Edición 5 PERCEPCIONES Y PERSPECTIVAS GLOBALES€¦ · En busca de los pasos que se están tomando en pos de la excelencia, Global Pulse analizó el estado de la auditoría interna

Edición 5

PERCEPCIONES Y PERSPECTIVAS GLOBALES:

tendencias emergentesBasado en la encuesta “Global Pulse of Internal Audit”

Índice

Metodología y demografía ........................................................ 3

Introducción .......................................................................... 4

Auditar la cultura .................................................................... 6 Conclusión ...................................................................... 12

Seguir el ritmo a la tecnología ................................................ 13 Seguridad cibernética ...................................................... 13 Macrodatos ..................................................................... 18 Conclusión ...................................................................... 22

Alcanzar la posición de asesor de confianza ............................. 23 Conclusión ...................................................................... 28

Reflexiones finales ................................................................ 29

Para más información ........................................................... 30

Consejo Asesor

Nur Hayati Baharuddin, CIA,

CCSA, CFSA, CGAP, CRMA – IIA–

Malasia

Lesedi Lesetedi, CIA, QIAL – IIA

de la Federación Africana

Hans Nieuwlands, CIA, CCSA,

CGAP – IIA–Países Bajos

Karem Toufic Obeid, CIA, CCSA,

CRMA – Miembro del

IIA–Emiratos Árabes Unidos

Carolyn Saint, CIA, CRMA, CPA –

IIA–América del Norte

Ana Cristina Zambrano Preciado,

CIA, CCSA, CRMA – IIA–

Colombia

Opiniones de los lectores

Envíe sus preguntas o comentarios

a [email protected].

Copyright © 2016 del The Institute of Internal Auditors, Inc., (“The IIA”) estrictamente reservado. Toda reproducción del nombre o logotipo del IIA llevará el símbolo de registro de marca federal de los EE. UU. ®. No se puede reproducir ninguna parte de este material de ninguna forma sin el permiso por escrito del IIA.

globaliia.org

Perspectivas globales: tendencias emergentes

2

Metodología y demografíaLa encuesta “2016 Global Pulse of Internal Audit” (El ritmo de auditoría interna global)

de 2016 del IIA (en adelante, Global Pulse) se realizó por Internet entre el 9 de mayo y

el 27 mayo de 2016.1 El IIA recabó datos de 2254 encuestados de todo el mundo que

se autodesignaron como profesionales actuales de auditoría interna. Cincuenta y dos por

ciento de los encuestados son miembros del mayor rango en el departamento de auditoría

interna o directores o gerentes superiores que responden al DEA. En este informe, nos

referimos a este grupo como “líderes de auditoría interna”. Los encuestados también

incluyen gerentes que responden a directores (16 %), personal de auditoría que realiza

auditorías (28 %) y otros, incluso proveedores de servicios (4 %).

Los encuestados de 111 países o territorios representan un rango amplio de auditoría

interna en términos de tipo de organización, sector económico, ingresos, cantidad de

empleados y tamaño del departamento de auditoría interna.

Los encuestados trabajan predominantemente en organizaciones que cotizan en bolsa

(34 %), del sector público (27 %) y del privado (25 %).

Los sectores económicos con la mayor representación incluyen servicios financieros

(32 %), fabricación (12 %), administración pública (11 %), atención médica (6 %) y

servicios públicos (6 %).

Los resultados se ajustaron (normalizaron) para representar la distribución global de los

miembros del IIA por región:

1 Para una cantidad limitada de preguntas, los encuestados norteamericanos fueron encuestados entre el 20 de octubre de 2015 y el 10 de noviembre de 2015.

39 %

7 %

25 %

17 %8 %

4 %

globaliia.org


3

IntroducciónLos líderes de auditoría interna están avanzando hacia la excelencia en todo el mundo:

demuestran que la agudeza en los negocios, los conocimientos técnicos y las habilidades

para relacionarse son un recurso invaluable en el avance hacia los objetivos estratégicos,

de gestión de riesgos y de gobierno de la organización. Los aumentos previstos en el

tamaño del personal y el presupuesto de auditoría interna en muchas partes del mundo

reflejan un reconocimiento y respaldo del valor en aumento de auditoría por parte de

la dirección ejecutiva y los consejos de administración y permiten que las funciones

de auditoría interna incrementen el tiempo que dedican a áreas cruciales como

aseguramiento de gestión de riesgos, riesgos de negocios estratégicos y TI. Pero según

muchos indicios, necesitamos continuar mejorando.

Muestra 1: proyección de personal de auditoría interna

Nota: P49: Si piensa en los siguientes doce meses, ¿espera que la cantidad de personal equivalente a tiempo completo dentro de su función de auditoría interna:

Muestra 2: proyección de presupuesto de auditoría interna

Nota: P50: Si piensa en los siguientes doce meses, ¿espera que el presupuesto de su función de auditoría interna:

Aumenta

Disminuye

Permanece igual

26 %

6 %68 %

Aumenta

Disminuye

Permanece igual

35 %

9 %

56 %

Los aumentos previstos en el tamaño del personal y el presupuesto de auditoría interna en muchas partes del mundo reflejan un reconocimiento y respaldo del valor en aumento de auditoría por parte de la dirección ejecutiva y los consejos de administración.

globaliia.org


4

En busca de los pasos que se están tomando en pos de la excelencia, Global Pulse

analizó el estado de la auditoría interna al evaluar temas y prácticas emergentes en la

gestión de auditoría interna a nivel global.

Este informe explora dos temas emergentes: auditar la cultura y seguir el ritmo de la

tecnología (seguridad cibernética y macrodatos). También exploramos cómo auditoría

interna puede (y probablemente debe) elevarse al nivel de un asesor de confianza.

Creemos que este informe respalda la necesidad de que auditoría interna continúe

concentrándose en las prácticas y los temas emergentes clave. Nunca más que ahora,

las expectativas que recaen sobre auditoría interna continúan aumentando. Sí, hemos

avanzado mucho como profesión... pero todavía tenemos mucho trabajo por delante. Eso

es lo que hace que auditoría interna sea una profesión tan exigente y aun así gratificante.

globaliia.org


5

Auditar la culturaLa historia demuestra que la cultura puede afectar directa y negativamente las finanzas,

las operaciones y la reputación de una organización. Los consejos de administración, los

ejecutivos y otras partes interesadas deberían ser capaces de recurrir a auditoría interna

para que les proporcione servicios de asesoramiento y aseguramiento que ayuden a la

organización a supervisar y fortalecer su cultura y a dar señales de alerta cuando las cosas

puedan estar mal.

Ciertamente, auditoría interna ha estado auditando los controles subjetivos durante

bastante tiempo y evaluando, al menos informalmente, la imagen de la dirección en

muchas organizaciones desde que la “imagen de la dirección” se convirtió en una

frase común. No obstante, mientras algunos están dando el siguiente paso para auditar

formalmente la cultura de la organización, la mayoría indica una serie de factores que

impiden su habilidad de progresar.

La cultura representa las creencias y los valores de la organización, tal como se reflejan

a través de las acciones y los comportamientos de todos sus empleados. En términos

simples, es la forma en la cual se hacen las cosas en toda la organización.

La cultura deseada se establece desde la dirección, aparece en los valores centrales y el

código de ética de la organización e impone el comportamiento aceptable e inaceptable.

El comportamiento inaceptable, e incluso no ético (la forma en la cual NO hay que hacer

las cosas), coloca a la organización en riesgo y, cuando se lleva al extremo, contribuye a

culturas tóxicas en la organización asociadas con el fraude, la corrupción y otros tipos de

conductas indebidas. Algunos eventos destacados incluso han llevado a crisis económicas

y la erosión de la confianza pública. En 2015 el mundo fue testigo de una serie de

incidentes de alto perfil que posiblemente indicaron grandes traspiés en la cultura, entre

ellos, un escándalo contable en Toshiba, acusaciones de sobornos y corrupción en FIFA,

evidencia de pruebas de emisiones modificadas en Volkswagen e informes cuestionables

sobre el impacto del cambio climático de ExxonMobil, para nombrar algunos. Solo esos

ejemplos ya deberían ser una llamada de atención para que auditoría interna proporcione

aseguramiento sobre si la cultura de la organización es o no consistente con los valores

centrales expuestos y si fomenta o no la conducta ética y el cumplimiento de las leyes y

normas. No obstante, el 72 por ciento de los líderes de auditoría interna indica que en la

actualidad no audita la cultura (Muestra 3).

“Auditar la cultura no es una ciencia exacta. Muchas organizaciones tienen dificultades para definir su cultura, mucho menos incorporarla eficazmente a los procesos de aseguramiento y evaluación de riesgos. Pero es esencial que lo hagan”.

