017)

Total Number of Copies 79,687 78,290

Paid Circulation Mailed Outside-County Paid Sub-scription 58,909 58,612

Paid Distribution Outside the Mails Including Sales, Through Dealers and Carriers, Street Vendors, Counter Sales, and Other Paid Distribution Outside USPS 18,836 16,290

Total Paid Distribution 77,746 74,902

Free or Nominal Rate Copies Mailed at Other Classes Through the USPS 67 85

Free or Nominal Rate Distribution Outside the Mail (Carriers or other means) 630 470

Total Free or Nominal Rate Distribution 697 555

Total Distribution 78,442 75,457

Copies Not Distributed 555 865

Total 78,997 76,322

Percent Paid 99.11% 99.26%

Paid Electronic Copies 15 24

Total Paid Print Copies + Paid Electronic Copies 77,761 74,926

Total Print Distribution + Paid Electronic Copies 78,457 75,481

Percent Paid – Both Print & Electronic Copies 99.11% 99.26%

Publication Title: Internal AuditorPublication Number: 0020-5745Filing Date: 10/25/17Issue Frequency: Bi-monthlyNumber of Issues Published Annually: 6Annual Subscription Price: $75.00Mailing Address of Known Office of

Publication: 1035 Greenwood Blvd., Suite 401, Lake Mary, FL 32746

Address of Headquarters: The Institute of Internal Auditors, 1035 Greenwood Blvd., Suite 401, Lake Mary, FL 32746

Contact Person: Gretchen Gorfine Telephone: 407-937-1232

Publisher: Monica Griffin, Sr. VP, CMO, The Institute of Internal Auditors, 1035 Greenwood Blvd., Suite 401, Lake Mary, FL 32746

Editor: Anne Millage, Editor-in-chief, The Institute of Internal Auditors, 1035 Greenwood Blvd., Suite 401, Lake Mary, FL 32746

Managing Editor: David Salierno, The Institute of Internal Auditors, 1035 Greenwood Blvd., Suite 401, Lake Mary, FL 32746

Owner: The Institute of Internal Auditors, Inc., 1035 Greenwood Blvd., Suite 401, Lake Mary, FL 32746

Issue Date for Circulation Data: October 2016 - August 2017 / August 2017

Signature and Title: Gretchen Gorfine, Production Manager, 10-25-17

STATEMENT OF OWNERSHIP, MANAGEMENT, & CIRCULATION

empresas no pudieron recuperar costes anteriores, cada una de ellas evitó 1 millón de dólares australianos (780 000 dólares estadounidenses) en costes futuros anuales a través de mejoras en las políticas y los controles como consecuencia de la auditoría.

Caso n.º 8. A veces el error y el fraude salen a la luz a través de la red de contactos de auditoría interna. Un aviso vago, pero crítico de un miembro del personal preocupado divulgó que el director financiero compartía información privada del consejo de administración con una empresa de TI que se postulaba para licitaciones de varios millones de dólares, y que el director financiero era director y accionista de esa empresa de TI. La auditoría confirmó la conexión de la parte relacionada con el organismo de control de valores, y después utilizó sus derechos de acceso permitidos en sus Estatutos para estudiar los correos electrónicos y los registros de llamadas del teléfono

móvil del director financiero con el fin de comprobar el traspaso de información privada. Al hacerlo, también salieron a la luz nuevas e inesperadas irregularidades. La empresa despidió al director financiero, corrigió su procedimiento para conflictos de intereses, recuperó algunos costes históricos y frenó un exceso de gastos futuro de varios millones de dólares.

Estos casos ilustran la diversidad de los fallos en los contratos, procedimientos, sistemas, gestión de riesgos y políticas que se pueden descubrir si se buscan errores y fraude significativos cuando se planifican y llevan a cabo auditorías.

EVIDENCIA CONCLUYENTE

La valoración del rol y de la reputación de auditoría interna como defensora del consejo de administración mejoró notablemente en las organizaciones cuando se abordó evidencia difícil de discutir sobre

errores sustanciales. Las acciones correctivas produjeron rápidamente. A menudo, antes de que se emitiera el informe de auditoría, se mejoraron los controles, se recuperaron los costes, se evitaron los costes futuros y (en los peores casos) los infractores se fueron.

Los consejos de administración prefieren que auditoría interna descubra los errores temprano a través de una supervisión en busca de errores antes de que los descubran los medios, los organismos de control, la auditoría externa o los denunciantes públicos después del evento. Incluso aunque la metodología de búsqueda de errores no encuentre ninguna irregularidad, eso en sí es una forma de aseguramiento sólida, si bien no absoluta, de la eficacia de los controles.

