Post on 10-Jan-2020
Perspectiva de la Auditoria Interna 2019
Áreas de enfoque de alto impacto
La encuesta de Deloitte Global Audit Executive de 2018 encontró que los grupos de Auditoría Interna que tienen el mayor impacto e influencia en sus organizaciones también tienden a ser los más innovadores. No contentos con hacer las mismas cosas de la misma manera, aprenden cómo brindar seguridad, asesoramiento y riesgo de anticipación que las partes interesadas necesitan, cuando lo necesitan, y utilizan los nuevos métodos y tecnologías que necesitan para hacerlo. Si lo piensa, esta es la única forma en que la Auditoría Interna cumple su misión y sigue siendo relevante a medida que la organización evoluciona.
Por lo tanto, hemos tomado la innovación como el tema de nuestra edición
de 2019 de Internal Audit Insights: áreas de enfoque de alto impacto. Tenga en cuenta estas áreas y los pasos sugeridos a medida que planea sus
actividades de auditoría interna para este año. Y tenga en cuenta que los
grupos de Auditoría Interna en todo el mundo en todas las industrias ya están utilizando estas formas de aumentar su impacto e influencia organizacional, y el valor que entregan a sus partes interesadas.
1 The innovation imperative: Forging Internal Audit’s path to greater impact and influence—
Deloitte’s 2018 Global Chief Audit Executive survey report, Deloitte, 2018 <https://www2.deloitte.
com/content/dam/Deloitte/global/Documents/Risk/gx-ra-cae-survey-2018.pdf>
Internal Audit Insights 2019 | High-impact areas of focus
Tabla de contenido
Auditoría interna ágil
Aseguramiento integrado
Evaluando la cultura
GDPR aseguramiento y asesoramiento
Auditoria interna cibernética
Fuerza de trabajo del futuro
Evaluación continua de riesgos
Automatización de aseguramiento
Aplicando automatización de procesos de robótica e inteligencia cognitiva
Auditar los riesgos de las tecnologías disruptivas
ÁRMESE DE
VALOR
3
Internal Audit Insights 2019 | High-impact areas of focus
Auditoria interna ágil
Los grupos innovadores de Auditoría Interna han estado adoptando activamente métodos
ágiles, con beneficios que se pueden resumir en tres palabras: mejor, más rápido, más feliz.
Mejor porque los resultados de la auditoría están más vinculados a los riesgos comerciales y
son relevantes para las necesidades de los interesados. Más rápido porque los auditores
internos trabajan con las partes interesadas de manera colaborativa, enfocada e iterativa
para identificar rápidamente lo que necesitan y no necesitan hacer. Más felices porque están
trabajando en equipo con autonomía para determinar cómo realizar el trabajo y se les
permite concentrarse en la tarea en cuestión. Agile dirige a los equipos a áreas de mayor
riesgo y trabajo de mayor valor, y ayuda a la función a atraer, desarrollar y retener talento.
Los auditores internos usan más de sus capacidades y se sienten más comprometidos,
porque lo están. Como resultado, los equipos de auditoría interna que experimentan agile
casi nunca quieren volver a los métodos tradicionales. Sin embargo, la adaptación de los
métodos ágiles al trabajo de Auditoría Interna presenta obstáculos predecibles. Al ayudar a
los grupos de Auditoría Interna en sus viajes ágiles, hemos aprendido que los proyectos piloto
son relativamente fáciles, pero lograr la transformación es más difícil, pero claramente
alcanzable.
Pasos a considerar: Agil no requiere una tecnología especial, solo la voluntad de trabajar de una
manera diferente. Esto significa no solo aprender nuevas formas de trabajar juntos, sino
también desaprender lo que hemos estado practicando durante años. Esto no es solo un
cambio dentro de la auditoría interna; También debe traer a sus partes interesadas clave en el
viaje. Los pilotos cuidadosamente planificados son casi siempre exitosos, particularmente
cuando incluyen entrenadores ágiles experimentados. Luego, deberá considerar la
transformación, moviéndose lo suficientemente rápido para capitalizar el impulso, pero lo
suficientemente deliberadamente para que la organización absorba y mantenga el cambio. Las
áreas específicas de la gestión del cambio organizacional a considerar incluirán el espacio físico
para sus equipos (para crear áreas de trabajo más colaborativas), la medición del rendimiento y
las recompensas (para evaluar el rendimiento de los equipos y los individuos) y su estructura
organizativa objetivo (para definir nuevos roles versus títulos, y una estructura más plana).
