GOBIERNO CORPORATIVO A TRAVÉS DE UNA LENTE DE AUDITORÍA INTERNA

Estándar

Sábado 31 de agosto de 2019

Cuando el sistema de punto de venta (POS) de un minorista importante fue pirateado durante la temporada navideña, exponiendo decenas de millones de credenciales de tarjetas de pago y registros de clientes, la gente se sorprendió al descubrir cómo los ciber piratas informáticos habían ingresado al sistema: a través del robo credenciales de un proveedor que había estado accediendo a la red del minorista a través de un portal de proveedores externo.

Esa violación de datos planteó una serie de problemas relacionados con la gobernanza, incluida la necesidad de una investigación exhaustiva de la cadena de suministro y controles de seguridad adecuados en torno al acceso remoto a las redes digitales. Una preocupación más básica estaba relacionada con la cultura de la empresa: el costo de los silos dentro de una organización.

Cuando el jefe de operaciones instaló un nuevo sistema de instalaciones en un par de tiendas minoristas, según informes de los medios, nadie hubiera esperado que él también hubiera sido un experto en ciberseguridad. Tampoco la mayoría de la gente hubiera esperado que el jefe de seguridad de la información supiera que las operaciones habían comprado el nuevo sistema, especialmente uno que podría programarse desde fuera de la red.

Le pregunté a Larry Harrington, ex director ejecutivo de auditoría de Raytheon Corp. y Aetna, sus opiniones sobre el tema: “El tipo de operaciones no estaba pensando en eso desde un punto de vista cibernético, y la gente cibernética no tenía idea de lo que la gente de operaciones estaba haciendo”. . Entonces, estos silos terminaron metiéndolos en problemas. La auditoría interna abarca a todas esas organizaciones, y uno de nuestros roles es la capacidad de unir a las personas “.

Es una razón clave por la cual el comité de auditoría de una junta debería desear una función de auditoría interna sólida y con buenos recursos. “Lo vemos todo”, dijo Harrington. “Cuando haces eso, creas mejores relaciones, mayores asociaciones y una mayor transparencia”.

Al preparar los planes de auditoría, los auditores internos generalmente hablarán con las personas en cada departamento de una empresa, obteniendo una comprensión profunda de los proyectos importantes en los que está trabajando cada departamento y los riesgos y oportunidades que pueden presentar.

La violación de datos en el minorista, así como en una gran cantidad de otras compañías en los últimos años, también subraya la necesidad de una evaluación continua de las habilidades de los directores para garantizar que la junta esté equipada para abordar los riesgos en evolución que pueden interrumpir fácilmente los negocios de una empresa. estrategia o dañar su reputación. Una nueva encuesta de más de 360 ​​directores realizada por el Centro EY para Asuntos de la Junta y el Miembro de la Junta Corporativa revela que menos de la mitad de los encuestados (48%) confía en que sus juntas cuentan con los recursos adecuados, incluida la educación de la junta y las herramientas internas y externas, para Hacer avanzar a sus empresas en la era actual de la disrupción digital.

Durante sus últimos 10 años en Raytheon, el equipo de Harrington pasaría un poco de tiempo de cada auditoría, sin importar la unidad de negocios, tratando de entender la cultura en esa organización, dijo. Durante un período de tiempo, su equipo pudo determinar cuán bien se comunicaba la visión en la parte superior de la empresa y qué tan bien los comentarios retrocedían a la alta gerencia.

“Podríamos comenzar a ver, negocio por negocio o función por función, tenemos el tipo de líderes que defendieron lo que la compañía realmente creía y quería que sucediera”, dijo.

La auditoría interna tiene ideas valiosas para ofrecer a la junta cuando se trata de cómo se aplican los aspectos de la cultura de la empresa al considerar los riesgos y las oportunidades. Consultar con una auditoría interna durante el período de diligencia debida sobre una adquisición pendiente, por ejemplo, puede terminar ahorrando a una empresa mucho tiempo, dinero y esfuerzo al evitar un desajuste cultural, dice otro ex director ejecutivo de auditoría, Doug Anderson.

Anderson recordó que, al principio del período de diligencia debida para una adquisición que una empresa estaba considerando, él y otros líderes empresariales visitaron la sede de la empresa objetivo para reunirse con el equipo de liderazgo ejecutivo.

“Mi trabajo consistía en husmear y observar la gobernanza”, dijo. “Básicamente, me di cuenta de que había algo aquí que sería un problema a medida que avanzamos. Nadie más estaba pensando de esa manera. Todos estaban pensando en los pasivos y el crecimiento del producto “.

Anderson dijo que su enfoque como auditor interno estaba en la historia de la junta. Miró los minutos de la junta y las notas al pie de página en otros documentos para obtener una imagen y una idea de cómo el escalón superior dirigía la empresa. ¿Cómo miran las cosas? ¿Cómo estructuran las cosas? ‘.

El acuerdo que la compañía estaba contemplando era menos una simple adquisición que una combinación intrincada de los negocios de dos compañías. “Dije que tendremos que insertarnos. Tendremos que cambiar algunas cosas porque no manejan su negocio de la forma en que estamos acostumbrados a hacerlo y eso solo causará frustración y dificultades en el futuro ”, recordó Anderson.

