Áreas de enfoque de alto impacto - Deloitte US · de 2019 de Internal Audit Insights: áreas de...

Perspectiva de la Auditoria Interna 2019

Áreas de enfoque de alto impacto

La encuesta de Deloitte Global Audit Executive de 2018 encontró que los grupos de Auditoría Interna que tienen el mayor impacto e influencia en sus organizaciones también tienden a ser los más innovadores. No contentos con hacer las mismas cosas de la misma manera, aprenden cómo brindar seguridad, asesoramiento y riesgo de anticipación que las partes interesadas necesitan, cuando lo necesitan, y utilizan los nuevos métodos y tecnologías que necesitan para hacerlo. Si lo piensa, esta es la única forma en que la Auditoría Interna cumple su misión y sigue siendo relevante a medida que la organización evoluciona.

Por lo tanto, hemos tomado la innovación como el tema de nuestra edición

de 2019 de Internal Audit Insights: áreas de enfoque de alto impacto. Tenga en cuenta estas áreas y los pasos sugeridos a medida que planea sus

actividades de auditoría interna para este año. Y tenga en cuenta que los

grupos de Auditoría Interna en todo el mundo en todas las industrias ya están utilizando estas formas de aumentar su impacto e influencia organizacional, y el valor que entregan a sus partes interesadas.

1 The innovation imperative: Forging Internal Audit’s path to greater impact and influence—

Deloitte’s 2018 Global Chief Audit Executive survey report, Deloitte, 2018 <https://www2.deloitte.

com/content/dam/Deloitte/global/Documents/Risk/gx-ra-cae-survey-2018.pdf>

Internal Audit Insights 2019 | High-impact areas of focus

Tabla de contenido

Auditoría interna ágil

Aseguramiento integrado

Evaluando la cultura

GDPR aseguramiento y asesoramiento

Auditoria interna cibernética

Fuerza de trabajo del futuro

Evaluación continua de riesgos

Automatización de aseguramiento

Aplicando automatización de procesos de robótica e inteligencia cognitiva

Auditar los riesgos de las tecnologías disruptivas

ÁRMESE DE

VALOR

3


Auditoria interna ágil

Los grupos innovadores de Auditoría Interna han estado adoptando activamente métodos

ágiles, con beneficios que se pueden resumir en tres palabras: mejor, más rápido, más feliz.

Mejor porque los resultados de la auditoría están más vinculados a los riesgos comerciales y

son relevantes para las necesidades de los interesados. Más rápido porque los auditores

internos trabajan con las partes interesadas de manera colaborativa, enfocada e iterativa

para identificar rápidamente lo que necesitan y no necesitan hacer. Más felices porque están

trabajando en equipo con autonomía para determinar cómo realizar el trabajo y se les

permite concentrarse en la tarea en cuestión. Agile dirige a los equipos a áreas de mayor

riesgo y trabajo de mayor valor, y ayuda a la función a atraer, desarrollar y retener talento.

Los auditores internos usan más de sus capacidades y se sienten más comprometidos,

porque lo están. Como resultado, los equipos de auditoría interna que experimentan agile

casi nunca quieren volver a los métodos tradicionales. Sin embargo, la adaptación de los

métodos ágiles al trabajo de Auditoría Interna presenta obstáculos predecibles. Al ayudar a

los grupos de Auditoría Interna en sus viajes ágiles, hemos aprendido que los proyectos piloto

son relativamente fáciles, pero lograr la transformación es más difícil, pero claramente

alcanzable.

Pasos a considerar: Agil no requiere una tecnología especial, solo la voluntad de trabajar de una

manera diferente. Esto significa no solo aprender nuevas formas de trabajar juntos, sino

también desaprender lo que hemos estado practicando durante años. Esto no es solo un

cambio dentro de la auditoría interna; También debe traer a sus partes interesadas clave en el

viaje. Los pilotos cuidadosamente planificados son casi siempre exitosos, particularmente

cuando incluyen entrenadores ágiles experimentados. Luego, deberá considerar la

transformación, moviéndose lo suficientemente rápido para capitalizar el impulso, pero lo

suficientemente deliberadamente para que la organización absorba y mantenga el cambio. Las

áreas específicas de la gestión del cambio organizacional a considerar incluirán el espacio físico

para sus equipos (para crear áreas de trabajo más colaborativas), la medición del rendimiento y

las recompensas (para evaluar el rendimiento de los equipos y los individuos) y su estructura

organizativa objetivo (para definir nuevos roles versus títulos, y una estructura más plana).