2 Becoming agile: A guide to elevating internal audit’s performance and value –Part 1: Understanding agile internal audit,
Deloitte, 2017 <https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-advisory-agile-internal-
audit-planning-performance-value.pdf>
4
Internal Audit Insights 2019 | High-impact areas of focus
Aseguramiento integrado
Las respuestas de las organizaciones a los
eventos de riesgo y los mandatos
regulatorios a menudo han resultado en
actividades de aseguramiento que pueden
caracterizarse como estrechamente
enfocadas, redundantes, costosas,
intrusivas para el negocio y no
relacionadas con los impulsores del
valor y el desempeño. El
aseguramiento integrado apunta no solo a
racionalizar las actividades de
aseguramiento y lograr eficiencias;
también apunta a dirigir las actividades de
garantía hacia donde crearán el mayor
valor para la organización.3 Sin embargo,
las organizaciones a menudo tienen
dificultades para adoptar, o
incluso enmarcar
adecuadamente, la garantía
integrada. No se debe confundir con la
garantía combinada, que normalmente
acumula los informes existentes o se
atasca en ejercicios de mapeo inútiles en
última instancia.
La garantía integrada apunta a alinear las
actividades de garantía en torno a los
impulsores del valor en la organización y
crear visibilidad de los riesgos y la
efectividad de la gestión de riesgos, al
tiempo que aumenta la
eficiencia. A pesar de sus
muchos beneficios, la garantía
integrada a menudo enfrenta
barreras para la adopción. La principal
de ellas es la tendencia de una
organización a malinterpretarla,
sobreestimar su complejidad, subestimar
su valor o aferrarse a métodos existentes.
Sin embargo, cualquier grupo de Auditoría
Interna que busque aumentar su impacto
e influencia mientras disminuye la fatiga
de la garantía de las partes interesadas
debe considerar seriamente la garantía
integrada.
Pasos a considerar: la pregunta esencial
es: ¿Cada una de nuestras actividades de
aseguramiento se centra en lo que más
importa? Las respuestas revelarán hasta qué punto están vinculadas al valor
estratégico y los objetivos comerciales. Eso, a su vez, arrojará luz sobre si la
garantía está realmente apoyando la creación y preservación del valor. En la
medida en que no lo sea, esas actividades deben ser redirigidas o detenidas. La
siguiente pregunta es: ¿Cuál de las tres líneas de defensa está llevando a cabo
qué actividades de aseguramiento y qué tan bien? Esto revelará casos de
exceso de seguridad, fatiga de seguridad, ineficiencia y
falta de coordinación.
Luego, el trabajo avanza hacia el establecimiento de un nuevo principio de
organización para la seguridad: los impulsores del valor. Estos no son
necesariamente obvios y, cuando no se han definido claramente, es
natural que las actividades de aseguramiento se vuelvan ineficientes.
Pero bajo un conjunto de impulsores de valor definidos,
puede identificar los riesgos clave para valorar y desarrollar temas de riesgo que
le permitan organizar actividades de aseguramiento en las tres líneas y, en
última instancia, desarrollar informes de aseguramiento más
relevantes. En general, vemos cinco beneficios que respaldan el
aseguramiento integrado: mejor valor para la inversión en aseguramiento,
menor carga para la organización, resultados empresariales más confiables,
mejor cobertura de riesgos empresariales y mayor información sobre la
estrategia y las operaciones comerciales. Cualquiera de estos constituye una
razón válida para considerar avanzar hacia una garantía integrada.
3 Integrated risk assurance - Get a clearer understanding of the risks affecting business value, Deloitte, 2018
<https://www2.deloitte.com/content/dam/Deloitte/ca/Documents/risk/ca-integrated-risk-management-report-
aoda-pov-en.pdf>
5
Internal Audit Insights 2019 | High-impact areas of focus
Evaluando la cultura
La cultura apoya la estrategia empresarial y
debe ser entendida y administrada
activamente. Los riesgos para la cultura
ocurren cuando hay una desalineación entre
los valores de la organización y las acciones
de los líderes, el comportamiento de los
empleados o los sistemas de la organización.
La investigación global de Deloitte muestra
que el 86 por ciento de los ejecutivos califica
la cultura como muy importante o
importante y el 82 por ciento lo ve como una
ventaja competitiva potencial.4 Sin embargo,
solo el 12 por ciento de las organizaciones
creen que están creando la cultura correcta.
La cultura también se ha convertido en la
clave del éxito y el rendimiento, así como
una fuente de riesgos legales y de
reputación. La auditoría interna puede
ayudar a la administración y al consejo a
impulsar la cultura correcta, lo cual es
esencial en medio de la digitalización actual,
el intenso control de los medios y el control
regulatorio, y el aumento de las expectativas
de supervisión. Como la tercera línea de
defensa, la Auditoría Interna tiene un papel
tradicional de aseguramiento que
desempeñar en la evaluación del programa
de la administración para evaluar la cultura.