Dr. Ian Peters, Director, Instituto de

Auditores Internos Certificados, (IIA

Reino Unido e Irlanda)2

2 CCH Daily, “FRC calls for greater emphasis on corporate culture” (El FRC exige un mayor énfasis en la cultura em-presarial), 20 de julio de 2016 https://www.cchdaily.co.uk/frc-calls-greater-emphasis-corporate-culture (se accedió el 24 de agosto de 2016).

globaliia.org


6

Muestra 3: porcentaje de departamentos de auditoría interna que auditan la cultura

Nota: P5: ¿Su departamento de auditoría interna audita la cultura?

Aunque la imagen de la organización en general se establece en la dirección y,

independientemente del tamaño o la complejidad de la organización, la cultura

deseada emana de los líderes, la cultura no es necesariamente homogénea en toda

la organización- Una cultura que abarque toda la organización desde arriba hacia

abajo (una “macrocultura”) es un punto de partida en lo que se refiere a definir el

comportamiento deseado. Pero cada organización tiene muchas culturas pequeñas

separadas (o “microculturas”) que reflejan localizaciones, departamentos, divisiones y

otras unidades o grupos específicos de empleados con algo en común. Esta proliferación

de microculturas puede hacer que sea difícil auditar la cultura. Pero con esta visión

amplia y objetiva de la organización, auditoría interna tiene el potencial de examinar

cada una de las microculturas, su impacto en la macrocultura de la organización y

los riesgos posibles asociados para la organización. En primer lugar, auditoría interna

debe comprender profundamente la macrocultura deseada si luego debe evaluar las

subculturas y buscar diferencias entre lo que desea la dirección y lo que realmente

sucede en toda la empresa.

Afortunadamente, una sólida mayoría de los líderes de auditoría interna (89 por ciento)

coincide en que su departamento de auditoría interna comprende los riesgos asociados

con la cultura de la organización, pero solo aproximadamente la mitad (53 por ciento)

indica que su departamento de auditoría interna realmente comprende cómo auditar la

cultura. Un dato curioso es que el 18 por ciento indicó que no audita la cultura porque

otra área realiza esta evaluación, mientras que las principales razones para no auditar

la cultura incluyeron una reportada falta de competencias (25 %) o que no tenían el

apoyo necesario de la organización (23 %) o el tiempo (21 %), como se observa en la

Muestra 4.

No

Sí

28 %

72 %

Con esta visión amplia y objetiva de la organización, auditoría interna tiene el potencial de examinar cada una de las microculturas, su impacto en la macrocultura de la organización y los riesgos posibles asociados para la organización.

globaliia.org


7

Muestra 4: razones por las cuales los departamentos de auditoría interna no auditan la cultura

Nota: P6: ¿Cuál de las siguientes afirmaciones describe la razón por la cual su departamento de auditoría interna no audita la cultura? Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que no auditan la cultura).

Según Nur Hayati Baharuddin, director ejecutivo del IIA Malasia, “los departamentos de

auditoría interna que no tienen las habilidades y el conocimiento para auditar la cultura

pueden comenzar por hacer lo que los auditores internos hacen bien: aportar un enfoque

sistemático y disciplinado para evaluar y mejorar las actividades de la organización

relacionadas con la cultura”. Por ejemplo, como se describe en “Percepciones y

perspectivas globales: auditar la cultura: una mirada objetiva a lo subjetivo” de 2016

del IIA, “comprender las tres líneas del modelo de defensa (u otro modelo adecuado

que delinee el riesgo y las responsabilidades u obligaciones de control y las relaciones

jerárquicas)3 es tan eficaz en la evaluación de la cultura como lo es en el respaldo de

los trabajos de auditoría estándar. En lo que se refiere a la auditoría de la cultura, las

obligaciones esperadas para cada línea pueden incluir:

1. La primera línea de defensa (gerencia de línea de negocio) es responsable por

establecer, comunicar y dar el ejemplo de los valores y la conducta deseados.

2. La segunda línea es una función de vigilancia, como una oficina de ética, que

desarrolle programas de ética, supervise los riesgos relacionados con la cultura y el

cumplimiento de políticas y procedimientos relacionados con la cultura y proporcione

asesoramiento a la primera línea.

3. La tercera línea (auditoría interna) evalúa el seguimiento de las normas establecidas y

esperadas de la organización y evalúa si la cultura empresarial respalda el propósito,

la estrategia y el modelo de negocios de la organización. Auditoría interna evalúa la

cultura global e identifica las áreas donde esta es débil”.4

Un proveedor externo evalúa la cultura

Auditoría interna no tiene el apoyo del consejo de administración o comité de auditoría para auditar la cultura

Otra función de la organización evalúa la cultura (recursos humanos, gestión de riesgos, ética y cumplimiento u otra)

Auditoría interna no tiene el tiempo para auditar la cultura

Auditoría interna no tiene el apoyo de la dirección ejecutiva para auditar la cultura

Auditoría interna no tiene las competencias (habilidades y conocimientos) necesarias para auditar la cultura 25 %

23 %

21 %

18 %

17 %

5 %

3 Declaración de posición del IIA, “The Three Lines of Defense in Effective Risk Management and Control” (Las tres líneas eficaces de defensa en gestión de riesgos y control), 2013, www.theiia.org/positionpapers (se accedió el 29 de septiembre de 2016).

4 El IIA, “Percepciones y perspectivas globales: auditar la cultura: una mirada objetiva a lo subjetivo”, 2016, www.theiia.org/gpi (se accedió el 24 de agosto de 2016).

“Los departamentos de auditoría interna que no tienen las habilidades y el conocimiento para auditar la cultura pueden comenzar por hacer lo que los auditores internos hacen bien: aportar un enfoque sistemático y disciplinado para evaluar y mejorar las actividades de la organización relacionadas con la cultura”.

Nur Hayati Baharuddin,

Directora Ejecutiva, IIA Malasia

globaliia.org


8

No obstante, tenga las competencias o no, auditar la cultura está en el radar de auditoría

interna. Según la Encuesta de capacidades de auditoría interna de 2016 de Protiviti,

auditar la cultura está entre las cinco prioridades principales de los líderes de auditoría

interna. Y recuerde que un 89 por ciento de los líderes de auditoría que respondió a la

encuesta Global Pulse del IIA indicó que comprende los riesgos asociados con la cultura.

Las motivaciones clave para auditar la cultura incluyen: auditoría interna lo clasifica como

un riesgo alto, lo solicita el comité de auditoría o el consejo de administración y como

respuesta a un evento relacionado con la cultura (Muestra 5).

Muestra 5: motivos por los cuales los departamentos de auditoría interna auditan la cultura (tres principales)

Nota: P7: Por favor, indique por qué su departamento de auditoría interna ha auditado la cultura. Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que sí auditan la cultura).

Al actuar con base en esto, a través de su liderazgo en el desarrollo de un plan de

auditoría interna basado en los riesgos y sus relaciones con el consejo de administración

o el comité de auditoría, los DEA deben tener un rol crucial en la tarea de ayudar a

sus organizaciones a mantener las culturas saludables y deseadas necesarias para que

la organización logre su misión estratégica e implemente objetivos operaciones y de

negocios relacionados.

Aquellos que sí están auditando la cultura están tomando un enfoque progresivo. Como

expresó la presidente global del IIA para 2016-2017 Angela Witzany, “La auditoría

de la cultura se debe incorporar en cada trabajo de auditoría, proporcionándole a la

organización un punto de referencia para la supervisión continua y permitiendo que los

auditores internos busquen señales de advertencia anticipadas”.5

Hay al menos tres formas de auditar la cultura: una evaluación independiente que

abarque a toda la organización; trabajos individuales como parte de muchas (si no todas)

auditorías; o un informe sobre la suma de una serie de auditorías de microculturas que

se realizaron a lo largo del tiempo. Estos enfoques no se excluyen entre sí. Quizás como

reflejo de la cultura de la organización en sí, hay una serie de enfoques diferentes que

citó una minoría que en la actualidad audita la cultura (Muestra 6).

Como respuesta a un evento relacionado con la cultura(por ej., conducta no ética que generó un daño financiero, operativo o a la reputación de la organización)

Lo solicita la consejo de administración o comité de auditoría

Auditoría interna calificó a la cultura como un riesgo alto 40 %

30 %

29 %

5 El IIA, “Percepciones y perspectivas globales: auditar la cultura: una mirada objetiva a lo subjetivo”, 2016, 3 www.theiia.org/gpi (se accedió el 24 de agosto de 2016).

“La auditoría de la cultura se debe incorporar en cada trabajo de auditoría, proporcionándole a la organización un punto de referencia para la supervisión continua y permitiendo que los auditores internos busquen señales de advertencia anticipadas”.

Angela Witzany,

Presidente Global, El IIA

globaliia.org


9

Muestra 6: enfoques para la auditoría de la cultura

Nota: P8: Por favor, indique cuál de las siguientes afirmaciones describe mejor su enfoque para la auditoría de la cultura. (Se les preguntó a aquellos que auditan la cultura).

