Cl-AI-Riesgos y Oprtunidades 2022

Auditoría Interna:
Riesgos y Oportunidades para 2022

Tabla de Contenidos
03 | Introducción 14 | Ciberseguridad
04 | Gestión de Riesgos de Terceros (TPRM) 16 | Diversidad, Igualdad e Inclusión
06 | Ambiental, Social y Gobernanza (ESG) 18 | Aseguramiento desde el Diseño
08 | Contra el Fraude 20 | Bullying & Acoso
10 | Fusiones & Adquisiciones 22 | Automatización
12 | Seguridad Psicológica
Sobre riesgo, oportunidad y auditoría
interna
Riesgo En esta publicación, presentamos una
A menudo se piensa que el riesgo es intrínsecamente negativo, pero una visión más matizada percibe una dualidad compleja.
serie de riesgos y oportunidades claves
Se pueden encontrar paralelos en la literatura, como Jekyll y Hyde, riesgo y oportunidad en el mismo cuerpo, y en la ciencia, que creemos que las organizaciones
como la Tercera Ley de Newton; por cada riesgo hay una oportunidad.
Hay pocas dudas del porqué predomina el aspecto negativo del riesgo. En los últimos años, el mundo ha sido testigo de una
deberían tener en su radar, así como la
confluencia sin precedentes de múltiples amenazas, muchas de las cuales han generado, entrelazado y / o exacerbado a las auditoría interna en sus planes de
otras. Una lista muy fragmentada incluye la pandemia mundial, el cambio climático, la escasez de mano de obra, las
interrupciones en la cadena de suministros, amenazas cibernéticas y manifestaciones políticas y sociales. Consideradas en auditoría…
conjunto, estas y otras amenazas han sacudido los cimientos mismos sobre lo que se ha construido, la sociedad y los negocios.
La lista no es de ninguna manera exhaustiva; ni todos los temas se

aplicarán a todas las organizaciones. Depende de cada entidad evaluar,
Oportunidad Auditoría Interna clasificar y priorizar estos riesgos y oportunidades en relación con su
propio perfil y circunstancias . (El concepto de clasificación de riesgos
Sin embargo, la oportunidad oculta el riesgo a La auditoría interna (IA), al igual que el riesgo en sí, a menudo se para centrarse en los riesgos que más importan se aborda con más
cada paso. Considere, por ejemplo, el ámbito malinterpreta. Históricamente, la profesión ha sufrido detalle en nuestra publicación ¨Internal Audit 3.0: The future of
de los ESG: medioambiental, social y de percepciones desfavorables, ya que a menudo se la ve como un internal audit is now.")
gobernanza, donde las organizaciones cuerpo de vigilancia policial o como un área de amonestación que
enfrentan intensas presiones regulatorias y se precipitan para informar sobre lo que salió mal. Sin embargo, Si bien el entorno actual seguramente ha desencadenado muchos
sociales para cumplir con altos estándares, y una definición más progresiva de auditoría interna también sentimientos de impotencia e incertidumbre, este artículo puede
donde el fracaso puede provocar daños contiene una dualidad: proveedores esenciales de servicios tanto servir como contrapeso: una influencia motivadora y organizadora; un
de aseguramiento como de asesoría. Auditoría interna es incentivo para poner su organización en orden, sus prioridades claras
financieros, regulatorios y de reputación
legítimamente cautelosa con la multitud de riesgos, y la función y su plan de acción. Los riesgos son abundantes, pero las
significativos. Sin embargo, si las empresas lo
siempre se encargará de proteger a sus organizaciones a través del oportunidades son aún mayores y la auditoría interna puede marcar la
hacen bien en el ámbito ESG, pueden hacer
aseguramiento. Pero los grupos de auditoría interna diferencia. Las dualidades ayudarán a sus organizaciones a emerger
grandes cosas, tanto en términos de hacer verdaderamente evolucionados, también buscarán ayudar a la alta
contribuciones positivas a problemas globales más fuertes de estos tiempos sin precedentes.
administración a embarcarse en futuros desafíos y tomar
clave, como de igual importancia en la creación decisiones más informadas, aprovechando al máximo las
de una ventaja competitiva en el mercado. oportunidades concurrentes que ofrece cada riesgo.
El rol de auditoria interna en
Gestión de Riesgos de Terceros (TPRM)

No luches contra los incendios. Instale puertas a prueba de fuego.
Nuestra Visión News

Sugerencia: si la respuesta es seis meses, usted tiene un
Cuando todos los negocios se veían como silos, Auditoría En 2021, a un gran banco se le impuso una multa de 1 millón de dólares,
problema. ¿Cuántas fallas de terceros ha experimentado la
Interna lo tenía fácil: la mayoría de los aspectos de la además de pruebas adicionales y requisitos de capacitación debido a que no
organización durante el último año? (Respuesta esperada:
empresa se manejaban internamente y las preocupaciones informó adecuadamente los datos financieros al regulador federal. Si bien el
más de lo que cree). Cada relación con terceros (y más allá)
de Auditoria interna terminaban en la puerta principal de la banco había contratado a un proveedor de servicios externo para manejar el
conlleva su propio conjunto de riesgos, y la mayoría de las
empresa. proceso, el proveedor cometió errores persistentes que el banco no pudo
organizaciones invierten en tecnología lo cual clave para
Hoy, la puerta de entrada no se ha abierto de par en par, supervisar adecuadamente y corregir de manera oportuna.
mitigarlos. Auditoría Interna debe estar preparada para
ha sido derribada, y las empresas a menudo subcontratan
asesorar a la administración y al comité de auditoría sobre
más funciones de las que retienen. Mientras tanto, los
cuales son las tecnologías apropiadas para monitorear el
terceros (vendedores, distribuidores, proveedores y
riesgo de terceros, como alertas en tiempo real y
Datos Relevantes
similares), también mantienen sus propias redes de
herramientas de análisis de tendencias.
relaciones (sí, incluso los terceros tienen terceros) creando
un ecosistema masivo de cuartas y quintos partes y más Además, se debe brindar orientación a las partes • e Deloitte: Encuesta de gestión de riesgos de terceros
51% 13%
interesadas sobre las ventajas de externalizar su TPRM. El
10%
allá, que requieren como mínimo de una conciencia total,
pero por sobre todo de una supervisión activa. desarrollo de capacidades en la empresa puede ser costoso
y exigente, ya que TPRM es un campo de nicho que requiere
El aseguramiento del TPRM, debe atravesar toda la empresa, De las fueron incidentes de alto De las organizaciones
conocimientos especializados. Las mismas motivaciones que
y requiere algunos datos como línea de base. Comience organizaciones impacto que comprometieron no estaban seguras si
impulsan a una empresa a entablar relaciones con terceros
solicitando a la gerencia el inventario de todas las relaciones enfrentaron uno o gravemente el rendimiento habían sufrido un
en primer lugar se aplican a la supervisión subcontratada de
con proveedores o terceros. (Alerta de spoiler: es probable más incidentes de financiero, perjudicando el incidente de terceros o
TPRM: la eficiencia, la competencia, el rigor, la auditabilidad riesgo de terceros
que no haya una). ¿Con qué rapidez se puede producir un servicio al cliente o infringió no.
y una perspectiva independiente se encuentran entre los desde el COVID-19. gravemente la regulación.
informe sobre todo el panorama de las relaciones y los
beneficios para ser realizado.
riesgos asociados?
Gestión de Riesgos de Terceros (TPRM)
Para obtener más información:
Deloitte: Encuesta de gestión de riesgos de terceros 2021
Deloitte: El desafío de la gestión de riesgos de terceros
Wall Street Journal: Gestiona a terceros con tecnologías de vanguardia
Señales de advertencia Obtener los fundamentos correctos Dando los siguientes pasos
• Subcontratación: ¿Su tercero utiliza a terceros? Si, por • Involucre a los abogados: La mayoría de las relaciones con • Dé un salto: Haga que su equipo participe en el proceso
ejemplo, su proveedor de nómina subcontrata algunos terceros se rigen por contratos que especifican derechos y de selección de proveedores para examinar a los
servicios, puede descubrir que ha perdido el control sobre obligaciones. Su abogado responsable probablemente participó proveedores y evitar posibles problemas antes de que
los datos personales de sus empleados. en la redacción de los acuerdos y puede ser un recurso valioso lleguen.
para interpretarlos. • Implemente tecnología: Exponga el caso al comité de
• Proveedor malicioso: Las quejas de los empleados sobre
• Amplíe la visión: ¿El programa actual de TPRM realmente abarca a auditoría para obtener recursos tecnológicos adicionales.
la confiabilidad o el desempeño de proveedores externos
todos los terceros o se limita a los proveedores? ¿Cubre todos los Aquí hay una declaración de apertura: "En lugar de
pueden ser un indicador de violaciones de contratos de
dominios de riesgo, como el antisoborno, la continuidad del combatir incendios, la administración debería instalar
terceros que deben investigarse más a fondo.
negocio y los aspectos ESG? puertas a prueba de fuego".
• Concepto errado de la administración: La administración
• Exponga el caso: Examine el caso comercial para entablar • Mantenga el escepticismo: Anticípese a las formas en que
a menudo piensa que puede hacer TPRM con muy poco
relaciones con terceros y su alineación con la estrategia comercial los gerentes pueden intentar eludir los controles internos
dinero. Creen que pueden hacerlo rápidamente. Y creen
general. que rigen las relaciones con terceros. Se debe asesorar a la
que pueden hacerlo sin tecnología. No pueden. No
• Comprender la cadena: ¿Hasta dónde debe llegar en la cadena dirección sobre los medios de fortalecimiento.
pueden. Y no pueden.
• Expansión de fronteras: Existen muchas relaciones de de suministro? Evalúe si se debe monitorear a los proveedores • Mire el lado positivo: No se limite a señalar las
terceros con empresas de otras jurisdicciones. Si sus de terceros y con qué intensidad. debilidades de terceros; como parte de su trabajo,
proveedores operan en un entorno con estándares • Evaluar todo tipo de proveedores: El riesgo no disminuye en esfuércese por identificar áreas para obtener un valor
regulatorios laxos, prácticas comerciales potencialmente paralelo con el valor del contrato de sus relaciones con terceros. Su adicional de las relaciones.
corruptas o una variedad de preocupaciones de ESG riesgo de reputación es el mismo con un proveedor de 10K que con • Registre las sanciones: Determine si existe un proceso
(ambientales, sociales y de gobierno), su exposición al un proveedor de 1M. Esa pequeña empresa en la que gasta unos definido para aumentar las preocupaciones, obtener
riesgo puede exceder su apetito de riesgo. pocos miles puede costarle millones. mejoras y aplicar sanciones por incumplimiento del
contrato, problemas de calidad u otros incumplimientos.
El papel de la auditoría interna en
Ambiental, Social y Gobernanza (ESG)

