Vous êtes sur la page 1sur 72

ABRIL 2019 UNA PUBLICACIÓN DEL IIA

INTERNAL AUDITOR

Una mirada al lado positivo del riesgo


Las ciudades inteligentes presentan
ABRIL 2019

desafíos importantes para la auditoría


Manténgase centrado en el cliente
Manejar las expectativas de las partes
interesadas
PRIVACIDAD DE DATOS

ALCANCE
GLOBAL
DEL GDPR
La filosofía subyacente
INTERNALAUDITOR.ORG

de la ley de privacidad de
datos de Europa se está abriendo
camino en reglamentaciones
en todo el mundo.
hctiws
Is that bugging you? It’s an easy fix.
Just like it’s an easy switch to GEICO.

Institute of Internal Auditors members


could save even more with a special discount
on auto insurance.
Get a quote today and switch.

geico.com | 1-800-368-2734

Some discounts, coverages, payment plans and features are not available in all states, in all GEICO companies, or in all situations. GEICO contracts with various membership entities and other organizations, but these entities
do not underwrite the offered insurance products. Discount amount varies in some states. One group discount applicable per policy. Coverage is individual. In New York a premium reduction may be available. GEICO may not be
involved in a formal relationship with each organization; however, you still may qualify for a special discount based on your membership, employment or affiliation with those organizations. GEICO is a registered service mark
of Government Employees Insurance Company, Washington, DC 20076; a Berkshire Hathaway Inc. subsidiary. © 2018 GEICO
Acelera tu camino al éxito
Demuestre su credibilidad y pericia
HECHO CERTIFICADO: Siendo la única certificación reconocida globalmente para los auditores internos, obtener
la designación Certified Internal Auditor® (CIA®) demuestra la habilidad, el valor y la comprensión de las Normas
Internacionales para el Ejercicio Profesional de la Auditoría Interna y cómo se deben aplicar. Cuando la designación
CIA aparece a continuación de su nombre, obtendrá mayor respeto, más ascensos y ¡más dinero!*

Mejore su credibilidad y pericia. Aprenda más.


www.theiia.org/CBOK

*Según el Estudio de remuneraciones de auditoría interna del IIA de 2017 (en función de respuestas de EE. UU.).
Pensamiento crítico y misión
EXPLORE PREGUNTAS FUNDAMENTALES, DESCUBRA RESPUESTAS ESENCIALES.

En esta versión significativamente reestructurada, Sawyer’s Internal Auditing: Enhancing and Protecting Organizatio-
nal Value [La auditoría interna de Sawyer: Mejorar y proteger el valor de la organización], 7.° Edición, 10 líderes de opinión
de auditoría interna abordan los desafíos de definir lo que se requiere para cumplir la misión de la auditoría interna
de mejorar y proteger el valor de la organización. En resumen, a Sawyer se lo considera universalmente el recurso más
importante de ayuda para que los auditores internos de todos los niveles y los sectores piensen de manera crítica
sobre los cambios en el entorno y en el panorama de los negocios, así como en la evolución del plan y los servicios de
auditoría que auditoría interna debe desarrollar y proporcionar. Sawyer es fundamental para cumplir con la misión de
la auditoría interna.
Piense de modo crítico, luego cumpla con su misión.
www.theiia.org/Sawyers
ABRIL DE 2019 VOLUMEN LXXVI:II

A R T Í C U L O S
24 PORTADA Alcance global del GDPR Los auditores internos de todo el mundo están
comenzando a entender el impacto de la regulación de protección de datos de Europa en sus
organizaciones y en su rol en cumplimiento. ARTHUR PIPER

31 El lado positivo del riesgo 49 Cuanto más información revele


Los auditores internos pueden aportar mayor Muchos comités de auditoría van más allá
valor al enfocarse, además, en los aspectos de los requisitos y revelan voluntariamente
positivos. BASIL ORSINI información sobre su supervisión y
desempeño. CRAIG G. GALLAGHER, KATHERYN L.
36 Auditar la ciudad inteligente ZIELINSKI Y DOUGLAS M. BOYLE
Las tecnologías municipales cada vez más
sofisticadas introducen una serie de riesgos 54 Manejar las expectativas
que se deben abordar. RUSSELL A. JACKSON Los auditores internos pueden utilizar
un enfoque multifacético para cubrir las
42 ¡No se trata de usted! Los auditores diversas necesidades de las partes interesadas.
internos tienen que trasladar el foco de JACK PELIKAN
los informes de auditoría de sus propias
prioridades a las del cliente. WADE CASSELS,
KEVIN ALVERO, CHRIS ERRINGTON

¡DESCARGUE la aplicación de
Ia de App Store o Google Play!

PARA CONOCER LOS ÚLTIMOS TITULARES RELACIONADOS CON LA AUDITORÍA, visite InternalAuditor.org
D O N ’ T J U S T A C C E P T I N N O V AT I O N .

Embrace it.

A helping hand in the face of disruption.

Welcome to Status Go.™

gt.com/statusgo

Grant Thornton LLP is a member firm of Grant Thornton International Ltd (GTIL). GTIL and the member firms are not a worldwide partnership. Services are delivered by the
member firms. GTIL and its member firms are not agents of, and do not obligate, one another and are not liable for one another’s acts or omissions. Please see www.gt.com for
further details. © 2019 Grant Thornton LLP | All rights reserved | U.S. member firm of Grant Thornton International Ltd
ABRIL DE 2019 VOLUMEN LXXVI:II

S E C C I O N E S
PRÁCTICAS PERCEPCIONES
10 Actualización El uso de 60 Perspectivas del
la IA en alza; los bancos de la Consejo Los directores
región Asia-Pacífico le temen a del consejo le temen a los
la corrupción y los empleados competidores de origen digital.
debilitan la seguridad en la nube.
63 Los pensamientos de
14 Volver a lo básico Jacka Los auditores internos
El disenso del empleado puede siempre pueden detener una
impactar en los programas de auditoría improductiva.
gestión de riesgos.
64 Una mirada a los
16 ITAudit Los riesgos de un negocios Los auditores
punto único de fallo. deberían evaluar el gobierno
de la privacidad de datos.
20 Vigilancia del riesgo
7 Nota del editor Auditoría interna debería 68 En mi opinión
8 Foro de lectores considerar la velocidad del riesgo. ¿Es necesario actualizar
la definición de auditoría
67 Calendario 22 Observaciones de interna del IIA?
fraude La capacitación
es esencial para combatir
esquemas de fraude electrónico
(phishing).

O N L I N E InternalAuditor.org
Los bancos y el bitcoin Gran estafa en el campus
La decisión reciente de Entre los padres acusados de
JPMorgan Chase de ofrecer su soborno y engaños para logar
VIKTORUS/SHUTTERSTOCK.COM; PÁGINA ACTUAL, PARTE SUPERIOR: AGSANDREW /

propia moneda digital podría que sus hijos sean aceptados


TAPA Y PÁGINA ANTERIOR: ILUSTRACIÓN DE SEAN YATES, FOTOGRAFÍA BASE DE

ayudar a que la criptomoneda en universidades de élite


SHUTTERSTOCK.COM, PARTE INFERIOR: 3DSCULPTOR/SHUTTERSTOCK.COM

gane terreno en el sistema se encuentran presidentes


financiero tradicional. ejecutivos de empresas y
celebridades varias.
Qué hacer y qué no hacer
en la preparación de los GAM 2019 Lea nuestra
informes de auditoría cobertura de la Conferencia
¿Qué distingue a los informes de Gerentes Generales de
de auditoría relevantes de los Auditoría con temas como
que se quedan en el camino? cambios y disrupciones de
Mire una serie de videos sobre liderazgo e innovación.
errores y mejores prácticas en
la escritura de informes.