A veces un trabajo de cultura independiente tiene sentido (en las ocasiones en las cuales

una captura en el tiempo es necesaria, como después de un escándalo importante,

como preparación para una fusión o adquisición para evaluar la compatibilidad de las

organizaciones o para identificar las causas principales de un asunto específico de

incumplimiento. Sin embargo, los trabajos cultura independientes probablemente no

sean suficientes por sí solos. Cuando auditoría interna considera a la cultura en cada

trabajo correspondiente, puede ayudar mejor a la dirección ejecutiva y a los consejos de

administración a detectar y abordar una microcultura que podría haberse desviado de

la cultura deseada global de la organización, hasta incluso posiblemente convertirse en

tóxica. Así que hay lugar para ambas evaluaciones, la de la macrocultura y también la de

las diferentes microculturas.

Los trabajos de cultura son más eficaces cuando se toma en cuenta una lista amplia de

factores relacionados con la cultura; y auditoría interna podría perfectamente tener las

oportunidades para mejorar en esta área. Alrededor de la mitad de los líderes de auditoría

indica que considera al menos cuatro de los siete factores identificados en la encuesta

(Muestra 7). Los problemas de cumplimiento, las prácticas de recursos humanos y

la alineación del comportamiento de la organización con los valores fundamentales

indicados por la organización son los factores que se consideran con la mayor frecuencia

en cualquier trabajo relacionado con la cultura.

Los problemas de cumplimiento, las prácticas de recursos humanos y la alineación del comportamiento de la organización con los valores fundamentales indicados por la organización son los factores que se consideran con la mayor frecuencia en cualquier trabajo relacionado con la cultura.

Se realiza un trabajo independiente de auditoría de la cultura además de incorporarla a todos los demás trabajos

Solo se realiza un trabajo independiente de auditoría de la cultura

Se realiza un trabajo independiente de auditoría de la cultura además de incorporar la cultura a varios trabajos

La cultura está incorporada en todos los trabajos, sin ningún trabajo independiente de auditoría de la cultura

La cultura está incorporada en varios trabajos, sin ningún trabajo independiente de auditoría de la cultura

31 %

27 %

18 %

13 %

11 %

globaliia.org


10

Muestra 7: factores relacionados con la cultura que se consideran en los trabajos de auditoría interna

Nota: P12: ¿Cuáles de los siguientes factores relacionados con la cultura (si corresponde) se han considerado en cualquier trabajo de auditoría interna? Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que auditan la cultura).

Un dato interesante es que un 60 por ciento de aquellos que auditan la cultura

coordinan con otros departamentos para hacerlo. Lo más frecuente es que auditoría

interna coordine con recursos humanos, cumplimiento o gestión de riesgos para auditar

la cultura (Muestra 8). La coordinación con otras áreas clave en la organización parece

prudente y es posiblemente una práctica preponderante. No obstante, dado el rol

independiente importante de auditoría interna, es esta la que debería considerar liderar

el esfuerzo y llegar a sus propias conclusiones y reportar sus opiniones y observaciones

de forma independiente.

Muestra 8: departamentos con los cuales auditoría interna coordina para auditar la cultura (tres principales)

Nota: P11: ¿Con cuáles de los departamentos coordinó auditoría interna para auditar la cultura? Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que coordinan esfuerzos con otros departamentos).

Línea de denuncias, línea de asistencia o acuerdos para hablar sin reservas(por ej., tasa de uso, tipos de problemas, resoluciones)

Habilidades blandas(por ej., competencia, confianza, franqueza, transparencia y liderazgo)

Opiniones o satisfacción de las partes interesadas (por ej., percepción de la imagen de la dirección por parte de las partes interesadas, resultados de encuestas a empleados y clientes, opiniones de los clientes u opinión pública)

Formación relacionada con la cultura (por ej., formación sobre los valores de la organización)

Alineación del comportamiento actual de la organización con los valores fundamentales declarados de la organización

Prácticas de recursos humanos(por ej., incentivos y cumplimiento, como entrevistas de salida y consistencia de las sanciones por infringir políticas)

Temas de cumplimiento(por ej., reglas de protección de denuncias o frecuencia con la cual la organización enfrentó problemas legales) 70 %

58 %

56 %

53 %

52 %

52 %

34 %

63 %

57 %

48 %Gestión de riesgos

Cumplimiento

Recursos humanos

Sesenta por ciento de los departamentos de auditoría interna que auditan la cultura coordinan con otros departamentos para hacerlo. No obstante, es la que debería considerar liderar el esfuerzo y llegar a sus propias conclusiones y reportar sus opiniones y observaciones de forma independiente.

globaliia.org


11

Planteamos la hipótesis de que podrían ser los aspectos intangibles de la auditoría de la

cultura los que expliquen por qué podría ser más difícil que auditoría interna reporte los

resultados de un trabajo que se refiere a la cultura que para otros trabajos. De hecho, de

aquellos que están auditando la cultura, solo aproximadamente la mitad de los líderes

de auditoría reportó que su departamento de auditoría interna comprende cómo reportar

sobre la cultura, y uno de cada cinco indica que no ha reportado ningún resultado de los

trabajos que se refieren a la cultura. Cuando se reportan los resultados, el formato más

común es un informe escrito, a veces acompañado también por un informe oral.

Aunque es comprensible, los auditores internos no deberían dudar en abordar las

auditorías de la cultura. Cuando auditoría interna incorpora a la cultura en cada trabajo

correspondiente, esta se convierte en un factor más que debe considerarse en cada

conjunto individual de conclusiones y en el informe final.

ConclusiónLa evidencia comienza a sugerir que auditoría interna se está tornando más profundamente

consciente de los temas culturales como una posible causa subyacente de daño a largo

plazo para las organizaciones. Aunque casi tres cuartos de los departamentos de auditoría

interna que respondieron a esta encuesta indican que no están auditando la cultura,

un grupo más pequeño de líderes de auditoría interna ha hecho avances en pos de la

excelencia en el área. Se aconseja a la profesión de auditoría interna en general que siga

el ejemplo de estos líderes al:

■ Comprender completamente la macrocultura de la organización.

■ Aplicar los marcos de gobierno o riesgos establecidos para evaluar las macro y

microculturas.

■ Tener en mente múltiples factores relacionados con la cultura, considerar la cultura

en cada trabajo.

■ Reportar continuamente sobre la cultura.

Solo aproximadamente la mitad de los líderes de auditoría interna reportó que su departamento de auditoría interna comprende cómo reportar sobre la cultura, y uno de cada cinco indica que no ha reportado ningún resultado de los trabajos que se refieren a la cultura.

globaliia.org


12

Seguir el ritmo de la tecnologíaAunque auditoría interna ha dado algunos pasos para seguir el ritmo de la dinámica en

constante evolución de la tecnología compleja y rápidamente cambiante, los resultados de

la encuesta Global Pulse indican que parece que todavía tiene dificultades para abordar

ampliamente los riesgos de la tecnología. Auditoría interna no está sola en esta lucha.

De hecho, según el informe global Estado de las operaciones de seguridad de 2016 de

Hewlett Packard Enterprise (HPE), hubo un descenso de un año a otro en la madurez

del centro de operaciones de seguridad (SOC, en inglés) en 2015. HPE atribuye este

descenso a las presiones impuestas en la defensa cibernética por la informática de los

macrodatos, social, móvil y de la nube y el aumento en la sofisticación de la comunidad

de ataques cibernéticos. Sin embargo, cualquier encuesta de miembros de los consejos

de administración calificará a los riesgos de la tecnología, en particular los cibernéticos,

como altos (sino incluso en el primer puesto) en la lista de sus preocupaciones.

¿Cómo puede ayudar auditoría interna? Cada vez más líderes bien informados de

auditoría interna están realizando avances hacia el posicionamiento de auditoría interna

como asesor cibernético de confianza de la organización al aumentar las competencias

y demostrar la destreza en temas de TI como seguridad cibernética y macrodatos y al

proporcionar un rango completo de servicios de auditoría interna (ya sea de forma directa

o compartida con servicios tercerizados) relacionados con esos temas. Pero para otros,

los datos de la encuesta Global Pulse sugieren que varios obstáculos evitan que auditoría

interna alcance la excelencia en esta área.

Seguridad cibernéticaEl término seguridad cibernética se refiere a las medidas que se toman para proteger

la información de la empresa en sistemas informáticos con el fin de que no se pierda,

destruya, sufra accesos no autorizados o uso indebido de partes no deseadas. Como

se explica en “Percepciones y perspectivas globales: auditoría interna como asesor

cibernético de confianza” de 2016 del IIA, “La seguridad cibernética debe considerarse

de forma holística y sistémica, dado que los efectos del fracaso pueden ir desde la

incapacidad de realizar transacciones básicas y la pérdida de propiedad intelectual hasta

el daño a la reputación. No es solamente un riesgo tecnológico; es un riesgo para los

negocios y, como tal, los auditores internos tienen que asumir un rol crucial”.6

Afortunadamente, la amplia mayoría (93 por ciento) de los líderes de auditoría interna

reporta que su departamento de auditoría interna comprende los riesgos asociados con la

seguridad cibernética. Para contrastar ese optimismo, en su informe de 2016, “Creating

trust in the digital world” (Crear confianza en el mundo digital), EY advierte que se han

subestimado los riesgos de la seguridad cibernética y que demasiadas organizaciones

exacerban sus vulnerabilidades al asumir un enfoque ad hoc hacia el riesgo. Global

Pulse confirma esto, con poco más que la mitad (55 por ciento) de los líderes de

auditoría interna que indican que su organización utiliza un marco diseñado para abordar

6 El IIA, “Percepciones y perspectivas globales: auditoría interna como asesor cibernético de confianza”, 2016, 5, www.theiia.org/gpi (se accedió el 24 de agosto de 2016).