CHRISTOPHER KELLY, DPROF, FCA, MIIA, es socio en Kelly & Yang en Melbourne, Australia.

Perspectivas de gobierno

DICIEMBRE DE 201760 INTERNAL AUDITOR

LEA MÁS SOBRE GOBIERNO, visite InternalAuditor.org/governance

POR LANE KIMBROUGH EDITADO POR KAYLA FLANDERS

Crear un centro de excelencia puede permitir una primera línea de defensa capaz.

ESTRUCTURADA PARA SER FUERTE

Las funciones de auditoría, cumplimiento y riesgo siempre han enfatizado que la primera línea de

defensa es la responsable de los controles y la gestión de riesgos. No obstante, los profesionales de auditoría se topan habitualmente con clientes que no tienen una comprensión básica de los controles para gestionar riesgos. ¿Está muy generalizada esta condición? ¿La alta dirección y el consejo de administración deberían preocuparse? Una revisión formal de las capacidades de control y riesgo de la primera línea podría identificar algunos hallazgos significativos:

Ʌ Falta de responsabilidad clara por el desarrollo y mantenimiento de la competencia en control y riesgo en toda la primera línea.

Ʌ Conocimiento y habilidades insuficientes entre el personal de la primera línea en relación con los aspectos fundamentales de la gestión de riesgos y el diseño del control.

Ʌ Supervisión inexistente de la competencia de diseño del control de la primera línea.

Ʌ Integración inadecuada de las disciplinas de control y riesgo dentro de las actividades de gestión.

Si estos posibles hallazgos se aplican a su organización, le recomiendo que establezca una función que se dedique totalmente a cerrar estas brechas y mantener una primera línea capaz y que sea responsable de esta tarea. El centro para la excelencia de la primera línea es principalmente responsable de mejorar demostrablemente las capacidades de control y riesgo y el desempeño de la primera línea de defensa en todas las unidades de la organización.

Los servicios y resultados proporcionados por el centro de excelencia van más allá de la formación y concientización para incluir herramientas de gestión de riesgos, intercambio de mejores prácticas, asesoramiento de control y riesgo, y colaboración con la segunda y la tercera línea de defensa en asuntos de común interés. Si está correctamente posicionado, el centro de excelencia podría influenciar las actividades de gestión, los mecanismos de incentivos de desempeño, y las metodologías de las operaciones para integrar

una gestión de riesgos y un diseño de control adecuados en la cultura de la organización.

El centro de excelencia podría estar formado por un pequeño equipo de profesionales que tengan relaciones de trabajo sólidos con todas las unidades de negocios y líneas de defensa. Sus cualificaciones deberían incluir una comprensión de un amplio rango de disciplinas que utilice la organización y cómo esas disciplinas se vinculan con los marcos de control y riesgo. Las habilidades y la experiencia en consultoría interna, gestión de cambios y desarrollo de formación y herramientas también son puntos deseables, respaldados por la habilidad de liderar, colaborar e influenciar para superar obstáculos.

¿Dónde debería estar este equipo dentro de la organización? Busquemos un hogar en cada una de las líneas de defensa.

Funciones de tercera línea (auditoría interna) que proporcionan aseguramiento independiente Aunque las unidades de auditoría tienen conocimientos sobre riesgo y control, y el campo

DICIEMBRE DE 2017 61INTERNAL AUDITOR

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a lane.kimbrough@theiia.org

de trabajo de auditoría proporciona perspectivas sobre los ejes de las debilidades en el control en toda la empresa, auditoría interna no fue contratada para equipar la primera línea. Los equipos de auditoría deben mantener su independencia, y su enfoque principal es la finalización del plan de auditoría con el fin de emitir los informes correspondientes a la alta dirección y al consejo de administración. El asesoramiento que proporciona a la primera línea es un rol secundario, y la responsabilidad de habilitar las capacidades de la primera línea generaría una situación incómoda dentro de la tercera línea.

Funciones de segunda línea (grupos especializados en riesgo y cumplimiento) que supervisan el riesgo Estas funciones asimismo tienen conocimientos en riesgo y control, pero su enfoque está en áreas especializadas como control financiero, seguridad, fraude, calidad, cuantificación del riesgo y cumplimiento. Aunque los departamentos de gestión del riesgo empresarial a veces proporcionan formación y asesoramiento a la primera línea, estos servicios están subordinados a sus obligaciones de supervisión del riesgo, como normas, agrupamiento de riesgos y generación de informes. Como son unidades supervisoras, la primera línea comúnmente percibe a las funciones de segunda línea como aplicadoras de requisitos en lugar de facilitadoras, lo cual refleja la tensión natural entre supervisores y supervisados.