Internal Auditor ISSN 0020-5745 se publica en febrero, abril, junio, agosto, octubre y diciembre. Tarifas de suscripción anual: u$s75 en Estados Unidos y Canadá, y u$s99 fuera de Norteamérica. No se realizarán reembolsos por
cancelaciones. Oficina editorial y de publicidad: 1035 Greenwood Blvd., Suite 401, Lake Mary, FL, 32746, U.S.A. Copyright © 2019 The Institute of Internal Auditors Inc. Los avisos de cambio de domicilio y suscripciones deben dirigirse al
Servicio al Cliente del IIA al teléfono +1-407-937-1111. Pago de franqueo de publicaciones periódicas en Lake Mary, Fla., y otras oficinas. ADMINISTRADOR DE CORREOS: Envíe el formulario 3579 a: Internal Auditor, 1035 Greenwood Blvd.,
Suite 401, Lake Mary, FL, 32746, U.S.A. CANADA POST INTERNATIONAL: Número de acuerdo de ventas de envío por correo de las publicaciones (distribución en Canadá): 545880; Número de registro de GST: R124590001. Las opiniones
expresadas en Internal Auditor pueden diferir de las políticas y enunciados oficiales del Instituto de Auditores Internos y sus comités, y de las opiniones que respaldan los empleadores de los autores o editores de esta publicación.
Internal Auditor no certifica que el contenido del autor sea original.
LÍDERES
EMERGENTES
2019
¿Quiénes son los Líderes Emergentes 2019 de
auditoría interna?
¿Qué define a un auditor EMERGING
LEADERS2018

interno excepcional?
ALEX HARDY Group. But Hardy’s proud- judges, “No longer emerg-
CIA, CA est achievement, Coates ing, this individual is a
30 adds, is being a mentor to current leader of the profes-
ASSOCIATE DIRECTOR, junior staff. Already, Hardy sion.” Hardy presents weekly LINH MAI is passionate about areas ranging from Sarbanes-
AUDIT & ADVISORY is a founding member of to boards, shareholders, and internal auditing and about Oxley compliance to cyberse-
PROSPERITY ADVISERS
GROUP
the company’s Employee management on audit out- JUSTIN FINN sharing his knowledge of curity. “Sometimes innovative
Advisory Board and, beyond comes and opportunities for CIA the profession. Indeed, The thinking is a matter of
NEWCASTLE & SYDNEY, the firm, he was named to improvement. And he pro- 28 University of Texas (UT) thinking differently about an
AUSTRALIA the inaugural IIA–Australia vides pro bono professional ASSISTANT VICE at Dallas graduate served as existing innovation,” Mauri-
Youth Leadership Com- services to Renew Newcastle, PRESIDENT, the university’s IIA/ISACA/ ello says. “He accomplishes
mittee. The University of Cooks Hill Surf Lifesaving SENIOR AUDITOR ACFE student chapter presi- this through his advocacy
Newcastle graduate is also Club, and Ronald McDon- BANK OF AMERICA dent as an undergraduate efforts.” Part of his message
executive director at Hunter ald House. He also talks a PLANO, TEXAS and at the same time was is the reality of the profes-

Entre otras cualidades, la innovación,


careers. “His ambition to Young Professionals, which lot about technology. “If you a teaching assistant at UT sion’s role. “I had the impres-
attain a partnership role at provides opportunities for don’t know what blockchain, Dallas’ Center for Internal sion that most companies,
the company is guided by young people to network AI, big data, and real-time Auditing Excellence. He operations, and internal audit
his vision of transforming in a business environment. access mean, then you are also became “the face of the functions were mature,” Mai
the firm’s audit practice and Indeed, says Bryant Rich- already behind the eight JUSTIN FINN is “the auditor of the future, possessing both UT Dallas Internal Audit- says. “However, the reality is
ALEX HARDY has big ambi- capitalizing on technological ards, associate professor of ball,” Hardy says. “All of audit and analytical skills,” according to his supervisor, Jim ing Education Partnership there is significant potential

la integridad, el conocimiento y la
tions, and one of them is opportunities,” says colleague accounting and finance at them are game changers, and McCole, senior vice president and audit director at Bank (IAEP) program,” says Cen- for audit functions to gener-
helping young profession- Stephen Coates, a direc- Nichols College and one of a degree of fluency is impor- of America. Finn, a University of North Texas graduate, ter director Joseph Mauriello. ate value by advising and
als move forward in their tor at Prosperity Advisers this year’s Emerging Leaders tant for future success.” started out in the firm’s straight-from-college Corporate “As student coordinator, he consulting on improvements
Audit Analyst Program, picking up business audit skills in worked with leading inter- in business processes.” He
issue validation, point-in-time audits, regulator issues, and nal audit departments and adds that he’s inspired and
continuous audit work in his first rotation. And with no professional services firms to motivated by the vast oppor-

pasión. ¿Conoce usted a un auditor


previous Structured Query Language (SQL) experience, introduce themselves to UT tunities for internal audit to
Loan Bank. “She also developed a strategy for optimizing inter- he learned to execute automation work relating to data Dallas IAEP participants.” help stakeholders, especially
actions with other departments to ensure identification of busi- analytics, exception testing, and continuous monitoring Mai also organized student with the aid of technology.
ROBIN NOACK ness unit risks and controls is complete and accurate,” she says. testing in the rotation that followed. Finn now serves as volunteer efforts for the “I envision more processes,
CIA, CPA Noack’s strategy — established by coordinating with other lines instructor for Corporate Audit’s SQL training program IIA–Dallas Super Confer- such as internal controls over
of defense within the bank and working closely with the busi- and as “automation sponsor” for the bank’s Audit Automa- ences and the UT Dallas financial reporting, requiring

interno de desempeño excepcional


29
AUDIT MANAGER ness units — enables internal audit to track audit-related issues tion Analytics Champion program. “For sure, technology Fraud Summit. He has since less overhead while provid-
FEDERAL HOME LOAN BANK that need validation and provide the follow-up on them that and the way we understand data will lead things forward,” delivered numerous addresses ing more useful data,” Mai
OF PITTSBURGH regulators require. Her team also prioritizes in-person interac- Finn says. One example is data analytics and automation to internal audit audiences on explains, “allowing internal
PITTSBURGH tion with clients. “We make every effort to socialize throughout that enable full-population testing, eliminating the need developing student organiza- audit a greater opportunity to
the bank, building trust and positive relationships,” Noack says. for a sample approach, he says; another new technology tions, and he volunteers with become advisors and freeing
Business unit leaders regularly request her insights on hot topics that internal audit is adopting is artificial intelligence- ISACA’s North Texas Chap- them from strictly regulatory

que posea los atributos como para


and emerging risks in the financial services sector. Noack says driven ongoing monitoring that replaces some task work. ter. At EY, he leads audits on or compliance functions.”
knowing the business is part of the job. “It would be impossible Both require practitioners to develop new data analytic
to effectively audit a business unit without an intimate under- skills and delve beyond a superficial understanding of
standing of how it works or without strong relationships with the technology. At Bank of America, Finn’s internal audit LINH MAI
ROBIN NOACK understands that effective internal audit the people within that unit,” she explains. Additionally, Noack department focuses on finding and extracting data to cre- CIA, CISA
demands interaction with other areas of the business. The Penn- calls on the profession to better educate clients on the value ate custom automation tests to help business line auditors 27

convertirse en el líder de las ideas y


sylvania State University graduate made a concerted effort to internal audit delivers to the organization. “Everything we do as with their own testing. “We can take the data and adapt SENIOR, IT RISK
learn Federal Home Loan Bank of Pittsburgh’s new governance, internal auditors is to protect the business’ interests and correct it,” he says, “whether the internal audit client is looking ASSURANCE
risk, and compliance application — and ultimately developed any mistakes before it’s too late,” she points out. Outside the for graphs or trends analysis, we can take the data and EY
many of the ways the internal audit department puts it to use, office, Noack donates time to the local DePaul School for Hear- make a more meaningful picture.” Outside the office, Finn DALLAS
notes colleague Dawna Fisher, senior manager at Federal Home ing and Speech and the Pittsburgh Botanic Garden. finds meaning in charitable work, volunteering at the local

“ ”
Ronald McDonald House and for Operation Kindness’

los pensamientos del futuro? A modo


no-kill animal shelter.
IT WOULD BE IMPOSSIBLE TO EFFECTIVELY AUDIT A BUSINESS UNIT
WITHOUT AN INTIMATE UNDERSTANDING OF HOW IT WORKS OR WITHOUT
STRONG RELATIONSHIPS WITH THE PEOPLE WITHIN THAT UNIT. — Robin Noack

de reconocimiento a su dedicación, 26 INTERNAL AUDITOR OCTOBER 2018 OCTOBER 2018 INTERNAL AUDITOR 27

nomínelos hoy mismo.