2 Becoming agile: A guide to elevating internal audit’s performance and value –Part 1: Understanding agile internal audit,

Deloitte, 2017 <https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-advisory-agile-internal-

audit-planning-performance-value.pdf>

4


Aseguramiento integrado

Las respuestas de las organizaciones a los

eventos de riesgo y los mandatos

regulatorios a menudo han resultado en

actividades de aseguramiento que pueden

caracterizarse como estrechamente

enfocadas, redundantes, costosas,

intrusivas para el negocio y no

relacionadas con los impulsores del

valor y el desempeño. El

aseguramiento integrado apunta no solo a

racionalizar las actividades de

aseguramiento y lograr eficiencias;

también apunta a dirigir las actividades de

garantía hacia donde crearán el mayor

valor para la organización.3 Sin embargo,

las organizaciones a menudo tienen

dificultades para adoptar, o

incluso enmarcar

adecuadamente, la garantía

integrada. No se debe confundir con la

garantía combinada, que normalmente

acumula los informes existentes o se

atasca en ejercicios de mapeo inútiles en

última instancia.

La garantía integrada apunta a alinear las

actividades de garantía en torno a los

impulsores del valor en la organización y

crear visibilidad de los riesgos y la

efectividad de la gestión de riesgos, al

tiempo que aumenta la

eficiencia. A pesar de sus

muchos beneficios, la garantía

integrada a menudo enfrenta

barreras para la adopción. La principal

de ellas es la tendencia de una

organización a malinterpretarla,

sobreestimar su complejidad, subestimar

su valor o aferrarse a métodos existentes.

Sin embargo, cualquier grupo de Auditoría

Interna que busque aumentar su impacto

e influencia mientras disminuye la fatiga

de la garantía de las partes interesadas

debe considerar seriamente la garantía

integrada.

Pasos a considerar: la pregunta esencial

es: ¿Cada una de nuestras actividades de

aseguramiento se centra en lo que más

importa? Las respuestas revelarán hasta qué punto están vinculadas al valor

estratégico y los objetivos comerciales. Eso, a su vez, arrojará luz sobre si la

garantía está realmente apoyando la creación y preservación del valor. En la

medida en que no lo sea, esas actividades deben ser redirigidas o detenidas. La

siguiente pregunta es: ¿Cuál de las tres líneas de defensa está llevando a cabo

qué actividades de aseguramiento y qué tan bien? Esto revelará casos de

exceso de seguridad, fatiga de seguridad, ineficiencia y

falta de coordinación.

Luego, el trabajo avanza hacia el establecimiento de un nuevo principio de

organización para la seguridad: los impulsores del valor. Estos no son

necesariamente obvios y, cuando no se han definido claramente, es

natural que las actividades de aseguramiento se vuelvan ineficientes.

Pero bajo un conjunto de impulsores de valor definidos,

puede identificar los riesgos clave para valorar y desarrollar temas de riesgo que

le permitan organizar actividades de aseguramiento en las tres líneas y, en

última instancia, desarrollar informes de aseguramiento más

relevantes. En general, vemos cinco beneficios que respaldan el

aseguramiento integrado: mejor valor para la inversión en aseguramiento,

menor carga para la organización, resultados empresariales más confiables,

mejor cobertura de riesgos empresariales y mayor información sobre la

estrategia y las operaciones comerciales. Cualquiera de estos constituye una

razón válida para considerar avanzar hacia una garantía integrada.

3 Integrated risk assurance - Get a clearer understanding of the risks affecting business value, Deloitte, 2018

<https://www2.deloitte.com/content/dam/Deloitte/ca/Documents/risk/ca-integrated-risk-management-report-

aoda-pov-en.pdf>

5


Evaluando la cultura

La cultura apoya la estrategia empresarial y

debe ser entendida y administrada

activamente. Los riesgos para la cultura

ocurren cuando hay una desalineación entre

los valores de la organización y las acciones

de los líderes, el comportamiento de los

empleados o los sistemas de la organización.

La investigación global de Deloitte muestra

que el 86 por ciento de los ejecutivos califica

la cultura como muy importante o

importante y el 82 por ciento lo ve como una

ventaja competitiva potencial.4 Sin embargo,

solo el 12 por ciento de las organizaciones

creen que están creando la cultura correcta.

La cultura también se ha convertido en la

clave del éxito y el rendimiento, así como

una fuente de riesgos legales y de

reputación. La auditoría interna puede

ayudar a la administración y al consejo a

impulsar la cultura correcta, lo cual es

esencial en medio de la digitalización actual,

el intenso control de los medios y el control

regulatorio, y el aumento de las expectativas

de supervisión. Como la tercera línea de

defensa, la Auditoría Interna tiene un papel

tradicional de aseguramiento que

desempeñar en la evaluación del programa

de la administración para evaluar la cultura.