Funciones de primera línea (operaciones de negocios) que poseen y gestionan los riesgos El personal de toda la primera línea está, por definición, integrado en el negocio y, por lo tanto, es el más cercano a la acción. Ese personal asume y gestiona riesgos constantemente. Diseña, rediseña y ejecuta controles a diario. No obstante, por lo general hay solo una cantidad limitada de conjuntos de competencias en riesgo y control, y el profesional de la primera línea tiene poca exposición a formación o asesoramiento sobre diseño de control y gestión de riesgos. Dada la expectativa de que la primera línea sobresalga en su asunción y gestión del riesgo, parece que este sería el lugar más lógico para insertar el centro de excelencia.

Muchas organizaciones tienen precedentes de centros de excelencia dentro de la primera línea, como unidades especializadas dedicadas a la gestión de proyectos, el análisis de datos o la gestión de proveedores. Un centro de excelencia dedicado a las responsabilidades fundamentales de gestión de riesgos y control de la primera línea, posicionado dentro de la primera línea, en sí mismo, sería lógico. Les proporcionaría a los responsables del proceso de la primera línea y a la dirección un lugar no intimidatorio al cual recurrir en busca de conocimientos, asesoramiento y buenas prácticas de control y riesgo.

Los beneficios para la primera línea son claros: mejores entornos de diseño de control, gestión de riesgos más sólida y asunción de riesgos más inteligente, lo que conduciría a operaciones más eficaces y una mayor probabilidad de alcanzar los objetivos de negocios. Además, un centro de excelencia eficaz promueve la asunción más sólida del riesgo y control donde pertenece.

La segunda línea se beneficia al tener que dedicar menos energía a cultivar a la primera línea, permitiendo así una mayor concentración en sus tareas de supervisar y en sus especializaciones de riesgo. Una primera línea competente también contribuirá a mensajes más positivos en los informes de supervisión de la segunda línea, reflejando una primera línea más eficaz y una mejorada cultura de gestión de riesgos.

La tercera línea puede mejorar su aseguramiento de que la primera línea está comprometida con la excelencia en la gestión de riesgos. El centro de excelencia, en sí mismo, es una entidad auditable y como tal debería revisarse regularmente, además de su impacto en la madurez del riesgo de la organización.

La alta dirección puede aprovechar la existencia y eficacia del centro de excelencia para ilustrar de forma tangible la dedicación a una gestión de riesgos proactiva en toda la organización. Esto podría ser especialmente beneficioso en sectores económicos altamente regulados, dado que es probable que los auditores externos y examinadores normativos estén interesados en cómo el enfoque del centro de excelencia mejora la diligencia debida y el cumplimiento operativo.

La organización como un todo se beneficia al permitir que las funciones de las líneas de defensa se concentren de forma más plena en sus responsabilidades distintivas y principales. Este enfoque también mejora la cultura del riesgo al permitir un equilibrio saludable entre la gestión de riesgos proactiva a través del diseño de un control capaz y la identificación reactiva de problemas que necesitan corregirse.

Como defensora clave de los controles y la gestión de riesgos eficaces, auditoría interna puede ejercer su influencia con la alta dirección y el consejo de administración en apoyo al centro de excelencia. Para reforzar este caso de negocios, auditoría podría llevar a cabo un análisis de las causas principales que apunte a la falta de comprensión de los controles como factor clave contribuyente a las debilidades en toda la empresa. Auditoría interna puede destacar los peligros de no tener una primera línea experta en riesgo y control, y tener un rol en la tarea de hacer responsable al centro de excelencia por incorporar riesgo y controlar los conocimientos prácticos en las operaciones.

Auditoría interna también podría colaborar con la segunda línea de defensa analizando el contenido de sus informes de auditoría, revisiones y evaluaciones con el fin de sintetizar los ejes de las debilidades en el control y las recomendaciones de buenas prácticas. Estos se combinarían con lecciones aprendidas por la primera línea en sí y divulgadas por el centro de excelencia para ayudar a los responsables del proceso y directivos a evitar problemas similares.

Las personas que asumen riesgos sensatos y los diseñadores de controles no surgen por casualidad, y aseguran una inversión específica. Pero la promesa de un centro de excelencia eficaz va mucho más allá de reducir la cantidad de interacciones desconcertantes con los clientes que no entienden el riesgo y el control. Toda la organización puede beneficiarse a medida que las mejoras en los resultados de negocios emergen de una cultura de riesgo caracterizada por capacidades de control generalizadas.

LANE KIMBROUGH, PHD, CIA, CRMA, CCSA, es director de controles y riesgo de negocios en USAA en San Antonio.

