Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb Separator8 titulares que definieron 2018 para la auditoría interna

8 titulares que definieron 2018 para la auditoría interna​

Con el fin del año, es hora de echar una mirada hacia atrás en los titulares que deberían haber atraído la atención de los auditores internos. Como en los últimos años, 2018 conoció una serie de grandes historias sobre escándalos corporativos de alto nivel. Varios de éstos pueden haber sembrado las semillas para la próxima oleada de regulaciones que podrían afectar el trabajo de la auditoría interna.

Las malas gestiones de riesgos al final retornaron efectos negativos que se sintieron en el 2018

Multas y acuerdos regulatorios de escándalos que sucedieron fueron noticia en muchos más titulares en 2018, entre ellos Equifax, Wells Fargo y Volkswagen. También proporcionaron importantes lecciones sobre la gestión de riesgos.

El acuerdo de una demanda colectiva entablada contra Equifax por ocho estados americanos señaló lo que describí en un artículo del blog de julio como "una declaración audaz sobre la importancia de la auditoría interna". La orden de consentimiento de Equifax, derivada de la impresionante violación de datos del 2017, que expuso los datos personales de más de 140 millones de estadounidenses, fue diseñada en parte para abordar las deficiencias en la auditoría interna y la supervisión de la junta y la gerencia.

De manera similar, una multa masiva de miles de millones de dólares impuesta por dos reguladores estadounidenses a Wells Fargo por el mal manejo de los seguros de automóviles y los préstamos hipotecarios también provocó un acuerdo para cambiar el riesgo y las prácticas de cumplimiento del prestamista. Ello incluía la elaboración de un plan detallado para su junta directiva a fin de reforzar sus funciones de cumplimiento y gestión de riesgos.

La Reserva Federal de los Estados Unidos fue más lejos, limitando la capacidad del banco para aumentar su balance general más allá de los niveles de 2017 hasta tomar medidas para abordar las deficiencias en la gestión de riesgos. Wells Fargo estima que la limitación recortaría sus ganancias anuales en hasta $ 400 millones.

En cuanto a Volkswagen, las consecuencias continuaron tres años después de que estallara el escándalo de las emisiones. El "Dieselgate", que ya le ha costado al fabricante de automóviles más de 15.000 millones de dólares en multas, se ha convertido en un mayor escrutinio y escepticismo entre los reguladores europeos, no sólo para Volkswagen, sino también para Daimler-Benz y BMW.

Escribí sobre la importante lección para la auditoría interna y los gerentes de riesgo de esas situaciones en la entrada del blog de julio:

De hecho, los escándalos de Volkswagen, Wells Fargo y Equifax han aumentado la conciencia de que todos los jugadores en la gestión de riesgos deben trabajar de manera colectiva e igual para tener éxito. En última instancia, hay consecuencias cuando fallan los componentes clave de los sistemas de gestión de riesgos.

Colapso de Carillion problemas de gestión de riesgos sistémicos expuestos

La sorprendente caída de una de las compañías de construcción más grandes del Reino Unido reveló fallas en la supervisión de la junta directiva, la supervisión gubernamental y las funciones de auditoría interna y externa en Carillion.

La peor noticia desde una perspectiva de auditoría fue lo que sólo puede describirse como un proceso de aseguramiento independiente, altamente disfuncional puesto de manifiesto por dos investigaciones de un comité selecto parlamentario. Un informe del comité describió a las firmas externas que proporcionaron servicios de auditoría o consultoría como un "club acogedor incapaz de proporcionar el grado de desafío independiente necesario".

Las consecuencias de Carillion alcanzaron su punto máximo a finales de año, cuando la Autoridad de Competencia y Mercados del Reino Unido publicó un informe en el que pedía la separación de los servicios de auditoría de los servicios de consultoría entre las cuatro grandes empresas: KPMG, EY, Deloitte y PwC. Esto incluye una división entre negocios de auditoría y asesoramiento, con gestión y contabilidad separadas.

Los informes también incluyen recomendaciones para crear una rendición de cuentas adicional para aquellos que nombran auditores, y el desarrollo de un sistema de "co-auditoría", en el que las Cuatro Grandes tendrían que trabajar con firmas más pequeñas en las auditorías.

Los hallazgos de la auditoría interna podrían haber evitado el ataque de ransomware de Atlanta

No todos los titulares de 2018 fueron sobre fallas de auditoría interna. De hecho, los informes de noticias indicaron que el ataque del ransomware de Atlanta se podría haber evitado si los líderes de la ciudad hubieran actuado sobre las recomendaciones de auditoría interna para abordar las vulnerabilidades cibernéticas graves.

El auditor de la ciudad presentó graves deficiencias en el departamento de TI de Atlanta y advirtió que básicamente no había planes formales para proteger a la ciudad de las amenazas informáticas. El informe de auditoría advirtió que la complacencia y la grave escasez de recursos en TI crearon un "nivel significativo de exposición al riesgo evitable en la ciudad", y concluyó que la ciudad "no tenía procesos formales para gestionar el riesgo".

El arresto del presidente de Nissan Motors pone al descubierto la debilidad de la gobernanza

El arresto del presidente del consejo de administración de Nissan Motors, Carlos Ghosn, acusado de no haber informado a las autoridades japonesas de su indemnización, planteó importantes cuestiones sobre los procesos de gobierno y de garantía de la empresa automovilística.

