¿Te ha gustado la frase? ¡Compártela con otro auditor interno!
Javier Fernando Klus, MBA, CIA
El presente documento es extracto del documento emitido por el IIA ONRISK 2022. En este nuevo documento que nos presenta los riesgos que las organizaciones deberán afrontar para el próximo año, encontramos básicamente 12 riesgos, muchos de los cuales ya formaban parte del documento emitido en la edición ONRISK 2021 y otros se han visto potenciados representando riesgos que impactarán más allá del 2022.
Todos los riesgos contenidos en este documento son aplicables a cualquier tipo de organización con independencia del tamaño de la organización, industria, etc.
En este nuevo documento los riesgos son enunciados en función a su relevancia y son los siguientes:
1. CIBERSEGURIDAD: Los cada vez más sofisticados ataques, así como la variedad de los mismos continúan generando estragos en las organizaciones, ya sea desde el punto de vista de la reputación como así en lo financiero. En la ponderación de este riesgo se tiene en cuenta que tan bien las organizaciones se encuentran preparadas para esta contingencia.
2. GESTIÓN DEL TALENTO: las nuevas prácticas de trabajo remoto que se han generalizado en todas las organizaciones, esto sumado a las condiciones cada vez más dinámicas en el mercado laboral, hacen que las organizaciones tengan un desafío relacionado con la adquisición, mejora y retención de sus talentos.
3. GOBIERNO ORGANIZACIONAL: Este concepto abarca todos los aspectos de cómo debe ser dirigida una organización, su sistema de reglas, prácticas habituales, procesos y controles. A través de este riesgo se evalúa si esta gobernanza establecida ayuda o dificulta al cumplimiento de los objetivos.
4. PRIVACIDAD DE DATOS: La cada vez más importancia de los datos, así como las regulaciones existentes en distintas jurisdicciones de todo el mundo está haciendo que la privacidad de los datos sea cada vez más complejo y dinámico para las organizaciones. En este riesgo se evalúan como las organizaciones protegen los datos confidenciales y garantizan el cumplimiento de estas regulaciones.
5. CULTURA: Con un porcentaje cada vez mayor de empleados profesionales que trabajan de forma remota a tiempo completo o parcial, las organizaciones se ven desafiadas a mantener, mejorar o controlar su cultura organizacional. Este riesgo examina si las organizaciones entienden, monitorean y administran el tono, los incentivos y las acciones que impulsan el comportamiento deseado dentro de las organizaciones.
6. VOLATILIDAD ECONÓMICA Y POLÍTICA: Los posibles impactos permanentes de la pandemia, así como la volatilidad de los ciclos económicos genera incertidumbre. En este riesgo se analizan las incertidumbres que se pueden generar en el contexto económico y cómo las empresas puedan afrontar las mismas.
7. CAMBIO EN EL ENTORNO REGULATORIO: En esta situación post pandemia el apetito de los gobiernos por las regulaciones puede impactar de forma significativa principalmente en las que se consideran altamente reguladas.
8. GESTION DE PROVEEDORES Y VENDEDORES: El éxito de una compañía depende de tener relaciones fructíferas con sus socios comerciales y proveedores externos. Este riesgo evalúa la capacidad de la organización para monitorear sus relaciones con terceros.
9. INNOVACIÓN DISRUPTIVA: Estamos en una era de nuevos modelos de negocios alimentados por tecnología disruptiva. Este riesgo examina si las organizaciones están preparadas para adaptarse y/o capitalizar la disrupción.
10. SOSTENIBILIDAD SOCIAL: En este riesgo se examina la capacidad que tienen las organizaciones para comprender y gestionar los impactos directos e indirectos que sus acciones pueden tener en los individuos y comunidades.
11. INTERRUPCIÓN DE LA CADENA DE SUMINISTROS: La interrupción de las operaciones habituales a nivel mundial originadas en la pandemia global, ha destacado la necesidad de resiliencia en las cadenas de suministro en apoyo del logro de los objetivos estratégicos de las organizaciones. Este riesgo examina si las organizaciones han incorporado la flexibilidad para adaptarse a las interrupciones actuales y futuras de la cadena de suministro.
12. SOSTENIBILIDAD MEDIOAMBIENTAL: Las organizaciones se enfrentan a una mayor presión de las partes interesadas, que incluyen accionistas, reguladores, clientes y empleados, para evaluar y divulgar cómo están impactando el medio ambiente en que operan. Este riesgo examina la capacidad de las organizaciones para medir, evaluar e informar con precisión de manera confiable sus impactos ambientales.