“Ese es el tipo de cosas que puedes hacer como auditor interno. Puedes mirar las estructuras [de negocios]. Puedes ver la cultura de lo que está sucediendo ”, dijo.

Lucha contra el fraude y la corrupción.

Un aspecto central del gobierno corporativo es tener un programa para prevenir o combatir la corrupción y el fraude. Esto suele ser un desafío mayor cuando una empresa tiene operaciones en regiones geográficas remotas donde las costumbres culturales locales pueden nublar el compromiso de los empleados con un código de conducta ética. Algunas compañías han sido investigadas después de que sus empleados en partes lejanas del mundo recurrieran a medios menos que legales para obtener permisos del gobierno para operaciones comerciales, después de que les dijeran que es una forma normal de hacer negocios en ese país.

Lauren Cunningham, directora de investigación en el Centro de Gobierno Corporativo Neel de la Universidad de Tennessee en Knoxville, explica: “En algunas situaciones, las juntas piden al grupo de auditoría interna que realice encuestas culturales para comprender mejor cómo la cultura difiere entre ubicaciones geográficas, o las juntas están pidiendo a la auditoría interna que entre y haga pruebas de campo. Este no es el tipo de prueba que puede hacer en dos días. Realmente tienes que detenerte y conocer a la gente y entender realmente la cultura que está sucediendo a tu alrededor ”.

Cunningham y Terry Neal, director del Centro de Gobierno Corporativo Neel, han estado entrevistando a los directores ejecutivos de auditoría sobre cómo las empresas evalúan sus programas de gobierno corporativo, como parte de una asociación con el Instituto de Auditores Internos (IIA) para evaluar la salud del gobierno corporativo entre empresas que cotizan en bolsa en los Estados Unidos.

“UNA DE LAS COSAS QUE EL CAE DEBERÍA DECIRLE AL PRESIDENTE DEL COMITÉ DE AUDITORÍA ES QUÉ NO ESTÁ HACIENDO LA AUDITORÍA INTERNA, O QUÉ SE POSPONE HASTA MÁS TARDE PORQUE CARECE DE LOS RECURSOS”

La información obtenida de los directores ejecutivos de auditoría (CAE) es crucial, porque la auditoría interna generalmente está en una mejor posición para garantizar un buen gobierno cuando se invita al director ejecutivo de auditoría a participar en el proceso de planificación estratégica de una empresa, dijo Harrington.

“Al escuchar las estrategias que se están armando, se aprende cuáles son las fortalezas y debilidades de la compañía, cuáles son sus oportunidades y amenazas”, me dijo. “Comienzas a pensar mientras escuchas: ‘¿Dónde podría agregar valor como auditor?’ También puede agregar información y previsión a la estrategia “.

Una cosa que puede ayudar a la auditoría interna a ganar un asiento en la mesa es el sentido de responsabilidad de informar no solo las cosas negativas al comité de auditoría de la junta, sino también las áreas dentro de la empresa que están demostrando liderazgo e innovación. El director ejecutivo de auditoría puede crear valor agregado al recomendar al directorio cómo aprovechar las fortalezas de las prósperas unidades de negocios en otras áreas de la compañía que no funcionan tan bien, dijo Harrington.

Agregar ese valor exige recursos adecuados. Pero no existe una regla simple para asignar recursos a la auditoría interna. En cambio, los recursos deben basarse en el tipo y nivel de riesgo que enfrenta el negocio y en una determinación de las capacidades de la auditoría interna para abordar esos riesgos.

Las juntas generalmente no tienen suficiente información para hacer su trabajo correctamente, y generalmente obtienen la mayoría, si no toda, su información del equipo ejecutivo. Eso significa que la información será solo desde la perspectiva de la alta gerencia.

“Se necesita a alguien que pueda ver la información de manera objetiva y determinar si la información correcta va a la pizarra”, dijo Anderson. “¿Y es la información completa? ¿Se ocupa de todos los aspectos de ese tema? ¿Y hay cosas que no estás mirando?

Sin embargo, en la encuesta Pulso de Auditoría Interna de IIA de 2019, el 57 por ciento de los directores ejecutivos de auditoría informaron que rara vez o nunca discuten con la junta o la administración la precisión, integridad, oportunidad, veracidad y transparencia de la información que se envía a la junta.

Una de las cosas que el CAE debería decirle al presidente del comité de auditoría es qué no está haciendo la auditoría interna, o qué se pospone hasta más tarde porque carece de los recursos. Anderson dijo que eso abre una ‘discusión rica’ con el comité de auditoría sobre en qué debe centrarse la auditoría interna, dados los recursos que tiene disponibles.

Anderson me dijo que, cuando solía presentar su plan anual y dar actualizaciones trimestrales al comité de auditoría, “hablaba sobre cómo están cambiando los riesgos y cómo estaba cambiando mi plan de auditoría”. En las discusiones más sólidas al comienzo del año, presentaría durante cinco a siete minutos y dejaría el resto del tiempo asignado para la discusión. Comenzaría la conversación preguntando a los miembros del comité si creían que había identificado los riesgos adecuados, o si había algunos a los que no estaba prestando suficiente atención.