Navigating the Complexities of Corporate Culture

Culture audits are an opportunity for auditors to talk to employees, managers, customers and vendors, and report on whether the company is living its values, or whether they are hollow. Read more from 15 audit leaders featured in this publication.

© 2017 Protiviti Inc. An Equal Opportunity Employer M/F/Disability/Veterans. PRO-1017

Download a copy at protiviti.com/iaworld.

Internal Auditing Around the World, Volume XIII

DICIEMBRE DE 2017 63INTERNAL AUDITOR

POR J. MICHAEL JACKA

LEA EL BLOG DE MIKE JACKA, visite InternalAuditor.org/mike-jacka

Perspectivas/Los pensamientos de JackaPARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a michael.jacka@theiia.org

El valor de auditoría interna, a menudo, se transmite mejor a través de los clientes a los que presta servicio.

UN CÍRCULO DE DEFENSORES

Los auditores internos pasan mucho tiempo intentando convertir a la gente. En algunos casos,

las conversiones son pequeñas: «Estos son los hallazgos. Lleguemos a un acuerdo sobre lo que está mal y cómo mejorarlo». En otros casos, las conversiones son mucho mayores: «A pesar de lo que piensa, auditoría interna no está aquí para rematar a los heridos; estamos aquí para ayudar a que la organización alcance sus objetivos». Cuando hacemos ese trabajo bien, desarrollamos un círculo de defensores que se convierten en nuestros mejores promotores.

Hablamos mucho sobre cómo realizar estas conversiones (cómo vender a auditoría interna a los detractores que nos ven como el enemigo). Y perfeccionar ese discurso de ventas es importante, ya que muchos clientes responderán bien a nuestros esfuerzos. Pero rara vez hablamos sobre cuándo deberíamos dejar de vender y simplemente alejarnos.

La desagradable verdad es que algunas personas nunca comprarán lo que vende auditoría interna. Se han visto perjudicados, tienen sus propios objetivos o sencillamente se niegan a ver a auditoría interna como aliada. Y como dice el viejo refrán, nunca trates de

enseñar a un cerdo a cantar; perderás tu tiempo y fastidiarás al cerdo. Los auditores internos deben reconocer que algunos clientes, sin importar cuánto intentemos convencerlos, nunca elogiarán a auditoría interna. Y una vez que los hayamos identificado, debemos estar dispuestos a alejarnos.

Por supuesto, el nuestro es un enfoque basado en riesgo, y si los riesgos se encuentran en el ámbito de incumbencia de alguien a quien simplemente no le gustamos, no podemos abandonar a esa persona, departamento u organización. No, incluso aunque nos enfrentemos con aversión o hasta odio puro, igualmente debemos hacer nuestro trabajo, mantener el nivel de nuestro trabajo y continuar avanzando. Pero eso no significa que debamos desperdiciar esfuerzos adicionales intentando convencer al cliente de nuestro valor añadido.

Recordemos que, incluso cuando «nos damos por vencidos» con clientes así, igualmente nos estamos vendiendo a ellos. En primer lugar, al proporcionar valor de forma continua, seguimos quebrando el muro que han erigido entre su departamento y el nuestro.

Pero un trabajo de ventas más importante (y el más

convincente) proviene de ese círculo de defensores. Si redirigimos nuestros esfuerzos alejándonos de esos defensores mientras intentamos vendernos a los detractores, podemos comenzar a erosionar nuestra base de partidarios. Pero si mantenemos nuestra concentración en esos partidarios, se convierten en defensores más fuertes. Y comenzará a correrse la voz. Y no pasará mucho tiempo hasta que los detractores escuchen a sus compañeros de trabajo elogiar a auditoría interna como grupo que proporciona valor, que es asesor de confianza y que representa un socio real para la empresa.

Tom Peters (como hace a menudo) lo dijo en mejores términos: «¿La mayor pérdida de tiempo? Intentar “convertir” a los que no creen. Por el contrario, rodéelos. Es decir, no los “convierte”. “Ellos” “descubren”: pasan a valorar lo que usted hace porque algunos de sus compañeros se han unido». Cuando se trata de vender a auditoría interna, a veces la voz del cliente es la que más se escucha.

J. MICHAEL JACKA, CIA, CPCU, CFE, CPA, es cofundador y director creativo de Flying Pig Audit, Consulting, and Training Services en Phoenix.