Aunque los informes ESG obligatorios aún no han llegado a muchas jurisdicciones,
la adopción es inminente en varias importantes economías.
Auditoría Interna siempre ha tenido un rol transversal, Aunque los informes ESG obligatorios aún no han llegado Las conversaciones sobre el clima de la COP26 en Glasgow llevaron a
pero ahora la porción debe ser cultivada de manera a muchas jurisdicciones, la adopción es inminente en acuerdos para eliminar gradualmente la energía del carbón, reducir las
sostenible, recolectada con mano de obra justa y varias economías importantes. La auditoría interna no emisiones de metano, "ecologizar" el sector de servicios financieros y
transportada sin emisiones de carbono. Esto es debe demorarse en abordar el problema, ya que lo que detener la deforestación. Sin embargo, no todos los países fueron
suficiente para provocar un dolor de cabeza a cualquier está en juego es simplemente demasiado alto, con la signatarios, y algunos de los principales emisores de CO2 se negaron a
área de auditoría. presión ejercida por los reguladores, inversores, clientes, firmar. La adopción total, el cumplimiento y la responsabilidad siguen siendo
Los grupos de auditoría interna de las grandes afiliados de terceros y la sociedad en general. Los obstáculos importantes.
multinacionales pueden encontrar relativamente beneficios de hacerlo bien pueden ser significativos, ya
sencillo adecuar los temas ambientales, sociales y de que "un alto rendimiento ESG puede traducirse en un Datos Relevantes
gobernanza (ESG) en sus planes de auditoría. Pero para mejor acceso al capital, el talento y las oportunidades
las organizaciones pequeñas y medianas, la sopa de comerciales".
• La representación femenina en los consejos de administración de
letras de los estándares y marcos de ESG (GRI, SASB, Para las funciones de Auditoria Interna que recién empresas varía drásticamente en todo el mundo: Australia, 34%;
TCFD, IIRC y más) puede resultar amedrentador. Para comienzan en su viaje ESG, uno de los primeros desafíos será Canadá, 31%; Francia, 43%; Alemania, 25%; India, 17%; Japón,
esos grupos, ofrecemos esa tranquilidad: Ustedes identificar a las partes responsables dentro de la 11%; Holanda, 26%; Reino Unido, 34%; Estados Unidos, 28%.
saben más de lo que piensan. Sí, hay nuevos requisitos, organización. A menudo, encontramos al CFO apuntando a
pero al igual que COSO, IFRS, FCPA y otros estándares, las relaciones con los inversores, quienes miran a RR.HH., • Los líderes mundiales en métricas de ESG incluyen a Dinamarca en
pueden manejar esto. Básicamente, la garantía de ESG que pasa la pelota a los legales, quienes redirigen a desempeño ambiental, Finlandia en ausencia de discriminación y
sigue siendo contable, aunque utiliza otras métricas, marketing. La coordinación eficaz entre estos grupos y un Singapur en calidad regulatoria. Estados Unidos no aparece
como galones de agua, emisiones de carbono y punto focal de responsabilidad será fundamental para el actualmente en el top 10 en ninguna de estas categorías.
diversidad de la fuerza laboral. progreso.
Ambienta, Social y Gobernanza (ESG)
Para obtener mas información :
• Deloitte: Finding the value in environmental, social, and governance performance
• Wall Street Journal: ESG and the role of internal audit
• Wall Street Journal: Five steps to building credible climate commitments
• Exageración de marketing: Si su área de marketing • Informe al equipo: Familiarice a su equipo de Auditoría Interna con • Ir por el verde esmeralda, no el crudo: Esté atento a los
hace afirmaciones que están en desacuerdo con los los estándares y marcos de informes ESG reconocidos, como la "blanqueamientos verdes". Un mayor escrutinio ha
resultados de las auditorías de ESG, deberá tomar Iniciativa Global de elaboración de informes (GRI), Normas de frenado la tendencia, pero muchas organizaciones aún
las riendas rápidamente. contabilidad de sostenibilidad Board (SASB), protocolo de gases de hacen afirmaciones endebles sobre su perfil ecológico en
• Políticas obsoletas: Las políticas organizativas sobre efecto invernadero (GHG) y la Task Force on Climate-related lugar de reflejar su verdadero color.
viajes de negocios, trabajo remoto, diversidad e Financial Disclosures (TFCD). • Fomentar el conocimiento: Inicie la capacitación según sea
inclusión, gobierno corporativo y más, deben • Verificar el estado: Analizar el proceso actual de divulgación necesario para llenar las lagunas de conocimiento, tanto dentro
revisarse y actualizarse para reflejar el entorno de ESG para los controles internos: ¿Se implementan los de Auditoría Interna como en toda la organización en general.
comercial actual y los objetivos ESG. controles y son suficientes? ¿Se informan los hallazgos a la Genere concientización, sesiones de inmersión profunda y
• Enfoques en silos: Las organizaciones pueden estar junta? puntos de vista holísticos.
literal o figurativamente en todo el mapa, con • Ofrezca información: Proporcione información sobre los • Genere credibilidad: Actualice las calificaciones de auditoría
estándares, prioridades y rigor que varían según la indicadores de riesgo ESG. Ayude a evaluar cómo se han interna con certificaciones y acreditaciones relacionadas con
geografía o la unidad de negocio. considerado los riesgos ESG dentro del proceso de gestión de ESG obtenidas a través de organizaciones profesionales.
• Separado de la estrategia: Las consideraciones de riesgos corporativos de la organización. ¿ESG está integrado • Financiar al equipo: Invierta en recursos con la experiencia y
ESG deben estar unidas a la estrategia empresarial. en la estrategia empresarial más amplia? las habilidades adecuadas para comprender, reconocer y
Un enfoque armonizado promoverá los objetivos • Revise los informes: Determine cómo la administración ha evaluar los riesgos de ESG. Considere la posibilidad de crear
de la empresa; un enfoque inconexo puede reducir identificado los problemas clave a revelar y si ha alineado esos puestos dedicados a ESG dentro de la auditoría interna para
el rendimiento. temas con los estándares internacionales. permitir la experiencia especializada y un mayor enfoque.
• Evaluar de forma independiente: Utilice evaluaciones • Integre ESG: Incluya los riesgos de ESG dentro de cada
independientes para comprender las políticas, el panorama de programa de auditoría para indagar sobre los aspectos de
control y las responsabilidades adecuadas. ESG dentro de cada función. Se debe informar sobre ESG a lo
largo de cada informe de auditoría.
El papel de la auditoría interna
Contra el Fraude
Una frase de la medicina también suena válida para las empresas: es
mejor prevenir que curar.

