Por: Iván Rodríguez. Colaborador de Auditool.org
LA AUDITORÍA Y LOS RIESGOS PARA EL 2019 [1]
Con base en entrevistas y encuestas efectuadas por Gartner a más de 200 directores ejecutivos de auditoría de su red de organizaciones clientes, (https://www.gartner.com/en) Malcolm Murray, Rafael Go y Leslee McKnight de dicha compañía analizan 11 riesgos clave, conectados por cuatro temas principales de riesgo, que pueden ayudar a los equipos de auditoría a identificar más eficazmente los riesgos para su organización y su impacto en la función de auditoría y sus partes interesadas.
Tema 1: La importancia estratégica de los datos
De acuerdo con los autores, un número creciente de organizaciones están utilizando los datos como base para su estrategia comercial y para mejorar la experiencia del cliente. Los datos también son críticos para la implementación de tecnologías transformativas como la automatización de procesos robóticos (RPA) y la inteligencia artificial (AI). Si bien el aprovechamiento de los datos puede ser una fuente de ventaja competitiva, el big data conlleva grandes riesgos en términos de calidad de los datos, protección y uso responsable. Los siguientes riesgos forman un gran componente de los siguientes temas:
• Gobernabilidad de datos [1]:
En muchas ocasiones, los datos organizacionales poseen errores, por lo que las decisiones de negocios a menudo se toman con datos de baja calidad. Para reducir la toma de decisiones equivocada y aumentar la eficiencia en el uso de datos en toda la organización, la gobernabilidad de los datos es primordial, sin embargo, la mayoría de las organizaciones carecen de marcos de gobernabilidad de datos o enfrentan desafíos de implementación que obstaculizan gravemente su capacidad para desbloquear el potencial del big data.
• Privacidad de datos
Con el aumento de las nuevas, la privacidad de los datos es una de las principales preocupaciones de las organizaciones en general. Las amenazas a la seguridad continúan creciendo, debido al aumento de las violaciones de datos, lo que expone a las organizaciones a multas y sanciones reglamentarias, así como a una posible pérdida de clientes debido a la falta de confianza en las capacidades de protección de datos de las organizaciones.
• Ética e Integridad
A medida que las organizaciones se apresuran a implementar nuevas tecnologías, la consideración del sesgo y la ética en las iniciativas digitales a menudo queda atrás. Sin embargo, tanto los reguladores como los consumidores están empezando a exigir a las organizaciones una mayor responsabilidad por la ética y la integridad, lo que obliga a repensar si deben y cómo deben aprovechar las capacidades digitales.
La auditoría puede ayudar a la organización a hacer frente a los riesgos relacionados con los datos al participar en los comités de trabajo pertinentes para proporcionar información a medida que se construyen los marcos de gobernanza y se llevan a cabo proyectos de aseguramiento sobre el uso, el acceso, la clasificación y la capacitación de los datos.
Tema 2: Vulnerabilidades de TI
La creciente complejidad de las infraestructuras tecnológicas de las organizaciones y el mayor uso de las nuevas tecnologías, como los chatbots y el Internet de las cosas (IoT), amplían los puntos de acceso a la organización. Muchas de estas tecnologías no se controlan o son lentas para ajustarse y actualizarse. El uso creciente por parte de actores de amenazas de herramientas avanzadas como la inteligencia artificial – IA aumenta los puntos de ataque potenciales y la frecuencia de los ataques. La confianza en los sistemas de TI también los hace más susceptibles a las interrupciones y el tiempo de inactividad, que la mayoría de las organizaciones experimentaron al menos una vez en el último año. Dichas interrupciones pueden paralizar la productividad, reducir los ingresos y dañar la marca de la organización. Para proteger las ventajas que ofrece la tecnología, las organizaciones deben superar las siguientes áreas de riesgo:
• Preparación para la Ciberseguridad
Los ataques cibernéticos son una realidad para casi todas las organizaciones y generan pérdidas financieras significativas, daños a la reputación y posibles problemas de cumplimiento. A medida que los actores de amenazas continúan multiplicándose y las nuevas tecnologías amplían la superficie de ataque de la organización, la preparación para la seguridad cibernética es fundamental.
• Computación en la nube
Al buscar ahorros en costos y eficiencias, cada vez más organizaciones transfieren cantidades significativas de datos y procesos a la nube, incluida información sensible y de gran valor. Con una visibilidad limitada de las actividades de los proveedores de la nube y una multitud de aplicaciones de la nube que se utilizan en toda la organización, la computación en la nube plantea riesgos importantes, como la pérdida de datos, las interrupciones del servicio y el acceso inadecuado a los datos.
Hay varias actividades que los departamentos de auditoría pueden realizar para garantizar las vulnerabilidades de TI, incluida la evaluación del cifrado, la administración de parches y proveedores y la verificación de los controles de TI, como las políticas de cuentas de usuarios privilegiados y las configuraciones de seguridad de las aplicaciones en la nube.
Tema 3: Costo y presiones de crecimiento.