Vigilar el negocio

DICIEMBRE DE 201764 INTERNAL AUDITOR

LEA MÁS SOBRE LOS TEMAS DE NEGOCIOS ACTUALES, siga a @IaMag_IIA en Twitter

J. MICHAEL PEPPERS, CIA, CRMA, QIALPresidenteConsejo de administración global del IIA

SHANNON URBAN, CIA, CRMAPresidenteConsejo de administración del IIA de América del Norte

FACTORES DE ÉXITOLos presidentes de los consejo de administración norteamericano y global del IIA comparten qué necesitan los auditores internos para tener éxito en 2018.

impactantes o eficientes para un área de riesgo en particular. Los auditores internos deberían dedicar un tiempo durante la fase de planificación de un proyecto de auditoría para desafiarse en cuanto al enfoque y las técnicas que implementan, y hacer que la innovación o la mejora continua sea parte del proceso de planificación. PEPPERS Tenemos que estar en contacto con esas expectativas. Los miembros de nuestro equipo de auditoría son los mejores recursos para ayudar con eso. Deberíamos alentarlos a que escuchen a nuestros clientes y regresen a decirnos qué escuchan. Como grupo, entonces podemos responder. Aunque la adaptación y la evolución son primordiales, también hay principios y prácticas fundamentales que no deberían fluctuar ampliamente. Así que considere cuidadosamente dónde y cuándo invertir tiempo y recursos en el cambio.

¿Cuál será el impacto de los cambios disruptivos como el análisis de datos, la inteligencia artificial (IA) y la cadena de bloques?PEPPERS Me encuentro con que algunos auditores internos

¿Cómo puede auditoría interna alinearse mejor con las prioridades estratégicas de la organización?PEPPERS Todas las encuestas recientes del IIA a partes interesadas nos indican que debemos mantener o mejorar la alineación de la organización para seguir siendo relevantes. Una prueba práctica para asegurarnos de que auditoría interna tiene el equilibrio correcto es considerar cuánto de su esfuerzo de evaluación de riesgos se está dedicando a observar retroactivamente a eventos pasados en comparación con observar hacia el futuro lo que está por venir. Confirme que los trabajos de asesoramiento y aseguramiento estén seleccionados para abordar los objetivos actuales de la organización. Por supuesto, eso presume que usted esté informado acerca de esas actividades estratégicas. URBAN Estamos en una era de transformaciones: los negocios hoy en día son cualquier cosa menos usuales. Las prioridades estratégicas están impulsando a las organizaciones más que nunca a continuar protegiendo y creciendo. Aquí es donde

podemos añadir un tremendo valor al vincular nuestros planes de auditoría con la estrategia de la organización. Si nuestro trabajo de aseguramiento y consultoría no está alineado con lo que es lo más importante para la organización, deberíamos cuestionarnos por qué lo estamos haciendo. Si es un requisito normativo o de la dirección, entonces deberíamos identificar formas para cubrir esas áreas con mayor eficiencia para que podamos concentrarnos más en los riesgos alineados con las prioridades estratégicas.

¿Cómo debería adaptarse auditoría interna para satisfacer las expectativas cambiantes?URBAN Es crucial que las prácticas y los procesos de auditoría interna sean flexibles y capaces de adaptarse a los cambios disruptivos que suceden a nuestro alrededor. Muchas funciones de auditoría interna siguen prácticas estipuladas que están talladas en piedra en el manual de auditoría. Esto ayuda con la consistencia y calidad, pero a veces evita que los auditores exploren enfoques alternativos que podrían ser más

DICIEMBRE DE 2017 65INTERNAL AUDITOR

PARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a editor@theiia.org

todavía consideran al análisis de datos como un cambio disruptivo reciente o nuevo. Hemos tenido esa tecnología disponible para nosotros durante más de 20 años, y algunos todavía ni siquiera la tocan. Cuando pensamos en cómo la IA impactará en nuestras organizaciones en los próximos años, los auditores que asumen un enfoque no intervencionista similar lo harán bajo su propio riesgo. Queremos estar en una posición futura para auditar estas tecnologías emergentes, así que necesitamos estar en el lugar donde se toman las decisiones de infraestructura, arquitectura y gobierno relacionadas.URBAN Estas tecnologías emergentes están alterando las normas, los procesos y los modelos de negocios de larga data. Contienen la clave para que muchas organizaciones impulsen operaciones más rentables y fiables, pero podrían estar introduciendo riesgos en los que nadie ha pensado aún. También prometen nuevas capacidades increíbles para los auditores que comprendan y adopten lo que estos facilitadores pueden aportar al proceso de auditoría. Me gusta pensar en estas tecnologías como multiplicadoras de la capacidad y el potencial de auditoría (si alguna vez somos lo suficientemente valientes para dar el salto).