Cada país tiene su medio de noticias sensacionalistas. Y Curiosamente, a pesar de la importancia del tema,
todos los ejecutivos y Directorio Ejecutivo de Auditoría muchas organizaciones operan en un estado de Cuando la empresa alemana de tecnología financiera Wirecard reveló que más
(DEA), esperan no ver nunca a su empresa en esa negación. Pero esta postura de "fuera de la vista / fuera de 2.000 millones de dólares en efectivo habían desaparecido de sus libros, las
portada. de la mente" oculta un factor clave: el fraude, por su consecuencias fueron graves: el precio de las acciones se desplomó en más del
De hecho, no hay forma más segura de atraer publicidad naturaleza, implica engaño. No hay luces intermitentes 90%; el CEO renunció; la empresa se declaró en insolvencia; y varios ejecutivos
no deseada que sufrir un caso de fraude interno. Pero el que digan "mira aquí". Los estafadores cubren sus fueron arrestados por cargos de fraude contable.
daño se extiende mucho más allá de los titulares. El huellas y harán todo lo posible para dirigir su atención a
fraude daña no solo la reputación de la empresa, sino otra parte. Entonces, cuando las organizaciones dicen:
también las carreras de aquellos bajo cuya vigilancia "No tenemos un problema de fraude", la respuesta
ocurrió el engaño. Las consecuencias financieras, las estándar tal vez debería ser: "Sí, lo tienes. Simplemente Datos Relevantes
sanciones regulatorias, la pérdida de clientes y las no lo has encontrado todavía".
ganancias de la competencia son resultados comunes. Y, Lo que es cierto en la medicina también suena cierto en
en casos extremos, el fraude puede presentar una crisis los negocios: es mejor prevenir que curar. La mejor De acuerdo con la Asociación de Examinadores de Fraude Certificados:
existencial para la propia organización. manera de minimizar las pérdidas por fraude es evitar
El problema atraviesa las líneas de la industria. Si bien
los servicios financieros y el sector público
que ocurra el fraude en primer lugar.
5% $4.5B 14 meses.
generalmente están más enfocados en este riesgo, Las organizaciones Más de US $ 4,5 billones El típico caso de fraude
debido en gran parte a los estrictos entornos pierden en media se pierden debido a las dura 14 meses antes de que
regulatorios en los que operan, la mayoría de las otras el 5% de sus actividades fraudulentas se detecte.
ingresos anuales cada año.
industrias se quedan atrás. Las empresas emergentes,
debido al fraude.
en particular, pueden luchar contra el fraude y sus
consecuencias.
Contra el Fraude
• Deloitte: The nature of fraud is changing
• Deloitte: Building confidence in your fraud risk framework
• Wall Street Journal: Five actions to fortify whistleblower plans
• Estilo de vida extravagante: Si el asistente contable • Estudie el panorama: Para obtener un control real de los • Tenga cuidado con las brechas: Una vez que comprenda
júnior de una organización conduce hacia al trabajo en riesgos que enfrenta su organización, realice una evaluación sus riesgos clave, correlacione con los controles
un Mercedes-Benz, es posible que deba volver a de riesgo de fraude exhaustiva y completa. Los resultados existentes para identificar brechas, debilidades y
comprobar sus registros financieros. Un empleado que deben impulsar las actividades posteriores: dónde ganancias rápidas. Empiece a cerrar esas brechas.
vive más allá de sus medios es el signo más común de concentrarse, dedicar su tiempo e invertir. Este no es un Algunos requerirán arreglos a más largo plazo; otros
actividad fraudulenta. (Puede parecer obvio, pero aún ejercicio único de cinco minutos: hable con las partes serán sencillos sin requerir una gran inversión.
ocurre). interesadas, realice encuestas anónimas, organice talleres,
• Problemas personales: Ciertos problemas personales actualice y cuestione los resultados con regularidad. • Capacitar a la organización: Una vez identificados los
también pueden ser una señal de advertencia • Implemente Línea Base de Control: Es sorprendente riesgos y establecidos los mecanismos de denuncia, puede
temprana de un posible fraude, incluidas las cuántas organizaciones tienen lagunas o debilidades comenzar la capacitación antifraude. Asegúrese de resaltar
dificultades financieras, el divorcio y la adicción. Según fundamentales en los controles internos básicos. Para el verdadero costo del fraude, las señales de advertencia y
la Asociación de Examinadores de Fraude Certificados, disuadir el fraude, adhiérase a los conceptos básicos: los mecanismos de denuncia. Comunicar una política de
"En el 63% de los casos, el defraudador mostró una segregar funciones, accesos limitados, establecer tolerancia cero.
alerta roja en su comportamiento que esta asociado autorizaciones máximas, conducta por antecedentes de • Delegue a las partes interesadas: La mejor defensa son
con su vida personal". cheques, rotar responsabilidades laborales y hacer cumplir las partes interesadas: colaboradores, mandos
• Problemas laborales: Algunos comportamientos en las vacaciones obligatorias. intermedios y terceros. Edúquelos sobre las amenazas y
• Fortalezca la infraestructura: Establezca mecanismos sólidos
el lugar de trabajo también pueden ser un de denuncia de fraude para que los utilicen los colaboradores los riesgos claves. Ayúdelos a comprender cómo detectar
indicador de fraude subyacente. Entre las primeras y contratistas, lo que permite referencias anónimas. A y señalar problemas emergentes. No abra completamente
preocupaciones: relaciones inusualmente cercanas menudo, estos implican el uso de líneas directas de terceros; la puerta. Mantenga en secreto la información
con proveedores o clientes; interacciones tensas sin embargo, es vital que los informes recibidos se clasifiquen confidencial sobre sus mejores técnicas de detección de
entre colegas y evaluaciones de desempeño y se tomen las medidas de seguimiento adecuadas. fraudes.
deficientes.
Rol de la auditoría interna en
Fusiones & Adquisiciones
La negociación aumentará en la economía post-pandémica.
La auditoría interna puede ayudar a que las transacciones tengan éxito.