La auditoría interna también puede
desempeñar un papel muy importante en la
evaluación de la cultura que proporciona
información importante para las partes
interesadas y puede ser invaluable en la
planificación y el alcance de las actividades
de auditoría interna. La auditoría interna
también puede actuar como un socio
comercial valioso al brindar asesoramiento a
la administración con respecto a su marco
de riesgo cultural.
Pasos a considerar: muchas empresas
tienen algunos procesos para monitorear la
cultura, como el compromiso de los
empleados por parte de RR. HH., El monitoreo interno de amenazas por seguridad y
otras iniciativas de segunda línea. Pero también necesitan un programa general para
gestionar la cultura, basado en un marco práctico. El marco de Deloitte abarca el
compromiso, el comportamiento y las amenazas internas de los empleados, así
como los esfuerzos de la administración por crear una cultura
positiva y gestionar el riesgo de la cultura, y monitorear las señales del
mercado que reflejan la reputación. Auditorías internas
La función de asesoría puede ser crucial en ausencia de, o en el desarrollo de, un
programa formal para administrar y evaluar la cultura. La Auditoría Interna puede
proporcionar orientación sobre los pasos que la administración y la junta pueden
tomar para desarrollar un programa o elementos de uno, incluido establecer el tono
en la parte superior, enviar los mensajes culturales correctos y alinear los incentivos
con los valores. La auditoría interna también puede proporcionar servicios de
aseguramiento al integrar una evaluación de la cultura en todos los segmentos de
auditoría con el objetivo de evaluar si la cultura está permitiendo que el área alcance
los objetivos de la organización, así como los riesgos de una ruptura cultural local.
Muchos auditores consideran que la cultura es un concepto teórico,
ya que es subjetivo por su naturaleza. Sin embargo, los riesgos son reales y
pueden cuantificarse, y los esfuerzos para hacerlo funcionan
particularmente bien con el tiempo.
4 Auditing Culture: Assessing risk and providing internal audit assurance on the tangibles and intangibles of culture; IIA
presentation by Cary Oven, Partner, Deloitte US and Michael Schor, Partner, Deloitte US, May 15, 2018.
6
Internal Audit Insights 2019 | High-impact areas of focus
GDPR aseguramiento y asesoramiento
El Reglamento general de protección de datos
(GDPR) de la Unión Europea (UE) eleva el nivel
de privacidad de los datos para cualquier
organización de la UE que recopile o procese
datos de individuos o de organizaciones no
pertenecientes a la UE que hacen negocios en
la geografía. GDPR es una regulación basada en
el riesgo que no prescribe cómo proteger los
datos del cliente; más bien, establece
expectativas en términos de los datos, en
función de su sensibilidad y los riesgos
potenciales. En lugar de una respuesta
uniforme, el regulador busca enfoques
personalizados que protejan los tipos de datos
que la organización procesa, orientados a los
riesgos planteados a los datos. Por lo tanto, el
programa GDPR debe estar orientado a la
sensibilidad de los datos y al impacto potencial
de los riesgos en el individuo y la organización.
La organización determina cómo diseñar y
ejecutar el programa de cumplimiento GDPR, y
cómo evidenciar que lo ha hecho. La mayor
parte del trabajo de preparar a la organización
para cumplir con GDPR, que entró en
vigencia el 25 de mayo de 2018, se
debe a la función de privacidad de datos, que
trabaja con otras partes
interesadas para definir la mejor
manera de administrar el cumplimiento. Sin
embargo, los requisitos de GDPR hacen que
sea imposible construir y administrar el
cumplimiento solo en la función de privacidad
y luego responsabilizarlo. Auditoría interna
puede haber apoyado la iniciativa GDPR de la
organización al adoptar un enfoque basado en
el riesgo para abordar las solicitudes y los
requisitos y enfatizar los sistemas clave, así
como probar la seguridad y el asesoramiento
al desarrollar la evaluación de impacto de la
privacidad de los datos o los procesos de
transferencia de datos de
terceros. El reglamento involucra a
la empresa en la gestión del cumplimiento.
Pasos a considerar: La fecha de cumplimiento
ha pasado, sin embargo, el viaje de GDPR solo
ha comenzado. Similar a cualquier otro
sistema de cumplimiento, el programa de
cumplimiento GDPR es un proceso continuo,
no un estado final en sí mismo. Las auditorías
relacionadas con GDPR deben incorporarse en
los procesos anuales de evaluación de riesgos
y planificación de auditoría interna, según se
lleven a cabo.