¿Cómo pueden los DEA mejorar sus relaciones con el consejo de administración y el comité de auditoría?URBAN Mucho se reduce a una mejor comunicación y a desarrollar la confianza. Es fácil asumir que sabemos lo que desean, o necesitan, nuestras partes interesadas de auditoría interna; pero muy pocos de nosotros lo preguntan directamente. En nuestra organización, estamos en contacto con las partes interesadas clave al menos una vez por trimestre, y no solo para abordar el estado del plan u otras cuestiones administrativas. Hablamos acerca de lo que es importante para ellas como partes interesadas y qué define un servicio de auditoría de alta calidad y alto valor. ¿Cómo nos va? ¿Estamos errándole al objetivo? Intentamos comprender su estilo personal y social, sus preferencias comunicativas, etc. PEPPERS Creo que un DEA tiene que comenzar por reconocer con franqueza el estado actual de esas relaciones. No asuma simplemente que todo está bien. Un gran indicador es la frecuencia de la comunicación y quién la inicia. Solicite una devolución sincera sobre el estilo y después manténgalo o modifíquelo en consecuencia. También es imperativo que los DEA aprovechen totalmente cada oportunidad que tengan en frente de sus comités de auditoría y consejos de administración. Debemos presentarles creativa y eficazmente el espectro total de nuestro trabajo y los impactos que estamos generando.

¿Cómo puede auditoría interna añadir valor a la estrategia de sostenibilidad de la organización?PEPPERS Los auditores deben tener una visión holística y a largo plazo de la organización, sus objetivos y sus riesgos. Esto incluye cuestiones en torno a su sostenibilidad a largo plazo y los recursos que usa para entregar productos y servicios a sus clientes. Por ejemplo, muchas auditorías se concentran en el proceso, y aunque muchos auditores podrían usar un esfuerzo de trazado del proceso conocido como SIPOC (sigla en inglés para proveedores, entradas, procesos, salidas y clientes), por lo general no se dedica mucho tiempo a comprender los riesgos asociados con

los suministros y las entradas al proceso. ¿Quién proporciona las entradas? ¿Dónde obtienen su oferta? ¿Hay una capacidad limitada de suministros? ¿O la demanda supera la oferta? ¿Qué sucedería si ese proveedor ya no pudiera entregar? Esta es solo una ruta de cuestionamientos que se abre al simplemente mirar más allá de lo que se audita normalmente. Hay muchas otras rutas posibles cuando las operaciones se consideran desde una perspectiva de sostenibilidad a largo plazo.URBAN Según la Revisión estacional de representantes de 2017 del Centro para asuntos de consejos de administración, un 49 por ciento de todas las propuestas de los accionistas se relacionan con cuestiones sociales o ambientales. Con temas tan diversos como emisiones de gases de efecto invernadero, diversidad en el consejo de administración, y seguridad y salud ambiental, muchos equipos de auditoría interna están encontrando un lugar para estos temas en el plan de auditoría. Auditoría interna puede abordar los temas de sostenibilidad y ambientales, sociales y de gobierno de muchas maneras. Una forma es ver la estructura de sostenibilidad de gobierno global. ¿Es una función independiente que emite un informe una vez por año? ¿O está integrada a la empresa? ¿Mide o informa sobre mediciones clave y tiene objetivos de reducción implementados? ¿Está liderada por un ejecutivo de rango superior? Algunas organizaciones también están examinando si deben y cómo integrar el riesgo no financiero a su proceso global de gestión del riesgo empresarial, especialmente a la luz del reciente interés en estas áreas que ha demostrado la Comisión del Mercado de Valores de EE. UU. y los accionistas.

¿Cómo atrae y retiene auditoría interna al tipo correcto de talentos considerando estas cuestiones? URBAN ¡Ahora sí hablamos de cambio disruptivo! Todo el modelo de negocios de cómo y dónde se obtienen candidatos está cambiando en todas las empresas. Auditoría interna no es la excepción. Las organizaciones como la nuestra se están adentrando en mayor profundidad en las universidades para identificar talentos de alto desempeño que se encuentren incluso hasta en el primer año para unirse a nuestro personal. Los antecedentes tradicionales y las especializaciones aún son necesarios, pero estamos contratando más científicos de datos, ingenieros, especialistas en TI y otros no contadores. Las organizaciones continúan desarrollando programas de desarrollo de liderazgo rotativos que incluyan tiempo en auditoría interna, pero con el objetivo de desarrollar futuros líderes de empresas (no futuros auditores). PEPPERS La selección de los recursos correctos para el equipo comienza por que todos comprendan claramente qué conlleva el trabajo. Esa claridad incrementará la probabilidad de encontrar a la persona correcta para el puesto, y se dará lugar a la satisfacción laboral y se mejorará la retención. Pero eso es cada vez más difícil dada la naturaleza dinámica del entorno del que hemos estado hablando. Una colega DEA hace poco me dijo que está modernizando su forma de contratar personal para que pesen mucho las habilidades de razonamiento crítico. Cuando estas se encuentran presentes, ella nota que las personas son mejores a la hora de desempeñarse, contribuir y crecer a lo largo del tiempo. Cuando eso sucede en toda la actividad de auditoría interna, todos se ven beneficiados.