Los ejecutivos de fusiones y adquisiciones están enviando Otra preocupación involucrará los procesos contables.
señales claras y contundentes de que la negociación será Durante el período del acuerdo de servicio de transición
una palanca importante a medida que las empresas se (TSA), los procesos de contabilidad y control interno En 2001, el favorito de las puntocom América Online se fusionó con uno de los líderes
recuperen y prosperen en la economía posterior al pueden fracasar, lo que da como resultado problemas del cable y contenido Time Warner para crear un potencial gigante de los medios. Pero
COVID-19. Así como los consumidores están reabriendo de informes financieros potencialmente dañinos. las sinergias no realizadas, las culturas en conflicto y la explosión de la burbuja de las
sus billeteras después del cierre de la pandemia, las Muchas empresas subestiman el esfuerzo necesario puntocom llevaron a AOL / Time Warner a sufrir una perdida de 99.000 millones de
empresas y los inversores privados han acumulado para separar o integrar sus sistemas. Es esencial dólares en 2002, lo que le valió a este acuerdo de fusiones y adquisiciones el
mucho capital que están dispuestos a gastar. Pero para involucrar los conjuntos de habilidades correctos, en sobrenombre de "la peor fusión de todos los tiempos". Si bien el trato es de hace más
que el acuerdo sea un ganador a largo plazo, con un lugar de simplemente dedicar recursos al problema. de veinte años, los aprendizajes de esta fusión aún se aplican.
enfoque en el valor y el riesgo desde el principio, la
auditoría interna debe ser un actor clave: antes, después Y finalmente, los DEA no solo deben preocuparse por el
y hacia todo lo demás. esfuerzo de integración general, sino que también Datos Relevantes
Entre los temas más delicados estará la integración del tendrán que lidiar con la fusión de dos grupos distintos
sistema de TI. No es raro encontrar docenas de sistemas de auditoría interna. Las funciones de Auditoría Interna De acuerdo con la investigación de Deloitte "Future of M&A Trends":
de TI entre las empresas que se fusionan, todos los cuales deberán conciliar las diferencias en la visión y el rol, los
deberán evaluarse en cuanto a compatibilidad y
redundancia. El anuncio inicial de fusiones y adquisiciones
modelos operativos, la documentación del papel de
trabajo, las herramientas, tecnología, y más. Esta
61% 51%
probablemente incluirá una evaluación optimista de las integración de AI no puede ser un tema secundario: de los negociadores de EE. UU. Las amenazas de ciberseguridad
posibles sinergias, pero a medida que se acerca la fecha dado que auditoría interna asesorará sobre la esperan que la actividad de fusiones y son lo más importante para el 51% de los
de cierre, esos modelos de sinergia pueden reducirse integración general, es esencial para la credibilidad de la adquisiciones vuelva a los niveles encuestados, ya que las empresas gestionan
repentinamente. Habrá una presión intensa para que las organización que tenga su propia casa en orden. anteriores a COVID-19 en los los acuerdos de forma virtual.
proyecciones iniciales funcionen, y los sistemas de TI es Empezar temprano y moverse rápidamente son las próximos 12 meses.
donde a menudo dejan caer la pelota. claves del éxito.
Fusiones & Adquisiciones
Deloitte: M&A trends survey: The future of M&A
Deloitte: M&A: The intersection of due diligence and governance
Deloitte: Regulatory realities amid the M&A market’s momentum
• Desajustes fundamentales: Organigramas • Realice la debida diligencia: a medida que se evalúan los posibles • Compare y asesore: Controle los procesos, los controles y la
planos frente a organigramas jerárquicos. acuerdos, la auditoría interna debe garantizar que se cubran todas las tecnología en la empresa de destino. Identificar estados
Toma de decisiones metódica versus no áreas del proceso; evaluar el entorno de control interno existente; y actuales; crear sinergias y determinar despidos; identificar lo
estructurada. Liderazgo conservador versus revisar asuntos materiales de auditorías recientes. Analice las sinergias: que cubre la TSA.
extravagante. Algunos obstáculos culturales los negociadores a veces presentan una imagen demasiado optimista de
• Encuentra la salida: Examina la TSA y recomienda cambios
pueden ser difíciles de superar. las posibles sinergias. Tome una mirada independiente e informe los
según sea necesario. Realice un seguimiento de las fechas de
• Justificación insuficiente: El logro de hallazgos a la junta. Haga un seguimiento durante un año o más después finalización de la TSA y evalúe cómo la empresa se está
economías de escala a menudo se cita como de la transacción para ver dónde está y dónde no se está logrando la preparando para una salida oportuna sin extender la TSA para
un factor impulsor de los acuerdos de sinergia. cubrir los déficits.
fusiones y adquisiciones, pero si fusiona dos • Incorporar a Auditoría Interna: Auditoría interna debe unirse a las • Mire hacia atrás: Realice evaluaciones posteriores a la
empresas con estrategias defectuosas, sesiones de diseño, enfocando su mirada de riesgo y control y transacción para determinar las lecciones aprendidas que se
liderazgo deficiente o competencia haciendo preguntas difíciles. (En algunos acuerdos, la auditoría interna pueden aplicar a los acuerdos en el futuro.
despiadada, lo único que aumentará es la puede quedar excluida del plan, pero una vez que se anuncia el
• Considerar el cumplimiento: Si el acuerdo empuja a la
probabilidad de fracaso. acuerdo, la función debe presionar para participar).
empresa adquirente a nuevos mercados, entrarán en
• Problemas de ESG: ¿Tiene la empresa
• Deberes del día 1: Auditoría Interna tiene una visión única y amplia de la juego requisitos regulatorios y de informes adicionales.
adquirida un historial irregular de ESG
organización: quién es quién, cómo está conectada la empresa, dónde Evalúe temprano para evitar el incumplimiento y los plazos
(medioambiental, social y de gobernanza)?
encaja la nueva empresa. Ese conocimiento debe utilizarse como parte incumplidos evitando los dolores de cabeza que traen
¿El acuerdo va a retrasar varios años su
de la planificación y el apoyo de la preparación del primer día. consigo.
propio programa de ESG?
Rol de la auditoría interna en:
Seguridad Psicológica
El viejo dicho, "La seguridad es lo primero", adquiere un nuevo
significado para la auditoría interna.
Nuestra Visión
News
Se ha convertido en una especie de estereotipo Las respuestas pueden resultar impactantes: para la
empresarial para quienes afirman que los entornos de mayoría de los auditados, someterse a una auditoría Al principio de su carrera, Western Union despidió al inventor estadounidense
trabajo deben abarcar la apertura, la colaboración y el interna es similar a un examen médico invasivo, necesario Thomas Edison después de que un experimento fallido dañara la propiedad de la
aprendizaje, pero de hecho existen datos concretos que e importante quizás, pero detestado y temido de todos empresa. La cancelación de su contrato fue poco visionaria por parte de su
respaldan la afirmación. En un estudio de dos años modos. empleador, ya que Edison pasó a presentar más de 1.000 patentes, inventando la
realizado por Google sobre el desempeño del equipo, Entonces, para la auditoría interna, la seguridad ampolleta, el fonógrafo, la cámara cinematográfica y muchos otros dispositivos.
todos los equipos con mejor desempeño adoptaron el
psicológica comienza en casa. Tome medidas para que su Años más tarde, Western Union, después de descuidar la creación de un entorno
concepto de "seguridad psicológica", la noción de que los
función sea menos un adversario, más un asesor. No solo de trabajo seguro, terminó comprando los derechos de uno de los inventos de
errores son un precursor del éxito y que quienes los
cometen deben ser apoyados, no castigados. Google resaltes lo malo, también celebra lo bueno. No solo Edison.
concluyó que cuando los equipos tienen la libertad de rebusque el pasado, sino que visualice el futuro.
participar en la toma de riesgos estratégicos en un Para promover la seguridad psicológica, los equipos de AI
entorno de apoyo, su confianza colectiva, creatividad, y la pueden adoptar la declaración conocida como "La Datos Relevantes
productividad aumentará. Directiva Principal": "Independientemente de lo que
descubramos, entendamos y creamos verdaderamente • La encuesta del Comité de Auditoría Global 2020 de Deloitte encontró que el 86%
El estudio de Google es convincente, pero antes de que
que todos hicieron el mejor trabajo que pudieron con la de los presidentes de los comités de auditoría dijeron que se alienta a la
la auditoría interna comience a defender la seguridad
informacion disponible, lo que sabían en ese momento, administración a presentar problemas y hallazgos al comité de auditoría, pero las
psicológica para los organización en general, tal vez se
sus habilidades, los recursos disponibles y la situación en barreras institucionales a menudo impiden que esto suceda.
justifique una mirada hacia adentro. ¿El grupo de AI está
contribuyendo de manera positiva o negativa a los
cuestión ". (Norm Kerth, Project Retrospectives: • La encuesta de investigación del Director Ejecutivo de Auditoría Global de 2018 de
niveles de seguridad psicológica de la organización? Para Un manual para revisión en equipo) Deloitte reveló que solo el 33% de los DEA cree que su función de auditoría interna
determinar la respuesta, comience con una encuesta de se ve de manera muy positiva.
una sola pregunta a las partes interesadas internas: • El sitio de recursos Internal Audit 360 encontró que los informes de AI "no suelen
"¿Cómo se siente ser auditado por nosotros?" comunicar los aspectos positivos del entorno de gobierno y control interno".
Seguridad Psicológica
• Deloitte: Optimizing internal audit: Developing top-flight teams
• Deloitte: Creating resilience through psychological safety
• New York Times: What Google learned from its quest to build the perfect team
Señales de advertencia Obtener los fundamentos Dando los siguientes pasos

