Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb Separator10 eventos que definieron la década pasada para la auditoría interna

​10 eventos que definieron la década pasada para la auditoría interna

Hace diez años, al final de mi primer año como CEO del IIA, escribí un blog sobre los eventos que definieron la década del 2000 para los auditores internos. ¡Es difícil creer que sea esa vez otra vez! Para los auditores internos, la década del 2010 comenzó con un mayor foco en el cumplimiento de las regulaciones posteriores a la crisis financiera. Esta década está llegando a su fin con una cantidad importante de nuevas regulaciones destinadas a proteger los datos y la privacidad del consumidor. Para el observador casual, podría parecer que el cumplimiento regulatorio sigue siendo el motor de la misión primaria de la auditoría interna. Sin embargo, éste no es el caso.

Los avances tecnológicos en los últimos 10 años han abierto un nuevo mundo de oportunidades y amenazas para las organizaciones a las que sirve la profesión. Desde cada vez más sofisticados y descarados hackeos que han reformado la seguridad cibernética, hasta la inteligencia artificial que promete alterar profundamente el modelo tradicional del trabajo, la tecnología ha redefinido y re-priorizado la gestión de riesgos como nunca antes.

Es difícil explicar de manera concisa cuán dramática fue la década pasada para la profesión, porque muchos factores significativos nos impactaron, incluida la tecnología, el cambio climático, el aumento de la regulación, la globalización, la volatilidad macroeconómica, la agitación geopolítica y el activismo de los inversores. Aun así, espero capturar algo de esto examinando los 10 principales titulares de impacto para la auditoría interna en la década del 2010.

Dodd-Frank arroja luces sobre la supervisión de la gestión de riesgos por parte del consejo.
Las consecuencias de la crisis financiera de 2008 llevaron a la aprobación de una legislación hito, diseñada para proteger contra la excesiva toma de riesgos por parte de las instituciones financieras y para mejorar el gobierno corporativo. La Dodd–Frank Wall Street Reform and Consumer Protection Act, promulgada en julio de 2010, reformuló completamente la regulación financiera de Estados Unidos, creó una oficina de protección del consumidor y una agencia para proteger la estabilidad financiera, y en gran medida ampliar el papel de la Reserva Federal de Estados Unidos.

Lo más importante para la auditoría interna, se crearon las reglas de gobierno corporativo y normas de revelación diseñadas para promover una mayor responsabilidad y regular la toma de riesgos excesiva. La ley y las normas subsiguientes generadas a través de la Comisión de Bolsa y Valores de los EE. UU. (SEC) Y la nueva Junta de Supervisión Contable de las Compañías Públicas (PCAOB) pusieron a los consejos de directores al tanto de sus responsabilidades de supervisión. Los consejos ya no pueden simplemente ceder pasivamente a las iniciativas de la gerencia.

La Reserva Federal de los Estados Unidos eleva el listón para la auditoría interna en los grandes bancos.
En enero de 2013, la Reserva Federal de EE. UU. Emitió una nueva regulación para los bancos con su Supplemental Policy Statement on the Internal Audit Function and Its Outsourcing. Esta regulación inocua pero con mucha resonancia llevó un poderoso mensaje sobre la importancia de una función de auditoría interna fuerte y efectiva en las instituciones de servicios financieros. De hecho, la regulación colocó a la Reserva Federal más cerca que cualquier otro regulador de la industria de respaldar o exigir las International Standards for the Professional Practice of Internal Auditing del IIA. El párrafo de apertura del documento afirma:

"La Reserva Federal está proporcionando esta guía complementaria para mejorar las prácticas de auditoría interno de las entidades reguladas y animarles a adoptar normas profesionales y otra orientación autorizada, incluidos aquellos emitidos por el Instituto de Auditores Internos."

La Guía de la Reserva Federal también señaló el desacuerdo del regulador con el reporte administrativo de auditoría interna al director financiero (CFO) u otros funcionarios de alta dirección (C-Suite), por debajo del director ejecutivo CEO. Señaló que la auditoría interna debería reportar administrativamente al CEO, de lo contrario, el comité de auditoría deberá explicar por qué no.

