La función de auditoría debe estar preparada para enfrentar nuevos y complejos riesgos, señala informe
Un reciente informe producido por la firma Ernst & Young apunta a la imperiosa necesidad de las funciones de auditoría interna de las organizaciones de adaptarse a los nuevos escenarios que presentan una realidad tecnológica y una economía en constante evolución. El documento resalta cómo la función de auditoría puede y debe mantenerse actualizada frente al cambiante escenario de riesgo.
La tecnología y la economía mundial están cambiando a gran velocidad y las distintas organizaciones necesitan adaptarse en forma clara, precisa y eficiente a los distintos escenarios que la realidad y obligaciones les van imponiendo, destaca el informe Step up to the challenge, Helping Internal Audit keep pace with a volatile risk landscape (Encarar el desafío, ayudar a Auditoría Interna a seguir el ritmo a un volátil escenario de riesgo). Por ejemplo, algunas entidades deben lidiar con mayores niveles de riesgo debido a sus expansiones en nuevos mercados, otras deben intentar mitigar los peligros que presentan nuevos productos y clientes. También es cierto que las obligaciones legales y regulatorias crecen.
Esta velocidad y volatilidad acarrean un profundo impacto para la función de auditoría interna y por lo tanto las oficinas de auditoría deben poder sopesar las prioridades y los recursos para ayudar a las organizaciones a enfrentar los riesgos actuales y poder anticipar inminentes riesgos. El desafío es grande pero también lo es la recompensa, y la función de auditoría interna que sepa adaptarse adecuadamente a los cambiantes escenarios y nuevos peligros se convertirá en un sólido pilar de cualquier organización que esté posicionada para crecer, señala el informe.
La función de auditoría interna no debe perder de vista a las actividades básicas y esenciales, pero debe también asumir un rol más activo en el asesoramiento y debe estar capacitada para poder ver más allá de los “datos” y “hechos” de la realidad para poder anticiparse al advenimiento de los nuevos peligros que aparecerán en el futuro.
Las organizaciones están pidiendo por una función de auditoría que tome un papel más activo en el diseño de controles en áreas tales como el desarrollo de sistemas, productos y transacciones estratégicas. Por lo tanto las políticas de evaluación de riesgo flexibles y dinámicas, que en algún momento eran solo un ideal ahora se han vuelto necesarios.
La evaluación de riesgo debe realizarse en toda la entidad, debe incluir la participación de la gerencia y un lazo directo con el programa de administración de riesgo de toda la organización. Destaca el informe que el plan de auditoría debe actualizarse todos los trimestres y cuando suceden eventos importantes como una fusión, lanzamiento de nuevo producto, batallas legales, etc.
La evaluación de riesgos debe ser integral, tomar una posición que identifique cambios internos y externos a lo largo de toda la organización, no solo en áreas específicas sin ninguna relación entre ellas, debe prestar atención a detalles tales como nuevos acuerdos con terceros, nuevos requisitos por parte de los reguladores y nuevas tecnologías, que pueden afectar a los procesos clave.
Como parte de un enfoque integral, la organización también debe revisar sus procesos y controles en torno a los medios sociales, la informática móvil, el cloud computing, la seguridad cibernética, riesgos de terceros, anticorrupción, entre otros.
El documento señala que la función de auditoría interna necesita adoptar un enfoque integral y necesita identificar y apuntar a los riesgos que son importante. Las siete áreas que se analizan en el documento porque tienen estrechos vínculos con procesos clave que pueden tener un impacto muy negativo en la organización si no son controladas adecuadamente son:
–Redes sociales
–Computación móvil
–Cloud computing (computación en la nube)
–Ciberseguridad
–Gestión de riesgo de terceros
–Anticorrupción
–Proceso de gestión de continuidad de operaciones
Haga clic aquí para ver el informe completo (en inglés)
[/private]