Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb SeparatorLas 5 C que deberian mantener a las Juntas Directivas (y auditores) despiertos por la noche

 Las 5 C que deberían mantener a las Juntas Directivas (y auditores) despiertos por la noche

Viajé a Sudáfrica a principios de este mes para hablar en un evento del Instituto de Directores (IOD) en Johannesburgo. Además de interactuar con líderes de gobierno corporativo experimentados de este importante país, tuve la suerte de aprender un poco más sobre la larga historia de la extracción de diamantes en Sudáfrica.

El diamante Eureka, el primer diamante encontrado en Sudáfrica en 1867, creó una interrupción masiva en el comercio de diamantes. Su descubrimiento a lo largo del río Orange, su peso pre cortado fue de 21,25 quilates, revolucionó la industria. Dentro de los 10 años del descubrimiento del diamante, Sudáfrica se convirtió en el centro de la industria y la producción mundial de diamantes se multiplicó por diez.

La historia de la minería de diamantes de Sudáfrica sirve como un ejemplo vívido de que la interrupción es, y siempre ha sido, parte integral de los negocios. Hoy en día, la interrupción a menudo está vinculada con la tecnología, pero la realidad es que la interrupción es algo que crea un cambio masivo y rápido. En mis comentarios en el evento de IOD, noté que la velocidad de inicio de la interrupción, o lo que llamo velocidad de cambio, es un riesgo importante para todas las organizaciones hoy en día.

Otra interrupción en la industria de los diamantes fue la campaña del Instituto Gemológico de América para estandarizar las calificaciones de calidad de los diamantes a principios de los años cuarenta. La familiar calificación de 4 Cs de los diamantes de hoy: corte, claridad, color y “carat” (quilate),  era simple pero revolucionaria en el momento en que se introdujo.

Al dirigirme a los profesionales del gobierno corporativo en Sudáfrica, noté que la pregunta que más temo después de un fracaso corporativo de alto perfil es: "¿Dónde estaban los auditores internos?" También noté una pregunta complementaria: "¿Dónde estaba el directorio?" Es la siguiente fuente de tales debacles en la que todos debemos estar enfocados. De acuerdo con las 4 C de las clasificaciones de diamantes, ofrecí las 5 C que deberían mantener a las juntas y auditores internos despiertos por la noche mientras redondeamos la curva a mediados de 2019.

Cambiar la velocidad. La velocidad del cambio es un participante directo de la velocidad del riesgo. Está influenciado por muchos sucesos, incluida la tecnología, la geopolítica y los desastres naturales. Todos los participantes en el proceso de gestión de riesgos deben ser muy conscientes de la rapidez con la que puede surgir una perturbación importante y afectar a la organización. El riesgo aquí radica tanto en la capacidad de la organización para hacer frente a lo inesperado como en la interrupción misma, que me lleva a la segunda C de la lista, la gestión de crisis.

Gestión de crisis. La forma en que una organización sobrevive a una crisis está directamente relacionada con la forma en que la planea. Por lo tanto, es esencial tener una función de auditoría interna vigilante con una visión proactiva de la gestión de crisis. Esto comienza con la garantía de que los planes de preparación para desastres están en su lugar y son lo suficientemente flexibles para manejar la agitación repentina, pero lo suficientemente sólidos y detallados para brindar una orientación suficiente. Cuando ocurre una crisis, la auditoría interna debe proporcionar una garantía activa sobre cómo se ejecutan los planes de gestión de crisis.

Al igual que con la velocidad de cambio, las organizaciones deben identificar y buscar los primeros signos de alerta de las crisis en desarrollo. Igualmente importante es que la auditoría interna ayude a posicionar a la organización para buscar el lado positivo en las nubes, al ayudar a identificar los momentos fugaces en que la crisis puede convertirse en una oportunidad.

La seguridad cibernética. En poco más de una década, la ciberseguridad ha pasado de ser un problema de TI poco conocido a uno que domina el panorama de riesgos de casi todas las organizaciones. El potencial de daño financiero, de reputación y cada vez más regulatorio parece crecer exponencialmente cada año. De hecho, en los últimos cinco años, la gestión de riesgos relacionada con la ciberseguridad ha evolucionado desde la prevención de los ataques cibernéticos hasta la respuesta a la inevitable infracción cibernética, la protección de datos y el cumplimiento de leyes y normativas de privacidad de datos cada vez más estrictas. A lo largo del camino, el potencial de daño a la reputación ha crecido como un público cansado, una vez adormecido por el gran volumen de violaciones de datos que ha despertado para exigir responsabilidad.

Conformidad. El cumplimiento normativo figura entre los cinco principales riesgos de prácticamente todas las encuestas de C-suites y tableros. La ciberseguridad ha generado un nuevo género de riesgo de cumplimiento para las organizaciones como regulaciones, como el Reglamento de Protección de Datos Generales de Europa y la Ley de Privacidad del Consumidor de California, que exigen la protección de los datos de los clientes. Esta capa adicional de riesgo de cumplimiento solo promete volverse más compleja y exigente a medida que otros países y territorios adopten leyes diseñadas para proteger los datos de los clientes. He escrito en el pasado que el arco del péndulo regulador tiende a oscilar más en tiempos de crisis. Éste es uno de esos momentos.

Cultura. La cultura es uno de los riesgos más ignorados y sustanciales, ya que desempeña un papel importante en muchos otros riesgos. La cultura de una organización influye en todos los aspectos de la gestión de riesgos, desde los esfuerzos para detener los ataques de phishing simples hasta la capacidad general de la organización para recopilar, administrar, aprovechar y proteger los datos.

La auditoría interna debe estar más cómoda y diestra con respecto a la cultura de auditoría, pero también debe educar a las partes interesadas sobre su impacto generalizado en toda la cartera de riesgos.

Las 5C de riesgo que deberían mantenernos despiertos están inevitablemente interconectadas. Así como la velocidad de cambio impacta y dicta la gestión de crisis, la cultura influye en la ciberseguridad y el cumplimiento. Las juntas deben permanecer en alerta máxima con respecto a estos riesgos, y la auditoría interna debe educar a las partes interesadas en esta compleja red de riesgos relacionados y estar preparada para brindar seguridad y conocimiento para ayudar a la organización a navegar por ellos.

Como siempre, espero sus comentarios.

Declaración
Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de Auditoría Interna.