COSO actualiza sus marcos de gestión de control interno y gestión de riesgo empresarial.
En 2013 y 2017, el consejo (en el que sirvo como miembro) del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) lanzó importantes actualizaciones a sus dos marcos de gestión, que se habían convertido en herramientas esenciales para crear un control interno efectivo y comprender cómo se gestiona el riesgo en las organizaciones. La creciente complejidad de la gobernanza, el riesgo y el control en un mundo en rápido movimiento, exigía marcos de gestión que reflejaran y se adaptaran a esos cambios.

De importancia es el updated internal control framework construido sobre el enfoque original en cuanto al diseño, implementación y evaluación de la efectividad del control interno. Por otro lado, el ERM framework update ayudó a aclarar lo que es un ERM efectivo y lo que no lo es. De la actualización de ERM:

La gestión de riesgos empresariales no es una función o departamento. Es la cultura, las capacidades y las prácticas que las organizaciones integran con el establecimiento de estrategias y aplican cuando la llevan a cabo, con el propósito de gestionar el riesgo en la creación, preservación y realización del valor.

La Bolsa de Nueva York (NYSE) respalda a la profesión al invitar al IIA a tocar la campana de apertura.
En julio de 2016, tuve el gran orgullo de estar junto al anterior presidente (Chairman) del IIA y otros en sonar la campana de apertura en la Bolsa de Nueva York (NYSE). Fue un evento significativo en la historia no sólo para el IIA, sino también para la profesión. La NYSE, amiga estratégica y aliada desde hace mucho tiempo de la auditoría interna, una vez más reconoció la importancia y el valor de la auditoría interna para las organizaciones que cotizan en bolsa. Como escribí en ese momento, el IIA tocando la campana de apertura en la Bolsa de Nueva York debe servir como un llamado de atención para todas las organizaciones -no sólo las empresas que cotizan en bolsa- para comprometerse con el buen gobierno y abrazar las herramientas y prácticas -suficientemente comprobadas- que hacen eso posible.

El Instituto Colegiado de Auditores Internos (IIA-UK) emite el Código de Servicios Financieros.
El escrutinio de la auditoría interna por parte de los reguladores de servicios financieros fue realmente un fenómeno global en la década pasada. En respuesta a los reguladores de servicios financieros en el Reino Unido, el Instituto Colegiado de Auditores Internos (UK) publicó el Financial Services Code en julio de 2013. El código estaba “llamado a mejorar la efectividad general de la Auditoría Interna y su impacto dentro de las empresas que operan en el sector de servicios financieros en el Reino Unido” fue producida por un comité independiente establecido por el IIA, con representación y observadores de los principales bancos, aseguradoras, la Autoridad de Conducta Financiera (FCA), la Autoridad de Regulación prudencial (PRA), y el Banco de Inglaterra.

El código se revisó y volvió a publicar en septiembre de 2017 con cambios modestos, y está sirviendo como el precursor de un Código de Práctica de Auditoría Interna más completo que se publicará próximamente, el cual será aplicable a la profesión de auditoría interna más amplia en el Reino Unido

Los escándalos corporativos inducidos por la cultura presionan a la auditoría interna a “mejorar su juego”.
Como escribí la semana pasada, los escándalos corporativos surgieron con una vergonzosa regularidad en la década del 2010. Con cada escándalo, la pregunta “¿Dónde estaban los auditores internos? " surgió una y otra vez.

Así como he dejado claro que la culpa por los escándalo rara vez es exclusivamente de auditoría interna, el rayo de luz de consuelo en la cadena de fracasos de gobierno corporativo, es el reconocimiento creciente de que la cultura estuvo a menudo en el centro del escándalo y que la auditoría interna tiene un papel que jugar en la evaluación de la cultura.

Muchos dentro y fuera de la profesión expresaron dudas acerca de la capacidad de auditoría interna para auditar la cultura de manera efectiva, pero hemos hecho un gran progreso. El reciente lanzamiento de una nueva Guía Práctica del IIA sobre Auditing Culture refleja ese crecimiento.

El IIA lanza la certificación CRMA
En 2013, el IIA comenzó a ofrecer la Certification in Risk Management Assurance (CRMA) para permitir a los auditores internos demostrar su capacidad de proporcionar consultoría y aseguramiento. Desde entonces, casi 16.000 practicantes han logrado esta designación.