correctos
• Ejecutivos sensibles: Si sus informes de auditoría • Hágase una auditoría a sí mismo: Pregunte a sus partes • Renueve los informes: Esfuércese por contar mejor la historia.
provocan erupciones en la alta dirección y genera interesadas qué se siente al ser auditado. Si los auditados Considere separar los problemas del entorno de control del resto
habitualmente resistencia en los equipos, puede ser encuentran sus auditorías desagradables o incómodas, o si del informe, reconociendo que un entorno de control deficiente
seguro suponer que la seguridad psicológica aún no lo perciben más como policía y menos como asesor, es puede ser una anomalía temporal debido a factores como la
se ha logrado en toda la organización. posible que sea necesario realizar una recalibración. implementación de nuevos procesos o la expansión a un nuevo
• Cuide su lenguaje: Analice el tono que usa al informar a la mercado o país.
• Objetivos desalineados: La falta de camaradería o
gerencia y al comité de auditoría. ¿Qué tan útil es en términos • Acentúe lo positivo: Celebre los comportamientos positivos
simpatía entre auditoría interna y otras unidades
de facilitar buenos resultados y crear un ambiente positivo? tanto en sus informes como a través de medios separados,
de negocio puede ser una señal de que las
Considere la posibilidad de reformularlos para evitar el como boletines internos, premios u otros reconocimientos.
relaciones son tensas, lo que dificulta un entorno
lenguaje emotivo y acusatorio. Tales acciones no solo benefician al destinatario, sino que
de seguridad psicológica estable.
• Influir en las personas influyentes: Identifique a las partes también arrojan luz sobre la propia auditoría interna.
• Misión mal interpretada: Si el propósito percibido
interesadas influyentes y hable con ellas sobre los posibles
de la auditoría interna (dentro y fuera de la • Ayude a cambiar la visión del comité de auditoría: Como
pasos para crear un entorno en el que las personas tengan una
función) es "brindar servicios de aseguramiento y consumidor principal de los informes de auditoría interna, el
respuesta positiva a las auditorías. ¿Cómo se pueden suavizar
asesoría", en lugar de "ayudar a la organización a comité de auditoría desempeña un papel clave para permitir la
las zonas rugosas?
tener éxito", entonces la base sobre la que se seguridad psicológica: liderar con el ejemplo, establecer el tono
construye la seguridad psicológica debe reforzarse. y responder a los hallazgos de la auditoría como una
oportunidad de aprendizaje y mejora, en lugar de como ocasión
de críticas y amonestaciones.
Ciberseguridad
La tecnología emergente es igual a las amenazas emergentes.

Considere enfoques como una estrategia de migración a la nube de “garantía A pesar de las violaciones de datos frecuentes y
P: ¿Cuál es el mayor temor en ciberseguridad de un director ejecutivo de
por diseño” basada en riesgos; aprovechar los servicios nativos en la nube; muy publicitadas, los medios, publican solo una
auditoría?
también incorporar seguridad y participar en una estrategia de múltiples fracción de todos los ciberataques diarios que
R: Todo lo que la gerencia piensa que está bajo control. nubes. Para Auditoría interna TI, el aseguramiento de la nube será un viaje de sufren las organizaciones. Según la revista
La ansiedad del DEA está bien justificada. Aquí hay una lista abreviada varios años, no solo con una auditoría. Security, "más de la mitad de los propietarios
de cosas que la administración generalmente subestima: Privacidad: Con los reguladores y los inversores aumentando la presión, la de empresas admiten haber ocultado una
• ¿Cuántos ex-empleados todavía tienen derechos de inicio de sesión? privacidad debe ser una prioridad para los DEA. La auditoría interna primero filtración de datos".
• Cual es el número de proveedores externos con acceso a sistemas de TI debe comprender todos los lugares donde residen los datos personales, y luego
corporativos debe plantear algunos desafíos a la administración: ¿Necesitamos y usamos
• Cantidad de cuentas en la nube que usa la empresa toda la información de identificación personal (PII) que recopilamos? ¿Todos Datos Relevantes
• Total de infracciones de ciberseguridad que ha experimentado la empresa los que tienen acceso a los datos realmente lo necesitan? ¿Tenemos suficientes
garantías para proteger la PII? ¿Tenemos procesos de des-credencialización de los ciberataques se dirigen a las
Al corregir estos conceptos erróneos, los DEA deben prestar especial atención
para ex-empleados? ¿El trabajo remoto ha afectado la privacidad de los datos?
43%
pequeñas empresas.
a los siguientes problemas:
Nube: la complejidad aumenta a medida que las empresas subcontratan Talento: Atraer y retener a especialistas en la nube y la ciberseguridad 64% de las empresas han experimentado
servicios a la nube, lo que introduce múltiples dependencias de terceros representa un desafío importante para la auditoría interna, pero ganar la ataques basados en la web.
(riesgo de la cadena de suministro), lo que da como resultado una superficie guerra del talento es obligatorio. Al hablar con el equipo de tecnología sobre
de ataque más amplia. Auditoría Interna necesita aprovechar las habilidades sus sistemas y controles, los auditores internos de TI que carecen de 9.7M Registros de atención médica se vieron
comprometidos solo en septiembre de
de la nube cibernética para abordar el riesgo en este entorno de TI complejo y "credibilidad pública" serán cancelados por estar impulsados por listas de
2020.
moderno. Si bien la nube mejora la capacidad de aprovechar rápidamente verificación y no agregar valor. Algunas soluciones para la escasez de talento
nuevas capacidades como inteligencia artificial, aprendizaje automático, se pueden encontrar en bonos de antigüedad, oportunidades de capacitación, 75B Para 2025, 75 mil millones de
dispositivos de Internet de las cosas
blockchain, entre otros, estos servicios también conllevan un conjunto mejoras en la trayectoria profesional o subcontratar la Auditoría Interna de TI
(IoT) estarán en línea.
concurrente de riesgos. a un tercero de buena reputación.
Ciberseguridad
• Deloitte: Cybersecurity and the Role of Internal Audit
• Deloitte: Assurance in the Cloud
• ISACA: Cloud Computing for Auditors
• Silencio cibernético: Si su grupo de TI no ha informado de • Evalué sus capacidades: Evalúe el conjunto de habilidades cibernéticas • Adopte el futuro: Amplíe su plan de auditoría para
intentos de ciberataques, el problema puede ser una falta de y de nube existente de su equipo. Aborde las brechas mediante la abarcar los riesgos emergentes, incluida la gobernanza
capacidad de detección en lugar de la ausencia de ataques. contratación, la capacitación y/o la subcontratación según sea de datos y TI; cuestiones de ritmo de cambio;
• Control de la nube: Si en su migración a la nube, la estrategia necesario. Considere enfoques creativos para atraer y retener personal infraestructura de TI ilimitada; y nuevas tecnologías
no ha desarrollado estándares o un catálogo de riesgos clave para su equipo. como AI, RPA, blockchain, realidad virtual y aumentada y
basado en la nube para los servicios que se van a consumir, • Siga un marco: Establezca un programa integral basado en riesgos también IoT.
es posible que esté dejando riesgos sobre la mesa donde su • Prepárese para las preguntas: Dados los recientes
que se construya en un marco cyber y de nube probado. Utilizando
organización tiene la responsabilidad de implementar ciberataques de alto perfil y las pérdidas de datos, se
el marco como guía, brinde servicios de garantía y asesoría para
controles para restringir el acceso de los usuarios, han generado crecientes expectativas de los
medir las ciber-capacidades y la madurez del programa a
personalizar interfaces o cifrar datos, lo que lleva a una reguladores, en este sentido la auditoría interna debe
implementar.
problema de control de la nube. comprender los ciber-riesgos y prepararse para las
• Evaluación de servicio: Antes de decidirse por un proveedor en la
preguntas e inquietudes expresadas por el comité de
• Responsabilidades indefinidas: Debe existir una nube, solicite pruebas de la resistencia de la infraestructura, el
auditoría y la junta directiva.
delimitación clara de responsabilidades entre el proveedor tiempo de inactividad del servicio, el rendimiento y otras métricas.
de la nube y el cliente. Si no se define, la falta de claridad • Cruce la frontera: Los requisitos reglamentarios sobre la
Revise el informe de controles de organización y sistema (SOC)
en esta área puede dar una falsa sensación de seguridad a privacidad de los datos varían según la jurisdicción. Lleve
correspondiente, si está disponible. Infórmese sobre el
todas las partes. a cabo una revisión integral proactiva que mapee las
cumplimiento normativo y las evaluaciones de controles
áreas de operación, tanto físicas como virtuales, de
independientes. Observe las señales de alerta y busque soluciones
acuerdo con las leyes y regulaciones locales.
o alternativas si es necesario.
Diversidad, Igualdad e Inclusión

La auditoría interna tiene la oportunidad y la obligación de
fomentar una cultura diversa e inclusiva.