Para otras actividades de aseguramiento de
cumplimiento normativo. La auditoría interna
tiene la responsabilidad de educarse en la privacidad por diseño y respuestas
obligatorias a los sujetos de datos de la regulación, o para aprovechar a un tercero
con la experiencia en el tema requerido para completar estas auditorías. La auditoría
interna debe realizar actividades para identificar las brechas en el programa,
recomendar mejoras y proporcionar actualizaciones a las partes interesadas clave.
Realizar pruebas para determinar hasta qué punto se ha logrado la privacidad
mediante el diseño, y sugerir formas de lograrla de manera más eficiente y
efectiva. Todas las áreas de la empresa deben ser responsables
de proteger los datos, gestionar los riesgos y demostrar que lo
están haciendo: oportunidades reales para brindar servicios de
asesoría. Además, si una empresa pretende cambiar su recopilación o manejo
de datos, debe considerarse GDPR. La auditoría interna puede ayudar a la
organización que mide las necesidades de datos, los riesgos y los procesos y
procedimientos requeridos para el cumplimiento, señalando que esto es tanto una
cuestión empresarial y cultural como una cuestión de tecnología y cumplimiento.
Además, las empresas y los auditores internos actualmente no se ven
afectados por GDPR debería considerarlo una llamada de atención, ya que
esperamos que otras jurisdicciones de todo el mundo consideren y adopten una
legislación similar.
7
Internal Audit Insights 2019 | High-impact areas of focus
Auditoria interna cibernética
A medida que aumenta la importancia
estratégica, los riesgos y las oportunidades del
ciberespacio, la Auditoría Interna debe adaptarse
para continuar brindando valor a la organización.
Esto implica un cambio de los enfoques de TI y
basados en el cumplimiento a un enfoque más
cibernético basado en el riesgo. Al hacer este
cambio, la mayoría de los grupos de
Auditoría Interna consideran que cubrir
todos los problemas cibernéticos es un desafío,
principalmente debido a la falta de recursos y la
profundidad de las habilidades.
A medida que crece la brecha entre las
necesidades de la organización y los recursos de
auditoría interna, la función puede sentirse
abrumada e insegura sobre cómo proceder. A
pesar de esto, la auditoría interna no puede
ignorar el riesgo cibernético debido a su
criticidad. También puede ser difícil comunicar
los riesgos cibernéticos en el idioma de la
audiencia: el comité de auditoría, la junta
directiva y los altos ejecutivos. Sin embargo, los
responsables de la toma de decisiones deben
comprender los riesgos comerciales y los
posibles impactos negativos del ciberespacio. La
responsabilidad de la seguridad cibernética
impregna todas las unidades de negocios y
funciones, lo que significa que la gobernanza
relacionada debe abarcar la organización y las
tres líneas de defensa deben estar involucradas,
y se deben aclarar sus funciones y
responsabilidades.
Pasos a considerar: comience con una evaluación
de gobierno de seguridad cibernética porque el
gobierno establece todo el marco y el tono para
el programa de seguridad cibernética y para
operacionalizar la seguridad cibernética. Luego,
profundice en áreas específicas de
interés para la organización, mientras
considera las herramientas y medidas que ya
existen para abordar riesgos específicos. Estas
áreas pueden incluir datos.
Protección, gestión de identidad y acceso,
seguridad en la nube y monitoreo de riesgos. Una
evaluación de riesgo cibernético puede
dirigirse a esos dominios
específicos. Además, evalúe la madurez del
programa de riesgo cibernético, los riesgos asociados con cada dominio y la relevancia de
la auditoría. Tenga en cuenta que, si bien las prioridades de la Auditoría
Interna pueden diferir de las del CIO o CISO, estos grupos deben trabajar juntos para
garantizar un enfoque holístico para abordar el riesgo cibernético. Desarrolle un plan de
auditoría para los próximos trimestres y años en función de la evaluación y clasificación de
riesgo de los dominios, y especifique el alcance de cada auditoría: para la protección de
datos, la gestión de identidad y acceso, etc. Evalúe el plan de auditoría y el alcance al
menos una vez al año para determinar la relevancia continua en medio de los problemas
emergentes. Cada grupo de auditoría interna debe tomar la decisión de "comprar,
construir o alquilar" con respecto a las capacidades.
Las organizaciones, como ISACA, pueden ser excelentes fuentes de Información,
formación y certificación.