La auditoría interna también puede

desempeñar un papel muy importante en la

evaluación de la cultura que proporciona

información importante para las partes

interesadas y puede ser invaluable en la

planificación y el alcance de las actividades

de auditoría interna. La auditoría interna

también puede actuar como un socio

comercial valioso al brindar asesoramiento a

la administración con respecto a su marco

de riesgo cultural.

Pasos a considerar: muchas empresas

tienen algunos procesos para monitorear la

cultura, como el compromiso de los

empleados por parte de RR. HH., El monitoreo interno de amenazas por seguridad y

otras iniciativas de segunda línea. Pero también necesitan un programa general para

gestionar la cultura, basado en un marco práctico. El marco de Deloitte abarca el

compromiso, el comportamiento y las amenazas internas de los empleados, así

como los esfuerzos de la administración por crear una cultura

positiva y gestionar el riesgo de la cultura, y monitorear las señales del

mercado que reflejan la reputación. Auditorías internas

La función de asesoría puede ser crucial en ausencia de, o en el desarrollo de, un

programa formal para administrar y evaluar la cultura. La Auditoría Interna puede

proporcionar orientación sobre los pasos que la administración y la junta pueden

tomar para desarrollar un programa o elementos de uno, incluido establecer el tono

en la parte superior, enviar los mensajes culturales correctos y alinear los incentivos

con los valores. La auditoría interna también puede proporcionar servicios de

aseguramiento al integrar una evaluación de la cultura en todos los segmentos de

auditoría con el objetivo de evaluar si la cultura está permitiendo que el área alcance

los objetivos de la organización, así como los riesgos de una ruptura cultural local.

Muchos auditores consideran que la cultura es un concepto teórico,

ya que es subjetivo por su naturaleza. Sin embargo, los riesgos son reales y

pueden cuantificarse, y los esfuerzos para hacerlo funcionan

particularmente bien con el tiempo.

4 Auditing Culture: Assessing risk and providing internal audit assurance on the tangibles and intangibles of culture; IIA

presentation by Cary Oven, Partner, Deloitte US and Michael Schor, Partner, Deloitte US, May 15, 2018.

6


GDPR aseguramiento y asesoramiento

El Reglamento general de protección de datos

(GDPR) de la Unión Europea (UE) eleva el nivel

de privacidad de los datos para cualquier

organización de la UE que recopile o procese

datos de individuos o de organizaciones no

pertenecientes a la UE que hacen negocios en

la geografía. GDPR es una regulación basada en

el riesgo que no prescribe cómo proteger los

datos del cliente; más bien, establece

expectativas en términos de los datos, en

función de su sensibilidad y los riesgos

potenciales. En lugar de una respuesta

uniforme, el regulador busca enfoques

personalizados que protejan los tipos de datos

que la organización procesa, orientados a los

riesgos planteados a los datos. Por lo tanto, el

programa GDPR debe estar orientado a la

sensibilidad de los datos y al impacto potencial

de los riesgos en el individuo y la organización.

La organización determina cómo diseñar y

ejecutar el programa de cumplimiento GDPR, y

cómo evidenciar que lo ha hecho. La mayor

parte del trabajo de preparar a la organización

para cumplir con GDPR, que entró en

vigencia el 25 de mayo de 2018, se

debe a la función de privacidad de datos, que

trabaja con otras partes

interesadas para definir la mejor

manera de administrar el cumplimiento. Sin

embargo, los requisitos de GDPR hacen que

sea imposible construir y administrar el

cumplimiento solo en la función de privacidad

y luego responsabilizarlo. Auditoría interna

puede haber apoyado la iniciativa GDPR de la

organización al adoptar un enfoque basado en

el riesgo para abordar las solicitudes y los

requisitos y enfatizar los sistemas clave, así

como probar la seguridad y el asesoramiento

al desarrollar la evaluación de impacto de la

privacidad de los datos o los procesos de

transferencia de datos de

terceros. El reglamento involucra a

la empresa en la gestión del cumplimiento.

Pasos a considerar: La fecha de cumplimiento

ha pasado, sin embargo, el viaje de GDPR solo

ha comenzado. Similar a cualquier otro

sistema de cumplimiento, el programa de

cumplimiento GDPR es un proceso continuo,

no un estado final en sí mismo. Las auditorías

relacionadas con GDPR deben incorporarse en

los procesos anuales de evaluación de riesgos

y planificación de auditoría interna, según se

lleven a cabo.

