Fuente: Tomado del documento CONAVIRUS
(COVID - 19) publicado por el IIA-UK el 23 de abril de 2020. Traducido por:
Juan Villanueva Chang
Como con todos los
riesgos, no es función de auditoría interna administrar el riesgo. El papel
principal de la auditoría interna debe ser garantizar la gobernanza y el
funcionamiento de la gestión de riesgos. Sin embargo, a través de la
participación en diversas actividades, por ejemplo, al asistir a reuniones de
gestión de crisis, se podría discutir con auditoría interna si se puede
evaluar si se han identificado todos los riesgos actuales y futuros. Algunos de
los riesgos a considerar pueden ser:
·
Viajes de negocios
·
Trabajo remoto
·
Operaciones críticas y transferencia a diferentes
ubicaciones
·
Funciones críticas y cómo mantenerlas operando a la luz
de las reducciones en la fuerza laboral
·
Interrupción de las cadenas de suministro
·
Comunicaciones con el personal que están fuera del
negocio
·
Continuidad del negocio
Los auditores
internos también deberían analizar si la planificación de la continuidad del
negocio de su organización sigue siendo apropiada, relevante y actualizada
para cumplir ante la presencia del COVID- 19 y otros escenarios específicos.
Se debe considerar
la planificación de comunicación y coordinación, los protocolos de toma de
decisiones y los planes de acción de emergencia. Como parte de la función de
auditoría interna, pueden proporcionar un monitoreo continuo para identificar
cualquier brecha y brindar asesoramiento y garantía.
El Apéndice 1
proporciona un enfoque que auditoría interna puede emplear en la
planificación ante la presencia de COVID-19 y considerar la efectividad de los
planes de la organización.
La auditoría
interna debe asesorar sobre:
·
Otros riesgos asociados, incluidas las amenazas
cibernéticas y de reputación. Recientemente, las compañías japonesas
detectaron correos electrónicos con malware que se disfrazaban como guía
sobre COVID-19, según TechRadar Pro, un sitio web de noticias y reseñas de
tecnología de consumo con sede en el Reino Unido.
·
Sobre las implicaciones a largo plazo, para considerar
cómo lograr que la organización se gestione después de COVID-19 con respecto
a aumentar la producción y hacer frente a la demanda.
Richard Chambers
CEO / Presidente IIA Global informa a los auditores internos que el virus es un
claro ejemplo de un riesgo emergente. Algunos riesgos emergentes son muy
difíciles de prever, y su impacto final es difícil de juzgar. Pero esta
dificultad no oculta la verdad de que COVID-19 presenta un peligro claro y
convincente, no solo para la salud y el bienestar de la población en general,
sino para las organizaciones de todo el mundo.
Estos tipos de
riesgos requieren atención, habilidades y el posicionamiento único para que
el aporte de auditoría interna pueda ser invaluables. Hay acciones clave que
los auditores internos ya debería estar comenzando a implementar en apoyo a
sus organizaciones, tales como:
1. Comprender y evaluar la gama completa de los riesgos
inmediatos.
La administración
es responsable de administrar los riesgos. Deben tener en marcha esfuerzos para
identificar todos los riesgos posibles, evaluar su impacto potencial y pensar
en las respuestas.
La auditoría
interna tiene como función abordar objetivamente los riesgos. A través de
conversaciones con la gerencia y la participación en cualquier variedad de
actividades, la auditoría interna puede evaluar si la gerencia ha identificado
el rango completo de riesgos, directos e indirectos, y el rango de acciones
para manejar estos impactos potenciales.
Auditoría interna
debe conocer si la gerencia ha discutido los riesgos relacionados con:
·
Viajes de negocios
·
Evaluar las capacidades de los empleados que trabajan de
forma remota durante períodos potencialmente largos
·
Determinar si las operaciones comerciales críticas
pueden transferirse a diferentes ubicaciones • Considerar interrupciones en las
cadenas de suministro, y
·
Garantizar una comunicación bidireccional efectiva con
el personal
Sin embargo, estos
son solo un subconjunto de los posibles impactos. La auditoría interna puede
evaluar si la administración está considerando posibles interrupciones en los
servicios de almacenamiento de datos fuera del local. Cómo el brote afectará
los comportamientos de compra de los clientes; o si la capacidad de la
organización para proporcionar un servicio técnico a los clientes se verá
afectada.
2. Evaluar la gestión de crisis existente
Situaciones como
ésta refuerzan la necesidad de una planificación bien desarrollada y probada.
La gestión de crisis y los planes de continuidad del negocio deben articular
claramente los roles designados, los planes de comunicación y coordinación,
los protocolos de toma de decisiones y los planes de acción de emergencia.
La gerencia
debería haber revisado estos planes en busca de brechas. La auditoría interna
puede monitorear este esfuerzo y brindar asesoramiento cuando existan
deficiencias.
Es importante
resaltar que ahora no es el momento de informar simplemente un problema, sino
de ayudar a garantizar que los planes sean adecuados.
Además, la clave
es determinar la mejor manera de mantener a las partes interesadas informadas
sobre las actividades de la organización y educar a los empleados, la alta
gerencia y la junta sobre los protocolos adecuados.
3. Aconseje a su organización sobre cómo pensar más
allá de los riesgos inmediatos.
Hay riesgos
asociados a COVID-19 que deberían en adelante estar en el radar de las
organizaciones, incluidas las amenazas cibernéticas y de reputación. El
Boletín del IIA sobre COVID-19, publicado recientemente, señaló:
"Incluso cuando las organizaciones se encuentran en las primeras etapas de
determinar los posibles impactos del coronavirus en sus operaciones, está
surgiendo un riesgo auxiliar: la ingeniería social en medio de la
crisis". El boletín continúa describiendo ataques de “phishing”
disfrazados de orientación sobre el virus.
Del mismo modo, la
reputación de una organización puede verse afectada por cómo responde. Una
universidad importante era recientemente criticada por su publicación en
Instagram que mencionaba "xenofobia o prejuicio contra personas de otros
países“, como reacciones "normales" ante la creciente preocupación
por la propagación de COVID-19.
4. Aconseje a su organización que piense en las
implicancias a largo plazo.
El impacto de
COVID-19 en las operaciones y la economía en general podría potencialmente
durar meses o incluso años. Las organizaciones deberían analizar cómo una
interrupción extendida podría afectar las cadenas de suministro, la
productividad, las proyecciones de crecimiento empresarial, el flujo de caja,
las expectativas de ganancias y más.
Las organizaciones
también deberían estar pensando en cómo manejarían los escenarios
post-epidémicos, como aumentar rápidamente la producción para responder a la
demanda acumulada. Está bien documentado el accionar que las empresas que
abren primero después de un desastre natural son a menudo las que obtienen
mejores resultados a largo plazo.
5. Continúe monitoreando y actualizando su pensamiento.
Los riesgos
emergentes, por su naturaleza, son impredecibles. La administración y la
auditoría interna deben monitorear continuamente lo que está sucediendo
dentro y fuera de la organización, siendo ágiles para cambiar y pivotar,
según sea necesario. La administración puede consumirse al ejecutar planes
para manejar lo que creen que está ocurriendo, perdiendo de vista lo que ha
cambiado. La auditoría interna está bien posicionada para ayudar a la
administración a hacer esta conexión.
Puedes descargar el
documento original aquí.
¿Te ha gustado
la información? ¡Compártela con otro auditor interno!
Gracias Nahun, excelente material. Saludos desde Panamá.
ResponderEliminar