Las organizaciones enfrentan desafíos crecientes a sus modelos de negocios por parte de competidores disruptivos. En consecuencia, las organizaciones están emprendiendo rápidamente más proyectos de transformación digital, expandiéndose a nuevos sectores y mercados y rediseñando estrategias comerciales para mantener el ritmo. Sin embargo, al buscar la eficiencia de costos y adoptar nuevas estrategias de crecimiento, las organizaciones deben tener cuidado de no debilitar el ambiente de control o de desestimar la gobernabilidad y la supervisión. Además, las organizaciones deben asegurarse de contar con la fuerza laboral necesaria para cumplir con los objetivos y estrategias comerciales cambiantes. La dependencia de estas nuevas estrategias comerciales puede manifestarse en los siguientes riesgos:
• Terceros
A medida que las organizaciones buscan mantener la competitividad y la relevancia en el mercado digital, están expandiendo su dependencia de terceros. La interconexión de estas relaciones, a medida que más empresas persiguen modelos de negocios de ecosistemas y los terceros aumentan su confianza en los socios, amplifica la exposición al riesgo operacional y regulatorio.
• Transformación de negocios digitales
Las organizaciones están experimentando una transformación empresarial digital significativa. Estas grandes empresas a menudo se ejecutan rápidamente, creando un riesgo significativo. Estos riesgos incluyen la reducción de la gobernanza y la supervisión, así como las consecuencias no deseadas del aumento del fraude y el posible desperdicio de recursos.
• Planificación estratégica de la fuerza laboral
La rápida adopción de tecnologías emergentes y la automatización crean incertidumbre en la determinación de las necesidades de talento para lograr los objetivos comerciales. De manera similar, el uso más amplio del análisis de datos y las crecientes amenazas de ciberseguridad aumentan la demanda de más talento técnico, lo que puede ser difícil de encontrar y reclutar. Combinados, estos factores hacen que la planificación estratégica de la fuerza laboral a largo plazo sea extremadamente difícil.
Para estos riesgos, la auditoría debe realizar proyectos de aseguramiento centrados en los contratos de proveedores y proveedores, mejorar la gestión de los proyectos digitales y de automatización, realizar evaluaciones de habilidades y alinear la frecuencia y el alcance de las actualizaciones con los supuestos estratégicos.
Tema 4: Horizontes de planificación acortados
La incertidumbre y la volatilidad han sido características predominantes de 2018 y es probable que también lo sean para 2019. El número de interrupciones que amenazan las operaciones comerciales continúa creciendo, mientras que muchas cuestiones importantes de política siguen sin resolverse.
La inestabilidad en todo el mundo podría precipitar el declive económico y aumentar la fragmentación regulatoria. El creciente escrutinio tanto de los reguladores como del público ha obligado a las organizaciones a considerar la rendición de cuentas por sus acciones y repensar ciertas prácticas. Todos estos factores pueden dificultar que las organizaciones anticipen lo que debe incluirse en los ejercicios de planificación de escenarios, así como el desarrollo de estrategias a largo plazo en un entorno aparentemente impredecible. De esto emergen los siguientes riesgos:
• Incertidumbre regulatoria
El volumen y la complejidad de las regulaciones que las organizaciones deben cumplir están aumentando. Un mayor control regulatorio en áreas establecidas, combinado con la incertidumbre regulatoria en áreas nuevas, como la economía digital, dificulta que las organizaciones formen estrategias a largo plazo y cumplan con los requisitos de cumplimiento.
• Resiliencia operacional
El número y la escala de los factores internos y externos que pueden interrumpir las operaciones comerciales aumentan cada vez más; sin embargo, muchas organizaciones no están preparadas para mantener operaciones comerciales críticas en caso de una interrupción. Las condiciones económicas cambiantes y la conciencia limitada sobre el riesgo pueden desafiar la resiliencia operativa, erosionar el valor comercial y la competitividad, ya que las organizaciones no pueden adaptarse y responder a las condiciones cambiantes.
• Comercio y aranceles
El sistema de comercio mundial enfrenta el nivel más alto de incertidumbre en décadas, y las tarifas impuestas e inminentes amenazan a las organizaciones, las cadenas de suministro y las estrategias de crecimiento. Si bien la volatilidad actual en el entorno geopolítico aumenta la incertidumbre sobre el comercio y los aranceles, muchas organizaciones ya han comenzado a sentir las consecuencias de las restricciones comerciales.
La auditoría puede ayudar a la organización a mitigar estos riesgos mediante la revisión de la frecuencia y las inclusiones en la planificación de escenarios, evaluando la conciencia de riesgo y la tolerancia de la organización y evaluando los mecanismos de la organización para monitorear el cambio en el entorno regulatorio y económico.
El desafío de la auditoría interna
A lo largo de 2019, será fundamental para las organizaciones gestionar estos 11 riesgos. Para ello, la auditoría debe proporcionar garantías sobre riesgos perennes y nuevos, cada vez más dinámicos, que requieren la función de adaptar su enfoque mientras mantiene su objetividad e independencia.
[1] Tomado de https://www.corporatecomplianceinsights.com/why-2019-could-be-a-challenging-year-for-internal-audit/
[2] Se entiende por Gobernabilidad de Datos al ejercicio —acciones- del proceso de toma de decisiones y de autoridad en materias referidas a los datos. Tomado de: https://msaffirio.wordpress.com/2017/01/11/gobernabilidad-de-datos/
C.P. Iván Rodríguez – ivan.rodriguez@auditool.org
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá D.C, Colombia