Además, los acuerdos de subcontratación con expertos externos pueden permitir que la
auditoría interna evalúe las amenazas, prepare y ejecute planes de auditoría y adquiera
habilidades mediante la transferencia de conocimientos.
8
Internal Audit Insights 2019 | High-impact areas of focus
Fuerza de trabajo del futuro
Dos tendencias poderosas están configurando el futuro
del trabajo: la rápida adopción de tecnologías de
automatización y cognitivas, y el uso creciente de
modelos alternativos de personal. Estas
tendencias plantean preguntas sobre quién
está haciendo el trabajo (talento dentro o fuera del
balance) y dónde se realiza el trabajo (en el sitio o de
forma remota). Ambas tendencias presentan nuevos
riesgos para las organizaciones y nuevas oportunidades
para la auditoría interna. Por su parte, las funciones de
Auditoría Interna han abarcado modelos de fuente
alternativos durante años, como auditores invitados, co-
fuente, programas rotativos y, más recientemente,
crowdsourcing; de hecho, aproximadamente las tres
cuartas partes de los grupos de Auditoría Interna utilizan
algún tipo de modelo de fuente alternativa5. A medida
que la organización más grande cambia las formas en que
obtiene, compromete y compensa al talento y como los
usos históricos del talento se convierten en
oportunidades de automatización, la administración debe
establecer un modelo de gobierno apropiado orientado a
abordar los riesgos inherentes a estos modelos de talento
y tecnologías. Los días en que la mayoría de los
trabajadores eran de tiempo completo, los empleados en
el lugar han pasado.
Pasos a considerar: la auditoría interna debe comprender
y revisar cómo la organización se involucra con todas las
fuentes de talento, desde las perspectivas de políticas,
procedimientos y lugares de trabajo físicos. Prepárese
para alertar a la administración sobre los riesgos de que
los trabajadores móviles utilicen sus dispositivos o los de
la organización, así como los asuntos regulatorios e
impositivos, y proporcione seguridad y asesoramiento en
consecuencia.
Mantener una cultura sólida se vuelve más desafiante con
una fuerza laboral dispersa, por lo tanto, enfatice la
necesidad de definir y administrar la
cultura; por ejemplo, las evaluaciones de la cultura tal
vez deberían incluir empleados de medio tiempo y
contratistas independientes. Al desarrollar el plan de
auditoría interna y los programas de
auditoría específicos, tenga en cuenta las áreas
con mayor riesgo en una fuerza laboral ampliada.
Estas pueden incluir formas en las que la compañía
administra el desempeño de los
trabajadores fuera de balance, las exposiciones
a la propiedad intelectual y el cumplimiento de las
políticas y procedimientos de la compañía. Por último, la
Auditoría Interna debe actualizar periódicamente sus
propios métodos de automatización y modelos
alternativos de talento para mantener el ritmo del cambio
organizativo.
5 The innovation imperative: Forging Internal Audit’s path to greater impact and influence, Deloitte’s 2018 Global Chief Audit
Executive research survey, Deloitte, 2018 < https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Risk/ gx-ra-cae-
survey-2018.pdf>
9
Internal Audit Insights 2019 | High-impact areas of focus
Evaluación continua de riesgos
El proceso tradicional de planificación de
auditoría tiene un valor limitado para evaluar
los riesgos en el entorno perturbador de hoy. El
monitoreo, la evaluación y el seguimiento
continuos de los riesgos pueden ayudar a la
Auditoría Interna a dirigir sus
recursos hacia donde más se
necesitan, una desviación valiosa de los
planes de auditoría rotacional. Este enfoque
puede cambiar la dinámica con las partes
interesadas, lo que permite a la auditoría
interna anticipar de manera más efectiva los
riesgos y asesorar a la administración. Las
funciones principales se están moviendo hacia
el monitoreo de riesgos en tiempo real a través
de la detección de riesgos habilitada por la
tecnología, herramientas de análisis y
visualización. La evaluación continua de riesgos
puede aprovechar, pero no se limita a, el
monitoreo continuo de los controles. Puede
comenzar con el uso de mecanismos
automatizados en un sistema ERP para
garantizar que los controles sean
efectivos; sin embargo, la evaluación
continua de riesgos se extiende idealmente al
monitoreo y evaluación continuos de una
amplia gama de riesgos en toda la empresa,
desde factores externos e internos. Mientras
que la evaluación continua de riesgos por lo
general se encuentra en las funciones de
segunda línea, el resultado debe ser
considerado definitivamente por la
Auditoría Interna, que también puede
realizar su propia evaluación continua de
riesgos. Si bien la Auditoría Interna no debe
absorber las responsabilidades de
identificación de riesgos de la
administración, la función debe tener las
herramientas necesarias para formar una vista y
alertar a la organización de los riesgos
emergentes.