Envíe su solicitud hoy en www.theiia.org/CIA

Consolide su credibilidad.

Añadir la credencial Certified Internal Auditor® (CIA®) a su currículum vitae, perfil de LinkedIn y tarjeta de negocios le ayudará a destacarse y demostrar quién es:

• Un verdadero experto que comprende y puede aplicar las Normas del IIA.

• Un profesional más fuerte y competente.

• Equipado para las oportunidades de avance profesional.

• Un auditor interno fiable y de confianza.

Convertirse en un Auditor interno certificado (CIA) le ayuda a desarrollar una base más sólida para superar los desafíos presentes y futuros que enfrente en su carrera profesional.

Si busca crecer profesionalmente, obtener su certificación CIA es un paso crucial.

2017-1210

Acelere su carrera profesional Certificaciones y calificaciones del IIA

DICIEMBRE DE 2017 67INTERNAL AUDITOR

EL IIA OFRECE muchas oportunidades de formación durante todo el año. Para obtener un listado completo, visite www.theiia.org/events

DICIEMBRE/ENERO/FEBRERODICIEMBRE/ENERO/FEBRERODICIEMBRE/ENERO/FEBRERODICIEMBRE/ENERO/FEBRERO

Calendario del IIA

IIAFORMACIÓNwww.theiia.org/training

4 A 13 DE DIC.Aspectos básicos de la auditoría de TIEn línea

5 A 8 DE DIC.Varios cursosNueva York

5 A 8 DE DIC.Varios cursosDenver

5 A 14 DE DIC.Herramientas Lean Six Sigma para la planifi cación de auditoría internaEn línea

6 A 15 DE DIC.Evaluación de riesgos: asegurar el valor de la auditoría internaEn línea

11 A 14 DE DIC.Varios cursosOrlando

12 A 15 DE DIC.Varios cursosAustin

18 DE DIC.Aspectos fundamentales de la auditoría internaEn línea

19 A 20 DE DIC.Planifi cación de la sucesión: aprovechar e infl uenciar a los milenials y a otras generacionesEn línea

2018 8 A 26 DE ENE.Curso del sistema de formación integral de CIA con instructor, parte 1En línea

16 A 18 DE ENE.Auditoría basada en el riesgo: una propuesta que añade valorEn línea

16 A 25 DE ENE.Auditar la supervisión de seguridadEn línea

16 A 25 DE ENE.Auditoría operativa: fomentando un cambio positivoEn línea

22 A 31 DE ENE.Redacción de informes de auditoríaEn línea

5 A 14 DE FEB.Evaluación de riesgos: asegurar el valor de la auditoría internaEn línea

5 A 14 DE FEB.Realizar una evaluación de calidad efi cazEn línea

CONFEREN-CIAS DEL IIAwww.theiia.org/conferences

201812 A 14 DE MARZOConferencia de Gerentes Generales de AuditoríaAria Resort & CasinoLas Vegas

15 DE MARZOIntercambio sobre medio ambiente, salud y seguridadAria Resort & CasinoLas Vegas

6 A 9 DE MAYOConferencia InternacionalDubai World Trade CentreDubái, EAU

FOTO

: RAW

PIXE

L.CO

M /

SH

UTT

ERST

OCK

.CO

M

6 A 15 DE FEB.Gestión de riesgos en empresas: factor que impulsa el éxito de la organizaciónEn línea

13 A 16 DE FEB.Varios cursosPhoenix

13 A 22 DE FEB.Cómo auditar la seguridad cibernética en un mundo inseguroEn línea

19 A 22 DE FEB.Muestreo estadístico para los auditores internosEn línea

19 A 29 DE FEB.Aspectos básicos de la auditoría de TIEn línea

26 DE FEB. A 1 DE MARZOVision UniversityOrlando

27 DE FEB.Aspectos fundamentales de la auditoría internaEn línea

LEA MÁS OPINIONES SOBRE LA PROFESIÓN, visite nuestra sección Voices (Voces) en el sitio InternalAuditor.org

DICIEMBRE DE 201768 INTERNAL AUDITOR

Perspectivas/En mi opiniónPARA HACER COMENTARIOS sobre este artículo, ENVÍE UN CORREO ELECTRÓNICO al autor a mark.ledman@theiia.org

POR MARK LEDMAN

La interacción con los clientes nunca debería restringirse a los portátiles y servidores.