Históricamente, la auditoría interna ha sido principalmente una • La diversidad, la igualdad y la inclusión son atributos críticos para
operación cuantitativa, centrándose en datos concretos y En 2018, un tribunal del Reino Unido dictaminó que una firma de
quienes buscan trabajo, y las organizaciones que adoptan DEI
resultados medibles y evitando los problemas cualitativos que marcas de lujo tenía un "punto ciego étnico". En un caso de
tendrán una ventaja en la contratación y retención de los
carecen de KPI distintos. Esos días ya pasaron. discriminación presentado por un empleado, el Tribunal Laboral
mejores talentos.
Los acontecimientos y las tendencias actuales, incluidos los cálculos del Centro de Londres citó múltiples delitos por parte de la
La auditoría interna, con su amplia perspectiva sobre el riesgo y sus empresa, incluido un proceso de contratación sesgada;
sobre el racismo, la injusticia y la desigualdad, han llevado a la
extensas relaciones en toda la organización, es especialmente formación inadecuada en igualdad y diversidad; y vigilancia
auditoría interna a un nuevo ámbito: la diversidad, la igualdad y la
adecuada para ayudar a las organizaciones en la evaluación de su encubierta injustificada del trabajador .
inclusión (DEI). Si bien esto representa un área no tradicional para
estado actual de DEI y asesorar sobre los caminos adecuados a
la función y tiene numerosos factores, la relevancia debe ser
seguir. Esto incluye actuar como catalizadores al asesorar sobre
elevada y las medidas pragmáticas: obligar a la auditoría interna a
indicadores de riesgo y KPI; evaluar si los programas DEI están
tomar el stock de iniciativas del DEI a través de toda la organización
cumpliendo sus objetivos previstos; e informar los resultados a la Datos Relevantes
y adelantarse a desempeñar un rol.
junta, los comités y los altos ejecutivos.
La auditoría interna debe estar alerta y desaconsejar cualquier En una encuesta de Deloitte de 2019, el 64% de los encuestados
• Las prácticas discriminatorias son inherentemente objetables. dijeron que habían experimentado o presenciado prejuicios en el
solución rápida o superficial propuesta o promulgada por la gerencia.
La auditoría interna tiene la oportunidad y la obligación de lugar de trabajo durante los 12 meses anteriores, lo que sugiere
Si la iniciativa DEI parece un enfoque de parche, los colaboradores y
ayudar a una organización a fomentar una cultura diversa e una debilidad significativa en la cultura de muchas organizaciones.
el mercado lo notarán rápidamente.
inclusiva. Sin embargo, alrededor del 70% de los grupos de auditoría interna
• Una fuerza laboral diversa y una cultura inclusiva son no evalúan la cultura organizacional como parte de su plan de
componentes esenciales de organizaciones exitosas, auditoría.
correlacionadas con un mejor desempeño laboral, menor
rotación y menor ausentismo.
Diversidad, Igualdad e Inclusión
• Deloitte: The inclusion imperative for boards
• Wall Street Journal: Internal audit's role in driving diversity, inclusion
• Wall Street Journal: Board diversity improves but key goals decades away
• Renuncias constantes: Las renuncias y las razones • Comience con algo pequeño: Desarrolle una evaluación de la • Facilitar la mejora: Evalúe los métodos utilizados para
detrás de ellas pueden ofrecer pistas sobre si existen cultura para determinar la existencia y el alcance de las monitorear, medir e informar sobre el programa y evaluar si se
problemas de diversidad o inclusión. Si las causas iniciativas DEI. Documente lo que su organización está pueden realizar mejoras.
fundamentales de las renuncias revelan un patrón, haciendo actualmente para comprender, comunicar y dar • Validar estadísticas: Si su organización publica estadísticas DEI
evalúe los problemas culturales subyacentes. forma a su cultura corporativa. en el mercado, proporcione seguridad sobre la precisión de la
• Incorpore riesgos: Incluya los riesgos de DEI en su plan de información y los controles realizados.
• Daños de Imagen: Publicaciones negativas en bolsas de auditoría. Evalúe las iniciativas actuales de DEI para • Aproveche las herramientas y la tecnología: Aproveche las
trabajo o redes sociales pueden ser un presagio de determinar si están cumpliendo sus objetivos. Informar a las herramientas y tecnologías innovadoras, como la detección
problemas de DEI. Inicie un escaneo regular de sitios para partes interesadas sobre las oportunidades de mejora de DEI de riesgos, para evaluar los problemas de DEI e identificar
mantenerse al tanto de las tendencias; las herramientas y el progreso en cada informe de auditoría. riesgos potenciales.
automatizadas o un contrato de terceros pueden hacer • Ayudar y empujar: Ayude al liderazgo a comprender las • Reconciliar realidades: Desarrolle recomendaciones para
que este proceso sea más rápido y no tan desgastante. implicaciones de una cultura organizacional poco saludable cerrar la brecha entre las percepciones del liderazgo y las
vista a través de una mirada de riesgo. Proporcionar realidades de los empleados en la cultura corporativa.
• Prejuicios demográficos: Los datos demográficos de su información sobre capacitación, comunicaciones y políticas.
organización pueden arrojar luz sobre los prejuicios o las • Haga preguntas: Para comprender las percepciones y
prácticas discriminatorias. Examinar la composición de la experiencias de los empleados e identificar los riesgos
junta, la alta dirección y el gerente general; las prácticas potenciales, desarrolle como parte del plan de auditoría un
de contratación, promoción y despido; los premios de cuestionario estándar para guiar las entrevistas con las partes
salario, bonificación y beneficios; y otras métricas. interesadas. Realice entrevistas con una muestra diversa de
colaboradores.
Aseguramiento desde el Diseño