De hecho, el CEO de Nissan, Hiroto Saikawa, describió el "lado oscuro" de poner demasiado poder de la compañía en manos de una persona y llamó "débil" a la estructura de gobierno corporativo dentro de la compañía, según Bloomberg News. Hice una pregunta más fundamental en un blog sobre el escándalo:

Pero la pregunta que no se está haciendo es, ¿por qué se permitió que existiera una estructura de gobierno "débil" en primer lugar en una compañía de Fortune 100? Y una pregunta más fundamental es, ¿quién fue encargado de asegurar el buen gobierno en Nissan?

Información privilegiada de PCAOB filtrada a empleados de KPMG

Se presentaron cargos penales contra el ex Consejo de Supervisión de Contabilidad de las Empresas Públicas (PCAOB) y los empleados de KPMG acusados de utilizar información filtrada de PCAOB para ayudar a la firma de los Cuatro Grandes a mejorar sus resultados de auditoría. El delito fue expuesto por una investigación interna de KPMG y una investigación federal relacionada, y los arrestos dieron lugar a una declaración de culpabilidad en octubre de un ex ejecutivo de KPMG.

Para su crédito, KPMG actuó rápidamente cuando se enteró del plan y cooperó plenamente con los investigadores federales. También despidió a los tres ejecutivos involucrados. Como escribí en una publicación relacionada con el blog, las organizaciones deben establecer estándares éticos, comunicarlos de manera clara y repetida, determinar los castigos adecuados para las transgresiones y actuar de manera coherente al disciplinar las violaciones éticas, sin importar quién las cometa.

La lección para los profesionales es ser conscientes de que la ética profesional vive y muere a nivel personal. En otras palabras, la brújula moral es dirigida en última instancia por el individuo. El liderazgo ejecutivo debe entender esta realidad y estar preparado para reaccionar con decisión y ética cuando la debilidad personal de un empleado pone en riesgo a la organización.

El escándalo de Facebook elevó la apuesta de privacidad de los datos

Impulsados por las revelaciones de los informantes, los detalles de la debacle de Facebook-Cambridge Analytica aumentaron las apuestas sobre la privacidad de los datos en marzo, sólo dos meses antes de que entraran en vigor las nuevas regulaciones de privacidad de datos de la Unión Europea.

Muchos han acusado a Facebook de la negligencia en la supervisión de sus protocolos de privacidad y confusas configuraciones de privacidad que ponen en riesgo la información personal de casi 90 millones de personas y exponen aún más cómo las redes sociales pueden ser explotadas políticamente.

Las revelaciones de Facebook provocaron un debate político importante y promulgaciones entre los legisladores de los Estados Unidos que involucran la privacidad de los datos. La Ley de Privacidad del Consumidor de California, promulgada en junio y vigente a partir de enero de 2020, requiere un consentimiento explícito para compartir información del consumidor.

Probablemente no termine ahí. De hecho, la Casa Blanca dijo en julio que trabajaría con los legisladores para crear protección de la privacidad del consumidor. Apple y Google intervinieron en septiembre e instaron al Congreso a crear una nueva legislación federal de privacidad.

El movimiento #MeToo continúa derrocando a poderosos ejecutivos corporativos

El movimiento #MeToo redefinió la cantidad de organizaciones que ven los riesgos asociados con el acoso sexual y la desigualdad en el lugar de trabajo. Si bien esas dos áreas eran categorías de riesgo conocidas antes del movimiento, la explosión de acusaciones de conducta indebida contra ejecutivos de la industria del entretenimiento y otros lugares elevó significativamente estos riesgos. El movimiento también mostró el poder de las redes sociales y la velocidad del rayo a la que los riesgos atípicos pueden afectar a las organizaciones.

El impacto del movimiento #MeToo se demostró en la participación de votantes en las elecciones de medio término en los Estados Unidos y en un número récord de mujeres elegidas para el Congreso. Esta nueva dinámica podría influir en la legislación y las regulaciones el próximo año y en el futuro.

IIA busca renovar tres líneas de defensa

En diciembre, el IIA anunció un proyecto de un año para revisar y actualizar las Tres Líneas de Defensa, uno de los modelos de gestión de riesgos más conocidos. El proyecto está dirigido por un grupo de trabajo central de expertos en gobernanza que han aprovechado las vastas experiencias de un grupo asesor de 30 miembros. El proyecto incluye una revisión exhaustiva de los enfoques de gobernabilidad de todo el mundo, y buscará e incorporará comentarios públicos a través de un proceso de exposición formal.

Desde el principio, el objetivo del IIA ha sido explorar la mejor manera de actualizar el modelo de las Tres Líneas de Defensa para reflejar los cambios en la gestión moderna de riesgos y la gobernanza, al mismo tiempo que preserva su enfoque directo y claro. De acuerdo con su intención original, la actualización se centrará en los roles, no en las estructuras organizativas. En respuesta a las críticas, el objetivo es hacer que el modelo sea más flexible, adecuado para todos los sectores y que responda tanto a los desafíos como a las oportunidades que presentan los riesgos.

Las consecuencias asociadas con varios de los titulares descritos aquí resaltan el potencial para una nueva regulación o un control regulatorio. Los auditores internos deben monitorear los desarrollos en estas áreas en el próximo año y estar preparados para hablar con franqueza con las partes interesadas sobre las debilidades de control en materia de ciberseguridad, privacidad de datos y otros lugares que hacen a sus organizaciones vulnerables.

Como siempre, espero vuestros comentarios.

Declaración

Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.