De este conjunto de riesgos el informe estima cinco, los cuales aumentarán su relevancia los próximos tres a cinco años, los riesgos son:
Ciberseguridad, Gestión del Talento, Innovación disruptiva, Cultura y Volatilidad económica y política.
En estos riesgos las organizaciones enfrentan grandes brechas que deben gestionar, por ejemplo, en el caso de la Ciberseguridad se ve reflejada la constante lucha de las organizaciones por mantenerse al día con la naturaleza cambiante y molesta de los riesgos cibernéticos. Los piratas informáticos buscan constantemente nuevas debilidades para explotar, Ransonware, denegación de servicios y otros ataques están creciendo cada vez más en número y sofisticación.
En el caso de la Gestión del Talento se espera que sea un riesgo relevante a futuro, de hecho, en el informe de este año es el que mayor brecha tiene, superando aún al de ciberseguridad. De hecho, la pandemia ha modificado el tradicional contrato social entre empleado y empleador. Esta situación como marca el informe “tendrá implicaciones tanto en el corto como a largo plazo para las organizaciones”.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
El entrenamiento está fundamentado en la metodología “learning by doing”, por lo que tienen un esquema orientado a la transmisión intensiva de herramientas, enfoques y formatos de trabajo concretos. Es muy importante señalar que aunque el curso taller será virtual pero el contacto con el facilitador será directo, por lo que los participantes podrán interactuar con el instructor, como si se estuviera realizando la capacitación de forma presencial.
Cada curso representa un espacio para el aprendizaje de mejores prácticas (Best Practice) sobre diversas metodologías que nos permitirán ser más efectivos y eficientes, con el fin de la adquisición de herramientas de clase mundial para mejorar la calidad del trabajo de su equipo de Auditoría Interna.
El enfoque es eminentemente práctico. A lo largo de los workshops se buscará el equilibrio entre aspectos conceptuales y ejemplos prácticos. Cada tema tratado se reforzará con ejercicios para poder incorporar de forma práctica los conceptos explicados.
Se aplicarán diversas herramientas que fomenten la participación e interactividad con los participantes, tales como trabajos grupales, simulaciones de situaciones, cuestionarios de autoevaluación, etc.
Ver detalle de Cursos Talleres Disponibles y más información aquí.¿Te ha gustado la información? ¡Compártela con otro auditor interno!
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, ….
Durante mi trabajo de acompañamiento para la implementación de prácticas de clase mundial en departamentos de auditoría interna de diversos tipos de empresas a lo largo de toda Latinoamérica he podido observar que siempre incluyen en el Estatuto del departamento la “Definición de Auditoría Interna” y en la sección de alcance del trabajo una frase similar a la siguiente:
Los servicios que prestamos se enmarcan en aseguramiento y consultoría.
Sin embargo, a la hora de preparar el Plan Anual de Auditoría Basado en Riesgos se olvidan completamente de incluir trabajos o proyectos de consultoría, dándole prioridad casi exclusiva a las actividades de aseguramiento, esto generalmente ocurre más frecuentemente en departamentos de auditoría interna que pertenecen a empresas que operan en sectores altamente regulados.
¿Qué realmente son los servicios de consultoría?
Son actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estén acordados con los mismos y estén dirigidos a añadir valor y a mejorar los procesos de gobierno, gestión de riesgos y control de una organización, sin que el auditor interno asuma responsabilidades de gestión. Algunos ejemplos de estas actividades son el consejo, el asesoramiento, la facilitación y la formación.
La cantidad y tipos de servicios de consultoría brindados por un departamento de auditoría interna varia ampliamente, según las necesidades de la organización; las competencias, experiencia y conocimiento requeridos por el personal para desarrollar la asignación; y los recursos disponibles.
¿Te gustaría conocer que tipos de trabajos de consultoría podrías incluir en el Plan de Auditoría correspondiente al año 2022?
A continuación, presentamos algunos ejemplos de servicios de consultoría que podrías incluir en tu Plan Anual del próximo año:
I. Mejora de procesos claves de negocio: Desarrollar una metodología disciplinada para mejorar la eficiencia, eficacia y economía de un proceso, con el propósito de optimizar los controles y maximizar el sistema de gestión de riegos. Aprovechar la ola de disrupción digital ocasiona por la pandemia del COVID 19, para ayudar a tu organización ha automatizar procesos completos, procedimientos y tareas rutinarias.