Para las transformaciones o implementaciones, los controles
deben ser una previsión, no una ocurrencia tardía.
Si gastas medio millón en un Lamborghini, Es decir, en lugar de considerar su sistema ERP En una auditoría de 2018 de una agencia del gobierno de EE. UU., casi la mitad de
seguramente aprovecharías al máximo su enorme simplemente como un medio para administrar de las deficiencias citadas estaban relacionadas con sus sistemas de TI. Entre sus
motor de 12 válvulas, su aceleración de fuerza G y su manera eficiente los recursos humanos, el inventario, hallazgos, los auditores señalaron que la agencia no implementó controles de
multiplicidad de aplicaciones y ruidos. finanzas, clientes o cadena de suministro, debe seguridad destinados a detectar cambios accidentales o no autorizados en los datos
Sin embargo, no se puede decir lo mismo de las considerarlo como una herramienta para gestionar los financieros.
organizaciones que invierten sumas similares en numerosos riesgos asociados con estas actividades.
sistemas de planificación de recursos empresariales
(ERP). En nuestra experiencia, una amplia gama de Una mentalidad de controles relacionada con las
funciones de control interno de ERP no están implementaciones/transformaciones significativas de la Datos Relevantes
suficientemente validadas e implementadas, o no se empresa comienza con la alineación entre la naturaleza y el
utilizan por completo. Es el equivalente a comprar un alcance de las actividades realizadas en las tres líneas de
defensa para navegar de manera eficiente en los riesgos y En una encuesta reciente de Deloitte, casi la mitad de todos los ejecutivos dijeron que
costoso automóvil deportivo italiano y nunca sacarlo
también garantizar que no haya brechas: las unidades de las implementaciones de tecnología, incluidos ERP, automatización, migración a la nube
de la segunda marcha.
negocios de primera línea, la segunda línea con y controles relacionados con el trabajo remoto y los riesgos asociados, impulsarán a sus
Aprovechar el valor de su inversión en ERP comienza organizaciones a remediar los procesos financieros en el próximo año.
profesionales de riesgo y cumplimiento, y los auditores
mucho antes de la puesta en funcionamiento. Comienza
internos en tercera línea. Este ejercicio de
con la adopción de una mentalidad consciente de los
coordinación/colaboración no debe tomarse a la ligera, ya
controles para gestionar eficazmente los riesgos
que es la base sobre la que se construye una
operativos y estratégicos en toda la organización.
implementación o actualización exitosa de ERP.
Aseguramiento desde el Diseño
• Deloitte: Assurance by design: Drawing up the control playbook for transformations
• Deloitte: Modernizing the three lines of defense model
• Wall Street Journal: Assurance by design – consider control needs up front
Señales de Alerta Obtener los fundamentos correctos Dando los siguientes pasos
• Sub-utilización Tecnológica: Un número sorprendente de • Alcance: Conéctese con amplios grupos de las partes • Aproveche la experiencia: Si su organización está
organizaciones no logra aprovechar los controles sólidos interesadas de toda la empresa para ayudar a identificar las considerando un proyecto transformador o la
integrados en el software de planificación de recursos capacidades de control y procesos comerciales necesarios. implementación de un sistema, asegúrese de que los
empresariales (ERP), como SAP y PeopleSoft. Los entornos • Comparta el conocimiento: Aconseje a los líderes responsables del control se comprometan con el riesgo, el
de control que dependen en gran medida de los controles empresariales que consideren no solo el riesgo financiero, cumplimiento y la auditoría interna desde el principio.
manuales pueden ser más susceptibles a retrasos, errores sino también el riesgo operativo y estratégico, que por • Alinee con la estrategia: Tómese el tiempo para alinear sus
y fraudes. necesidad implicará un conjunto más amplio de controles y tres líneas de defensa. Aclare roles y responsabilidades.
• Aumento de Costos: Sus costos posteriores a la capacidades necesarias para lograr los objetivos Disminuya las tensiones y evite las guerras territoriales.
implementación podrían ser significativamente mayores comerciales. Piense de forma detallada en torno a los pasos y las
si los controles y el aseguramiento asociado no se • Visión futura: Identifique oportunidades para automatizar o actividades.
considera adecuadamente desde el principio. modernizar los controles para aumentar la eficiencia, reducir • Y los auditores: Desarrolle una metodología y una
• Duplicidad de controles: La confusión y las ineficiencias los errores y automatizar la provisión de garantía. estrategia detallada sobre cómo se consideran y validan los
pueden reinar si los equipos de cumplimiento no tiene controles durante la implementación, y alinéese
claro quién está haciendo qué en el ámbito de control completamente con los auditores de la empresa para evitar
interno. sorpresas después de la puesta en funcionamiento.
• Considere a los responsables de controlar, no solo los
controles: Observe la disposición del propietario del
control, no solo el control mismo. Esto implica capacitar a
los propietarios del control sobre lo que deben hacer
después de la puesta en funcionamiento para cumplir con
los requisitos de cumplimiento.
Bullying y Acoso
El mal clima organizacional ha surgido como una causa fundamental
de muchas empresas en quiebra. La auditoría interna puede ayudar a
aclarar las cosas.
Dada la preponderancia de historias de acoso e El propósito de la auditoría interna no es ser un moralizador, En 2021, el gobernador de Nueva York, Andrew Cuomo, renunció
intimidación en el lugar de trabajo en las noticias, árbitro o fiscalizador, sino más bien como facilitador, a su cargo en medio de una investigación por acoso sexual tras las
teníamos curiosidad: ¿por qué no hay más empresas que observador y asesor. acusaciones presentadas por casi una docena de mujeres. Una
se enfrenten a este problema? El riesgo cultural se puede evaluar triangulando puntos de datos investigación describió el trabajo ambiente en la oficina del
Las excusas eran tan variadas como equivocadas: de diversas fuentes, incluidas encuestas, entrevistas, grupos gobernador como "extremadamente tóxico y abusivo"
•1 "Si le da mucha importancia, recibirá un montón de focales, herramientas de detección de riesgos, análisis y
quejas e informes". programas de cumplimiento/conducta.
El análisis de una combinación de fuentes cualitativas y
"Hemos tenido algunos casos, pero no están relacionados y cuantitativas, permite construir una imagen completa para Datos Relevantes
2 no es indicativo de nuestra cultura corporativa en general “. anticipar y mitigar áreas problemáticas potenciales.
•
86% 12%
Los beneficios de abordar de manera proactiva los problemas
"Tenemos un código de conducta de larga data que nos culturales pueden ser múltiples. Por ejemplo, en un entorno
3 protege". donde la competencia por los mejores talentos es feroz, las
organizaciones que construyen un entorno positivo, de apoyo y de los ejecutivos encuestados de las empresas creen que
de confianza que permite que los empleados prosperen en todo el mundo califican la sus organizaciones están
La auditoría interna tiene un papel importante que
atraerán y retendrán a los trabajadores mejor preparados. cultura como "muy impulsando una "cultura
desempeñar para ayudar a una empresa a tomar en serio
importante" o "importante". adecuada".
el riesgo cultural y minimizar la dependencia de estos En última instancia, una cultura laboral positiva permite el logro
conceptos erróneos. de los objetivos de la organización. Por el contrario, las
organizaciones que no cultiven dicha cultura pueden sufrir
importantes repercusiones financieras, legales, reglamentarias y
de reputación.
Bullying y Acoso
• Deloitte: Cultura y conducta en el lugar de trabajo: desafíos y oportunidades
• Deloitte: Diseñar el trabajo para el bienestar
• Wall Street Journal: el bienestar puede ofrecer beneficios saludables
• Baja reportabilidad: Una señal de advertencia puede ser que no • Haga un balance: Haga un inventario y revise los códigos • Consultar: Asesorar a la gerencia sobre el establecimiento de un marco
existan denuncias para un periodo de tiempo definido. Es de ética, los programas antifraude, las políticas y de evaluación de riesgos de la cultura que brinde información sobre la
posible que los empleados se hayan quedado en silencio porque procedimientos de mala conducta, y las líneas directas o cultura organizacional, el compromiso y los comportamientos de los
las quejas anteriores han caído en oídos sordos. Otros los mecanismos alternativos de denuncia con miras a la empleados, así como evalúe las señales del mercado.
silenciadores de la comunicación: miedo a represalias; procesos puntualidad, la claridad, la relevancia y la aplicabilidad. • Medida: Agregue seguridad cultural a su plan de auditoría. Establezca,
de informes complicados, entre otros. monitoree e informe sobre métricas relacionadas con la conducta de los
• Taller de charlas: Anime a la junta y al comité de auditoría
• Sequía de talentos: Si ha notado un desgaste acelerado o una a agregar la cultura laboral como un tema recurrente en colaboradores y las violaciones éticas. Asegúrese de que la junta revise
contratación más lenta, los problemas culturales pueden ser sus agendas. estos puntos mencionados permanentemente.
un factor. • Aporta una visión global: Considere quién está a cargo de • Incentivar: Recomendar la realineación del pago por desempeño y
• Daños de Imagen: Los comentarios negativos en las redes los asuntos culturales. A menudo, la responsabilidad está reconsiderar cómo los incentivos de pago impulsan el comportamiento.
sociales y los sitios de búsqueda de empleo pueden ser fragmentada entre las unidades de RR.HH., legal, de • Difundir: Instar a la comunicación frecuente y la formación integral sobre
precursores de crisis de la imagen de una organización. cumplimiento y de negocio. A veces, un equipo plantea cuestiones culturales.
• Presión excesiva: Las organizaciones que ejercen una inquietudes, otro investiga y el resto de la organización se
presión implacable en torno a las ganancias trimestrales y queda en la oscuridad. Conviértete en el intermediario
los objetivos de ventas pueden estar creando un entorno que une a las partes.
en el que surgen el acoso y la intimidación. El
comportamiento abusivo a menudo se correlaciona con
demandas de desempeño irreales o inalcanzables.
Automatización
Entre muchas preguntas difíciles: "¿Cómo aprovecha la Auditoría Interna
la automatización para mantenerse al día?"