Para otras actividades de aseguramiento de

cumplimiento normativo. La auditoría interna

tiene la responsabilidad de educarse en la privacidad por diseño y respuestas

obligatorias a los sujetos de datos de la regulación, o para aprovechar a un tercero

con la experiencia en el tema requerido para completar estas auditorías. La auditoría

interna debe realizar actividades para identificar las brechas en el programa,

recomendar mejoras y proporcionar actualizaciones a las partes interesadas clave.

Realizar pruebas para determinar hasta qué punto se ha logrado la privacidad

mediante el diseño, y sugerir formas de lograrla de manera más eficiente y

efectiva. Todas las áreas de la empresa deben ser responsables

de proteger los datos, gestionar los riesgos y demostrar que lo

están haciendo: oportunidades reales para brindar servicios de

asesoría. Además, si una empresa pretende cambiar su recopilación o manejo

de datos, debe considerarse GDPR. La auditoría interna puede ayudar a la

organización que mide las necesidades de datos, los riesgos y los procesos y

procedimientos requeridos para el cumplimiento, señalando que esto es tanto una

cuestión empresarial y cultural como una cuestión de tecnología y cumplimiento.

Además, las empresas y los auditores internos actualmente no se ven

afectados por GDPR debería considerarlo una llamada de atención, ya que

esperamos que otras jurisdicciones de todo el mundo consideren y adopten una

legislación similar.

7


Auditoria interna cibernética

A medida que aumenta la importancia

estratégica, los riesgos y las oportunidades del

ciberespacio, la Auditoría Interna debe adaptarse

para continuar brindando valor a la organización.

Esto implica un cambio de los enfoques de TI y

basados en el cumplimiento a un enfoque más

cibernético basado en el riesgo. Al hacer este

cambio, la mayoría de los grupos de

Auditoría Interna consideran que cubrir

todos los problemas cibernéticos es un desafío,

principalmente debido a la falta de recursos y la

profundidad de las habilidades.

A medida que crece la brecha entre las

necesidades de la organización y los recursos de

auditoría interna, la función puede sentirse

abrumada e insegura sobre cómo proceder. A

pesar de esto, la auditoría interna no puede

ignorar el riesgo cibernético debido a su

criticidad. También puede ser difícil comunicar

los riesgos cibernéticos en el idioma de la

audiencia: el comité de auditoría, la junta

directiva y los altos ejecutivos. Sin embargo, los

responsables de la toma de decisiones deben

comprender los riesgos comerciales y los

posibles impactos negativos del ciberespacio. La

responsabilidad de la seguridad cibernética

impregna todas las unidades de negocios y

funciones, lo que significa que la gobernanza

relacionada debe abarcar la organización y las

tres líneas de defensa deben estar involucradas,

y se deben aclarar sus funciones y

responsabilidades.

Pasos a considerar: comience con una evaluación

de gobierno de seguridad cibernética porque el

gobierno establece todo el marco y el tono para

el programa de seguridad cibernética y para

operacionalizar la seguridad cibernética. Luego,

profundice en áreas específicas de

interés para la organización, mientras

considera las herramientas y medidas que ya

existen para abordar riesgos específicos. Estas

áreas pueden incluir datos.

Protección, gestión de identidad y acceso,

seguridad en la nube y monitoreo de riesgos. Una

evaluación de riesgo cibernético puede

dirigirse a esos dominios

específicos. Además, evalúe la madurez del

programa de riesgo cibernético, los riesgos asociados con cada dominio y la relevancia de

la auditoría. Tenga en cuenta que, si bien las prioridades de la Auditoría

Interna pueden diferir de las del CIO o CISO, estos grupos deben trabajar juntos para

garantizar un enfoque holístico para abordar el riesgo cibernético. Desarrolle un plan de

auditoría para los próximos trimestres y años en función de la evaluación y clasificación de

riesgo de los dominios, y especifique el alcance de cada auditoría: para la protección de

datos, la gestión de identidad y acceso, etc. Evalúe el plan de auditoría y el alcance al

menos una vez al año para determinar la relevancia continua en medio de los problemas

emergentes. Cada grupo de auditoría interna debe tomar la decisión de "comprar,

construir o alquilar" con respecto a las capacidades.

Las organizaciones, como ISACA, pueden ser excelentes fuentes de Información,

formación y certificación.

Además, los acuerdos de subcontratación con expertos externos pueden permitir que la

auditoría interna evalúe las amenazas, prepare y ejecute planes de auditoría y adquiera

habilidades mediante la transferencia de conocimientos.