II. Auto-evaluación de control o auto-evaluación de riesgo y control: Si en los últimos meses se han realizado cambios significativos en los procedimientos podría ser hora de revisar el sistema de control. Llevar acabo talleres de facilitación o encuestas (cuestionarios) con el personal directamente envuelto en la actividad de negocio, con la finalidad de evaluar la efectividad de los controles, el nivel de riesgo residual y/o la posibilidad de alcanzar los objetivos.
III. Investigaciones de fraude: Trabajo de auditoría dirigido especialmente a evaluar posibles irregularidades, realizado frecuentemente para apoyar investigaciones de fraudes. Empleando herramientas de reconstrucción de datos e implementar un sólido sistema de recolección de evidencia electrónica o E-Discovery acorde con los requerimientos legales.
IV. Entrenamientos sobre gobierno corporativo y ética: Programas de capacitación formales para dar a conocer los principios y prácticas de gobierno; explicar que constituye un comportamiento ético; y cómo aplicar la ética en nuestro trabajo diario o sobre el Código de Conducta.
V. Auditoría continua: Emplear la tecnología para revisar de forma continua los controles para asegurarse que continúan trabajando efectivamente. Evaluar la posibilidad de empleo de técnicas de minería de datos, RPA o soluciones de IA usadas en su organización. Auditar a la velocidad del riesgo.
VI. Evaluación de grado de preparación: Revisión del nivel de desempeño antes de que un cambio mayor ocurra, tal como la implementación de una transformación digital o de TI significativa, sea completamente implementado para determinar si la compañía esta completamente preparada. Este trabajo puede incluir:
a. Anticipación de riesgos digitales: Alertar al equipo gerencial sobre posibles riesgos relacionados con la transformación digital.
b. Asesoramiento en riesgos de implantación de TI: Alertar a la dirección sobre posibles riesgos, relacionados con la implementación de nuevas soluciones digitales.
Adicionalmente, este trabajo también puede incluir la revisión de un nuevo producto o servicio antes de su implementación: Un análisis final antes de que el nuevo producto o servicio sea lanzado para suministrar asegurar que el diseño cumple con los objetivos de control.
VII. Apoyar el cumplimiento normativo: Expresar una opinión sobre el impacto para la empresa de la aplicación de una nueva ley, norma o regulación.
VIII. Colaborar con la segunda línea: Preparar mapa de aseguramiento, coordinar trabajo y propugnar por el desarrollo de un lenguaje común entre las tres líneas.
IX. Entrenamiento sobre control: Cursos formales de formación sobre el diseño efectivo y eficiente de un sistema de control interno, aplicación de marcos y normas.
X. Participar en comités o grupos de trabajo: Creados para el desarrollo de un producto, servicio o sistema para aconsejar sobre aspectos relacionados con riesgos y controles.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
Marta Cadavid, CAMS, CFE, AML
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
Javier Fernando Klus, MBA, CIA
Viendo la serie de Disney ¿Qué pasa sí…? se me ocurrió una idea y un pensamiento, imaginemos que existen múltiples universos en cada un de las cuales la realidad es distinta o bien existen pequeños hechos que ocurrieron o bien no ocurrieron y pudieron alterar significativamente la realidad tal cual la conocemos.En este universo alternativo prácticamente nada ha cambiado del que nosotros conocemos, salvo un solo detalle, no existe la auditoría y por consiguiente no existen los auditores.
Los invito a ver las sutiles diferencias o no tan sutiles de esta realidad alternativa:
En este universo alternativo el año es exactamente igual al nuestro, 2021 pero por alguna extraña razón la infraestructura, los adelantos tecnológicos son los de 200 años atrás, no existen empresas que hayan realmente invertido en tecnología ni tampoco existen grandes empresas, de hecho no existe un mercado de capitales que puedan utilizar las empresas para financiarse, y todo esto ha originado que el capital necesario para poder apalancar todos los cambios tecnológicos que se dieron en “nuestro universo” no existen.
Si seguimos profundizando en la estructura económica de este universo nos damos cuenta que las empresas, con su grado de evolución en desarrollo, también carecen de un conocimiento real de lo que hacen, es decir, de como son sus operaciones. Y en este desconocimiento desde una perspectiva de eficiencia y eficacia, las cosas se hacen sin un animo de mejora o de perfeccionamiento, sino que las empresas no tienen un real conocimiento de si son eficientes a la hora de ganar dinero.
El fraude, robo y demás actividades delictivas existen en estas organizaciones sin que nadie haga algo, ó aún peor, sin que se sepa. Una enorme sangría de recursos que podría ser utilizada para poder alcanzar los objetivos organizacionales, desaparecen y hacen que las empresas no pueden alcanzar todo su potencial.