Los gourmets de algunos restaurantes italianos, han debatido durante Una vez que su equipo de Auditoría Interna está comprometido, ¿cuáles
El pronóstico parecía sombrío para una gran empresa de
mucho tiempo una pregunta irritante: "¿Qué vino primero, el pollo a la son las prioridades? Empiece por ayudar a la dirección a encontrar un
tecnología con un ambicioso plan para revolucionar la
parmesana o los huevos a la florentina?“ equilibrio entre la absorción de riesgos y el apetito por el riesgo.
atención médica a través de la inteligencia artificial (IA),
La gerencia enfrenta un dilema similar cuando se trata de auditoría Conéctese al principio del proceso, cuando se toman por primera vez las
después de que su supercomputadora lanzará “múltiples
interna: "¿Qué viene primero: poner nuestra casa en orden y luego decisiones estratégicas sobre la automatización. Idealmente, la relación
ejemplos de inseguridad e incorrectas recomendaciones
traer auditoría interna? ¿O traer auditoría interna para ayudarnos a incluirá tanto elementos de asesoría como de aseguramiento, ayudando
poner nuestra casa en orden?" de tratamiento” para pacientes con cáncer.
a la organización a obtener el ROI y luego brindando servicios de
El problema es particularmente agudo cuando se trata de soluciones aseguramiento para su implementación de automatización.
automatizadas como la Inteligencia Artificial (incluida la automatización
y la inteligencia cognitiva). La implementación puede ser complicada; los Simultáneamente, adapte su plan de auditoría al nuevo entorno. Datos Relevantes
controles de gobernanza pueden ser descuidados; la seguridad puede Evalúe el riesgo de nuevas capacidades (procesos de negocio
ser permeable, todo lo cual puede afectar significativamente el ROI impactados, formas de trabajo y nuevas tecnologías habilitadoras) En una encuesta reciente de Deloitte:
esperado de la administración para su viaje de automatización y, lo que en los dominios de riesgo clave, como financiero, operativo,
es peor, crear riesgos estratégicos internos y externos.
Si la gerencia duda en involucrarse con su grupo de auditoría
regulatorio, tecnológico y estratégico, y luego priorice en función de
los criterios de impacto y vulnerabilidad.
83% de los ejecutivos dijo que la inteligencia
artificial será importante para el éxito de su
negocio en los próximos dos años.
interna por temor a hallazgos negativos, aquí está su respuesta: "La A continuación, evalúa tus propias capacidades dentro del team de
23%
automatización llegó para quedarse, pero la tecnología auditoría interna. Determine las habilidades necesarias para auditar dijo que su equipo actualmente audita las
evolucionará continuamente. El software, el hardware, las soluciones automatizadas. ¿Puedes entrenar para llenar los vacíos? ¿O capacidades digitales avanzadas.
oportunidades y las vulnerabilidades representan un objetivo en tendrá que contratar personal nuevo con las credenciales necesarias?
movimiento. Como por tanto, es posible que el valor comercial de
la automatización nunca será percibido si no se involucra la
Finalmente, tendrás que lidiar con tu propio enigma:
"¿Cómo aprovechamos la automatización para mantenernos al día?"
59% dijo que no participaron en el desarrollo
del programa de automatización de su
auditoría interna ". organización.
Automatización
• Deloitte: Auditando los riesgos de las tecnologías disruptivas | Mantén el tiempo
• Deloitte: Profundizar la auditoría interna en la era digital: Parte I
• Deloitte: Profundizar la auditoría interna en la era digital: Parte II
• Enfoques ad hoc: Si RR.HH. está implementando Inteligencia
• Haga un balance: Comprenda la estrategia comercial, la visión, y • Estructura de construcción: Cree una estrategia de
Artificial mientras AP está implementando RPA y la I+D está desarrollo relacionado con el despliegue de soluciones gestión de riesgos de tecnología de automatización y
jugando con la PNL, entonces se tiene un enfoque gradual en automatizadas. ¿Cómo se consideran los asuntos relacionados una estructura de gobierno para gestionar los riesgos
la implementación de la automatización que probablemente con el riesgo como parte de ese viaje? y permitir el cumplimiento.
esté plagado de vulnerabilidades. • Haga preguntas: ¿Qué nuevos riesgos conllevan estas nuevas • Proyecte una amplia red: Al auditar soluciones de
• Posicionamiento de auditoria interna: Si auditoría interna tecnologías? ¿Cómo nos aseguramos de que nuestras métricas y automatización, incluya áreas como controles,
no tiene un lugar en la mesa cuando se discuten por modelos sean precisos? ¿Cómo nos protegemos contra el sesgo gobernanza, ciclo de vida de desarrollo, estrategia y
primera vez las soluciones automatizadas, las en nuestros algoritmos? revisiones de código.
posibilidades de una implementación exitosa se reducen. • Tomar controles: Determinar los objetivos comerciales para • Renovar los informes: Modernice sus informes para la
asesorar sobre el diseño de actividades de control y / o realizar nueva era. Identificar el nivel y la estructura de los
• Falta de acceso: Un obstáculo importante para auditar revisiones previas a la implementación. informes que se realizarán, incluido el nivel de tecnología
soluciones automatizadas es la incapacidad de revisar el
frente al nivel de función empresarial y el de
código de software y la documentación de diseño.
aseguramiento consultivo. Reconsidere la frecuencia y
rapidez de sus auditorías.
M a n u e l Gálvez Fernando Pino
Socio Líder Accounting & Internal Controls Deloitte Director Líder Auditoría Interna Deloitte
[email protected] [email protected]
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities (collectively, the “Deloitte organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related
entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide
services to clients. Please see www.deloitte.com/aboutto learn more.
Deloitte is a leading global provider of audit and assurance, consulting, financial advisory, risk advisory, tax and related services. Our global network of member firms and related entities in more than 150 countries
and territories (collectively, the “Deloitte organization”) serves four out of five Fortune Global 500® companies. Learn how Deloitte’s approximately 330,000 people make an impact that matters at www.deloitte.com.
This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms or their related entities (collectively, the “Deloitte organization”) is, by means of this communication, rendering professional
advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No representations, warranties or undertakings (express or implied) are given as to the accuracy or
completeness of the information in this communication, and none of DTTL, its member firms, related entities, employees or agents shall be liable or responsible for any loss or damage whatsoever arising directly or indirectly in connection with any person relying on this
communication. DTTL and each of its member firms, and their related entities, are legally separate and independent entities.
© 2021. For information, contact Deloitte Global.

Cl-AI-Riesgos y Oprtunidades 2022

Cargado por

Copyright:

Formatos disponibles

Cl-AI-Riesgos y Oprtunidades 2022

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cl-AI-Riesgos y Oprtunidades 2022

Cargado por

Copyright:

Formatos disponibles

Auditoría Interna:

Riesgos y Oportunidades para 2022

04 | Gestión de Riesgos de Terceros (TPRM) 16 | Diversidad, Igualdad e Inclusión

06 | Ambiental, Social y Gobernanza (ESG) 18 | Aseguramiento desde el Diseño

08 | Contra el Fraude 20 | Bullying & Acoso

10 | Fusiones & Adquisiciones 22 | Automatización

La lista no es de ninguna manera exhaustiva; ni todos los temas se

Gestión de Riesgos de Terceros (TPRM)

Nuestra Visión News

Ambiental, Social y Gobernanza (ESG)

Nuestra Visión News

Nuestra Visión News

Nuestra Visión News

Señales de advertencia Obtener los fundamentos Dando los siguientes pasos

Nuestra Visión News

Diversidad, Igualdad e Inclusión

Nuestra Visión News

Aseguramiento desde el Diseño

Nuestra Visión News

Nuestra Visión News

Nuestra Visión News

También podría gustarte