LOS TITULARES DE 2017 REFLEJAN GRANDES DESAFÍOS, OPORTUNIDADES PARA AUDITORES INTERNOS
Estándar
18 de diciembre de 2017
El final del año calendario es habitualmente un tiempo para reflexionar sobre los logros personales y profesionales. También me ofrece la oportunidad de mirar hacia atrás en los eventos del año que tuvieron implicaciones directas para la profesión de auditoría interna.
Cuando revisé los eventos clave en 2017, recordé una verdad fundamental que todos los auditores internos deberían tomarse en serio: la gestión eficaz de riesgos, los controles internos y el gobierno corporativo son actividades llenas de obstáculos continuos. Desde escándalos impulsados por la cultura hasta continuos y descarados ataques cibernéticos, hasta disturbios geopolíticos y socioeconómicos, este año brindó vívidos ejemplos de cuán efímeros pueden ser la administración, el control y la gobernanza exitosos del riesgo.
La ciberseguridad se mantuvo elusiva
La mala noticia es que el delito cibernético continuó prosperando en 2017. La peor noticia es que los mayores hackeos se pudieron evitar fácilmente pero aún sucedieron.
Incluso en una era en la que las brechas de datos de gran tamaño se han convertido en rutina, la divulgación de Equifax en septiembre de que la información personal de 143 millones de sus clientes se vio comprometida fue impresionante. En un único y masivo hack, los nombres, números de Seguridad Social y otros datos personales de más del 40 por ciento de la población de los Estados Unidos quedaron expuestos.
El ataque aprovechó una debilidad conocida en el software de la red de Equifax para el cual había un parche disponible para protegerse contra los piratas informáticos. Pero el parche, según los informes, no se había aplicado. De manera similar, un simple esquema de phishing a principios de año estuvo detrás del exitoso ataque Wanna Cry ransomware que paralizó las computadoras en 150 países.
IMPLICACIONES: Estos ejemplos muestran que la auditoría interna debe permanecer vigilante para identificar las deficiencias en los controles de ciberseguridad y debe buscar y mantener relaciones positivas y de apoyo con los administradores de riesgos cibernéticos, incluidas las OSC, los CISO y los CRO.
Desregulación, cambios en la aplicación Impacto en las prioridades de auditoría interna
Si bien las consecuencias del terremoto que se pronosticaron como resultado del voto Brexit de 2016 y las elecciones presidenciales de EE. UU. No se han materializado, se está produciendo una revolución silenciosa en las estrategias regulatorias y de cumplimiento que impactan los riesgos en los Estados Unidos.
La lista incluye retrasos en la implementación de algunas reglas anticipadas (por ejemplo, la regla fiduciaria del Departamento de Trabajo de los Estados Unidos sobre asesores financieros se retrasa 18 meses, hasta julio de 2019); reversiones de política (p. ej., neutralidad de la red); y cambios de liderazgo y directorio que pueden alterar las filosofías de aplicación en la Comisión de Bolsa y Valores de los EE. UU., la Junta de Supervisión Contable de la Empresa Pública, la Agencia de Protección Ambiental y la Oficina de Protección Financiera del Consumidor.
IMPLICATONS: Independientemente de la inclinación política de uno, es importante reconocer que tales cambios, tanto de alto perfil como sutiles, tienen un impacto sobre los riesgos y pueden requerir un replanteamiento / repriorización de las prioridades de auditoría interna.
Reconocimiento de ingresos: el tiempo se está ejecutando corto
Un nuevo estándar de reconocimiento de ingresos publicado por el Consejo de Normas de Contabilidad Financiera en 2014 fue aclamado como un paso significativo hacia la mejora de los informes financieros. La fecha límite para que las empresas que cotizan en bolsa cumplan con el nuevo estándar entró y salió la semana pasada (15 de diciembre).
La intención de la norma es permitir que los usuarios de los informes financieros “comprendan la naturaleza, cantidad, oportunidad e incertidumbre de los ingresos y los flujos de efectivo derivados de los contratos con los clientes”. Si bien el objetivo es loable, el desafío para cumplir con el nuevo estándar es determinar la cantidad de detalles que se deben proporcionar.
Una de las disposiciones de la norma es proporcionar “un nivel de detalle necesario para satisfacer el objetivo de divulgación y cuánto énfasis poner en cada uno de los diversos requisitos”. También advierte contra el ocultamiento de información útil mediante la inclusión de “una gran cantidad de detalles insignificantes o la agregación de elementos que tienen características sustancialmente diferentes”.
IMPLICACIONES: Las organizaciones que aún no han invertido recursos para cumplir con el estándar podrían tener dificultades, lo que podría presentar un desafío significativo para la auditoría interna para proporcionar seguridad en el cumplimiento.
Paradise Papers y otras sorpresas de alto perfil destacan el riesgo de lo desconocido
Por segundo año consecutivo, los datos privados sobre los paraísos fiscales se filtraron a los medios. En 2017, los llamados Paradise Papers expusieron estrategias impositivas para grandes firmas como Nike, Apple y Avianca. Los 13,4 millones de documentos electrónicos confidenciales relacionados con las inversiones en el extranjero se filtraron a dos periodistas alemanes, que luego los compartieron con el Consorcio Internacional de Periodistas de Investigación.
En todo el mundo, otras amenazas inesperadas pusieron de relieve la rapidez con que los riesgos pueden surgir y explotar.
