Por Alberto Dosal, Socio de Asesoría en Auditoría Interna, Riesgo y Cumplimiento de KPMG en México.
Conforme las organizaciones siguen enfrentando los desafíos de la rápida evolución de los modelos de negocio, la complejidad de los requerimientos regulatorios y la adopción de tecnologías disruptivas, la auditoría interna desempeña un papel fundamental para apoyar a las empresas a gestionar riesgos y orientarse a sus prioridades estratégicas de crecimiento.
La auditoría interna debe encontrar la oportunidad de desafiar el statu quo para mejorar la gestión de riesgos, robustecer los mecanismos de control e identificar eficiencias operativas y reducciones de costos a lo largo de la organización. Para aportar mayor valor es clave considerar las siguientes diez áreas de enfoque:
1. Automatización inteligente
La automatización inteligente está transformando el mundo empresarial y tiene el poder de incrementar exponencialmente la velocidad, alcance, calidad, precisión y eficiencia operacional en las organizaciones.
Sin embargo, al implementar procesos de transformación digital tan relevantes, la función de Auditoría Interna debe asegurar que se cuente con un gobierno corporativo y un marco de gestión de riesgos actualizado a los nuevos procesos, asegurando que los riesgos asociados a los programas de automatización han sido apropiadamente identificados, evaluados, mitigados, o en su caso, aceptados.
2. Análisis de datos
Al aprovechar una gran cantidad de datos disponibles, es fundamental asegurar controles en torno a su uso y almacenamiento. Implementar un gobierno de datos es primordial para mantener su confidencialidad y ayudar a las organizaciones a convertir dichos datos en información de valor.
En este sentido, la auditoría interna puede contribuir no solo en identificar áreas de mejora para robustecer la gobernanza de los datos, sino que debe utilizar dichos datos a lo largo de todo su proceso de auditoría, de tal manera que ayude a expandir su cobertura de riesgos y alcance, así como mejorar la precisión de sus pruebas de auditoría. Lo anterior contribuirá a responder las demandas de los comités de auditoría que piden hacer más con menos.
3. Transformación tecnológica
Muchas empresas adquieren tecnología sin evaluar si es apropiada para su modelo de negocio o su base de clientes. Las estrategias tecnológicas deben ser flexibles y apoyar la estrategia de la organización. Combinar el talento humano, el capital y la visión empresarial para adaptar con agilidad las nuevas tecnologías es imprescindible.
Frente a esta necesidad, la auditoría interna contribuye a comprobar si las iniciativas tecnológicas se alinean a la estrategia del negocio, y que estas cuenten con un gobierno, gestión de riesgos y controles adecuados. Asimismo, puede evaluar los procesos de gestión de proyectos, y garantizar una comunicación transparente sobre los mismos.
4. Ciberseguridad
Frente al incremento en la conectividad y evolución constante de la tecnología, la ciberseguridad es hoy un aspecto primordial en las organizaciones. A medida que los ataques de los hackers evolucionan y se vuelven más sofisticados, las consecuencias de las fallas de seguridad cibernética pueden ser desastrosas tanto en los ingresos como en la reputación de las compañías.
En un enfoque preventivo, la auditoría interna debe examinar la gestión de riesgos de ciberseguridad, evaluar la aplicación de modelos de seguridad tecnológica, promover un sólido programa de capacitación para el personal y considerar la contratación de proveedores de seguridad externos que evalúen el nivel de exposición a los riesgos cibernéticos.
5. Cumplimiento legal y regulatorio
Con base en el entorno tan dinámico que se vive actualmente, es imperativo cumplir con el marco regulatorio aplicable para minimizar riesgos financieros, operativos y reputacionales. A nivel global, se está poniendo mayor énfasis en regulaciones relacionadas con fraudes, ciberseguridad, operaciones, responsabilidad sobre el producto, competencia, protección al consumidor, control de precios y responsabilidad social y ambiental.