“La seguridad cibernética debe considerarse de forma holística y sistémica, dado que los efectos del fracaso pueden ir desde la incapacidad de realizar transacciones básicas y la pérdida de propiedad intelectual hasta el daño a la reputación posiblemente significativo.

globaliia.org


13

la seguridad cibernética. Ese es aproximadamente el mismo número (58 por ciento)

que dice que proporciona servicios de auditoría interna relacionados con la seguridad

cibernética a su organización, ya sea de forma exclusiva (16 por ciento) o compartida con

servicios tercerizados (42 por ciento), como se ve en la Muestra 9.

Así que aunque la mayoría de los departamentos de auditoría interna pueden decir

que comprenden los riesgos de la seguridad cibernética, solo unos pocos traducen

completamente esa comprensión en acciones al proporcionar ampliamente todos los

servicios de auditoría interna de la seguridad cibernética que necesita su organización.

Pero lo que es incluso más alarmante es que, dada la comprensión expresada por los

líderes de auditoría interna de los riesgos de la seguridad cibernética y la alta visibilidad y

los grandes daños causados por eventos cibernéticos muy difundidos, uno de cada cuatro

(25 por ciento) líderes de auditoría interna indica que no se ha proporcionado ningún

servicio de auditoría interna relacionado con la seguridad cibernética a su organización.

El resto, 16 por ciento, reporta que todos los servicios de auditoría interna relacionados

con la seguridad cibernética se tercerizan completamente (Muestra 9).

Muestra 9: quién proporciona servicios de auditoría interna relacionados con la seguridad cibernética a las organizaciones

Nota: P25: ¿Qué afirmación describe mejor quién proporciona servicios de auditoría interna relacionados con la seguridad cibernética a su organización? Recuerde: la suma de los porcentajes no da un 100 % debido al redondeo.

Las principales razones por las que no se proporcionaron servicios de auditoría interna

a la organización incluyen la falta de competencias (destrezas y conocimientos) de

auditoría interna y la falta de herramientas para auditar la seguridad cibernética (Muestra

10). Los DEA están tomando medidas para corregir estas deficiencias. Según un informe

de 2016 del CBOK del IIARF,7 la tecnología de la información y la minería de datos o

el análisis de datos son dos de las siete habilidades que buscan los DEA al contratar

o que están aumentando dentro de sus departamentos de auditoría interna. Los DEA

también compensan por la falta de competencias y herramientas a través de acuerdos de

tercerización total o compartida.

No se ha proporcionado ningún servicio de auditoría interna relacionado con la seguridad cibernética en mi organización

Todos los servicios de auditoría interna relacionados con la seguridad cibernética se tercerizan

Auditoría interna y proveedores externos proporcionan en conjunto los servicios de auditoría interna relacionados con la seguridad cibernética

El departamento de auditoría interna proporciona todos los servicios de auditoría interna relacionados con la seguridad cibernética

16 %

16 %

25 %

42 %

Uno de cada cuatro líderes de auditoría interna que no se había proporcionado ningún servicio de auditoría interna relacionado con la seguridad cibernética a la organización.

7 James Rose, “The Top 7 Skills CAEs Want” (Las 7 habilidades principales que quieren los DEA) (Altamonte Springs: The IIA Research Foundation, 2016) pág. 2, http://theiia.mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.

globaliia.org


14

Muestra 10: razones por las cuales los departamentos de auditoría interna no auditan la seguridad cibernética

Nota: P26: ¿Cuál de las siguientes afirmaciones describe la razón por la que el departamento de auditoría interna no proporciona actualmente servicios de auditoría interna relacionados específicamente con la seguridad cibernética? Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que indicaron que no se había proporcionado ningún servicio de auditoría interna relacionado con la seguridad cibernética a la organización).

¿Qué puede hacer un auditor interno para progresar en esta área? En primer lugar, todo

comienza por tener u obtener las competencias y herramientas requeridas para auditar

la seguridad cibernética. Es claro a partir de los resultados de la encuesta que estos

son los dos principales impedimentos para auditar con éxito esta área crucial. Después,

reconocer la necesidad de apoyo de la dirección. Como se afirmó en Auditoría interna

como asesor cibernético de confianza, en prácticamente todas las organizaciones, para

cada gran proyecto es crucial el respaldo de la dirección. Sin embargo, los consejos

de administración podrían no estar actuando sobre sus principales preocupaciones

relacionadas con la seguridad cibernética con acciones proporcionales con el riesgo. Por

ejemplo, según un estudio reciente en los Estados Unidos, 26 por ciento de las personas

encuestadas indicaron que su director de seguridad de la información (CISO) o director

de seguridad (CSO) realiza una presentación de seguridad ante consejo de administración

solo una vez al año; aproximadamente un porcentaje igual (28 por ciento) reportó que no

se hace ninguna presentación. Además, casi un tercio dijo que no había ningún comité ni

miembro del consejo de administración trabajando en el riesgo cibernético; solo 15 por

ciento indicó un compromiso por parte del comité de auditoría con el riesgo cibernético.8

Auditoría interna ha evaluado el riesgo relacionado con la seguridad cibernética como un riesgo bajo para la organización

Otro proveedor de aseguramiento interno evalúa la seguridad cibernética

Auditoría interna no tiene el apoyo del consejo de administración o comité de auditoría para auditar la seguridad cibernética

Un proveedor de aseguramiento externo evalúa la seguridad cibernética

Auditoría interna no tiene el apoyo de la dirección ejecutiva para auditar la seguridad cibernética

Auditoría interna no tiene el tiempo para auditar la seguridad cibernética

Auditoría interna no ha evaluado el riesgo relacionado con la seguridad cibernética

Auditoría interna no tiene las herramientas para auditar la seguridad cibernética

Auditoría interna no tiene las competencias (habilidades y conocimientos) necesarias para proporcionar servicios de auditoría relacionados con la seguridad cibernética

65 %

55 %

26 %

22 %

19 %

16 %

16 %

14 %

7 %

8 PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey” (Seguridad cibernética en EE. UU.: progreso estancado, hallazgos clave de la encuesta del estado de los delitos cibernéticos de 2015 de EE. UU.), julio de 2015, http://www.pwc.com/us/cybercrime (se accedió el 24 de agosto de 2016).

globaliia.org


15

Posiblemente como resultado de cierta combinación de percepción y realidad de que

auditoría interna no tiene suficiente competencia en la evaluación de la seguridad

cibernética, la confianza en que auditoría interna corrija esta deficiencia también es escasa.

Como ejemplo, en Global Pulse, solo un 56 por ciento de los líderes de auditoría interna

dijo que recibió la orden de auditar la seguridad cibernética del consejo de administración

o comité de auditoría. Entonces, ¿qué es necesario hacer? En primer lugar, con su acceso

privilegiado al consejo de administración o comité de auditoría y su comprensión de los

riesgos de la seguridad cibernética, los líderes de auditoría interna deberían mantener a la

seguridad cibernética en sus órdenes del día, abordar las vulnerabilidades cibernéticas y

ofrecer asistencia con un proceso para establecer la aceptación de riesgos de la seguridad

cibernética por parte de la organización. Para aquellos que no aprecian la gravedad de los

riesgos de la seguridad cibernética, entiendan que este es un factor de riesgo importante

que ciertamente se hará más grave a medida que la tecnología continúe evolucionando

más rápido que los esfuerzos para gestionar y controlar eficazmente los riesgos. De hecho,

Forbes reportó a principios de 2016 una proyección que indicaba que se esperaba que los

costes de los delitos cibernéticos alcanzaran los USD 2 billones para 2019.9

En segundo lugar, entienda que la seguridad cibernética requiere un esfuerzo de colaboración

que depende de la pericia al momento de liderar que demuestre el DEA. Como explica Hans

Nieuwlands, director ejecutivo del IIA Países Bajos, “los DEA deben establecer asociaciones

de confianza con la dirección ejecutiva, ofrecer asesoramiento y soluciones que gestionen

o reduzcan los riesgos de la seguridad cibernética a un nivel aceptable y desarrollar

relaciones de colaboración con el director de información (CIO), director de seguridad de

la información (CISO) y directivos superiores en asuntos legales o de privacidad”.

