Por Alejandro Javier Rosa, socio de PwC Argentina de la práctica de Gobierno Corporativo

En el entorno actual que cambia rápidamente, los riesgos que enfrentan las organizaciones siguen siendo muy variables. En la sala de Directorio, sentirse seguro de que se cuenta con la supervisión, las capacidades y los controles adecuados para mitigar los riesgos puede parecer a veces un desafío, dada la visión limitada que tienen los directores de las operaciones diarias de la empresa. Es entonces cuando el aprovechamiento de la auditoría interna (AI) puede ayudar a los Directorios en su función de supervisión de la gestión de los ejecutivos principales.

A continuación, hemos compilado una lista de áreas en las que la auditoría interna está expandiendo su trabajo. A medida que los Directorios miran hacia 2021, estas son áreas que deberían discutir con auditoría interna, para maximizar el uso de su trabajo.

Supervisión de la Cultura organizacional: La creciente presión social y regulatoria sobre las organizaciones para que “hagan lo correcto” en medio de una creciente presión financiera, está impulsando a las empresas a tomar muchas medidas, incluido el examen de las políticas y prácticas de diversidad, igualdad e inclusión. En ese sentido, Auditoría Interna puede realizar lo siguiente: 

  • Revisión de los procesos de generación de información utilizada por la gerencia y el directorio para monitorear la cultura organizacional.
  • Revisión de las líneas de denuncia y de las políticas de gestión de las mismas, incluyendo el modo en el que se reciben los reportes, cómo se les da seguimiento y se resuelven las denuncias recibidas

Cybersecurity y privacidad de datos personales: Como respuesta al COVID-19, las organizaciones pasaron rápidamente a una fuerza de trabajo remota, a menudo sin la infraestructura y los procesos de TI adecuados. Esto creó vulnerabilidades potenciales a ataques cibernéticos y violaciones de la privacidad de los datos en un momento en que la demanda de un mayor control sobre los datos personales y el impacto de las leyes y regulaciones de privacidad están creciendo. Sobre este punto, Auditoría Interna puede dirigir su atención a:

  • Efectuar una revisión del cumplimiento de las políticas y programas de capacitación de ciberseguridad, y realizar benchmarks con las mejores prácticas del mercado.
  • Revisar el plan de respuesta ante crisis de ciberseguridad, incluyendo el entendimiento de qué tan seguido es testeado ese plan y cómo son remediadas las brechas identificadas.
  • Revisión de los procesos seguidos por la organización para crear, capturar, asegurar y mantener información. Efectuar una evaluación del modo en que la empresa está cumpliendo con la normativa específica de protección de datos personales.

Respuesta al COVID-19: La pandemia de COVID-19 aumentó en gran medida el enfoque en los protocolos de limpieza, seguridad y regreso al lugar de trabajo de las empresas. Las empresas se han visto obligadas a crear políticas a partir de pautas desagregadas de regreso al trabajo y, al hacerlo, cumplir con las regulaciones de salud y seguridad que varían significativamente de país a país. El Directorio debería sugerir a auditoría interna la inclusión de los siguientes temas en su plan de revisiones anual:

 

  • Revisiones de las áreas que se han transformado en críticas como consecuencia de la respuesta al COVID-19, tales como los programas de salud y seguridad laboral, las modificaciones temporarios en el control interno como consecuencia del trabajo remoto, los procesos de cadena de suministros y otros elementos clave del plan de respuesta a la crisis provocada por la pandemia.

Administración de riesgo con terceros: La mayor dependencia de terceros para gestionar los procesos críticos, la necesidad de proveedores diversos y localizados para garantizar la continuidad del negocio, la presión para reducir los costos y el mayor escrutinio de los clientes y los reguladores aumentan el riesgo inherente a la gestión de terceros y proveedores. Como respuesta a este tema, las funciones de auditoría interna deberían:

  • Revisar el proceso de administración de riesgos de terceras partes.
  • Efectuar controles a lo largo del ciclo de vida de terceros (negociaciones de contratos, debida diligencia, monitoreo continuo, etc..)

Tecnologías emergentes: Como respuesta a la pandemia de COVID-19 muchas empresas aceleraron su ritmo de transformación digital relacionada con la fuerza laboral, incluida la adopción de tecnología ágil, que aumenta el riesgo para el entorno de control, las personas, el talento y la cultura. Ante este escenario, auditoría interna debería:

  • Revisar los procesos de negocios y controles relacionados que sean rediseñados con la implementación de nuevas tecnologías.

Resilencia y continuidad de las operaciones: Los eventos imprevistos como los desastres naturales, las epidemias y la inestabilidad geopolítica van en aumento.

Mientras tanto, la fuerte competencia no permite a las empresas aceptar ninguna disrupción de sus operaciones, ni períodos de inactividad. En ese marco, los esfuerzos de auditoría interna deberían orientarse a:

  • Revisar la suficiencia y diseño de los planes de continuidad del negocio.
  • Evaluar los planes de respuesta a las crisis post-evento

Cada vez más, los Directorios se apoyan en la auditoría interna para obtener seguridad y conocimiento de los riesgos mucho más allá del alcance tradicional de las auditorías operativas y los controles financieros. Los planes de auditoría interna deben estar vinculados al enfoque estratégico de la empresa y “atacar” los mismos riesgos que estén plasmados en el plan estratégico. La auditoría interna puede desempeñar un papel de valor agregado al brindar garantía sobre las capacidades y controles en las áreas de riesgo más críticas, así como información sobre si las actividades de mitigación de riesgos están operando de manera consistente en toda la organización.