La revista Internal Auditor proporcionará


un reconocimiento a los profesionales
más prometedores de auditoría
interna en su artículo anual “Líderes
Emergentes” del mes de octubre.

Nomine sus candidatos antes del


10 de mayo de 2019 en
www.InternalAuditor.org.

2019-2215
Nota del editor

GDPR ES SOLO EL COMIENZO

N
o es ninguna sorpresa que la ciberseguridad y la protección de datos siguen
encabezando las principales preocupaciones de los directores ejecutivos de auditoría
(DEA) que participaron en el informe North American Pulse of Internal Audit
(El ritmo de la auditoría interna en América del Norte) del IIA de este año. El
70 % se siente sumamente preocupado por el daño potencial a la reputación proveniente
de una divulgación inapropiada de datos privados. Lo que sí sorprende es que los DEA
están mucho menos preocupados respecto del cumplimiento con las nuevas normas de
protección de datos. Casi el 50 % respondió que su organización tiene una preocupación
mínima o ninguna.
Casi un año después de que el Reglamento General de Protección de Datos de
la Unión Europea (GDPR, por su sigla en inglés) entró en vigencia, las organizaciones
comienzan a sentir el “Alcance global del GDPR” (página 24). Y este es solo el comienzo.
China ha introducido regulaciones sobre ciberseguridad, protección de datos y
transferencia de datos a través de las fronteras, que son un reflejo del GDPR. Brasil tiene
una nueva Ley General de Protección de Datos que entrará en vigor a principios de 2020,
y hay nuevas regulaciones y otras revisadas que vendrán de Australia y Japón, entre muchas
otras. En EE. UU. la Ley de Privacidad del Consumidor de California se pondrá en
vigencia el año próximo.
“Los requisitos de cumplimiento como los del GDRP obligan a las organizaciones
a realizar cambios en el modo en que manejan los datos” Jan Hertzberg, un consultor
de privacidad le manifiesta al autor Arthur Piper. “Para los DEA no se trata solo de la
privacidad de los datos, sino de su integridad a través de la empresa”.
Las nuevas regulaciones de privacidad de datos “destacan la necesidad de que las
organizaciones logren poner en regla las prácticas de protección de datos”, dice Pam
Hrubey de Crowe en la sección “Una mirada a los negocios” de este número (página 64).
Hrubey indica que las organizaciones tienden a tener retos comunes sobre la protección de
datos. Ella y Mike Maali de PwC consideran esos retos y cómo las organizaciones pueden
salvaguardar la información, además de analizar el rol de la auditoría interna en el gobierno
de la privacidad.
En el informe Pulse (El pulso de la auditoría interna), la preocupación sobre el
cumplimiento con el GDPR aumenta en consonancia con el tamaño de la organización
del encuestado. En las organizaciones con más de 50.000 empleados, un 62 % calificó el
cumplimiento como la mayor preocupación en comparación con un 29 % que en general
dio la misma calificación. Esto sugiere que es más probable que las organizaciones de
mayor tamaño tengan operaciones internacionales. No obstante, para otros que trabajan
con operaciones internacionales podría haber cierto error de interpretación acerca de
cuándo se aplican estas nuevas reglas dado que están basadas no en la ubicación de la
organización, sino en la ubicación del cliente cuyos datos se reúnen. Para leer el informe
2019 Pulse, visite el sitio http://bit.ly/pulse2019.
En otro orden de cosas, ha llegado el momento una vez más de reconocer a los
profesionales de nuestro ámbito por sus excelentes logros. Ya está abierta la nominación de
candidatos a Líderes Emergentes de 2019 de Internal Auditor. Consulte la página opuesta
para informarse sobre cómo realizar las nominaciones. Indíquenos quiénes son los mejores
y más brillantes profesionales en su función de auditoría, y lea el artículo sobre los líderes
de este año en octubre.

@AMillage en Twitter

ABRIL 2019 INTERNAL AUDITOR 7


Foro de lectores ¡NOS INTERESA SU OPINIÓN! ¿Qué le pareció este número?
Escríbanos por correo electrónico a editor@theiia.org. Por razones de
claridad y extensión, puede ocurrir que se edite el texto de las cartas.

la auditoría interna se perciba como una Esquivar los controles


aliada que ayuda a que la organización Siempre me interesa el contraste entre los
minimice los riesgos y alcance sus metas. esquemas de fraude “de abajo hacia arriba”
Frederick Lee comenta sobre la edición frente a los “de arriba hacia abajo”. En este
de febrero de 2019 de la revista Internal caso, Grant Wahlstrom y Anisa Chowdhury
Auditor. describieron un fraude similar que fue
descubierto en una ubicación diferente;
El futuro de la auditoría interna supuestamente no conectado con el
Acabo de comenzar una investigación principal responsable, Fogbottom. Creo
sobre “El futuro de la auditoría interna que existen oportunidades de centrar
y el desarrollo de nuevas herramientas la atención en la susceptibilidad de
tecnológicas” como parte de la disertación determinados controles para la evasión de
para mi maestría en contabilidad. La abajo hacia arriba hasta el punto en que
entrevista es oportuna porque, como dice potencialmente se convierte en un patrón
Richard Chambers, presidente ejecutivo del de abuso, similar a lo que un científico de
IIA, estamos frente a una era de revolución la complejidad podría llamar criticidad
Comunicación 101 digital, y el auditor interno debe mantener auto organizada.
El tema de esta edición de Internal el cuidado profesional y anticipar los Patrick McGowan comenta sobre el
Auditor es la Comunicación 101 para artículo “El fraude del cliente falso”
cambios que podrían surgir y posiblemente de Grant Wahlstrom y Anisa Chowdhury
auditores internos y el director ejecutivo afectar a la compañía. Además, hoy en día ("Observaciones de fraude”, febrero
de auditoría. La mayoría de los artículos es esencial para el auditor no descansar de 2019).
ofrecen recordatorios y sugerencias sobre en sus logros. La auditoría interna debe
la comunicación de resultados a la alta continuar desarrollando sus habilidades de
dirección. Se presentaron temas de interés Capacitación cruzada en psicología
comunicación para informar estos riesgos
para todos, del sector privado al sector oportunamente, y de este modo mantener Genial resumen breve del desafío. Realicé
del gobierno, a fin de aplicarlos para una buena relación, entre las partes mi primera auditoría cultural en 1999. En
ajustar, hilando fino, las habilidades de interesadas y los propietarios agregando este entonces era inaudito llevar a cabo
comunicación al presentar los resultados valor a su función. Coincido absolutamente este tipo de auditoría Tuve que recibir
de la auditoría y señalar las áreas de riesgo con Chambers cuando dice: “Cuando se una capacitación cruzada en psicología,
a abordar. El aspecto clave entre todos los está ocupado mirando hacia atrás, se pierde comportamientos del aprendizaje adulto y
artículos es asegurar que la información lo que tenemos por delante”. sobre cómo reunir datos que se encuentran
sea relevante y que se presente en un en las personas y no en los documentos.
Liz Alicea comenta sobre el artículo
lenguaje sencillo a fin de facilitar un “Pruebas y transformación” de Anne Los resultados de una auditoría cultural
mayor convencimiento, de modo que Millage’ (febrero de 2019). cambian las organizaciones con mucha