En tercer lugar, siga los pasos de aquellos que ya han hecho avances en esta área. Como se

mencionó anteriormente, más de la mitad (58 por ciento) de los líderes de auditoría interna

dice que proporcionan servicios de auditoría interna relacionados con la seguridad cibernética

a su organización, ya sea de forma exclusiva o compartida con servicios tercerizados.

Las principales razones para auditar la seguridad cibernética son que esta fue calificada

correctamente como un riesgo alto y que los DEA plantearon este tema durante el proceso

de planificación de auditoría, demostrando que los líderes de auditoría interna podrían

no tener la necesidad de ser los catalizadores para que la organización ponga el énfasis

correcto en la importancia en constante cambio de la seguridad cibernética (Muestra 11).

Algo importante es que los departamentos de auditoría interna que auditan la seguridad

cibernética están comenzando a proporcionar un rango amplio de servicios valiosos

para sus organizaciones. Los servicios que se mencionan con mayor frecuencia incluyen

evaluar controles que abordan cómo los sistemas conectados a Internet procesan,

almacenan o transportan datos, evaluar el plan de continuidad de los negocios y analizar

el proceso de evaluación de riesgos de la seguridad cibernética (Muestra 12). Una

oportunidad posiblemente obvia en que los líderes de auditoría interna se involucren

más en la parte inicial del proceso al asesorar sobre equipos de proyectos y proporcionar

orientación sobre planes de desempeño e implementación de seguridad cibernética.

9 Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019” (Se proyecta que los costes de los delitos cibernéticos alcanzarán los USD 2 billones en 2019), http://www.forbes.com/sites/stevemorgan/2016/01/17/ cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0

Con su acceso privilegiado al consejo de administración o comité de auditoría y su comprensión de los riesgos de la seguridad cibernética, los líderes de auditoría interna deberían mantener a la seguridad cibernética en sus órdenes del día, abordar las vulnerabilidades cibernéticas y ofrecer asistencia con un proceso para establecer la aceptación de riesgos de la seguridad cibernética por parte de la organización.

globaliia.org


16

Muestra 11: por qué los departamentos de auditoría interna auditan la seguridad cibernética

Nota: P27: Por favor, indique por qué su departamento de auditoría interna ha proporcionado servicios de auditoría interna específicamente relacionados con la seguridad cibernética. Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que proporcionan (o tercerizan parcialmente) servicios relacionados con la seguridad cibernética).

Muestra 12: cómo auditan la seguridad cibernética los departamentos de auditoría interna

Nota: P28: Por favor, indique cómo su departamento de auditoría interna se ha involucrado en la seguridad cibernética. Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que proporcionan (o tercerizan parcialmente) servicios relacionados con la seguridad cibernética).

74 %

63 %

34 %

28 %

17 %

10 %Como respuesta a cambios en las métricas de seguridad cibernética establecidas(por ej., mayor número de alertas de software de protección, mayor número de infracciones a la política de seguridad cibernética)

Como respuesta a un evento relacionado con la seguridad cibernética(por ej., una vulneración de datos que generó un daño financiero, operativo o a la reputación de la organización)

Lo solicitó la dirección

Lo solicitó el consejo de administración o comité de auditoría

El director ejecutivo de auditoría (DEA) o el jefe de auditoría interna plantearon el tema durante el proceso de planificación anual de auditoría

La seguridad cibernética se calificó como un riesgo alto

70 %

68 %

64 %

59 %

56 %

47 %

27 %Participó en un equipo de proyecto para proporcionar orientación para el desempeño y los planes de implementación de la seguridad cibernética

Evaluó el plan de manejo de crisis

Evaluó el plan de respuesta ante incidentes

Evaluó la prevención de la seguridad cibernética

Evaluó el proceso de evaluación de riesgos de seguridad cibernética

Evaluó el plan de continuidad de los negocios

Evaluó los controles que abordan cómo los sistemas conectados a Internet procesan, almacenan o transportan información

globaliia.org


17

MacrodatosEl término macrodatos implica más que solo grandes cantidades de información. Macrodatos

se refiere a datos (información) en la organización que alcanzan un volumen, una

variedad, una velocidad y una variabilidad tan altos que las organizaciones deben invertir

en arquitecturas de sistemas, herramientas y prácticas diseñadas específicamente para

manejar los datos. A nivel global, casi la mitad (49 por ciento) de los líderes de auditoría

interna indica que sus organizaciones han hecho esas inversiones (y supuestamente han

implementado sistemas para manejar eficazmente los macrodatos en cierto grado) y otro

23 por ciento dice que su organización tiene una estrategia implementada para hacerlo

(Muestra 13). Como resultado, la expectativa debería ser que auditoría interna está o

estará abordando los macrodatos en sus planes de auditorías basadas en los riesgos.

Muestra 13: organizaciones que han invertido en macrodatos

Nota: P17: ¿Qué afirmación describe mejor el enfoque de su organización en cuanto a los macrodatos?

Un encuesta de 2016 de New Vantage Partners (NVP) dirigida a personas a cargo de

tomar las decisiones de tecnología y negocios en empresas estadounidenses de la lista

Fortune 1000, descubrió que:

■ Los macrodatos han alcanzado la adopción a nivel general.

■ Un nuevo rol en la organización, el del director de datos, se está estableciendo bien.

■ La asociación entre los negocios y la tecnología se ve como crucial para la adopción

de los macrodatos.

■ La perspectiva y la velocidad de los negocios son los principales impulsores de la

empresa de inversión en los macrodatos.

■ La variedad (de los datos) continúa superando al volumen y a la velocidad como

impulsor técnico detrás de las inversiones en macrodatos.10

No lo sé

Mi organización no ha invertido en arquitectura de sistema, herramientas ni prácticas específicamente diseñadas para manejar macrodatos y no tiene planes de hacerlo

Mi organización no ha invertido en arquitectura de sistema, herramientas ni prácticas específicamente diseñadas para manejar macrodatos, pero tiene una estrategia implementada

Mi organización ha invertido en arquitectura de sistema, herramientas y prácticas específicamente diseñadas para manejar macrodatos

49 %

23 %

21 %

7 %

10 New Vantage Partners LLC, “Big Data Executive Survey 2016” (Encuesta de ejecutivos de macrodatos de 2016), 2016, http://newvantage.com/wp-content/uploads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL.pdf (se accedió el 24 de agosto de 2016).

A nivel global, casi la mitad de los líderes de auditoría interna indica que sus organizaciones han hecho esas inversiones y otro 23 por ciento dice que su organización tiene una estrategia implementada para hacerlo. La expectativa debería ser que auditoría interna está o estará abordando los macrodatos en sus planes de auditorías basadas en los riesgos.

globaliia.org


18

De los líderes de auditoría interna que trabajan en organizaciones que han invertido en los

macrodatos, un 64 por ciento dice que su departamento proporciona servicios de auditoría

interna relacionados con los macrodatos a la organización, ya sea de forma exclusiva

(32 por ciento) o parcialmente tercerizada a un proveedor externo (32 por ciento), como

se ve en la Muestra 14. Y, al igual que con la seguridad cibernética, los líderes de auditoría

interna con frecuenta orientan la atención de la organización hacia los temas de control

y gestión de riesgos de macrodatos. Entre los líderes de auditoría interna que auditan los

macrodatos, las principales dos razones citadas para hacerlo se relacionan con ver el riesgo.

Según el informe, o el DEA elevó el tema durante el proceso de planificación anual de

auditoría o auditoría interna calificó a los macrodatos como un riesgo alto.

Muestra 14: quién proporciona servicios de auditoría interna relacionados con los macrodatos a las organizaciones

Nota: P19: ¿Qué afirmación describe mejor a quién proporciona los servicios de auditoría interna relacionados con los macrodatos en su organización? (Se les preguntó a aquellos que han invertido en macrodatos). Recuerde: la suma de los porcentajes no da un 100 % debido al redondeo.

Los departamentos de auditoría interna que observan los macrodatos están

proporcionando un rango amplio de servicios relacionados con los macrodatos para

sus organizaciones. Los servicios que se citan con mayor frecuencia incluyen evaluar

controles sobre la disponibilidad, usabilidad, integridad o seguridad de los datos;

evaluar los riesgos asociados con el uso de los macrodatos; y evaluar la precisión de

los macrodatos (Muestra 15).

No se han proporcionado servicios de auditoría interna relacionados con los macrodatos a mi organización

Todos los servicios de auditoría interna relacionados con los macrodatos se tercerizan

Auditoría interna y proveedores externos proporcionan en conjunto los servicios de auditoría interna relacionados con los macrodatos

El departamento de auditoría interna proporciona todos los servicios de auditoría interna relacionados con los macrodatos

32 %

32 %

9 %

26 %Entre los líderes de auditoría interna que auditan los macrodatos, las principales dos razones citadas para hacerlo se relacionan el riesgo. Según el informe, o el DEA elevó el tema durante el proceso de planificación anual o auditoría interna calificó a los macrodatos como un riesgo alto.

globaliia.org


19

Muestra 15: cómo auditan los macrodatos los departamentos de auditoría interna

Nota: P22: Por favor, indique cómo su departamento de auditoría interna se ha involucrado en los macrodatos. Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que proporcionan (o tercerizan parcialmente) servicios relacionados con los macrodatos).