8


Fuerza de trabajo del futuro

Dos tendencias poderosas están configurando el futuro

del trabajo: la rápida adopción de tecnologías de

automatización y cognitivas, y el uso creciente de

modelos alternativos de personal. Estas

tendencias plantean preguntas sobre quién

está haciendo el trabajo (talento dentro o fuera del

balance) y dónde se realiza el trabajo (en el sitio o de

forma remota). Ambas tendencias presentan nuevos

riesgos para las organizaciones y nuevas oportunidades

para la auditoría interna. Por su parte, las funciones de

Auditoría Interna han abarcado modelos de fuente

alternativos durante años, como auditores invitados, co-

fuente, programas rotativos y, más recientemente,

crowdsourcing; de hecho, aproximadamente las tres

cuartas partes de los grupos de Auditoría Interna utilizan

algún tipo de modelo de fuente alternativa5. A medida

que la organización más grande cambia las formas en que

obtiene, compromete y compensa al talento y como los

usos históricos del talento se convierten en

oportunidades de automatización, la administración debe

establecer un modelo de gobierno apropiado orientado a

abordar los riesgos inherentes a estos modelos de talento

y tecnologías. Los días en que la mayoría de los

trabajadores eran de tiempo completo, los empleados en

el lugar han pasado.

Pasos a considerar: la auditoría interna debe comprender

y revisar cómo la organización se involucra con todas las

fuentes de talento, desde las perspectivas de políticas,

procedimientos y lugares de trabajo físicos. Prepárese

para alertar a la administración sobre los riesgos de que

los trabajadores móviles utilicen sus dispositivos o los de

la organización, así como los asuntos regulatorios e

impositivos, y proporcione seguridad y asesoramiento en

consecuencia.

Mantener una cultura sólida se vuelve más desafiante con

una fuerza laboral dispersa, por lo tanto, enfatice la

necesidad de definir y administrar la

cultura; por ejemplo, las evaluaciones de la cultura tal

vez deberían incluir empleados de medio tiempo y

contratistas independientes. Al desarrollar el plan de

auditoría interna y los programas de

auditoría específicos, tenga en cuenta las áreas

con mayor riesgo en una fuerza laboral ampliada.

Estas pueden incluir formas en las que la compañía

administra el desempeño de los

trabajadores fuera de balance, las exposiciones

a la propiedad intelectual y el cumplimiento de las

políticas y procedimientos de la compañía. Por último, la

Auditoría Interna debe actualizar periódicamente sus

propios métodos de automatización y modelos

alternativos de talento para mantener el ritmo del cambio

organizativo.

5 The innovation imperative: Forging Internal Audit’s path to greater impact and influence, Deloitte’s 2018 Global Chief Audit

Executive research survey, Deloitte, 2018 < https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Risk/ gx-ra-cae-

survey-2018.pdf>

9


Evaluación continua de riesgos

El proceso tradicional de planificación de

auditoría tiene un valor limitado para evaluar

los riesgos en el entorno perturbador de hoy. El

monitoreo, la evaluación y el seguimiento

continuos de los riesgos pueden ayudar a la

Auditoría Interna a dirigir sus

recursos hacia donde más se

necesitan, una desviación valiosa de los

planes de auditoría rotacional. Este enfoque

puede cambiar la dinámica con las partes

interesadas, lo que permite a la auditoría

interna anticipar de manera más efectiva los

riesgos y asesorar a la administración. Las

funciones principales se están moviendo hacia

el monitoreo de riesgos en tiempo real a través

de la detección de riesgos habilitada por la

tecnología, herramientas de análisis y

visualización. La evaluación continua de riesgos

puede aprovechar, pero no se limita a, el

monitoreo continuo de los controles. Puede

comenzar con el uso de mecanismos

automatizados en un sistema ERP para

garantizar que los controles sean

efectivos; sin embargo, la evaluación

continua de riesgos se extiende idealmente al

monitoreo y evaluación continuos de una

amplia gama de riesgos en toda la empresa,

desde factores externos e internos. Mientras

que la evaluación continua de riesgos por lo

general se encuentra en las funciones de

segunda línea, el resultado debe ser

considerado definitivamente por la

Auditoría Interna, que también puede

realizar su propia evaluación continua de

riesgos. Si bien la Auditoría Interna no debe

absorber las responsabilidades de

identificación de riesgos de la

administración, la función debe tener las

herramientas necesarias para formar una vista y

alertar a la organización de los riesgos

emergentes.