EDITORES COLABORADORES Daniel Helming, cia, cpa David Weiss, cia INFORMACIÓN DE CONTACTO


Wade Cassels, cia, ccsa, crma, cfe Karin L. Hill, cia, cgap, crma Scott White, cia, cfsa, crma PUBLICIDAD
J. Michael Jacka, cia, cpcu, cfe, cpa J. Michael Jacka, cia, cpcu, cfe, cpa Rodney Wright, cia, cpa, cfsa advertising@theiia.org
Steve Mar, cfsa, cisa Sandra Kasahara, cia, cpa Benito Ybarra, cia +1-407-937-1109; fax +1-407-937-1101
Bryant Richards, cia, crma Michael Levy, cia, crma, cisa, cissp SUSCRIPCIONES, CAMBIO DE DOMICILIO, NÚMEROS FALTANTES
James Roth, phd, cia, ccsa, crma Merek Lipson, cia PRESIDENTE EJECUTIVO DEL IIA customerrelations@theiia.org
ABRIL 2019 Charlie Wright, cia, cpa, cisa Thomas Luccock, cia, cpa
VOLUMEN LXXVI:II
Richard F. Chambers, cia, +1-407-937-1111; fax +1-407-937-1101
Michael Marinaccio, cia qial, cgap, ccsa, crma
EDITORIAL
JEFA DE REDACCIÓN CONSEJO CONSULTIVO EDITORIAL Alyssa G. Martin, cpa David Salierno, david.salierno@theiia.org
Anne Millage Dennis Applegate, cia, cpa, cma, cfe Dennis McGuffie, cpa PRESIDENTE DEL CONSEJO DE +1-407-937-1233; fax +1-407-937-1101
DIRECTOR DE EDICIÓN Lal Balkaran, cia, fcpa, fcga, fcma Stephen Minder, cia ADMINISTRACIÓN DEL IIA
AUTORIZACIONES Y REIMPRESIONES
David Salierno Andrew Bowman, cpa, cfe, cisa Rick Neisser, cia, cisa, clu, cpcu Naohiro Mouri, cia, cpa editor@theiia.org
DIRECTOR DE EDICIÓN ADJUNTO Mark Brinkley, cia, cfsa, crma Hans Nieuwlands, cia, ra, ccsa, cgap +1-407-937-1232; fax +1-407-937-1101
Tim McCollum Robin Altia Brown Manish Pathak, ca PAUTAS PARA LOS AUTORES
EDITORA SÉNIOR Adil Buhariwalla, cia, crma, cfe, fca Bryant Richards, cia, crma InternalAuditor.org (haga clic en “Writer’s Guidelines”
Shannon Steffee Wade Cassels, cia, ccsa, crma, cfe Jeffrey Ridley, cia, fcis, fiia [Pautas para los autores])
DIRECCIÓN DE ARTE Faizal Chaudhury, cpa, cgma James Roth, phd, cia, ccsa
Daniel J. Clemens, cia Katherine Shamai, cia, ca, cfe, crma Se les otorga autorización para fotocopiar a los usuarios registrados en
Yacinski Design el Servicio de Información de Transacciones del Centro de Autorización
Michael Cox, fiia(nz), at Debora Shelton, cia, crma
GERENTA DE PRODUCCIÓN de Derechos de Autor (CCC, por su sigla en inglés), bajo la condición de
Gretchen Gorfine Haylee Deniston, cpa Laura Soileau, cia, crma abonar directamente la tarifa actual al CCC, 222 Rosewood Dr., Danvers,
Kayla Flanders, cia, crma Jerry Strawser, phd, cpa MA 01923 EE. UU.; teléfono: +1-508-750-8400. Internal Auditor no asume
James Fox, cia, cfe Glenn Sumners, phd, cia, cpa, crma responsabilidad alguna por las afirmaciones de sus anunciantes, aunque
Michael Garvey, cia Stephen Tiley, cia PUBLICADO POR EL agradece que los lectores informen cualquier inquietud relacionada
Jorge Gonzalez, cia, cisa Robert Venczel, cia, crma, cisa INSTITUTE OF INTERNAL con los avisos publicados.
Nancy Haig, cia, cfe, ccsa, crma Curtis Verschoor, cia, cpa, cfe AUDITORS INC.

8 INTERNAL AUDITOR ABRIL 2019


fuerza y de maneras inimaginables todavía no estoy totalmente convencido Rick Whitehead comenta sobre la entrada
en comparación con las auditorías acerca del uso de las palabras disrupción del blog Chambers on the Profession
tradicionales. En la actualidad realizamos y disruptivo para describir el concepto de [Opinión de Chambers sobre la profesión],
auditorías de cumplimiento y culturales desafiar el negocio habitual. Siempre asocio “Internal Auditors: What Is It You Do?”
que llegan a las causas raíz más allá de los disrupción con algo malo, inconveniente, [Auditores internos: ¿Qué es lo que
hallazgos sobre el cumplimiento, dando frustrante, invasivo, pobre y molesto. ¿De qué hacen?] (InternalAuditor.org) en LinkedIn.
a las organizaciones el poder de cambiar otro modo percibe la gente este término y
mucho más rápido que si solo se hicieran cómo vendería cualquier cosa “disruptiva” Todo lo que se menciona es cierto,
auditorías de cumplimiento. Todos los a una audiencia que asocia el término a aunque destacaría dos cosas. Primero,
auditores deberían recibir una capacitación algo negativo? nosotros creamos valor. Creo que el
cruzada en psicología y comportamientos Darren Roberts comenta sobre el video, auditor debería no solo buscar fallos sino
del aprendizaje adulto, dado que esta área “Disruption: Leadership Approach" también proponer mejoras para agregar
se desarrollará más y más. [Disrupción: Enfoque de liderazgo] valor. Segundo, somos guardianes de la
Elizabeth Frische comenta sobre la (InternalAuditor.org). confianza. Es muy importante en nuestra
serie en línea de Jim Roth, “Auditing profesión porque si los consejos de
Culture (Auditar la cultura): History ¿Qué hacen los auditores internos? administración no confían en nosotros,
and Principles” [Historia y principios] nuestro trabajo no tiene ningún
El alcance de la auditoría interna puede
(InternalAuditor.org). propósito.
ser tan amplio que es difícil articular de
manera sucinta lo que conlleva el trabajo. Juan Miguel Rodriguez Lopez comenta
Desafiar el negocio habitual Muchas veces he encontrado útil sentarme sobre la entrada del blog Chambers on the
Este es un excelente video con algunos y considerar esta cuestión para asegurarme Profession [Opinión de Chambers sobre la
escenarios muy reales sobre cómo la de que las actividades de auditoría interna profesión], “Internal Auditors: What Is It
tecnología y el liderazgo modelarán la siguen siento relevantes y que se centran en You Do?” [Auditores internos: ¿Qué es lo
auditoría interna en adelante. Si bien los temas correctos. que hacen?] en LinkedIn.

Haga oír su voz en la profesión.


Escriba para Internal Auditor.
Como publicación líder en el mundo sobre la profesión de auditoría interna, Internal Auditor desea
que comparta su valiosa experiencia con más de 200.000 socios en todo el mundo.

¿Ha encontrado una nueva manera de auditar un área de alto riesgo o de satisfacer las necesidades
cambiantes de las partes interesadas? ¿Sus sugerencias pueden ayudar a un colega a evitar los
obstáculos u orientar a una nueva función de auditoría hacia el camino indicado?

Aporte sus conocimientos a Internal Auditor.

Comience hoy mismo. Visite InternalAuditor.org/guidelines.