Pasos a considerar: Use el resultado de las
evaluaciones de riesgo de segunda línea para
desarrollar planes de auditoría más dinámicos y
trabaje con funciones de segunda línea sobre
qué se debe y cómo se debe monitorear y por
qué, así como sobre las formas de monitoreo y
cómo se utiliza el producto. Identifique las áreas
donde puede desarrollar o acceder a KPIs,
controles e indicadores de riesgo críticos para
una empresa o función. Use el resultado para
mantener conversaciones continuas con las partes interesadas. Recomiende la evaluación
de riesgos en curso en torno a variables como el compromiso de los empleados y la
confianza del cliente. Use la evaluación continua de riesgos para responder preguntas
relacionadas tanto con la garantía (¿la gerencia ha identificado y abordado
todos los riesgos?) Y el trabajo de asesoría (cómo podría ¿La gestión mejora el
enfoque de la organización respecto de la gestión de riesgos y la gobernanza?). Apuntar a
auditorías más frecuentes.
Áreas de mayor riesgo y volver a revisar el plan de auditoría anual al menos
trimestralmente, en función del cambiante panorama de riesgo y los resultados de
evaluación continua de riesgos. La auditoría interna puede utilizar la detección de riesgo o
la salida de la detección de segunda línea y los datos disponibles públicamente para
desarrollar una visión externa del riesgo. Por ejemplo, las revisiones de un minorista de los
datos de las redes sociales encontraron un sentimiento negativo, que en gran parte
apuntaba al proveedor de logística, lo que indica la necesidad de mejorar los controles y la
garantía de terceros. Dichos datos también pueden identificar los problemas de los
competidores. Todo esto posiciona a Auditoría Interna para asesorar a la empresa sobre
los riesgos que de otra manera ni siquiera serían conocidos.
10
Internal Audit Insights 2019 | High-impact areas of focus
Automatización de aseguramiento
Los principales grupos de auditoría interna tienen como objetivo automatizar el
aseguramiento del núcleo en la mayor medida posible. Esto se debe principalmente a
que la automatización lleva a niveles más altos de seguridad, ya que se pueden probar
poblaciones más grandes de transacciones y se pueden auditar los controles de forma
continua. La garantía automatizada también permite el movimiento de actividades
relacionadas con la garantía a la segunda línea (cumplimiento, seguridad informática,
gestión de riesgos y funciones similares) o a la primera línea, donde se deben
administrar los riesgos y donde las personas pueden actuar en función de los resultados.
Luego, Auditoría interna ajustaría sus procedimientos para proporcionar la seguridad
independiente necesaria en estas áreas. Existe un beneficio secundario de automatizar
las actividades de aseguramiento: la reasignación de recursos limitados y los posibles
ahorros de costos. Muchas de las principales organizaciones de auditoría interna están
cambiando el enfoque de principalmente el trabajo de aseguramiento a brindar más
asesoramiento
y servicios anticipatorios a sus organizaciones. La automatización de las funciones de
garantía del núcleo puede liberar tiempo y capacidad para soportar este cambio.
Pasos a considerar: Considere la posibilidad de crear equipos multifuncionales que
puedan usar estrategias predeterminadas para identificar oportunidades de
automatización en las líneas de defensa. Las ganancias rápidas
por lo general, se encuentran en procesos de negocios centrales (tanto para controles
SOX como para controles operativos), como cuentas por pagar, viajes y entretenimiento,
nómina y contabilidad general, y en TI. La automatización de estas actividades de "baja
fruta" puede generar confianza calve para interesados que son instrumentales en el
despliegue más amplio de soluciones automatizadas. Como las actividades clave de
aseguramiento están automatizadas, se debe establecer una infraestructura para
asegurar que estas funciones estén operando como se espera.
Un componente clave de esta infraestructura es un modelo operativo que aborda el
monitoreo, la escalada y la solución de problemas. La gerencia debe implementar un
gobierno sólido sobre estas actividades, incluida la prueba de soluciones automatizadas
e instituir controles de gestión de cambios efectivos.