La clave para una gobernanza sólida es el acceso del director ejecutivo de auditoría al presidente del comité de auditoría. “Un CAE dijo que, si no tuvieran ese nivel de acceso, probablemente no querrían ese trabajo”, dijo Neal.

Los auditores internos también ven la independencia de la junta y la forma en que los miembros de la junta son seleccionados como aspectos esenciales del gobierno de una empresa. La investigación académica encuentra que los comités de nominaciones aún dependen del CEO u otros miembros de la junta para identificar un grupo inicial de candidatos para un puesto de junta abierta, mientras que menos del 20 por ciento usa una empresa de búsqueda, dijo Cunningham. “Eso es revelador”, dijo. “No creo que haya mucho alcance para crear continuamente esos grupos iniciales. Creo que se basa más en las redes personales y profesionales de la alta gerencia y de la junta ”.

Un estudio de investigación que examinó la selección de los miembros de la junta encontró que los entrevistados priorizan la “química y la comodidad” con otros miembros de la junta y el CEO como los objetivos clave al reclutar directores, dijo Cunningham.

“Mientras leía eso, pensé para mí mismo, ‘¿cómo alguien se pone de pie para desafiar al CEO y a la alta gerencia?’ Si a todos les preocupa ser amables y tener química, no sé cómo van a tener una conversación difícil ”.

Anderson está de acuerdo en que la alta gerencia tiene demasiada influencia en la selección de directores, pero cree que deberían poder ofrecer sugerencias. Una forma más efectiva de reclutar nuevos miembros es contratar una empresa de búsqueda profesional de buena reputación que estudie e informe sobre la dinámica entre los miembros actuales de la junta y sugiera candidatos según quién conocen y quién está disponible en el mercado.

Uno de los hallazgos de Cunningham y Neal de su investigación como parte de la asociación con The IIA es que, a pesar del acceso de los CAE a diversas partes de la compañía y el conocimiento de los negocios y el gobierno, “no se les suele aprovechar para entrar realmente y hacer evaluaciones rigurosas en torno a los aspectos completos de la gobernanza “, dijo Cunningham.

Sus entrevistas con los CAE sugieren que la razón puede ser que no es una prioridad para la asignación de recursos a la función de auditoría interna. Eso parece ser confirmado por la encuesta Pulse de IIA de 2019, que encontró una asignación muy baja de tiempo en el plan de auditoría a la gobernanza y la cultura (3,8% en promedio), en comparación con prioridades de tiempo más altas, como la información financiera (14,5%) , cumplimiento / normativo (15,5 por ciento) y operativo (16,4 por ciento).

Los CAE creen que tienen más que ofrecer para evaluar la calidad de los programas de gobierno de toda la empresa. Cunningham dijo que cree que podrían ayudar a la junta a decidir si la junta en sí, la alta gerencia y la cultura de la compañía son efectivas. Pero eso requeriría la aceptación de la alta dirección y la junta, lo que significaría que ambos tendrían que estar abiertos a las críticas. Cuando una junta y un equipo directivo superior realmente quieren saber cómo pueden mejorar, ella dijo: “Creo que los CAE pueden ayudar”.

Sobre el Autor:

Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA, es presidente y CEO del Instituto de Auditores Internos (IIA), la asociación profesional global y el organismo que establece los estándares para los auditores internos. Chambers tiene más de cuatro décadas de experiencia en auditoría interna y gestión de asociaciones, principalmente en puestos de liderazgo. Antes de tomar el timón de The IIA en 2009, fue líder de práctica nacional en Servicios de Asesoría de Auditoría Interna en PricewaterhouseCoopers; inspector general de la Autoridad del Valle de Tennessee; inspector general adjunto del Servicio Postal de los Estados Unidos; y director de la Organización Mundial de Revisión Interna del Ejército de EE. UU. en el Pentágono.

Actualmente es miembro del Comité de Organizaciones Patrocinadoras de la Junta Directiva de la Comisión Treadway (COSO); el Consejo Internacional de Informes Integrados (IIRC); y la Junta Directiva del IIA, así como el Consejo Asesor de la Escuela de Contabilidad de la Universidad Estatal de Georgia y el Consejo Asesor Profesional de la Escuela de Contabilidad Culverhouse de la Universidad de Alabama. Los miembros también han servido en el Consejo de Integridad y Eficiencia del Presidente de los Estados Unidos. Accounting Today clasifica a Chambers como una de las 100 personas más influyentes que conforman la profesión contable, y la Asociación Nacional de Directores Corporativos (NACD) lo reconoce como uno de los líderes más influyentes en el gobierno corporativo. Chambers es un autor galardonado que escribe La velocidad del riesgo: lecciones aprendidas en la pista de auditoría, 2ª edición (2019), Asesores de confianza: atributos clave de auditores internos sobresalientes (2017); y Lecciones aprendidas en el Audit Trail(2014), que actualmente está disponible en cinco idiomas.