AUDITOR INTERNO

2015-0412

ABRIL 2019 INTERNAL AUDITOR 9


Los bancos asiáticos le temen al lavado de dinero… La corrupción en el sector público se incrementa…
Cómo tomar el pulso de los riesgos atípicos… La TI en las sombras debilita la seguridad en la nube.

Actualización
RECHAZO A
EMPLEADORES CON
MALAS CONDUCTAS
Los trabajadores dicen que
no tolerarán ciertas malas
conductas de potenciales
empleadores
Inacción ante
79 % denuncias
de acoso sexual
Vender datos de
los usuarios sin
conocimiento
de ellos
76 %
72 % Crear problemas
ambientales

Pagar remuneracio-
nes menores LAS EMPRESAS VISLUMBRAN UN Se prevé que la
a empleadas
mujeres o emplea-
dos pertenecientes a
71  % INCREMENTO EN EL USO DE LA
INTELIGENCIA ARTIFICIAL
tecnología se
incrementará para 2021.

A
grupos minoritarios
unque menos del 20 % de los líderes de IA les proporcionará gran valor a medida que el
Hacer lobby negocio manifiestan que actualmente uso de la tecnología avance.
contra las obtienen un valor significativo de la El 40 % de los encuestados manifestó que

69 % regulaciones de inteligencia artificial (IA), se espera las principales áreas donde la IA está creando más
IMÁGENES: PARTE SUPERIOR:KOVALOV ANATOLII/SHUTTERSTOCK.COM;

protección del que esa cifra se triplique en los próximos dos valor son la gestión de riesgos y los procesos de
consumidor años, según informa una encuesta global. Los cumplimiento. El 45 % señala que la IA mejora
encuestados indican que para 2021, la tecnología la planificación y la toma de decisiones y el 42 %
Fuente: The Manifest, How Do aumentará los ingresos, la productividad, la destaca que el tiempo de llegada al mercado se
Employees Act When Faced With rentabilidad y el valor del negocio para los acelera considerablemente.
Unethical Company Behavior? accionistas. Estas mejoras impulsan importantes
IZQUIERDA: AGSANDREW/SHUTTERSTOCK.COM

La encuesta “Competir en la era cognitiva” inversiones en tecnología de IA. La encuestas


realizada por Protiviti en colaboración con ESI detectó que cada una de las empresas en
ThoughtLab, entrevistó a 300 altos ejecutivos promedio gastó u$s 36 millones en IA durante
pertenecientes a empresas de todos los tamaños. su último año fiscal. Los encuestados prevén que
Aproximadamente 1 de cada 3 de los encuestados este monto se incrementará en casi un 10 % en
señala que el uso de la IA en su organización se los próximos dos años.
sitúa por delante de sus competidores. En ese Si bien los beneficios de la IA son
segmento, el 92 % tiene expectativas de que la numerosos, las empresas enfrentan muchos

PARA CONOCER LOS ÚLTIMOS TITULARES RELACIONADOS CON AUDITORÍA síganos en Twitter @TheIIA

10 INTERNAL AUDITOR ABRIL 2019


Prácticas/Actualización

desafíos en la implementación de la tecnología. El informe también señala los puntos


Entre los cinco principales mencionados por los en común entre los programas de IA que
participantes se encuentran la incertidumbre abordan estos desafíos con eficacia. Esos
respecto al retorno de la inversión, la programas proporcionan a quienes toman
ciberseguridad y la privacidad de datos, la decisiones convincente pruebas de concepto,
toma de decisión sobre la mejor aplicación, por ejemplo, y bien planificados pilotos que
las restricciones reglamentarias y las reducidas posteriormente pueden escalarse a otras partes
habilidades y limitados talentos en IA. de la organización. D. SALIERNO

LOS LAVADORES DE DINERO El riesgo de corrupción


desvela a los bancos de
INFUNDEN MIEDO la región Asia-Pacífico.

D
espués de algunos escándalos recientes
por lavado de dinero en la región, a
muchas instituciones financieras de SE HAN INFORMADO
la región Asia-Pacífico les preocupa MÁS DE
el riesgo de corrupción constante. Una
encuesta realizada por FICO, empresa de
servicios de calificación crediticia, mostró
59.000
VULNERACIONES DE
que más del 90 % de los bancos de la región DATOS PERSONALES
Asia-Pacífico temen que ellos, o sus colegas, a 26 organismos de control
puedan inadvertidamente favorecer el próximo nacionales desde que entró
escándalo. en vigencia el Reglamento
En la encuesta, cerca de dos tercios de General de Protección
los ejecutivos del sector financiero de toda la a la criptomoneda, al sistema bancario en de Datos de la Unión
región mencionan la falta de recursos como el paralelo y a las operaciones inmobiliarias Europea (GDPR, por su
motivo principal de que los bancos del Asia- como los tipos de transacciones que presentan sigla en inglés).
Pacífico sigan expuestos. Otro 25 % señala la las mayores amenazas.
falta de experiencia. Los encuestados discreparon respecto LOS PAÍSES BAJOS,
del modo más eficaz de incrementar el
La encuesta también señala que el
cumplimiento con las políticas antilavado de
ALEMANIA Y EL
40 % de los encuestados considera que sus
protecciones contra el lavado de dinero se dinero. Aunque casi un 20 % señala que las REINO UNIDO
encuentran dentro de la media, mientras multas y sanciones más severas son el mejor TUVIERON LA MAYOR
que un 20 % dice que no está seguro de su enfoque, el 40 % se inclina por aumentar CANTIDAD DE CASOS
grado de protección en comparación con el los recursos de los organismos de control INFORMADOS CON
de sus pares del sector. Asimismo, califican gubernamentales. D. SALIERNO MÁS DE
10.000
VULNERACIONES.
CICLO VICIOSO DE LA CORRUPCIÓN
IMÁGENES. PARTE SUPERIOR: TAVARIUS/SHUTTERSTOCK.COM;

“Esconder las vulneraciones


Las malas conductas del sector público se un vínculo entre democracias de datos debajo de la
debilitadas y aumento de la alfombra es una estrategia
incrementan en democracias como la de EE. UU. corrupción. El informe señala de alto riesgo ante la

L
a corrupción está para el Índice de percepción que en esas naciones, los líderes vigencia del GDPR”, según
DERECHA: RIGHT, CRAIGRJD/ISTOCK.COM

global de la corrupción 2018 de políticos “tienen motivaciones un análisis realizado


debilitando las
la organización cae por debajo
para aferrarse al poder por por DLA Piper, firma de
instituciones democráticas cualquier medio y evitar el abogados del Reino Unido.
en todo el mundo, del punto medio de la escala. enjuiciamiento, y por lo tanto
y la situación empeora día La referencia cruzada seguir enriqueciéndose”. En Fuente: DLA Piper, GDPR Data
a día, según un informe de del índice de Transparency muchas naciones, los líderes Breach Survey: February 2019
Transparencia Internacional. International con los datos de cuentan con leyes débiles
Más de dos tercios de las 180 Economist Intelligence Unit ideadas para frenar la corrupción
naciones y territorios evaluados and Freedom House revela y esto genera un ciclo vicioso.

ABRIL 2019 INTERNAL AUDITOR 11


Prácticas/Actualización VISITE EL SITIO InternalAuditor.org
para leer una entrevista amplia a Jim
Pelletier.