11
Internal Audit Insights 2019 | High-impact areas of focus
Aplicando automatización de procesos robóticos e inteligencia cognitiva
Habiendo establecido ya programas analíticos
que abarcan la ciencia de datos, la
visualización y el análisis predictivo, muchos
grupos de Auditoría Interna han comenzado a
avanzar hacia las herramientas de
automatización de procesos robóticos (RPA) e
inteligencia cognitiva (CI) (colectivamente RPA
y CI) para impulsar la eficiencia,
ampliar la capacidad, mejorar la
calidad y ampliar la cobertura de
auditoría. Si bien menos grupos han
aplicado el aprendizaje automático y la
inteligencia artificial (IA), todas
estas tecnologías disruptivas están
ganando aceptación a medida que los
innovadores y los adoptadores tempranos
continúan demostrando su valor a lo largo del
ciclo de vida de la auditoría interna. Por
ejemplo, algunos grupos de auditoría interna
han puesto a prueba la inteligencia artificial
para identificar amenazas para las
evaluaciones de riesgo, se utilizó la generación
de lenguaje natural para la redacción
automatizada de informes, o la automatización
apalancada para impulsar la eficiencia en
las pruebas SOX.6 Aquellos que
encuentran el mayor éxito adoptan un
enfoque sistemático que considera el modelo
operativo, la infraestructura y los casos de uso
a lo largo del ciclo de vida de la auditoría. y
luego desarrollar y lanzar proyectos piloto.
Este enfoque permite a la Auditoría Interna
planificar las fases de adopción y lograr una
mejor asignación de recursos, costos
reducidos, mayor calidad y valor mejorado.
Pasos a considerar: Primero, desarrolle
una visión y una estrategia bien
definidas para la automatización. Esto
comienza con la identificación de dónde y
cómo se pueden integrar las tecnologías de
automatización en las actividades de Auditoría
Interna y las razones para hacerlo.
Esta visión y estrategia pueden abarcar una
sola aplicación o una transformación completa.
Las áreas probables para automatizar incluyen
pasos de prueba dentro de una sola auditoría o
proceso, un proceso de extracción de datos
para suministrar información estandarizada
para su uso dentro de múltiples procesos o
auditorías, o actividades operativas como el seguimiento de horas, informes de la
junta directiva o la gestión de certificaciones y créditos CPE.
Cualquiera que sea el objetivo, una estrategia debe ser articulada y comunicada por
adelantado. Segundo, construya una infraestructura para soportar el despliegue de
capacidades de automatización. Esto facilitará la implementación
efectiva, el mantenimiento continuo y la mitigación de riesgos.
Asegúrese de que el marco operativo y de gobierno se alinee con los estándares
empresariales y las prácticas líderes dentro de la organización. Algunos componentes
clave de la infraestructura incluyen un gobierno mejorado, procesos de gestión de
cambios, pruebas y monitoreo continuos, manejo de excepciones y capacitación
adecuada. Tercero, desarrollar un modelo operativo de estado objetivo para soportar y
mantener la automatización. Este modelo debe ser una extensión natural del modelo
operativo existente, pero también debe considerar las formas en que la
automatización afectará la interacción de las personas, los procesos y la
tecnología y exigirá cambios en cada uno de esos componentes.
6 Adopting automation in internal audit: Using robotic process automation and cognitive intelligence to fortify the third line
of defense, Deloitte, 2018 <https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/adopting-robotic-
process-automation-in-internal-audit.pdf>
12
Internal Audit Insights 2019 | High-impact areas of focus
Auditar los riesgos de las tecnologías disruptivas
Impulsadas por la necesidad de crear valor e impulsar
eficiencias, las organizaciones continúan su
rápida adopción de tecnologías disruptivas, como la
automatización de procesos robóticos y la inteligencia cognitiva.
Si bien la adopción, tanto en el negocio como en la auditoría
interna, se está extendiendo más rápidamente en los
servicios financieros, 7 organizaciones innovadoras en
todas las industrias están usando estas tecnologías, o al menos
las están considerando. Sin embargo, ni la organización ni la
auditoría interna están siempre preparadas para los nuevos
riesgos, que pueden pasarse por alto o mal interpretarse cuando
el entusiasmo impulsa una rápida adopción. La auditoría interna
debe comprender los riesgos de estas tecnologías en la
organización, asesorar a la administración sobre esos riesgos y
garantizar que se están abordando de manera adecuada. Por
ejemplo, mientras que (aplicaciones de tecnología automatizada
impulsadas por algoritmos basados en reglas) pueden realizar
tareas repetitivas a velocidades mucho más rápidas que los
humanos, también pueden multiplicar los errores a tasas mucho
más rápidas. Además, a medida que las máquinas "aprenden" un
proceso, también pueden aprender a discriminar contra ciertas
clases o grupos étnicos de personas, por ejemplo, en procesos de
aprobación de préstamos o de servicio al cliente, generando
efectos inesperados, consecuencias imprevistas
y riesgos inusuales.