La alta demanda de la CRMA, superada sólo por la certificación Certified Internal Auditor del IIA, refleja la importancia de proporcionar aseguramiento sobre la eficacia de la gestión de riesgos claves y procesos de gobierno. En el actual y dinámico entorno de riesgo, tener un profesional certificado CRMA en el personal, provee a las partes interesadas (stakeholders) en la alta dirección (C-Suite) y a la sala del consejo la comodidad de saber que tienen un asesor de confianza en su esquina.

Las cyber-brechas ponen a los CAEs en la mira
Me siento cómodo afirmando que ningún desarrollo en la última década causó más disrupción a las organizaciones y la profesión que las cyber-brechas. El espectro omnipresente de ataques cibernéticos y la cobertura casi constante de los medios de las principales cyber-brechas expuso vulnerabilidades en los sistemas de TI, gestión y protección de datos, capacitación de empleados, gobierno corporativo y más.

Atrapados en esa embestida están los directores ejecutivos de auditoría (CAE) que están bajo una increíble presión para desarrollar y desplegar personal que pueda apoyar con éxito las estrategias de Ciberseguridad de sus organizaciones. La demanda por tal aseguramiento está creando una competencia significativa para contratar y retener auditores con las habilidades de TI necesarias.

Por injusto que pueda ser, las altamente publicitadas Cyber-brechas en grandes organizaciones han derrocado a más de unos pocos CAEs talentosos. Mi consejo: no sólo provea aseguramiento sobre los controles cibernéticos; También provea aseguramiento sobre la disposición de la organización para responder cuando las inevitables Cyber-brechas ocurran.

El IIA articula principios para la auditoría interna.
La actualización de 2017 del Marco Internacional de Prácticas Profesionales incluyó la adición de los Principios Básicos para la Práctica Profesional de la Auditoría Interna. Este cambio fue algo más que una adición o actualización de los principios guía de la profesión. Los 10 principios articulan las creencias fundamentales que impulsan a nuestra profesión y a nuestros profesionales.

Estas guías ayudarán a los profesionales a permanecer centrados en las filosofías centrales de la auditoría interna, incluida la tecnología, el clima, la geopolítica, la macroeconomía y las normas sociales que cambian el mundo que nos rodea.

El interés de los medios globales en la auditoría interna se dispara.
La última década vio una cobertura significativa a la profesión de auditoría interna, y la mayor parte fue positiva. Por último, las principales instituciones de medios como The Wall Street Journal, Financial Times, Bloomberg, Fortune y Forbes, están ampliando su comprensión y apreciación del aseguramiento independiente que la auditoría interna proporciona a las organizaciones.

Esto es particularmente notable ya que los medios de comunicación, reguladores, inversores y el público en general demandan una mayor transparencia y responsabilidad de los consejos y la C-suite. Hay un reconocimiento creciente de que los fallos en el gobierno corporativo son el corazón de muchos escándalos corporativos, y que el gobierno corporativo sólido ayuda a las organizaciones a gestionar el riesgo, respalda la sostenibilidad a largo plazo y, en última instancia, beneficia al bien público. El IIA ha posicionado bien a la profesión para aprovechar esta creciente apreciación.

El interés de los medios en la auditoría interna no se limita a los Estados Unidos u otros mercados altamente desarrollados. Durante un reciente viaje a África Central, estuve rodeado de medios en cada parada. La principal pregunta que tienen en mente: ¿cómo puede la auditoría interna ayudar a prevenir y detectar la corrupción en las instituciones públicas?

En la próxima década, el IIA mostrará con mucha fuerza que la auditoría interna es fundamental para un buen gobierno corporativo. Espero con interés los desafíos y éxitos que tendrá la década del 2020 a medida que avanzamos hacia el cumplimiento de nuestra visión 2030 de tener una profesión universalmente reconocida como indispensable para una efectiva gobernanza y gestión de riesgos y controles.

Sobre el autor:
Richard F. Chambers, presidente y CEO del Instituto de Auditores Internos Global, escribe un blog semanal para InternalAuditor.org sobre temas y tendencias relevantes para la profesión de auditoría interna.