Vivimos en una sociedad del siglo XVIII y mediados del siglo XIX en el año 2021 y todo esto por un simple detalle, este universo no tiene auditores. Y ¿Por qué se da esto? ¿Porque un simple hecho generó una alteración tan importante en la realidad?
En primero término, tengamos presente que la auditoría es una actividad de aseguramiento, permite dar credibilidad ante terceros de la situación de una empresa, por lo tanto, si pensamos en un mercado de capitales, elemento indispensable para que las empresas consigan financiamiento para apalancar sus operaciones e inversiones, el auditor es un elemento indispensable para que estos inversores tengan una opinión independiente de la situación real de una empresa. Tenemos a un tercero independiente que nos estará diciendo que la información que esa compañía está haciendo trascender refleja de forma razonable la realidad.
En este universo alterno, la no existencia de auditores implica que las operaciones diarias realizadas por la organización no están sujetas al escrutinio de un ojo experto e independiente que no sólo buscará errores en las operaciones y proceso que se realizan sino que también buscará el fraude, que es la manipulación, falsificación o alteración de registros o documentos; malversación de activos, supresión de los efectos de ciertas transacciones en los registros contables de forma intencional.
La eficiencia de las operaciones es un concepto que estas empresas no conocen, así como el concepto de “cumplimiento” es decir que las empresas cumplen al 100% con todas las regulaciones que las autoridades exigen. Por lo tanto existe un drenaje constante de fondos en el pago de multas, penalidades, etc.
Como vemos en este universo las empresas carecen de una gran cantidad de elementos que hacen que se puedan desarrollar, se puedan financiar, puedan enfocarse en sus objetivos estratégicos, puedan invertir, puedan disponer de capital de financiamiento y podemos seguir enumerando más situaciones. En este universo no solo las empresas sino el marco tecnológico atrasa 200 años y sólo porque una sola variable ha sido alterada. Así que en este universo, que es el que nos toca estar, demos gracias que existen los auditores.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
En el día de mañana realizaremos la Conferencia Magistral Reimaginando la Función de Auditoría Interna en un Mundo Postpandemia en la VII Convención Internacional de Auditoría Interna desarrollada por el Instituto Guatemalteco de Contadores Públicos y Auditores.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
Como novedad, este año, las tres entidades han preparado un segundo congreso, que tendrá lugar el día posterior en el mismo lugar, enfocado a los fraudes cometidos en internet, el I Congreso Nacional de Ciberseguridad. Los ciberataques exigen a las empresas e instituciones públicas adoptar medidas que reduzcan la probabilidad y el impacto que pueden causar en las mismas. En la presente jornada, se analizará la necesaria respuesta a otorgar desde el Compliance IT, así como la adecuada gestión de las principales incidencias de seguridad por parte de los agentes intervinientes.
Ambos eventos tendrán lugar en las instalaciones de la Residencia de la Guardia Civil en Madrid, con un aforo limitado, y serán emitidos íntegramente por streaming, para alcanzar a un mayor número de personas interesadas.
Durante las jornadas, contaremos con la participación de destacados ponentes como el director general de la Agencia Estatal de Administración Tributaria, Jesús Gascón Catalán, la directora de la Oficina Nacional de Lucha Contra el Fraude, Carmen Collado Rosique, y el presidente del Comité Técnico de Normalización 320 de UNE, Miguel Bañón, entre muchos otros. Además, participarán representantes de destacadas empresas e instituciones como el Ministerio de Hacienda, la Guardia Civil, los Mossos d’Esquadra, Vodafone, ABANCA, RENFE y CEPSA.
El precio de inscripción presencial a cada congreso es de 120 euros. También se puede adquirir el pack para participar presencialmente en ambos congresos por 200 euros. En caso de participar online, se podrá adquirir el acceso streaming por 100 euros, que da acceso a ambos congresos. Los/las asociados/as a la World Compliance Association cuentan con un 50% de descuento en todas las tarifas.
El evento cuenta con la inestimable colaboración de las entidades patrocinadoras Gómez Acebo & Pombo, Bureau Van Dijk, EQS Group y Refinitiv.
¡INSCRIPCIONES ABIERTAS!
Más información en: http://congresoantifraudeciber.eventocompliance.com/index_v3.php
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
Respondió: si es una persona íntegra, dale 1. Si además es inteligente, añádele un 0 a la derecha y valdrá 10. Si además es rico/a, agrégale otro cero, y pasará a 100. Si resulta que es bello/a, tendrás que darle otro 0 y será mil.