Probablemente estos servicios de auditoría interna se pueden relacionar con cada uno de

los hallazgos clave de la encuesta de NVP. Por ejemplo, como explicó Lesedi Lesetedi,

directora de auditoría interna en la Universidad Internacional de Ciencias y Tecnología de

Botsuana, “La encuesta de NVP revela que el gasto en los macrodatos está en aumento.

La asistencia de auditoría interna con un análisis de costes y beneficios puede ayudar a

garantizarles a la dirección ejecutiva y al consejo de administración que el dinero gastado

se justifica por los posibles beneficios que puede gozar la organización”. Carolyn Saing,

DEA, University of Virginia, añade que “Al participar en los equipos de proyectos, auditoría

interna puede estimular conversaciones reflexivas que aborden las perspectivas tecnológica

y de negocios en temas como requisitos de privacidad, seguridad e integridad de datos”.

Sin embargo, a pesar de que un 92 por ciento de los líderes de auditoría interna

reporta que su departamento de auditoría interna comprende los riesgos asociados con

macrodatos y los millones de formas en las cuales auditoría interna puede contribuir

con las iniciativas de macrodatos de su organización, uno de cada cuatro (26 por

ciento) líderes de auditoría interna que trabajan en organizaciones que han invertido

en macrodatos dice que no se ha proporcionado ningún servicio de auditoría interna

relacionado con los macrodatos a la organización. Estos líderes de auditoría interna

citan una variedad de razones, aunque la mayoría mencionan la falta de herramientas y

competencias (habilidades y conocimientos) como el motivo por el cual auditoría interna

se contiene en este sentido (Muestra 16).

80 %

66 %

54 %

51 %

38 %

24 %

10 % Asistió con el análisis de coste y beneficio

Participó en un equipo de proyecto de macrodatos para proporcionar orientación para desempeño y planes de implementación

Evaluó el valor de los análisis de macrodatos para la organización

Evaluó la validez de los macrodatos (adecuación de los datos para su uso previsto)

Evaluó la precisión de los macrodatos

Evaluó los riesgos asociados con el uso de macrodatos

Evaluó los controles sobre la disponibilidad, utilidad, integridad o seguridad de los macrodatos

“Al participar en los equipos de proyectos, auditoría interna puede estimular conversaciones reflexivas que aborden las perspectivas tecnológica y de negocios en temas como requisitos de privacidad, seguridad e integridad de datos”.

Carolyn Saint, DEA,

University of Virginia

globaliia.org


20

Muestra 16: razones por las cuales los departamentos de auditoría interna no auditan los macrodatos

Nota: P20: ¿Cuál de las siguientes afirmaciones describe la razón por la que el departamento de auditoría interna no proporciona actualmente servicios de auditoría interna relacionados específicamente con los macrodatos? Los encuestados podían seleccionar más de una respuesta. (Se les preguntó a aquellos que indicaron que no se había proporcionado ningún servicio de auditoría interna relacionado con los macrodatos a la organización).

61 %

46 %

34 %

22 %

17 %

14 %

13 %

8 %

5 % Otro proveedor de aseguramiento interno evalúa los macrodatos

Auditoría interna ha evaluado el riesgo relacionado con los macrodatos como un riesgo bajo para la organización

Auditoría interna no tiene el apoyo del consejo de administración o comité de auditoría para auditar los macrodatos

Un proveedor de aseguramiento externo evalúa los macrodatos

Auditoría interna no tiene el apoyo de la dirección ejecutiva para auditar los macrodatos

Auditoría interna no tiene tiempo para auditar los macrodatos

Auditoría interna no ha evaluado el riesgo relacionado con los macrodatos

Auditoría interna no tiene las competencias (habilidades y conocimientos) necesarios para auditar los macrodatos

Auditoría interna no tiene las herramientas para auditar los macrodatos

globaliia.org


21

ConclusiónAunque los riesgos tecnológicos relacionados con la seguridad cibernética y los

macrodatos están entre las principales preocupaciones de muchos consejos de

administración, la cantidad de departamentos de auditoría interna que están

proporcionando servicios de auditoría interna relacionados para sus organizaciones

parecen no estar al nivel que se necesita dados los riesgos. No obstante, los

departamentos de auditoría interna que sí proporcionan estos servicios con frecuencia

ayudan a dirigir la atención de la organización a los temas críticos de riesgo y control

asociados con la seguridad cibernética y los macrodatos. El desafío será que auditoría

interna se asegure de tener acceso a las habilidades, el conocimiento, los recursos y las

herramientas en un entorno de riesgos dinámico y en constante cambio. Aprovechar los

arreglos de tercerización parcial al incorporar los conocimientos adecuados en la materia

podría ser imperativo para muchas funciones de auditoría interna en el futuro.

Los pasos que ayudarán a auditoría interna a progresar hacia la excelencia en esta área

incluyen:

■ Comprender completamente los riesgos relacionados con la tecnología y su posible

impacto en el logro de objetivos estratégicos y operativos.

■ Aprovechar las inversiones en tecnología de la organización para obtener las

herramientas necesarias para auditar la seguridad cibernética y los macrodatos.

■ Desarrollar las competencias necesarias en auditoría interna.

■ Ayudar a fomentar la cooperación entre las operaciones de negocios y tecnología.

■ Proporcionar un conjunto amplio de servicios de auditoría interna relacionados con la

tecnología, desde participar en los equipos de gestión de proyectos hasta proporcionar

gestión de riesgos relacionados con la tecnología y aseguramiento de controles

internos para el consejo de administración.

La cantidad de departamentos de auditoría interna que están proporcionando servicios de auditoría interna relacionados para sus organizaciones parecen no estar al nivel que se necesita dados los riesgos.

globaliia.org


22

Alcanzar la posición de asesor de confianzaAunque pueda ser impreciso y desafiante, auditoría interna ha continuado haciendo

avances en la tarea de mantenerse al ritmo de las expectativas en constante aumento

de las partes interesadas. Para muchos esto será un desafío permanente, mientras que

para otros será una cuestión de al menos intentar estar uno o dos pasos delante de las

crecientes demandas y expectativas.

Continuar la evolución desde un enfoque probablemente anticuado en los controles

contables hasta una auditoría que realmente abarque a toda la empresa y se base en

los riesgos ha sido un gran paso hacia adelante para la profesión. Además, la siguiente

maduración de la profesión ha sido que los DEA avancen para garantizar una alineación

del plan de auditoría interna con las prioridades estratégicas de la organización y

proporcionar perspectivas sobre la habilidad (o inhabilidad) de la organización de alcanzar

sus objetivos estratégicos con éxito.

Entonces, ¿cuál es el siguiente paso? Muchos dicen ahora que auditoría interna necesita

elevarse más, que en toda la organización se la vea como el “asesor de confianza” para ser

realmente eficaz. No obstante, en muchos casos, auditoría interna todavía está solicitando

el codiciado “puesto en la mesa” (si es que recibe uno): el lugar donde se tratan los temas

más apremiantes de la organización y se toman las decisiones ejecutivas. A su vez, un

verdadero asesor de confianza obtiene un puesto en la mesa en virtud del valor que todos

aceptan como dado. No solicitan que los involucren... los invitan. Entonces, un asesor de

confianza debe tener el complemento total de la pericia de negocios, los conocimientos

técnicos y las habilidades para relacionarse para que las partes interesadas lo perciban

como un recurso valioso en el avance hacia los objetivos de la organización. Para el DEA y

su equipo, significa tener consistentemente algo con un valor significativo para aportar.

En su informe titulado “2016 State of Internal Audit Profession Study, Leadership

Matters: Advancing toward true north as stakeholders expect more” (Estudio sobre el

estado de la profesión de Auditoría Interna de 2016, Asuntos de liderazgo: avanzar

hacia el verdadero norte a medida que las partes interesadas esperan más), PwC reveló

un vacío, consistente con las opiniones predominantes, entre las aspiraciones de la

profesión y lo que realmente está dando en la actualidad. Reconociendo la expectativa,

solo un 16 por ciento de los encuestados por PwC (DEA y sus partes interesadas) dijo

que en la actualidad auditoría interna está proporcionando servicios de valor agregado

y asesoramiento estratégico proactivo para la empresa mucho más allá que la ejecución

eficiente y eficaz del plan de auditoría, mientras que un 62 por ciento espera que

auditoría interna lo haga en los siguientes cinco años. De forma similar, Deloitte reportó

en su “2016 Global Chief Executive Survey, Evolution or irrelevance? Internal Audit

at a crossroads” (Encuesta Global de Directivos de 2016, ¿Evolución o irrelevancia?