Pasos a considerar: Use el resultado de las

evaluaciones de riesgo de segunda línea para

desarrollar planes de auditoría más dinámicos y

trabaje con funciones de segunda línea sobre

qué se debe y cómo se debe monitorear y por

qué, así como sobre las formas de monitoreo y

cómo se utiliza el producto. Identifique las áreas

donde puede desarrollar o acceder a KPIs,

controles e indicadores de riesgo críticos para

una empresa o función. Use el resultado para

mantener conversaciones continuas con las partes interesadas. Recomiende la evaluación

de riesgos en curso en torno a variables como el compromiso de los empleados y la

confianza del cliente. Use la evaluación continua de riesgos para responder preguntas

relacionadas tanto con la garantía (¿la gerencia ha identificado y abordado

todos los riesgos?) Y el trabajo de asesoría (cómo podría ¿La gestión mejora el

enfoque de la organización respecto de la gestión de riesgos y la gobernanza?). Apuntar a

auditorías más frecuentes.

Áreas de mayor riesgo y volver a revisar el plan de auditoría anual al menos

trimestralmente, en función del cambiante panorama de riesgo y los resultados de

evaluación continua de riesgos. La auditoría interna puede utilizar la detección de riesgo o

la salida de la detección de segunda línea y los datos disponibles públicamente para

desarrollar una visión externa del riesgo. Por ejemplo, las revisiones de un minorista de los

datos de las redes sociales encontraron un sentimiento negativo, que en gran parte

apuntaba al proveedor de logística, lo que indica la necesidad de mejorar los controles y la

garantía de terceros. Dichos datos también pueden identificar los problemas de los

competidores. Todo esto posiciona a Auditoría Interna para asesorar a la empresa sobre

los riesgos que de otra manera ni siquiera serían conocidos.

10


Automatización de aseguramiento

Los principales grupos de auditoría interna tienen como objetivo automatizar el

aseguramiento del núcleo en la mayor medida posible. Esto se debe principalmente a

que la automatización lleva a niveles más altos de seguridad, ya que se pueden probar

poblaciones más grandes de transacciones y se pueden auditar los controles de forma

continua. La garantía automatizada también permite el movimiento de actividades

relacionadas con la garantía a la segunda línea (cumplimiento, seguridad informática,

gestión de riesgos y funciones similares) o a la primera línea, donde se deben

administrar los riesgos y donde las personas pueden actuar en función de los resultados.

Luego, Auditoría interna ajustaría sus procedimientos para proporcionar la seguridad

independiente necesaria en estas áreas. Existe un beneficio secundario de automatizar

las actividades de aseguramiento: la reasignación de recursos limitados y los posibles

ahorros de costos. Muchas de las principales organizaciones de auditoría interna están

cambiando el enfoque de principalmente el trabajo de aseguramiento a brindar más

asesoramiento

y servicios anticipatorios a sus organizaciones. La automatización de las funciones de

garantía del núcleo puede liberar tiempo y capacidad para soportar este cambio.

Pasos a considerar: Considere la posibilidad de crear equipos multifuncionales que

puedan usar estrategias predeterminadas para identificar oportunidades de

automatización en las líneas de defensa. Las ganancias rápidas

por lo general, se encuentran en procesos de negocios centrales (tanto para controles

SOX como para controles operativos), como cuentas por pagar, viajes y entretenimiento,

nómina y contabilidad general, y en TI. La automatización de estas actividades de "baja

fruta" puede generar confianza calve para interesados que son instrumentales en el

despliegue más amplio de soluciones automatizadas. Como las actividades clave de

aseguramiento están automatizadas, se debe establecer una infraestructura para

asegurar que estas funciones estén operando como se espera.

Un componente clave de esta infraestructura es un modelo operativo que aborda el

monitoreo, la escalada y la solución de problemas. La gerencia debe implementar un

gobierno sólido sobre estas actividades, incluida la prueba de soluciones automatizadas

e instituir controles de gestión de cambios efectivos.