¿ESTÁ USTED AUDITANDO POR CORREO ELECTRÓNICO?

La tecnología ha ampliado el alcance de auditoría interna considerablemente

en los últimos años. Con el surgimiento de herramientas sofisticadas de comunicación y análisis, los auditores ahora pueden reunir y examinar información sin siquiera salir de la comodidad de sus oficinas (un proceso al cual nos referimos a veces como «auditoría por correo electrónico»). Pero auditoría interna debe ser cuidadosa con la tecnología, a pesar de su conveniencia y sus capacidades, asegurándose de que las herramientas no conduzcan a una interrupción del trabajo de campo. Los auditores que se ocultan en sus oficinas y realizan el trabajo desde la lejanía se arriesgan a perder oportunidades de comunicación y observaciones potencialmente claves.

En el pasado, casi todos los trabajos operativos requerían visitas físicas para examinar la documentación original. Los recorridos de los lugares y el tiempo cara a cara con el cliente se asumían. De hecho, las actividades en el lugar, a menudo, consumían una gran proporción de los cronogramas de trabajo. Hoy en día, muchos auditores pueden extraer datos de las transacciones directamente de los sistemas de planificación de recursos y obtener toda la

información que necesitan de manera remota. La transición a los datos electrónicos ha hecho que la obtención de los documentos originales sea un proceso menos arduo y que consume menos tiempo.

No obstante, los auditores internos deben asegurarse de que la tecnología no trabaje, de alguna forma, en su contra. La comunicación es crucial, y es mucho más probable que se produzca regularmente si hay personal de auditoría interna disponible en el lugar. La comunicación continua ayuda al equipo de auditoría a comprender el negocio del cliente, a desarrollar relaciones y a mejorar el diseño de los procedimientos de auditoría. Además, reduce la posibilidad de sorprender a los clientes con noticias inesperadas.

Eliminar la interacción con los clientes y la presencia física en los trabajos puede privar a auditoría interna de información potencialmente valiosa. Sin los ojos y oídos de los auditores en el lugar, puede ser mucho más difícil alcanzar un entendimiento suficiente del entorno de control interno o ayudar a identificar los riesgos clave que podrían amenazar el éxito de la organización. La falta de presencia también genera un desafío para el trabajo de consultoría, lo que hace que el rol de asesor de confianza sea difícil de alcanzar.

Pasar tiempo en el lugar permite que el equipo de auditoría adapte mejor su trabajo a las circunstancias individuales. Cuando los auditores se mueven por la organización y observan físicamente el entorno del cliente, pueden ajustar el programa de auditoría con mayor facilidad a medida que toman conocimiento de información nueva. Estos ajustes, a su vez, proporcionan un mayor valor al cliente y a la organización en su totalidad.

Las empresas con alto desempeño deben mantenerse concentradas en los clientes y sus necesidades. De forma análoga, las funciones de auditoría de alto desempeño deben mantenerse en sintonía con las necesidades de las partes interesadas (una tarea que, a menudo, se logra mejor en persona). Los auditores deberían evitar renunciar a sus interacciones con los clientes en pos de la tecnología y recordar que el proceso de auditoría se trata en igual medida de construir relaciones como de un esfuerzo individual. Los buenos auditores no solo sobresalen en el análisis y las evaluaciones; también saben cuándo cerrar sus portátiles y salir al mundo real.

MARK LEDMAN, CISA, es subgerente de auditoría estatal de la Oficina del Auditor del Estado de Carolina del Norte, en Raleigh.

2017-0019-CIALS

Logre la excelencia el día del examen con el sistema de aprendizaje del CIA, CIA Learning System®, del IIA

• Amplios materiales que instruyen sobre todo el programa del examen del CIA y se alinean con el IPPF® 2017.

• Herramientas de estudio optimizadas para dispositivos móviles que hacen que sea fácil estudiar donde desee y cuando tenga tiempo.

• Opciones de cursos flexibles que le permiten estudiar a su manera: cursos autodidactas, en línea o presenciales liderados por un instructor.

Para obtener más información o para probar 10 preguntas gratuitas de práctica, visite www.LearnCIA.com.

PREPARACIÓN PARA EL EXAMEN DE LOS EXPERTOS DEL CIACIA

®

Copyright © 2017 Wolters Kluwer Financial Services, Inc. 10209

TeamMate AnalyticsLa herramienta que le proporciona todo lo que necesita para la ejecución de análisis de datos.

Obtenga más información en:TeamMateSolutions.com/ES/Analytics

Copyright © 2018 Wolters Kluwer Financial Services, Inc. 10243