- Las advertencias sobre las redes sociales no son nada nuevo, y la mayoría de las organizaciones tienen al menos una comprensión rudimentaria del valor y el peligro asociados. Pero incluso las organizaciones sofisticadas pueden ser fácilmente tragadas por el agujero negro del verso de los medios. United Airlines ofreció un doloroso ejemplo de esto en 2017. La aerolínea sufrió un gran golpe reputacional cuando un video de un pasajero siendo sacado por la fuerza de uno de sus aviones se volvió viral. Su pobre respuesta inicial solo agravó una mala situación.
- El minorista Hobby Lobby fue atrapado en un escándalo por los artefactos obtenidos ilegalmente para el Museo de la Biblia. Los fundadores del museo se vieron obligados a devolver miles de artefactos que fueron sacados clandestinamente de Iraq a través de los Emiratos Árabes Unidos. Hobby Lobby, uno de los principales contribuyentes al museo, omitió confirmar dónde se habían almacenado los artefactos y pagó un acuerdo de $ 3 millones al Departamento de Justicia de EE. UU.
- Una investigación interna sobre las operaciones en una planta de cemento Lafarge Syria descubrió que la compañía pagó $ 5,6 millones entre julio de 2012 y septiembre de 2014 para garantizar la seguridad del personal local y el movimiento irrestricto de los camiones Lafarge en la nación devastada por la guerra. Algunos de esos pagos parecen haber ido al Estado Islámico. Un comentarista describió a la compañía como un cajero involuntario para ISIS. ¡Ay!
IMPLICACIONES: Idealmente, la auditoría interna debería estar posicionado para proporcionar seguridad en todas las áreas, pero los límites en recursos y experiencia lo convierten en un desafío en la mayoría de las organizaciones. Aún así, debemos estar preparados para intervenir de manera proactiva en tiempos de crisis y estar atentos a los riesgos inesperados que pueden surgir cuando las organizaciones se desvían de las funciones habituales o toman medidas extraordinarias para alcanzar los objetivos.
Estándares actualizados, herramientas Preparar auditoría interna para el futuro
No todos los titulares de 2017 fueron negativos. De hecho, los profesionales de auditoría interna recibieron estándares actualizados y herramientas que los posicionan mejor para satisfacer las crecientes demandas de las partes interesadas.
El 1 de enero entraron en vigencia las nuevas Normas Internacionales IIA para la Práctica Profesional de la Auditoría Interna , que incorporan componentes importantes al Marco Internacional de Prácticas Profesionales (IPPF), incluida una nueva lista de Principios Básicos. Los Principios Básicos ayudan a la auditoría interna a demostrar cómo se alinea con los objetivos de la organización, particularmente el principio de que la auditoría interna sea perspicaz, proactiva y se centre en el futuro.
Centrarse en el futuro también fue lo que impulsó la actualización del Marco integrado de gestión de riesgos empresariales de COSO , publicado en septiembre. El marco actualizado responde a la evolución de la gestión del riesgo empresarial, proporcionando orientación para satisfacer las demandas de un entorno empresarial cada vez más dinámico que incluye cambios en los mercados económicos, tecnologías en evolución y cambios demográficos.
IMPLICACIONES: La historia muestra que la auditoría interna ha sido experta en pivotar sobre los cambiantes paisajes de riesgo y las crecientes demandas de las partes interesadas. Ahora tiene dos nuevos instrumentos para ayudarlo a cumplir su tarea cada vez más compleja. Vale la pena mencionar aquí la importancia de cumplir con los Estándares . La belleza y el valor de IPPF es su capacidad para dar uniformidad y consistencia a la forma en que se practica la profesión en todo el mundo. Sin embargo, su capacidad para hacer esto depende de que los profesionales acepten y se ajusten estrictamente a los Estándares .
BONUS: Uber: un año para olvidar
Brutal es la única palabra para describir 2017 para el niño mimado del mundo de los negocios advenedizos. Comenzó en febrero con denuncias de quejas de acoso sexual y discriminación no abordadas en la empresa con sede en San Francisco. Las malas noticias continuaron con el posterior despido de 20 empleados en una investigación relacionada. En mayo, Uber acordó pagar $ 20 millones en salarios atrasados para resolver una demanda de la Comisión Federal de Comercio de EE. UU. En junio, el fundador de Ubre, Travis Kalanick, renunció como CEO. En septiembre, a Uber se le prohibió operar en Londres. Luego, en octubre, Bloomberg News informó que la compañía enfrenta no menos de cinco investigaciones criminales por parte del Departamento de Justicia de los Estados Unidos.
IMPLICACIONES: La descripción del informe Bloomberg de que la cultura de Uber tiene “una tendencia a ignorar las reglas” resume la causa raíz de los problemas de gobierno de la compañía. Tal cultura de rueda libre en cualquier organización lleva la tolerancia al riesgo a un alto nivel, haciendo que el buen gobierno y la mitigación de riesgos sean mucho más complejos y desalentadores.
Este año en revisión refleja la variedad de riesgos y la velocidad a la que surgieron y afectó a organizaciones grandes y pequeñas. Debería servir como un recordatorio de que las organizaciones deben estar listas para adoptar las herramientas y los recursos a su disposición, prepararse para lo inesperado y abordar audazmente los riesgos que pueden identificar y gestionar. También fue otro año en el que aprendimos la valiosa lección de tratar de anticipar lo inesperado.
No hay comentarios.:
Publicar un comentario