11


Aplicando automatización de procesos robóticos e inteligencia cognitiva

Habiendo establecido ya programas analíticos

que abarcan la ciencia de datos, la

visualización y el análisis predictivo, muchos

grupos de Auditoría Interna han comenzado a

avanzar hacia las herramientas de

automatización de procesos robóticos (RPA) e

inteligencia cognitiva (CI) (colectivamente RPA

y CI) para impulsar la eficiencia,

ampliar la capacidad, mejorar la

calidad y ampliar la cobertura de

auditoría. Si bien menos grupos han

aplicado el aprendizaje automático y la

inteligencia artificial (IA), todas

estas tecnologías disruptivas están

ganando aceptación a medida que los

innovadores y los adoptadores tempranos

continúan demostrando su valor a lo largo del

ciclo de vida de la auditoría interna. Por

ejemplo, algunos grupos de auditoría interna

han puesto a prueba la inteligencia artificial

para identificar amenazas para las

evaluaciones de riesgo, se utilizó la generación

de lenguaje natural para la redacción

automatizada de informes, o la automatización

apalancada para impulsar la eficiencia en

las pruebas SOX.6 Aquellos que

encuentran el mayor éxito adoptan un

enfoque sistemático que considera el modelo

operativo, la infraestructura y los casos de uso

a lo largo del ciclo de vida de la auditoría. y

luego desarrollar y lanzar proyectos piloto.

Este enfoque permite a la Auditoría Interna

planificar las fases de adopción y lograr una

mejor asignación de recursos, costos

reducidos, mayor calidad y valor mejorado.

Pasos a considerar: Primero, desarrolle

una visión y una estrategia bien

definidas para la automatización. Esto

comienza con la identificación de dónde y

cómo se pueden integrar las tecnologías de

automatización en las actividades de Auditoría

Interna y las razones para hacerlo.

Esta visión y estrategia pueden abarcar una

sola aplicación o una transformación completa.

Las áreas probables para automatizar incluyen

pasos de prueba dentro de una sola auditoría o

proceso, un proceso de extracción de datos

para suministrar información estandarizada

para su uso dentro de múltiples procesos o

auditorías, o actividades operativas como el seguimiento de horas, informes de la

junta directiva o la gestión de certificaciones y créditos CPE.

Cualquiera que sea el objetivo, una estrategia debe ser articulada y comunicada por

adelantado. Segundo, construya una infraestructura para soportar el despliegue de

capacidades de automatización. Esto facilitará la implementación

efectiva, el mantenimiento continuo y la mitigación de riesgos.

Asegúrese de que el marco operativo y de gobierno se alinee con los estándares

empresariales y las prácticas líderes dentro de la organización. Algunos componentes

clave de la infraestructura incluyen un gobierno mejorado, procesos de gestión de

cambios, pruebas y monitoreo continuos, manejo de excepciones y capacitación

adecuada. Tercero, desarrollar un modelo operativo de estado objetivo para soportar y

mantener la automatización. Este modelo debe ser una extensión natural del modelo

operativo existente, pero también debe considerar las formas en que la

automatización afectará la interacción de las personas, los procesos y la

tecnología y exigirá cambios en cada uno de esos componentes.

6 Adopting automation in internal audit: Using robotic process automation and cognitive intelligence to fortify the third line

of defense, Deloitte, 2018 <https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/adopting-robotic-

process-automation-in-internal-audit.pdf>

12


Auditar los riesgos de las tecnologías disruptivas

Impulsadas por la necesidad de crear valor e impulsar

eficiencias, las organizaciones continúan su

rápida adopción de tecnologías disruptivas, como la

automatización de procesos robóticos y la inteligencia cognitiva.

Si bien la adopción, tanto en el negocio como en la auditoría

interna, se está extendiendo más rápidamente en los

servicios financieros, 7 organizaciones innovadoras en

todas las industrias están usando estas tecnologías, o al menos

las están considerando. Sin embargo, ni la organización ni la

auditoría interna están siempre preparadas para los nuevos

riesgos, que pueden pasarse por alto o mal interpretarse cuando

el entusiasmo impulsa una rápida adopción. La auditoría interna

debe comprender los riesgos de estas tecnologías en la

organización, asesorar a la administración sobre esos riesgos y

garantizar que se están abordando de manera adecuada. Por

ejemplo, mientras que (aplicaciones de tecnología automatizada

impulsadas por algoritmos basados en reglas) pueden realizar

tareas repetitivas a velocidades mucho más rápidas que los

humanos, también pueden multiplicar los errores a tasas mucho

más rápidas. Además, a medida que las máquinas "aprenden" un

proceso, también pueden aprender a discriminar contra ciertas

clases o grupos étnicos de personas, por ejemplo, en procesos de

aprobación de préstamos o de servicio al cliente, generando

efectos inesperados, consecuencias imprevistas

y riesgos inusuales.

Pasos a considerar: la Auditoría Interna debe equilibrar su

aseguramiento, asesoramiento y anticipación de

responsabilidades en esta área. Al proporcionar seguridad,

involucrarse temprano ya que la organización adopta tecnologías

disruptivas y la segunda línea de defensa moderniza su enfoque

de los controles de prueba. Esto ayudará a la auditoría interna a

proporcionar una seguridad que no es duplicada. Las

consideraciones prácticas para que Auditoría interna añada una

garantía valiosa incluyen tener acceso a los procedimientos de

prueba y revisar de forma independiente los casos de prueba de

muestreo, los resultados generados y los problemas registrados.

