Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb SeparatorLos titulares de 2017 reflejan grandes desafíos y oportunidades para los auditores internos

Los titulares de 2017 reflejan grandes desafíos y oportunidades para los auditores internos

El final del año calendario es habitualmente un tiempo para reflexionar sobre los logros personales y profesionales. También me ofrece la oportunidad de mirar hacia atrás en los eventos del año que tuvieron implicaciones directas para la profesión de auditoría interna.

Cuando revisé los eventos clave en 2017, recordé una verdad fundamental que todos los auditores internos deberían tomarse en serio: la gestión eficaz de riesgos, los controles internos y el gobierno corporativo son actividades llenas de obstáculos continuos. Desde escándalos impulsados por la cultura hasta continuos y descarados ataques cibernéticos, hasta disturbios geopolíticos y socioeconómicos, este año brindó vívidos ejemplos de cuán efímeros pueden ser la gestión de riesgo, el control y la gobernanza.

La ciberseguridad se mantuvo elusiva

La mala noticia es que el delito cibernético continuó prosperando en 2017. La peor noticia es que los mayores hackeos se pudieron evitar fácilmente pero aún sucedieron.

Incluso, en una era en la que las brechas de datos de gran tamaño se han convertido en rutina, la divulgación de Equifax en septiembre de que la información personal de 143 millones de sus clientes se vio comprometida fue impresionante. En un simple hackeo masivo, los nombres, números de Seguridad Social y otros datos personales de más del 40 por ciento de la población de los Estados Unidos quedaron expuestos.

El ataque aprovechó una debilidad conocida en el software de la red de Equifax para el cual había un parche disponible para protegerse contra los piratas informáticos. Pero el parche, según los informes, no se había aplicado. De manera similar, un simple esquema de suplantación de identidad (phishing) a principios de año estuvo detrás del exitoso ataque Wanna Cry Ransomware que paralizó las computadoras en 150 países.

IMPLICACIONES: Estos ejemplos muestran que la auditoría interna debe permanecer vigilante para identificar las deficiencias en los controles de la seguridad cibernética y debe buscar y mantener relaciones positivas y de apoyo con los gestores de riesgos cibernéticos, incluidas las OSC, los CISO y los CRO.

Desregulación, los cambios de cumplimiento impactan las prioridades de la auditoría interna

Si bien las consecuencias de la caída mundial pronosticadas como resultado del voto Brexit de 2016 y las elecciones presidenciales estadounidenses no se han materializado, se produce una revolución silenciosa en las estrategias regulatorias y de cumplimiento que impactan los riesgos en los Estados Unidos.

La lista incluye retrasos en la implementación de algunas reglas anticipadas (por ejemplo, la regla fiduciaria del Departamento de Trabajo de los EE. UU. sobre asesores financieros se retrasa 18 meses, hasta julio de 2019); reversiones de política (por ejemplo, neutralidad de la red); y cambios de liderazgo y directorio que pueden alterar las filosofías de aplicación en la Comisión de Bolsa y Valores de EE. UU., la Junta de Supervisión Contable de la Empresa Pública, la Agencia de Protección Ambiental y la Oficina de Protección Financiera del Consumidor.

IMPLICACIONES: Independientemente de la inclinación política de uno, es importante reconocer que tales cambios, tanto de alto perfil como sutiles, tienen un impacto sobre los riesgos y pueden requerir repensar / replantear las prioridades de auditoría interna.

Reconocimiento de ingresos: el tiempo se acaba

Un nuevo estándar de reconocimiento de ingresos publicado por el Consejo de Normas de Contabilidad Financiera en 2014 fue aclamado como un paso significativo hacia la mejora de los informes financieros. La fecha límite para que las empresas que cotizan en bolsa cumplan con la nuevo norma llegó y salió la semana pasada (15 de diciembre).

La intención de la norma es permitir que los usuarios de los informes financieros "comprendan la naturaleza, cantidad, oportunidad e incertidumbre de los ingresos y los flujos de efectivo derivados de los contratos con los clientes". Si bien el objetivo es loable, el desafío para cumplir con la nueva norma es determinar la cantidad de detalles que se deben proporcionar.

Una de las disposiciones de la norma es proporcionar "un nivel de detalle necesario para satisfacer el objetivo de divulgación y cuánto énfasis poner en cada uno de los diversos requisitos". También advierte contra el ocultamiento de información útil mediante la inclusión de "una gran cantidad de detalles insignificantes o la agregación de elementos que tienen características sustancialmente diferentes".

IMPLICACIONES: Las organizaciones que aún no han invertido recursos para cumplir con la norma podrían tener dificultades, lo que podría presentar un desafío significativo para la auditoría interna para proporcionar seguridad en el cumplimiento.

Los papeles del paraíso y otras sorpresas de alto perfil resaltan el riesgo de lo desconocido

Por segundo año consecutivo, los datos privados sobre los paraísos fiscales se filtraron a los medios. En 2017, los llamados papeles del paraíso (Paradise Papers) expusieron estrategias impositivas para grandes firmas como Nike, Apple y Avianca. Los 13,4 millones de documentos electrónicos confidenciales relacionados con las inversiones en el extranjero se filtraron a dos periodistas alemanes, que luego los compartieron con el Consorcio Internacional de Periodistas de Investigación.

En todo el mundo, otras amenazas inesperadas pusieron de relieve la rapidez con que los riesgos pueden surgir y explotar.

