Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb SeparatorUna Auditoría Interna fuerte y eficaz es esencial para mantener a las empresas alejadas de los problemas

Una Auditoría Interna fuerte y eficaz es esencial para mantener a las empresas alejadas de los problemas

Las fuertes multas impuestas por los reguladores estadounidenses la semana pasada en dos casos de alto perfil, brindan nuevos ejemplos de cómo los controles ineficaces pueden generar problemas importantes. Uno de estos casos fue causado por deficiencias en la gestión de los riesgos de la computación en la nube, el otro fue el resultado del rechazo deliberado y visible de sanas prácticas de gobernanza. En un caso, auditoría interna fue parte del problema. En el otro, fue la víctima.

El más conocido de los dos casos implicó a Capital One, el holding bancario con sede en Virginia, conocido por su pegajosa campaña de publicidad “¿Qué hay en tu cartera?”. El banco fue golpeado con una multa civil de 80 millones de dólares por la Oficina del Contralor de la Moneda de EE.UU. (OCC, por sus siglas en inglés) derivada de una filtración de datos en 2019, que expuso más de 106 millones de registros de clientes.

El FBI arrestó a una ex empleada de Amazon en relación con el crimen, alegando que también infiltró otras 30 empresas y organizaciones. Se le acusa de crear un programa para buscar clientes en la nube a través de una falla en la configuración del cortafuegos de una aplicación web específica, asociada con servicios en la Web de Amazon. Una vez que la herramienta encontró su objetivo, la falla en la configuración, el hacker explotó esto para extraer las credenciales de cuenta de las bases de datos y otras aplicaciones web. Aunque es evidente que era la víctima en el esquema de hackeo, Capital One era también evidentemente susceptible debido a graves deficiencias en los procesos básicos de evaluación y control de riesgos asociados con la computación en la nube, de acuerdo con los detalles de la brecha revelados en una Orden de Consentimiento de la OCC.

Capital One no estableció una gestión de riesgos adecuada para el entorno operativo en la nube, incluida la falta de diseño e implementación de “ciertos controles de seguridad de red, controles adecuados de prevención de pérdida de datos y disposición efectiva de alertas”, según la orden. Lo más preocupante, según la Orden, es que la auditoría interna del banco “falló en identificar numerosas debilidades de control y brechas en el entorno operativo de la nube. La auditoría interna tampoco informó al Comité de Auditoría de manera eficaz ni destacó las debilidades y brechas identificadas". Incluso cuando la auditoría interna informó sus preocupaciones, la OCC descubrió que, la junta “no tomó acciones efectivas para responsabilizar a la gerencia, particularmente al abordar las inquietudes con respecto a ciertas brechas y debilidades de control interno."

El banco, según la OCC, ha comenzado a abordar las acciones correctivas y se ha comprometido a proporcionar recursos para "remediar las deficiencias".

Los detalles en el informe pintan un cuadro de deficiencias de gestión de riesgos y de gobierno en todos los niveles, la junta, la gerencia ejecutiva y la auditoría interna.

El segundo caso involucra a World Acceptance Corp. (WAC), una empresa de financiación al consumo a través de pequeños préstamos, con sede en Carolina del Sur. La firma fue multada con $21.7 millones por la Comisión de Bolsa y Valores de los Estados Unidos (SEC) por violaciones de la Ley de Prácticas Corruptas en el Extranjero (FCPA, por sus siglas en inglés) por parte de una antigua subsidiaria poseída totalmente en México. De acuerdo con la Orden de Cese y Desistir de la SEC, La subsidiaria fue acusada de pagar $ 4,1 millones en sobornos a funcionarios gubernamentales y sindicales por un período de siete años. Pero este caso se trataba tanto de controles deficientes como de cualquier intento de encubrir acciones presuntamente ilegales.

La filial mexicana fue acusada de pagar a funcionarios gubernamentales y sindicales para asegurar que los reembolsos de los préstamos se siguieran realizando de forma oportuna, de acuerdo con la Orden de la SEC. El esquema incluía pagar a intermediarios para que volaran a diferentes municipios del país con “grandes bolsas de efectivo para pagar a los funcionarios. La subsidiaria identificó los pagos como gastos de “comisión” y “careció de controles internos contables suficientes para detectar o prevenir dichos pagos."

Más allá de las obvias violaciones a la FCPA y las lagunas del control contable en México, las brechas de gobernanza se vieron agravadas por un “tono desde lo alto de la gerencia de WAC (que) no apoyó las funciones robustas de auditoría interna y de cumplimiento y minó la efectividad de esas funciones” Según la Orden de la SEC.

El informe detalla problemas que comenzaron en octubre de 2015, cuando el entonces CEO despidió al vicepresidente de auditoría interna después de que éste planteó problemas de cumplimiento, incluyendo la falta de controles contables en la filial mexicana. Luego, el CEO combinó las funciones de auditoría interna y cumplimiento en un sólo departamento y presionó al vicepresidente del nuevo departamento para que redujera el personal y se volviera más "básico", según la Orden de la SEC. Aproximadamente un año después, el director ejecutivo cambió las líneas de reporte del departamento, de la junta al consultor jurídico. Según la SEC, el vicepresidente de auditoría interna y cumplimiento pronto fue cesado, supuestamente por expresar su preocupación de que las funciones "no eran sólidas".

En 2017, los auditores externos reportaron formalmente debilidades materiales en el control interno sobre la información financiera. Específicamente, los auditores externos mencionaron brechas en el diseño de controles en la gestión de proveedores y los procesos de pago en las subsidiarias de la empresa en México.

En el caso Capital One parece que las evaluaciones de riesgos, la gestión de riesgos, la gestión de riesgos independiente y las pruebas de controles internos no consideraban los servicios en la nube. Peor aún, parece que la auditoría interna brindaba poco aseguramiento independiente sobre esta área clave de riesgo. Las acciones correctivas solicitadas en la Orden de la OCC incluyen el desarrollo de un plan formal de auditoría interna que incluya:

  • Reevaluar la evaluación de riesgos cibernéticos y tecnológicos.
  • Evaluar y validar la integridad y precisión del inventario documentado por la gerencia de activos tecnológicos y dispositivos y software configurables.
  • Incorporar lecciones aprendidas relacionadas con el análisis de la causa raíz de las brechas de seguridad cibernética.
  • Revisar el plan de auditoría de tecnología basado en riesgos.
  • Evaluar la experiencia y necesidades de formación del personal de auditoría interna.

Tan completa lista no significa que cualquiera de estas acciones clave en particular falló antes de la brecha, pero pone de manifiesto la complejidad de las responsabilidades de aseguramiento que la auditoría interna debe asumir cuando alguna organización considera el almacenamiento de datos y servicios de computación a terceras partes.

En el caso de WAC, la SEC aceptó la oferta de la empresa de medidas correctivas que incluían: apoyo a la investigación de la SEC; el despido de personal clave, incluido el CEO y el consultor jurídico; y deshacerse de sus operaciones en México.

Si bien estos casos son diferentes, hay una moraleja común en estas historias: Fuertes y efectivas funciones de auditoría interna pueden mantener a las organizaciones fuera de problemas. Ignore a la auditoría interna, o peor aún, evádala, y los reguladores llamarán a la puerta con cargos serios y grandes multas.

Como siempre, espero sus comentarios.

Richard F. Chambers, presidente y director ejecutivo del Global Institute of Internal Auditors, escribe un blog semanal para InternalAuditor.org sobre temas y tendencias relevantes para la profesión de auditoría interna.