Además, revise el proceso de supervisión y manejo de

excepciones y ofrezca garantías sobre el diseño y la

efectividad operativa de las aplicaciones de las

tecnologías. Alentar a las partes interesadas a realizar

una recertificación anual del diseño e implementación

de tecnologías de automatización. Al asesorar a la gerencia y

otras partes interesadas, participe en la pre-implementación y

proporcione información sobre los riesgos y la capacidad de la

organización para abordarlos y sobre las prácticas líderes para

impulsar el rendimiento y el valor. Como asesor, la auditoría

interna también debe incluir la documentación y el proceso de

evaluación de riesgos, y considerar la adopción del marco de

auditoría interna ágil. La auditoría interna debe centrarse en

anticipar los riesgos asociados con estas tecnologías mediante el

uso de herramientas de análisis de datos y detección de riesgos

para identificar proactivamente los riesgos emergentes y

ejecutando simulaciones de crisis para revelar posibles fallas en

la capacidad de respuesta de la organización.

7 Auditing the risks of disruptive technologies: Keep the tempo, A forward look at Internal Audit in banking and securities, Deloitte,

2017 https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Risk/gx-risk-digitization-banking.pdf

13


Ármese de valor En este punto, los principales

impedimentos para que la auditoría

interna progrese más rápidamente a

través de la innovación son las

limitaciones que surgen de la mentalidad

heredada. Los jefes ejecutivos de

auditoría, otros líderes de auditoría

interna, la alta gerencia y los comités de

auditoría deben trabajar para cambiar la

mentalidad de sus funciones y

organizaciones y, a menudo, dentro de

ellos mismos. La naturaleza evolutiva del

trabajo de Auditoría Interna se presta a

nuevos métodos habilitados por las

nuevas tecnologías y nuevas formas de

trabajar con las partes interesadas. Sin

embargo, demasiados grupos y líderes de

auditoría interna están inmersos en roles

y relaciones tradicionales. Eso puede

crear resistencia a nuevos términos,

herramientas y enfoques. Se necesita

compromiso y coraje para perseguir la

innovación. Ese compromiso

debe originarse con los líderes de

Auditoría Interna, quienes luego

deben desarrollar el coraje para

iniciar cambios innovadores,

dentro de ellos mismos y dentro

de sus grupos de Auditoría

Interna.

Deloitte se refiere a una o más de las firmas miembro de Deloitte Touche Tohmatsu Limited (“DTTL”), una compañía privada del Reino Unido limitada por

garantía ("DTTL"), su red de firmas miembro, y a sus entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente

separadas e independientes. DTTL (también denominada “Deloitte Global”) no presta servicios a clientes. Una descripción detallada de la estructura

legal de Deloitte Touche Tohmatsu Limited y de sus firmas miembro puede verse en el sitio web www.deloitte.com/about

Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos, legal, y servicios relacionados a

organizaciones públicas y privadas de diversas industrias. Deloitte presta sus servicios a cuatro de cada cinco de las empresas listadas en el ranking

Fortune Global 500®, a través de una red global de firmas miembro en más de 150 países, brindando sus capacidades de clase mundial y servicios de

alta calidad a clientes, suministrando el conocimiento necesario para que los mismos puedan hacer frente a sus más complejos retos de negocios. Para

conocer más acerca de cómo los más de 225.000 profesionales generan un impacto que trasciende, conéctese con nosotros a través de Facebook,

LinkedIn o Twitter.

Esta comunicación contiene únicamente información general, ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o sus entidades relacionadas

(colectivamente, la "Red Deloitte") están, por medio de la presente comunicación, prestando asesoría o servicios profesionales. Previo a la toma de

cualquier decisión o ejecución de acciones que puedan afectar sus finanzas o negocios, usted deberá consultar un asesor profesional cualificado.

Ninguna entidad de la Red Deloitte se hace responsable por pérdidas que pueda sufrir cualquier persona que tome como base el contenido de esta

comunicación.

©2019 Deloitte Touche Tohmatsu Limited.

Áreas de enfoque de alto impacto - Deloitte US · de 2019 de Internal Audit Insights: áreas de...

Documents

Transcript of Áreas de enfoque de alto impacto - Deloitte US · de 2019 de Internal Audit Insights: áreas de...