Pasos a considerar: la Auditoría Interna debe equilibrar su
aseguramiento, asesoramiento y anticipación de
responsabilidades en esta área. Al proporcionar seguridad,
involucrarse temprano ya que la organización adopta tecnologías
disruptivas y la segunda línea de defensa moderniza su enfoque
de los controles de prueba. Esto ayudará a la auditoría interna a
proporcionar una seguridad que no es duplicada. Las
consideraciones prácticas para que Auditoría interna añada una
garantía valiosa incluyen tener acceso a los procedimientos de
prueba y revisar de forma independiente los casos de prueba de
muestreo, los resultados generados y los problemas registrados.
Además, revise el proceso de supervisión y manejo de
excepciones y ofrezca garantías sobre el diseño y la
efectividad operativa de las aplicaciones de las
tecnologías. Alentar a las partes interesadas a realizar
una recertificación anual del diseño e implementación
de tecnologías de automatización. Al asesorar a la gerencia y
otras partes interesadas, participe en la pre-implementación y
proporcione información sobre los riesgos y la capacidad de la
organización para abordarlos y sobre las prácticas líderes para
impulsar el rendimiento y el valor. Como asesor, la auditoría
interna también debe incluir la documentación y el proceso de
evaluación de riesgos, y considerar la adopción del marco de
auditoría interna ágil. La auditoría interna debe centrarse en
anticipar los riesgos asociados con estas tecnologías mediante el
uso de herramientas de análisis de datos y detección de riesgos
para identificar proactivamente los riesgos emergentes y
ejecutando simulaciones de crisis para revelar posibles fallas en
la capacidad de respuesta de la organización.
7 Auditing the risks of disruptive technologies: Keep the tempo, A forward look at Internal Audit in banking and securities, Deloitte,
2017 https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Risk/gx-risk-digitization-banking.pdf
13
Internal Audit Insights 2019 | High-impact areas of focus
Ármese de valor En este punto, los principales
impedimentos para que la auditoría
interna progrese más rápidamente a
través de la innovación son las
limitaciones que surgen de la mentalidad
heredada. Los jefes ejecutivos de
auditoría, otros líderes de auditoría
interna, la alta gerencia y los comités de
auditoría deben trabajar para cambiar la
mentalidad de sus funciones y
organizaciones y, a menudo, dentro de
ellos mismos. La naturaleza evolutiva del
trabajo de Auditoría Interna se presta a
nuevos métodos habilitados por las
nuevas tecnologías y nuevas formas de
trabajar con las partes interesadas. Sin
embargo, demasiados grupos y líderes de
auditoría interna están inmersos en roles
y relaciones tradicionales. Eso puede
crear resistencia a nuevos términos,
herramientas y enfoques. Se necesita
compromiso y coraje para perseguir la
innovación. Ese compromiso
debe originarse con los líderes de
Auditoría Interna, quienes luego
deben desarrollar el coraje para
iniciar cambios innovadores,
dentro de ellos mismos y dentro
de sus grupos de Auditoría
Interna.
Deloitte se refiere a una o más de las firmas miembro de Deloitte Touche Tohmatsu Limited (“DTTL”), una compañía privada del Reino Unido limitada por
garantía ("DTTL"), su red de firmas miembro, y a sus entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente
separadas e independientes. DTTL (también denominada “Deloitte Global”) no presta servicios a clientes. Una descripción detallada de la estructura
legal de Deloitte Touche Tohmatsu Limited y de sus firmas miembro puede verse en el sitio web www.deloitte.com/about
Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos, legal, y servicios relacionados a
organizaciones públicas y privadas de diversas industrias. Deloitte presta sus servicios a cuatro de cada cinco de las empresas listadas en el ranking
Fortune Global 500®, a través de una red global de firmas miembro en más de 150 países, brindando sus capacidades de clase mundial y servicios de
alta calidad a clientes, suministrando el conocimiento necesario para que los mismos puedan hacer frente a sus más complejos retos de negocios. Para
conocer más acerca de cómo los más de 225.000 profesionales generan un impacto que trasciende, conéctese con nosotros a través de Facebook,
LinkedIn o Twitter.
Esta comunicación contiene únicamente información general, ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o sus entidades relacionadas
(colectivamente, la "Red Deloitte") están, por medio de la presente comunicación, prestando asesoría o servicios profesionales. Previo a la toma de
cualquier decisión o ejecución de acciones que puedan afectar sus finanzas o negocios, usted deberá consultar un asesor profesional cualificado.
Ninguna entidad de la Red Deloitte se hace responsable por pérdidas que pueda sufrir cualquier persona que tome como base el contenido de esta
comunicación.
©2019 Deloitte Touche Tohmatsu Limited.