Para enfrentar estos desafíos, la auditoría interna puede ayudar en verificar que se cuente con un inventario específico de regulaciones aplicables, los controles alrededor de las mismas, evaluar los mecanismos establecidos de respuesta en casos de incumplimiento, así como establecer programas de entrenamiento apropiados para el personal y partes interesadas.
6. Empresa distribuida
Para impulsar la productividad y adaptarse a nuevos modelos de negocio, cada vez con más frecuencia las empresas recurren a terceros para realizar ciertas funciones. Sin embargo, este modelo de empresa distribuida implica nuevos riesgos y posibles fallas de cumplimiento regulatorio que pueden llevar a sanciones, demandas y daños a la reputación.
Ante estos riesgos con terceros involucrados, auditoría interna puede colaborar en verificar su identificación, analizar los procesos de selección y puesta en marcha de la relación, evaluar procesos de gestión de contratos, monitorear la evolución normativa, garantizar el cumplimiento regulatorio y de salvaguarda de la información, así como desarrollar un sistema de supervisión continua.
7. Cultura de riesgo
El énfasis en mejorar la cultura en las organizaciones ha aumentado en los últimos años debido a que ha sido identificada como una de las principales causas de conductas inapropiadas o materialización de riesgos de reputación.
Un programa amplio, acerca de cuestiones regulatorias, gobierno corporativo y gestión de riesgos también se enfoca en entender cómo la empresa toma decisiones hacia sus grupos de interés.
Para ello, la auditoría interna puede evaluar los factores generadores de cultura en relación con la pauta institucional, analizar la coherencia de los indicadores, proveer aseguramiento sobre la evolución y alineación de la cultura empresarial con las actividades de cumplimiento, evaluar la cultura de riesgo a través de análisis externos, así como participar en investigaciones de posibles faltas de conducta e impulsar mejores prácticas.
8. Responsabilidad social corporativa
Hoy, más que nunca, las organizaciones operan en un ambiente interconectado y globalizado. Problemáticas como el cambio climático, la escasez de agua y los derechos humanos son vistos por los grupos de interés como factores de riesgo significativos. Por lo anterior, es indispensable contar con procesos robustos de divulgación y transparencia de información, no solo financiera.
Para mitigar riesgos y aumentar oportunidades, la auditoría interna puede evaluar la estrategia de sustentabilidad y su consistencia con la estrategia empresarial, identificar factores de riesgos ambientales y sociales, así como evaluar sistemas establecidos para recolectar, analizar y divulgar la información necesaria.
9. Programa antisoborno y anticorrupción
Un programa de antisoborno y anticorrupción es crítico para demostrar que la organización identifica problemáticas potenciales e inicia medidas de remediación de forma oportuna. El programa debe incluir el apoyo de la Alta Dirección, políticas claras, entrenamiento, vigilancia y supervisión para disuadir este tipo de conductas y así evitar incurrir en costos económicos y reputacionales al aplicar medidas correctivas.
Para ello, la función de auditoría interna puede realizar un examen independiente del marco de gobierno corporativo, garantizar el diseño y eficacia de los controles preventivos y detectivos, auditar los controles que inciden en normas informales y de conducta, así como evaluar las prácticas de gestión de riesgos de antisoborno y corrupción en compañías de reciente adquisición o incursión en nuevas geografías.
10. Demografía de la fuerza laboral
La transferencia de conocimiento y experiencia es esencial para crecer y sobrevivir en el ambiente laboral tan competitivo actual. Con las nuevas tecnologías incorporadas al trabajo, los responsables de Recursos Humanos deberán identificar las nuevas aptitudes y competencias requeridas en el futuro.
Para verificar que la organización está trabajando apropiadamente sobre este tema, la auditoría interna puede examinar las capacidades del departamento de Recursos Humanos y evaluar las estrategias de planificación de sucesión de los puestos de trabajo críticos a la luz de los nuevos modelos laborales, a la vez que se discute con la dirección las expectativas que se tienen al respecto.
Nota: las ideas y opiniones expresadas en este escrito son de los autores y no necesariamente representan las ideas y opiniones de KPMG en México.