  • Las advertencias sobre las redes sociales no son nada nuevo, y la mayoría de las organizaciones tienen al menos una comprensión rudimentaria del valor y el peligro asociado con ellas. Pero incluso las organizaciones sofisticadas pueden ser fácilmente tragadas por el agujero negro del hablar de los medios. United Airlines ofreció un doloroso ejemplo de esto en 2017. La aerolínea sufrió un gran golpe de reputación cuando un video de un pasajero siendo sacado a la fuerza de uno de sus aviones se hizo viral. Su pobre respuesta inicial solo agravó una mala situación.
  • El minorista de EE. UU. Hobby Lobby fue atrapado en un escándalo por los artefactos obtenidos ilegalmente para el Museo de la Biblia. Los fundadores del museo se vieron obligados a devolver miles de artefactos que fueron sacados clandestinamente de Iraq a través de los Emiratos Árabes Unidos. Hobby Lobby, uno de los principales contribuyentes al museo, omitió confirmar dónde se habían almacenado los artefactos y pagó un acuerdo de $ 3 millones al Departamento de Justicia de los EE. UU.
  • Una investigación interna de las operaciones en una planta de cemento de Lafarge Syria descubrió que la compañía pagó $ 5,6 millones entre julio de 2012 y septiembre de 2014 para garantizar la seguridad del personal local y el movimiento irrestricto de los camiones Lafarge en la nación devastada por la guerra. Algunos de esos pagos parecen haber ido al Estado Islámico. Un comentarista describió a la compañía como un cajero involuntario para ISIS. ¡Ay!

IMPLICACIONES: Idealmente, la auditoría interna debería estar posicionada para proporcionar seguridad en todas las áreas, pero los límites en recursos y experiencia lo convierten en un desafío en la mayoría de las organizaciones. Aun así, debemos estar preparados para intervenir de manera proactiva en tiempos de crisis y estar atentos a los riesgos inesperados que pueden surgir cuando las organizaciones se desvían de las funciones habituales o toman medidas extraordinarias para alcanzar los objetivos.

Normas actualizadas, herramientas prepararan a la auditoría interna para el futuro

No todos los titulares de 2017 fueron negativos. De hecho, los profesionales de auditoría interna recibieron normas actualizadas y herramientas que los ayudan a posicionar mejor para satisfacer las crecientes demandas de las partes interesadas.

Las nuevas Normas Internacionales para la Práctica Profesional de la Auditoría Interna del IIA entraron en vigencia el 1 de enero, añadiendo componentes importantes al Marco Internacional para la Práctica Profesional (IPPF), incluyendo una nueva lista de Principios Básicos. Los Principios Básicos ayudan a la auditoría interna a demostrar cómo se alinea con los objetivos de la organización, particularmente el principio de que la auditoría interna sea perspicaz, proactiva y se centre en el futuro.

Centrarse en el futuro también fue lo que impulsó la actualización del Marco integrado de gestión de riesgo empresarial de COSO, publicado en septiembre.  El marco actualizado responde a la evolución de la gestión del riesgo empresarial, proporcionando orientación para satisfacer las demandas de un entorno empresarial cada vez más dinámico que incluye cambios en los mercados económicos, tecnologías en evolución y cambios demográficos.

IMPLICACIONES: La historia muestra que la auditoría interna ha sido experta en convertirse en el eje de los cambiantes escenarios de riesgo y las crecientes demandas de las partes interesadas. Ahora tiene dos nuevos instrumentos para ayudarlo a cumplir su tarea cada vez más compleja. Vale la pena mencionar aquí la importancia de cumplir con las Normas. La belleza y el valor de IPPF es su capacidad para dar uniformidad y consistencia a la forma en que se practica la profesión en todo el mundo. Sin embargo, su capacidad para hacer esto depende de que los profesionales acepten y se ajusten estrictamente a las Normas.

BONO: UBER – Un año para olvidar

Brutal es la única palabra para describir el 2017 para el consentido del mundo de los negocios emergentes. Comenzó en febrero con denuncias de quejas de acoso sexual y discriminación no abordadas en la empresa con sede en San Francisco. Las malas noticias continuaron con el posterior despido de 20 empleados en una investigación relacionada. En mayo, Uber acordó pagar $ 20 millones en salarios atrasados para resolver una demanda de la Comisión Federal de Comercio de EE. UU. En junio, el fundador de Uber, Travis Kalanick, renunció como CEO. En septiembre, a Uber se le prohibió operar en Londres. Luego, en octubre, las noticias de Bloomberg informaron que la compañía enfrenta no menos de cinco investigaciones criminales por el Departamento de Justicia de los EE. UU.

IMPLICACIONES: La descripción del informe Bloomberg de que la cultura de Uber tiene "una tendencia a ignorar las reglas" resume la causa raíz de los problemas de gobierno de la compañía. Tal cultura de rueda libre en cualquier organización lleva la tolerancia al riesgo a un alto nivel, haciendo que el buen gobierno y la mitigación de riesgos sean mucho más complejos y desalentadores.

Este año en revisión refleja la variedad de riesgos y la velocidad a la que surgieron y afectaron a organizaciones grandes y pequeñas. Debería servir como un recordatorio de que las organizaciones deben estar listas para adoptar las herramientas y los recursos a su disposición, prepararse para lo inesperado y abordar audazmente los riesgos que pueden identificar y gestionar. También fue otro año en el que aprendimos la valiosa lección de tratar de anticipar lo inesperado.

Como siempre, espero sus comentarios.​​

Declaración

Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de auditoría interna.