“Dadas las muchas


instituciones democráticas bajo
amenaza alrededor del mundo”,
dices Patricia Moreira, directora
ANTICIPO DE SORPRESAS
Los riesgos emergentes y atípicos son una oportunidad para el auditor
general de Transparency
International, “necesitamos interno, dice Jim Pelletier, vicepresidente, Normas y Conocimiento
hacer más para fortalecer Profesional en el IIA.
los controles y equilibrios El estudio de 2019 North American Pulse of Internal Audit
de poderes, y fortalecer los [El ritmo de la auditoría interna en América del Norte
derechos de los ciudadanos”. 2019] señala que la capacidad de auditoría interna para
Transparency International identificar riesgos atípicos no está siguiendo el ritmo de
la frecuencia de riesgos sorpresivos informados por la
indica que las naciones no
gerencia. ¿Cómo puede auditoría interna ayudar a evaluar
democráticas siguen padeciendo estos riesgos? Los consejos muy habitualmente recurren a la
el flagelo de la corrupción del gerencia ejecutiva para informarse sobre riesgos emergentes
sector público, aunque también y atípicos, pero sería una cuestión grave de gobierno si no
se observan grietas de ese tipo solicitaran la opinión de otros, en especial la del director
en las democracias maduras. ejecutivo de auditoría (DEA). Esta es una clara oportunidad
En estos últimos años, el índice para auditoría interna de posicionarse como la fuente objetiva
ha descendido en naciones de información sobre riesgos emergentes y atípicos.
democráticas como Australia Los DEA tienen que sacar tiempo de donde sea para delinear la estrategia
y Chile, y este año EE. UU. independientemente del tamaño del departamento. Es necesario que cuestionen sus propias
dejó de estar dentro de los prácticas de evaluación de riesgos. ¿Son solo un espejo de lo que la gerencia está dispuesta
a compartir o proporcionan perspectivas más allá de esa opinión? Deberían desarrollar una
primeros 20 países por primera
estrategia de datos y comenzar a planificar para obtener los recursos que necesitarán para
vez desde 2011.
ejecutarla. Sobre todo necesitan ser eficaces ante su limitado tiempo con el comité de auditoría
A pesar de estos retrocesos, y el consejo. La tarea implica comprender al público y sus necesidades, estar preparado para
las democracias plenas tuvieron ofrecer información significativa y objetiva, y hablar abiertamente de los problemas difíciles.
un promedio de 75 puntos Descargue 2019 North American Pulse of Internal Audit en http://bit.ly/pulse2019.
sobre los 100 del índice, más
del doble en comparación con
los gobiernos de tendencias
autocráticas y gobiernos
totalmente autocráticos.
Dinamarca y Nueva Zelanda
FUERA DE LAS SOMBRAS
encabezan el índice mientras Los empleados están debilitando
Somalia, Sudán y Siria ocupan la seguridad en la nube.

L
los últimos lugares.
En este informe del índice, a TI en las sombras, es decir, el uso no
Transparency International autorizado por parte de los empleados,
recomienda a las naciones de dispositivos personales, servicios en la
luchar contra la corrupción nube y aplicaciones están debilitando la
fortaleciendo las instituciones seguridad de la nube y poniendo los datos en
riesgo, según el Informe de amenazas a la nube
y preservando los controles y
2019 de Oracle y KPMG. La encuesta realizada
equilibrios de poderes en el
entre 450 profesionales de ciberseguridad y TI
FOTO: IZQUIERDA, JARIRIYAWAT/SHUTTERSTOCK.COM

gobierno. Les sugiere cerrar


de Asia, América del Norte y Europa occidental más importantes del mundo se están trasladando
las brechas de implementación señala que el uso de aplicaciones en la nube sin a la nube”. El informe pronostica que la cantidad
entre las leyes destinadas a control es un tema al que dedica esfuerzos el de organizaciones con más de la mitad de sus
combatir la corrupción y su 93 % de los encuestados. La mitad indicó como datos en la nube se triplicará con creces para el
aplicación. Asimismo, las motivos para el fraude y la vulneración de datos 2020. El 71 % indica que la mayor parte de estos
naciones deberían empoderar la falta de controles de seguridad. datos en la nube son datos sensibles.
a los ciudadanos para que los Kyle York, vicepresidente de estrategia Otras áreas que presentan desafíos a la
gobiernos den respuesta y de producto en Oracle Cloud Infraestructura, seguridad son la confusión acerca del rol de los
protejan la libertad de prensa.  manifiesta que hay una necesidad cada vez mayor directores de seguridad de la información en
T. MCCOLLUM de tener una estrategia de seguridad coordinada, cuanto a asegurar el software y detectar incidentes
integrada y en capas porque “las cargas de trabajo de seguridad en la nube. S. STEFFEE

12 INTERNAL AUDITOR ABRIL 2019


TAKING ON DIGITAL
INTERNAL AUDITING AROUND THE WORLD

The time for digital transformation is now.


Is your organization ready?

Learn what audit leaders say they are doing to support


business digital transformation in this publication.

Download a copy at protiviti.com/iaworld

protiviti.com

© 2019 Protiviti Inc. An Equal Opportunity Employer M/F/Disability/Veterans. PRO-0219


Volver a lo básico
POR ANDREW TOPA EDITADO POR JAMES ROTH Y WADE CASSELS

EL DISENSO EN LA GESTIÓN DE RIESGOS


Las percepciones de
los empleados sobre
cómo se transmite el

L
desacuerdo influye a comunicación, por a alguien la responsabilidad eligen este método porque
en la manera en parte del empleado, personal para dar respuesta creen que el disenso será
de disensos o retos y finalmente estimar el costo bien recibido y visto como
que los empleados constructivos a la de la respuesta. La decisión una opinión constructiva.
responden ante gerencia y la correspondiente de expresar disenso entonces El disenso articulado está
las obligaciones recepción por parte de ella implica sopesar el posible influenciado por la percepción
son aspectos clave de la gestión cambio contra el efecto de que la represalia será
asignadas. adverso anticipado. mínima y que la conversación
de riesgos. La percepción
de un empleado sobre cómo Por lo general, hay tres con la gerencia es positiva.
se transmite el desacuerdo tipos de disenso: articulado, Los empleados utilizarán el
influye en cómo ese empleado antagónico y desplazado. disenso articulado cuando
comprende los controles, en Dado que los auditores perciban que la organización
su predisposición consciente internos tienen que incluir acepta las críticas. Implica un
o inconsciente para realizar una evaluación de los canales esfuerzo activo para cambiar
las tareas que le asignaron. de comunicación cuando la organización para mejo
La implementación de prueban el diseño y la desde adentro.
una respuesta al riesgo (fechas eficacia de los controles, es
límites, lista de verificación importante que comprendan Disenso antagónico
revisiones y otros trabajos el rol que juega el disenso El disenso antagónico es
especificados) tal vez no en un programa de gestión utilizado por esos empleados
coincida con los deseos de riesgos y de qué modo el que creen que este será recibido
del propietario del proceso disenso puede influir en la como adverso, pero la opinión
encargado de la tarea de eficacia del control. Al hacerlo, que proporcionen finalmente
completar tales instrumentos. los auditores identifican las será protegida de toda clase
Esta desconexión entre la meta fuentes de fallo del control de represalia. Esta estrategia
de la gerencia y los deseos del no detectables inmediatamente es utilizada por aquellos
propietario del proceso es la cuando se evalúa el control empleados que cumplen
principal fuente de disenso, de manera aislada. funciones que proporcionan
que a su turno, afecta el éxito un sentido de aprovechamiento
de la respuesta al riesgo. Disenso articulado organizacional —de acuerdo
Hay pasos específicos El disenso articulado es la al puesto, la experiencia o la
que preceden la decisión de comunicación directa del relación— y la percepción
un empleado de expresar su disenso por parte de los de cierta inmunidad
disenso. En primer lugar se empleados a las personas que contra las represalias.
trata de tomar conocimiento tienen la autoridad de producir El disenso antagónico
del problema, luego asignar un cambio. Los empleados se utiliza principalmente

ENVÍE IDEAS PARA ARTÍCULOS DE LA SECCIÓN VOLVER A LO BÁSICO A James Roth a jamesroth@audittrends.com