PERO SI PIERDE LA HONRADEZ, SU VALOR QUEDARÁ REDUCIDO A CERO.
Los auditores sabemos esto desde siempre, intuitivamente, y es por eso por lo que nos hemos ocupado de velar por la ética, empezando por la propia. Para eso el IIA ha promulgado su Código de Ética basado en cuatro principios:
• Integridad
• Objetividad
• Confidencialidad
• Competencia
Con cuarenta años dedicados al ejercicio profesional de la Auditoría Interna, siempre me asombró advertir que muchos colegas, sin apartarse del Código de Ética, actuaban de maneras que me parecían sin embargo incorrectas. Digamos que eran honestos pero no fanáticos…….
Hace algún tiempo, conocí el Código Bushido, el mucho más exigente Código de Ética de los Samurái. Sus principios no son cuatro sino siete:
1. Honradez y Justicia
2. Valor heroico
3. Compasión
4. Cortesía
5. Honor
6. Sinceridad absoluta
7. Deber y lealtad
Sin pretender que un auditor interno deba dejar la vida en el cumplimiento de su labor, como puede tocarle hacerlo a un samurái, advertí que la intensidad de estos preceptos llenaba ese vacío o superficialidad de nuestro Código de Ética de Auditores Internos. Y lo hacía principalmente en relación con los principios de Integridad y Objetividad.
En efecto: la Honradez y Justicia pueden considerarse sinónimos de Integridad y Objetividad, de modo que no vale la pena detenerse en este primer principio.
Pero, en relación con la Integridad el código Bushido nos señala, además, los siguientes conceptos:
El valor heroico. Es el que más necesario me parece. No basta con ser íntegro. Hay que serlo aunque eso nos pueda costar el empleo, la salud, e incluso la vida. La gente debe confiar en nuestra palabra y en que nuestra rectitud no tiene dobleces ni condiciones. Cuando la exigencia del valor heroico nos excede, debemos abandonar el puesto pero no traicionar nuestro mandato.
El honor. Nuestro principal juez es nuestra conciencia. Sin apartarnos nunca de las leyes y normas, debemos hacer todo lo que consideramos correcto aunque nada nos lo exija. Y no debemos hacer nada incorrecto aunque las Normas nos lo permitan. No aplicar el principio de que “ todo lo que no es ilegal es legal”. NO DEBEMOS HACER COSAS QUE CONSIDERAMOS INCORRECTAS AUNQUE SEAN LEGALES. Eso es deshonroso.
Deber y lealtad. Debemos hacernos plenamente responsables de nuestras acciones y no escudarnos en terceros, aunque las circunstancias nos lo permitan. Nuestro apego a lo correcto debe ser tan incondicional como nuestro rechazo a lo incorrecto.
Respecto de la Objetividad el código Bushido nos enseña:
La compasión. No basta con presentar los hechos de manera descarnada. Hay que ejercer empatía y considerar las circunstancias, tanto las atenuantes como las agravantes de responsabilidades, en primer lugar. En segundo término, no estamos solamente para señalar errores sino para ayudar en el camino a su resolución. La independencia no es excusa para no contribuir con las personas en dificultades con su tarea.
La cortesía. Objetividad no es rispidez. Nada se gana con cinismo o actitudes cáusticas. “ Lo cortés no quita lo valiente”. Presentar los hechos y opiniones con buenos modos ayuda a aceptarlos, y deja desairados a quienes no actúan de la misma form.
La sinceridad absoluta. El compromiso con nuestros dichos y acciones debe ser total. No podemos decir algo en público y otra cosa en privado. Podemos sí callar ciertos hechos debido a la necesaria confidencialidad.
No podemos escudarnos en que dijimos algo porque estábamos molestos, ni aceptar que alguien mienta delante nuestro callando por conveniencia. El auditor interno es el abanderado de la verdad. Y opiniones puede haber muchas, pero verdad hay sólo una, y es por encontrarla que debemos bregar. Sabiendo que no es de nuestra propiedad.
En conclusión, recomiendo a todos los auditores internos la lectura del Código Bushido y esforzarse por aplicarlo. Nos ayuda a ser cada día mejores, en nuestro continuo camino hacia la excelencia.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
Descubre las ventajas del uso de las nuevas tecnologías como un aliado del Buen Gobierno Corporativo. Invitado: Víctor Cortés. Socio Director B-GRC Chile. Conduce: Giovanna Cárdenas.