Auditoría interna en una encrucijada), que “Solo un 28 por ciento de los DEA cree que

Un verdadero asesor de confianza obtiene un puesto en la mesa en virtud del valor que todos aceptan como dado. No solicitan que los involucren... los invitan.

globaliia.org


23

sus funciones han tenido un impacto y una influencia fuertes en la organización. Un

inquietante 16 por ciento indicó que auditoría interna no tiene o casi no tiene impacto

e influencia. Mientras tanto, casi dos tercios creen que la fuerza de auditoría interna en

estas áreas será importante en los siguientes años”.11

¿Auditoría interna puede llenar estos vacíos considerables y avanzar para convertirse en

un asesor de confianza? Dadas las expectativas, es probable que sea necesario dar pasos

proactivos y agresivos.

Según Karem Toufic Obeid, DEA, Tawazun, “Llenar el vacío requiere construir relaciones

de confianza con la dirección ejecutiva y el consejo de administración. La confianza se

aumenta cuando el trabajo de auditoría interna ya no es solo fiable y cumple con sus

promesas, sino que es previsor y esclarecedor”. Desafortunadamente, la mayoría de los

líderes de auditoría interna todavía se reúnen con el CEO, la dirección ejecutiva y el

presidente del comité de auditoría solo en momentos predeterminados y designados en

lugar de en la medida que sea necesario y con frecuencia. Y construir sobre la necesidad

de relaciones sólidas con los directivos, sin dejar de incluir la pericia de negocios y los

conocimientos técnicos afilados, en combinación con la necesidad de ser minucioso,

puede ser muy exigente. Pero parece que esto se está convirtiendo en una certeza. No

obstante, la mayoría (66 por ciento) de los líderes de auditoría interna reportan que no

se les solicita frecuentemente que participen en grandes iniciativas de cambio de la

organización (Muestra 17) y a casi un tercio de los líderes de auditoría interna nunca se

los invita a participar en una reunión del consejo de administración completo (Muestra

18). Como resultado, al menos en este momento para muchos, la posición de asesor de

confianza continúa siendo una aspiración “en progreso” prometedora.

Muestra 17: con cuánta frecuencia participa auditoría interna en las iniciativas de cambio de la organización

Nota: P38: ¿Con cuánta frecuencia participa auditoría interna en las grandes iniciativas de cambio de la organización (si es que lo hace)? La suma de los porcentajes no da un 100 % debido al redondeo.

Rara vez

Nunca

A veces

A menudo

Todo el tiempo

11 %

26 %

36 %

17 %

11 %

La mayoría (66 por ciento) de los líderes de auditoría interna reportan que no se les solicita frecuentemente que participen en grandes iniciativas de cambio de la organización y a casi un tercio de los líderes de auditoría interna nunca se los invita a participar en una reunión del consejo de administración completo.

11 Deloitte, “Evolution or irrelevance? Internal audit at a crossroads” (¿Evolución o irrelevancia? Auditoría interna en una encrucijada), 2016, 5, http://www2.deloitte.com/global/en/pages/audit/solutions/global-chief-audit-executive-survey.html (se accedió el 24 de agosto de 2016).

globaliia.org


24

Muestra 18: con cuánta frecuencia se invita a los DEA a asistir a una reunión del consejo de administración completo

Nota: P37: ¿Con cuánta frecuencia (si es que lo hacen) invitan al directivo o jefe de auditoría a asistir a una reunión del consejo de administración completo (separado del comité de auditoría)? La suma de los porcentajes no da un 100 % debido al redondeo.

Además del CEO, la dirección ejecutiva y el presidente del comité de auditoría, los

líderes de auditoría interna y el personal también necesitan desarrollar relaciones con

los directivos superiores e intermedios. Para muchos, esto se logra mejor a través de una

planificación intencional utilizando interacciones repetitivas y estructuradas, trabajando

en pos de establecer relaciones sostenibles y profundas. Sin embargo, el 65 por ciento

de los líderes de auditoría interna indica que no tiene un programa formal mediante el

cual los auditores internos se reúnen con personal específico de la organización de forma

continua (Muestra 19). Sin un programa así será difícil, sino imposible, en la mayoría de

las organizaciones de cualquier tamaño, que los líderes de auditoría interna y su personal

establezcan y mantengan el punto de partida de las relaciones necesarias para elevarse al

punto en el que se los considere asesores de confianza.

Muestra 19: programas mediante los cuales los auditores internos se reúnen con el personal de la organización

Nota: P31: ¿Auditoría interna tiene un programa mediante el cual los auditores internos se reúnen con personal de la organización de forma continua?

A pedido del director ejecutivo de auditoría (DEA) o jefe de auditoría interna

Nunca

A pedido del consejo de administración

Anualmente

En todas las reuniones

23 %

4 %

7 %

31 %

34 %

No, no tenemos un programa así y no lo estamos considerando

No, no tenemos un programa así, pero lo estamos considerando

Sí, tenemos un programa informal

Sí, tenemos un programa formal

14 %

35 % 15 %

36 %

Llenar el vacío requiere construir relaciones de confianza con la dirección ejecutiva y el consejo de administración. La confianza se aumenta cuando el trabajo de auditoría interna ya no es solo fiable y cumple con sus promesas, sino que es previsor y esclarecedor.

Karem Toufic Obeid,

DEA, Tawazun

globaliia.org


25

Los programas formales que incrementan la interacción del auditor interno con el

personal de la organización ayudan a que auditoría interna se haga más visible,

más reconocible y esté en más sintonía con lo que realmente sucede dentro de la

organización. Como explica Ana Cristina Zambrano Preciado, presidente y CEO del

IIA Colombia, “Cómo se presentan los DEA a sí mismos impacta cómo los percibirá la

organización”. Y todos sabemos que esa percepción arrastra a la realidad. No obstante,

los resultados de la encuesta indican que solo un 26 por ciento de los DEA dice que

cree que se lo percibe como un miembro de la dirección ejecutiva. Claramente el 74

por ciento restante no ve que lo perciban como un par del equipo ejecutivo (Muestra

20). Dado que tantos DEA no creen que se los percibe como parte de los rangos más

superiores de la organización, esto podría verse como una estadística preocupante y una

posible barrera para alcanzar la visibilidad y posición de asesor de confianza.

Muestra 20: cómo se percibe al DEA

Nota: P35: El director ejecutivo de auditoría (DEA) o el jefe de auditoría interna se percibe como un miembro de: (Los datos proporcionados solo reflejan las respuestas de los DEA). La suma de los porcentajes no da un 100 % debido al redondeo.

Otro factor que podría incrementar la visibilidad y posición de los líderes de auditoría

interna en la organización, aunque no sin desafíos, es que se les solicite que asuman

responsabilidades externas a la auditoría interna. Uno de cada cuatro líderes de auditoría

interna (26 %) indica que es responsable de funciones externas a auditoría interna

(Muestra 21). Las funciones que se mencionaron con mayor frecuencia son las funciones

enfocadas en la segunda línea de defensa, gestión de riesgos y cumplimiento.

Dirección intermedia

Dirección superior

Dirección ejecutiva

26 %

55 %

20 %

Solo un 26 % de los DEA dice que cree que se lo percibe como un miembro de la dirección ejecutiva.

globaliia.org


26

Muestra 21: porcentaje de DEA que son responsables de otras funciones

Nota: P39: ¿El director ejecutivo de auditoría (DEA) o el jefe de auditoría interna en su organización también es responsable de otra(s) función(es) que no sea(n) auditoría interna?

Por supuesto, los líderes de auditoría interna enfrentan desafíos al asumir

responsabilidades externas a auditoría interna. Una de las principales preocupaciones es

mantener la objetividad real y percibida, además de las dificultades con la independencia

según las líneas de jerarquía. Sí, hay riesgos de que se desdibujen la segunda y

tercera líneas de defensa, y el DEA debe evitar fuertemente que auditoría interna se

vea arrastrada en una dirección que minimice o comprometa su principal obligación

de cualquier forma. Pero si se les solicita que amplíen sus competencias para exceder

la auditoría interna, también puede ser una señal indicadora para los DEA de que

sus conocimientos, habilidades y aportes pueden ser y son significativos para toda la

organización a lo largo de un rango de funciones.

Las líneas jerárquicas óptimas (en el punto de vista emergente para muchas

organizaciones de reportar administrativamente al CEO y operativamente al comité

de auditoría) ayudan a los líderes de auditoría interna a mantener la independencia

de la organización maximizando a la vez su potencial para ser asesores de confianza.

Global Pulse revela que un 45 por ciento de los líderes de auditoría interna reporta

administrativamente al CEO (o su equivalente) y un 73 por ciento reporta operativamente

al consejo de administración o comité de auditoría (o equivalente).12 Estos porcentajes

han continuado aumentando con el transcurso del tiempo, a medida que auditoría interna

continúa saliendo de un rol estereotípico de concentrarse principalmente en temas

contables y financieros.

No

Sí

26 %

74 %

Si se les solicita que amplíen sus competencias para exceder la auditoría interna (al tomar responsabilidades de cumplimiento o gestión de riesgos por ejemplo), también puede ser una señal indicadora para los DEA de que sus conocimientos, habilidades y aportes pueden ser y son significativos para toda la organización a lo largo de un rango de funciones.