14 INTERNAL AUDITOR ABRIL 2019


PARA HACER COMENTARIOS sobre este
artículo, ENVÍE UN CORREO ELECTRÓNICO
al autor a andrew.topa@theiia.org

para oponerse a problemas que tienen una relación personal de vías disponibles para que los empleados expresen su disenso.
con el disidente. Los empleados expresan su disenso ante un Los empleados que creen que no tienen medios razonables de
público cautivo o con influencias, y tiene lugar en condiciones comunicación con la gerencia, redireccionan su disenso hacia las
de bajas posibilidades de represalias. El disenso tiene el objeto de tareas que les asignaron y esto da como resultado final un impacto
cambiar la organización desde adentro, pero primariamente en negativo en la organización.
una dirección que es muy provechosa para la persona. Si bien la
motivación subyacente del disenso puede estar orientada a uno Gestionar el disenso
mismo, el cambio puede ser positivo para la organización. Para mitigar los efectos negativos del disenso sobre la gestión de
riesgos, la gerencia debería evaluar los canales de comunicación que
Disenso desplazado están disponibles para los empleados. ¿La organización proporciona
El disenso desplazado se utiliza cuando el empleado cree que su canales razonables a los empleados para que comuniquen sus
opinión será percibida como adversa y llevará a cierta forma de desacuerdos o controversias? ¿Estos canales ofrecen el apoyo y la
represalia. Este tipo de disenso se comunica a un público que confianza necesarios para empoderar a los empleados? Los canales
es externo a la organización, interno a esta pero que no tiene de comunicación son los mecanismos formales e informales
ninguna autoridad, o a un público compuesto por empleados en implementados para capturar y abordar las inquietudes de
un nivel similar. Los públicos externos comprenden a las esposas, los empleados.
los amigos que no sean del trabajo o los miembros de la familia. Las organizaciones que prestan especial atención a los temas
Los públicos internos incluyen a los compañeros de trabajo que de gobierno, riesgo y control probablemente tengan el aspecto
no tienen la habilidad ni la autoridad para abordar el problema. formal cubierto, ya sea a través de líneas directas de terceros,
Se eligen estos públicos dado su bajo riesgo de represalia y por el políticas oficiales de recursos humanos, reuniones individuales
sentido de comunidad proveniente de compartir el descontento. programadas con regularidad, o bien una combinación de estos.
El disenso desplazado implica expresar el desacuerdo sin confrontar Lo que les falta es reconocer cómo la cultura organizacional influye
directamente con la gerencia. Es un indicador usual de la partida en el uso y la eficacia de esos instrumentos. Cuando la cultura
del empleado porque los empleados internalizan sus desacuerdos fijada por la gerencia a través de políticas formales e informales
sin comunicarlos a las personas que tienen el poder de ayudar. La incluye una apertura hacia puntos de vista opuestos, los empleados
partida física del empleado está precedida por su desvinculación ven que el disenso tiene una recepción positiva y, en consecuencia,
sicológica, es decir, el empleado “constata” su parecer y pierde su es más probable que lo expresen en modos beneficiosos para
compromiso con la organización. la organización.
Los gerentes y las partes interesadas deberían evidenciar la
Comprender las estrategias de disenso cultura de su organización en la toma de decisiones estratégica.
Un programa de gestión de riesgos eficaz debe considerar las Se puede lograr mejor comprensión de la cultura a través de
estrategias de disenso utilizadas por los empleados. El modo en encuestas sobre actitudes del empleado, auditoría formal del
que ellos expresan los retos constructivos puede tener un efecto flujo de información entre los niveles organizacionales u otras
sustancial sobre una estrategia de gestión de riesgos. Cuando evaluaciones de la eficacia comunicativa.
se diseña un control utilizando un enfoque basado en el riesgo, Los canales de comunicación apropiados para expresar el
el proceso de diseño con frecuencia omite el entendimiento de disenso deben ser acompañados de la capacitación de los gerentes
cómo el empleado a cargo de la tarea de implementación recibirá sobre los tipos de disenso y sobre cómo se debe abordar cada uno
las instrucciones. de ellos. Además, las políticas organizacionales sólidas deberían
Debido a que las respuestas al riesgo son implementadas por formalizar la actitud de la organización hacia el disenso. Estas
los empleados de la primera línea, si la gerencia no se entera o no políticas deberían proporcionar claras directivas a los gerentes y
ve el disenso, la eficacia de la estrategia se verá afectada. Cuando a los empleados sobre los enfoques para expresar el disenso y los
los empleados adoptan un disenso desplazado o antagónico, su procedimientos específicos respecto a estas expresiones y la gestión
interpretación puede diferir de la de gerencia y es posible que de estas opiniones.
vean a los controles internos que se les asignan como restricciones La comunicación es fundamental
a su capacidad de trabajar con eficacia. Si esta percepción está Es importante que los empleados, los gerentes y los auditores
acompañada de una falta de canales de comunicación eficaz, se le comprendan el funcionamiento de los canales de comunicación
dejan al empleado solo opciones de disenso que son desfavorables que los empleados utilizan para expresar el disenso y cómo cada
para la organización (disenso antagónico o disenso desplazado). uno de estos puede afectar las metas estratégicas de la organización.
Esta acción de disenso tal vez derive en el fallo de controles clave Por último, el rol del disenso en las actitudes y comportamientos
debido a la sensación de incapacidad del empleado para expresar de los empleados es un componente clave para determinar si un
sus inquietudes acerca del control en sí o de su impacto en otras programa de gestión de riesgos puede ser satisfactorio.
funciones laborales.
El fallo del control interno se puede malinterpretar como ANDREW TOPA, CRCM,es gerente de auditoría de cumplimiento
un fallo de diseño cuando en realidad este proviene de la carencia en TF Holdings in Fort Worth, Texas.

ABRIL 2019 INTERNAL AUDITOR 15


Auditoría de TI
POR STEVE MAR

UN PUNTO ÚNICO DE FALLO


El fallecimiento
de un presidente
ejecutivo (CEO, por

C
su sigla en inglés) uando un CEO En QuadrigaCX el que son críticos para el
canadiense de gobierno, la gestión de riesgos negocio a fin de determinar
pone de relieve los y los controles básicos no
intercambio de si existen puntos únicos de
riesgos de que solo criptomonedas, Gerald pudieron evitar este suceso fallo. Norma 1210.A3 del IIA:
una persona controle Cotten, murió de manera inesperado y de consecuencias La pericia que requieren los
inesperada en diciembre, se desastrosas o permitir una auditores les lleva a conocer
el acceso a los datos recuperación oportuna.
llevó contraseñas corporativas el negocio y la tecnología que
corporativos. clave a la tumba. Dichas Claramente, los controles revisan, este conocimiento lo
contraseñas podían liberar de acceso interrumpieron pueden obtener mediante el
$137 millones de fondos de las operaciones de los aprendizaje, la documentación
clientes que quedaron atrapados procesos de intercambio de y el mapeo de los sistemas y
en la computadora personal criptomoneda de la empresa procesos clave. Como parte de
encriptada de Cotten. Sin la y las transacciones normales ese proceso, el auditor puede
clave de recuperación para con sus clientes. analizar el flujo de procesos
acceder a dichos fondos, su Todas las organizaciones e identificar si determinados
empresa, QuadrigaCX, se deben considerar los riesgos de dispositivos o procesos podrían
presentó en quiebra, según un punto único de fallo como convertirse en un punto
los registros de la Suprema el caso de que solo una persona único de fallo. Por ejemplo,
Corte de Nova Scotia. conozca todas las contraseñas en algunas configuraciones
En marzo, Ernst & clave de un proceso crítico. de redes, un único ruteador
Young (EY) —monitor El riesgo se da cuando el fallo o dispositivo puede servir
designado por el tribunal— de una parte de un sistema de puerta clave. Pero si ese
decodificó el código de Cotten detiene el funcionamiento dispositivo falla, la puerta
y encontró que los fondos se de todo el sistema. Esta podría no estar disponible
habían transferido fuera de situación no es deseable en para los usuarios.
las billeteras criptográficas de ningún sistema cuyo objetivo Del mismo modo, el fallo
los clientes en abril de 2018. sea la alta disponibilidad de un único software puede
Además, EY informa que y fiabilidad. Esto es lo que tener un impacto calamitoso
QuadrigaCX conserva pocos sucedió en QuadrigaCX, y en un negocio. En 2012, una
registros y que nunca presentó lleva a importantes preguntas prueba de software fallida en
informes de sus finanzas. y lecciones en tres áreas clave. Knight Capital hizo que el
Este incidente lleva nuevo sistema de transacciones
el significado de un punto Gobierno, riesgos y comenzara a realizar
único de fallo a un nivel controles de la tecnología operaciones repetidamente, lo
superior. También sugiere Los auditores internos que ocasionó una pérdida de
algunas consideraciones a deberían identificar los $440 millones en 45 minutos.
los auditores internos para la sistemas, procesos, riesgos Los sistemas y
actualidad y el futuro. y gobierno de la tecnología herramientas de seguridad