12 Reportar administrativamente se refiere a la supervisión de asuntos cotidianos, entre ellos, el presupuesto, la admi-nistración de recursos humanos, la comunicación, las políticas internas y los procedimientos. Reportar operativamen-te se refiere a la supervisión de las responsabilidades de la función de auditoría interna, incluso la aprobación del estatuto de auditoría interna, el plan de auditoría, la evaluación del DEA y la compensación de este.

globaliia.org


27

ConclusiónEn primer lugar, desde la auditoría basada en los controles hasta la auditoría basada en

los riesgos, y ahora desde las evaluaciones de los riesgos desde abajo hacia arriba hasta

la alineación de las prioridades de auditoría interna con las prioridades estratégicas de la

organización, ha llegado la siguiente etapa de evolución... la de elevarse a la posición de

asesor de confianza. El camino que tenemos por delante requerirá un esfuerzo dedicado,

además de una dinámica cambiante en términos de habilidades valiosas y talentos

codiciados. Pero es un camino que las partes interesadas de auditoría interna están

comenzando a esperar que se recorra... y un destino que algunos pocos pioneros ya están

alcanzando.

Un blog de la revista Internal Auditor del presidente y CEO del IIA, Richard Chambers,

sugirió señales de que sus contribuciones como DEA o auditoría interna pueden no

estarse valorando:

■ Le llegan pocas (o ninguna) solicitudes de auditoría a lo largo del año.

■ Se recibe un aporte mínimo durante el proceso de evaluación anual de riesgos de

auditoría interna.

■ No lo invitan a las reuniones donde se debate o formula la estrategia de la empresa.

■ Los destinatarios de sus informes son indiferentes o se resisten a las conclusiones o

recomendaciones.

■ Cuando se identifica un riesgo significativo, la dirección no le llama; buscan a un

consultor.13

13 Chambers, Richard. 14 de junio de 2016. “Forensic Examination May Explain Why You Aren’t a Trusted Advisor” (Examen forense podría explicar por qué no es un asesor de confianza). https://iaonline.theiia.org/blogs/ chambers/2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-a-Trusted-Advisor.aspx (se accedió el 24 de agosto de 2016).

globaliia.org


28

Reflexiones finalesDado que los niveles de presupuesto y personal para respaldar las actividades cruciales

de auditoría interna se están manteniendo sin cambios o están aumentando para la

mayoría, la oportunidad de que auditoría interna de los pasos extra necesarios para

alcanzar y exceder las crecientes expectativas de las partes interesadas podría nunca

ser mayor. Dado el apoyo en cuanto a la dotación de recursos, ahora podría ser el mejor

momento para aprovechar la oportunidad.

Y, al continuar su búsqueda de excelencia y de la posición de asesor de confianza,

auditoría interna debe estar en primera fila para abordar las exposiciones cruciales

de la organización. Como indica la encuesta Global Pulse de 2016, las exposiciones

apremiantes como la cultura, la seguridad cibernética y los macrodatos están entre

temas emergentes a los cuales auditoría interna necesita dedicar, sino aumentar, tiempo,

energía y concentración valiosos.

Los líderes de auditoría interna han hecho avances, pero es muy probable que la

profesión en su totalidad tenga que acelerar el ritmo y ciertamente no puede permitirse

perder el impulso.

globaliia.org


29

Para más informaciónAuditar la cultura

■ Instituto de Auditores Internos Certificados, “Organizational Culture: Evolving

approaches to embedding and assurance” (Cultura de la organización: desarrollar

enfoques hacia la integración y el aseguramiento), mayo de 2016, https://iia.org.uk/

policy/publications/culture-evolving-approaches-to-embedding-and-assurance-board-

briefing/ (se accedió el 24 de agosto de 2016).

■ CCH Daily, “FRC calls for greater emphasis on corporate culture” (El FRC exige un

mayor énfasis en la cultura empresarial), 20 de julio de 2016 https://www.cchdaily.co.uk/

frc-calls-greater-emphasis-corporate-culture (se accedió el 24 de agosto de 2016).

■ Consejo de Informes Financieros, “Corporate Culture and the Role of Boards” (Cultura

empresarial y el rol de los consejos de administración), julio de 2016, https://www.

frc.org.uk/Our-Work/Corporate-Governance-Reporting/Corporate-governance/Corporate-

Culture-and-the-Role-of-Boards.aspx (se accedió el 25 de agosto de 2016).

■ El IIA, “Percepciones y perspectivas globales: auditar la cultura: una mirada objetiva a

lo subjetivo”, 2016, www.theiia.org/gpi (se accedió el 29 de septiembre de 2016).

Seguir el ritmo de la tecnología ■ EY, “Creating trust in the digital world” (Crear confianza en el mundo digital), 2015

http://www.ey.com/Publication/vwLUAssets/EY-creating-trust-in-the-digital-world/$FILE/

EY-creating-trust-in-the-digital-world.pdf (se accedió el 24 de agosto de 2016).

■ KPMG, “Global profiles of the fraudster: Technology enables and weak controls fuel

the fraud” (Perfiles globales del estafador: la tecnología permite y los controles

débiles alimentan el fraude), mayo de 2016, https://home.kpmg.com/xx/en/home/

insights/2016/05/global-profiles-of-the-fraudster.html (se accedió el 24 de agosto

de 2016).

■ New Vantage Partners LLC, “Big Data Executive Survey 2016” (Encuesta de

ejecutivos de macrodatos de 2016), 2016, http://newvantage.com/wp-content/

uploads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL.pdf (se accedió el

24 de agosto de 2016).

■ PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of

Cybercrime Survey” (Seguridad cibernética en EE. UU.: progreso estancado, hallazgos

clave de la encuesta del estado de los delitos cibernéticos de 2015 de EE. UU.), julio

de 2015, http://www.pwc.com/us/cybercrime (se accedió el 24 de agosto de 2016).

■ Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019” (Se

proyecta que los costes de los delitos cibernéticos alcanzarán los USD 2 billones

en 2019), http://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-

projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0

globaliia.org


30

■ El IIA, “Percepciones y perspectivas globales: auditoría interna como asesor

cibernético de confianza”, 2016, www.theiia.org/gpi (se accedió el 29 de

septiembre de 2016).

■ Guía de Auditoría de Tecnología Global (GTAG) del IIA, “Assessing Cybersecurity Risk:

Roles of the Three Lines of Defense” (Evaluar el riesgo de la seguridad cibernética:

los roles de las tres líneas de defensa), 2016, www.globaliia.org/standards-guidance

(se accedió el 29 de septiembre de 2016)

Asesor de confianza ■ Chambers, Richard. 14 de junio de 2016. “Forensic Examination May Explain Why

You Aren’t a Trusted Advisor” (Examen forense podría explicar por qué no es un

asesor de confianza). https://iaonline.theiia.org/blogs/chambers/2016/Pages/Forensic-

Examination-May-Explain-Why-You-Arent-a-Trusted-Advisor.aspx (se accedió el 24 de

agosto de 2016).

General ■ Deloitte, “Evolution or irrelevance? Internal Audit at a crossroads” (¿Evolución o

irrelevancia? Auditoría interna en una encrucijada), 2016, http://www2.deloitte.com/

global/en/pages/audit/solutions/global-chief-audit-executive-survey.htm l (se accedió el

24 de agosto de 2016).

■ Protiviti, “Arriving at Internal Audit’s Tipping Point Amid Business Transformation”

(Llegar al punto de inflexión de auditoría interna en medio de una transformación de

los negocios), 2016, http://www.protiviti.com/en-US/Pages/IA-Capabilities-and-Needs-

Survey.aspx (se accedió el 25 de agosto de 2016).

■ PwC, “2016 State of Internal Audit Profession Study, Leadership matters: Advancing

toward true north as stakeholders expect more” (Estudio sobre el estado de la

profesión de Auditoría Interna de 2016, Asuntos de liderazgo: avanzar hacia el

verdadero norte a medida que las partes interesadas esperan más), 2016, https://www.

pwc.com/ca/en/risk/publications/pwc-state-of-internal-audit-profession-study-2016-

03-en.pdf (se accedió el 24 de agosto de 2016).

■ James Rose, “The Top 7 Skills CAEs Want” (Las 7 habilidades principales que quieren

los DEA) (Altamonte Springs: The IIA Institute of Internal Auditors Research Foundation,

2016) pág. 2, http://theiia.mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.

■ Declaración de posición del IIA, “The Three Lines of Defense in Effective Risk

Management and Control” (Las tres líneas eficaces de defensa en gestión de

riesgos y control), 2013, www.theiia.org/position-papers (se accedió el 29 de

septiembre de 2016).

globaliia.org


31

9/2016-1036

globaliia.org

Documents

Edición 5 PERCEPCIONES Y PERSPECTIVAS GLOBALES€¦ · En busca de los pasos que se están tomando en pos de la excelencia, Global Pulse analizó el estado de la auditoría interna