ENVÍE IDEAS PARA ARTÍCULOS DE LA SECCIÓN AUDITORÍA DE TI a Steve Mar a: steve_mar2003@msn.com

16 INTERNAL AUDITOR ABRIL 2019


Los pequeños departamentos
de auditoría necesitan
aprovechar de la tecnología
más que nadie.
Wolters Kluwer TeamMate simplifica el proceso de auditoría para
más de mil departamentos pequeños de auditoría con diez o menos
auditores. Los departamentos pequeños enfrentan los mismos desafíos
que los grandes, pero con menos recursos. Las potentes herramientas
de auditoría, como TeamMate, pueden proporcionarle la eficiencia,
la organización y el aseguramiento de la calidad que necesita.

Aprende más en www.TeamMateSolutions.com/ES

Copyright © 2018 Wolters Kluwer Financial Services, Inc. 10326


Prácticas/Auditoría de TI PARA HACER COMENTARIOS sobre este
artículo, ENVÍE UN CORREO ELECTRÓNICO
al autor a steve.mar@theiia.org

de la información también pueden convertirse en un punto datos, un equipo de auditoría de TI observó que un sistema crítico
único de fallo. Por ejemplo, una compañía dedicada al comercio no se pudo restablecer varias veces. La causa: Un medio de respaldo
minorista, solicitó que todos sus clientes actualizaran sus falló y no se pudo leer. El equipo de recuperación de desastres pudo
contraseñas de acceso, diciéndoles que tendrían descuentos hacer un nuevo respaldo pero desde el centro de datos existente.
promocionales y que mejoraría la seguridad de la cuenta. Sin Les llevó más de dos días crear este respaldo. ¿Qué hubiera pasado
embargo, el sistema de seguridad de las contraseñas se convirtió si el centro de datos existente no hubiera estado disponible o si
en un punto único de fallo cuando, repentinamente demasiados el restablecimiento hubiera llevado semanas? ¿Los clientes del
clientes iniciaron sesión para actualizar sus contraseñas y esto procesador de nóminas hubieran aceptado la interrupción de
colapsó el sistema. El sistema no estaba diseñado para manejar este servicio crítico?
ese volumen.
Al abordar los puntos únicos de fallo, los auditores internos Personal clave
se deben centrar en los riesgos más altos relativos a la tecnología En su universo de auditoría o programa de auditoría, los auditores
y a los procesos de negocio. Por ejemplo, en la publicación de deberían analizar a ejecutivos o personal clave como posible punto
Deloitte de 2019 "Una mirada al futuro" (An Eye on the Future): único de fallo. Si un usuario de cuenta privilegiado, administrador
El informe "Temas candentes para la auditoría interna de TI del sistema o CEO es la única persona que conoce la contraseña
en servicios financieros" enumera, entre los temas de riesgos clave y no se ha implementado un proceso de recuperación, el
más cruciales, la seguridad informática, la transformación y el riesgo de un punto único de fallo aumenta.
cambio en la tecnología, la resiliencia tecnológica y los riesgos Para comenzar, los auditores internos deberían identificar
de la empresa extendida. Varios de estos temas se aplican a todas quiénes son las partes interesadas clave —clientes, proveedores,
las organizaciones.
Conocer los principales riesgos es el
comienzo, pero encontrar puntos únicos de En su universo de auditoría, los
fallo en esas áreas puede plantear un desafío
considerable. Los auditores internos cubren auditores deberían analizar a
los cambios en los programas realizando
pruebas en el gobierno y los controles, pero ejecutivos o personal clave como
en el mejor de los casos, los auditores solo
pueden generar muestras de determinados posible punto único de fallo.
procedimientos y procesos de prueba.
o usuarios—de los sistemas críticos. Deberían preguntar y
Probar el respaldo para la recuperación de desastres documentar si una única persona se encarga de una tarea o
Los auditores internos deberían determinar qué planes de respaldo función crítica y considerar el riesgo de un punto único de fallo.
o recuperación están implementados para los sistemas críticos de El personal clave no tiene que ser necesariamente un CEO
la organización. Los planes de recuperación de desastres sirven para convertirse en un punto único de fallo. Durante una revisión
como un proceso de control de alto nivel para restaurar los sistemas de un sistema de administración clave critico de un vendedor
críticos que se hayan perdido o interrumpido. Revisar el gobierno, minorista importante, un auditor de TI descubrió que una de
los riesgos y los controles mediante el respaldo o las pruebas de las dos personas que tenían la mitad de la encriptación primaria
recuperación de desastres le permite al auditor determinar con se había ido de la empresa. La empresa no detectó esta situación
qué rapidez se puede recuperar un sistema crítico. El objetivo de porque no hubo necesidad de generar una nueva clave desde que
la prueba de recuperación debería incluir analizar cualquier punto el empleado se había ido. Si hubiera sido necesario generar una
único de fallo como la prueba para detectar si faltan documentos, nueva clave, se habría ocasionado una grave demora o un incidente
dispositivos o personas clave. de seguridad.
El uso de tecnología y software en la nube como un
servicio añade diferentes factores que el auditor necesita revisar. Prepararse para el futuro
Por ejemplo, ¿qué tan frecuentes y realistas son los planes de Al prepararse para el futuro, los auditores internos deberían
prueba? ¿Qué errores o contratiempos no están cubiertos? y, continuar evaluando procesos de TI complejos sobre la base del
más importante, ¿existe algún punto único de fallo? Si se llevó a riesgo. El incidente de QuadrigaCX demuestra que es necesario
cabo la recuperación de un sistema crítico pero solo una persona que los auditores evalúen posibles puntos únicos de fallo en la
pudo proporcionar las únicas claves de acceso para poder realizar tecnología. Cuando un punto único de fallo puede interrumpir
una transacción o para iniciar el sistema, el auditor o el equipo de los negocios de una organización o el proceso tecnológico,
recuperación deberían considerar esto como un punto único de fallo. los auditores deberían evaluar cuidadosamente esta amenaza.
Algunos planes de recuperación de tecnología no se prueban Ignorarla podría ser peligroso para la solidez de la organización.
ni se ejecutan en su totalidad porque son demasiado complejos, no
hay recursos en el presupuesto, o el gobierno es demasiado débil. A
veces una recuperación limitada se considera exitosa.
Hace varios años, durante una prueba de recuperación de STEVE MAR, CFSA, CISA, es instructor de auditoría de TI en la
desastres del procesador de nóminas de un importante centro de Universidad de Seattle y en la Universidad de Hawái en Honolulu.

18 INTERNAL AUDITOR ABRIL 2019


Presentamos
Los blogs del auditor interno
Opiniones con puntos de vista acerca de la profesión

Además del contenido de publicación de primera clase, tenemos el honor de presentar


cuatro blogs escritos por líderes en auditoría que invitan a la reflexión. Cada uno de los blogs
explora temas importantes que afectan a los auditores internos actuales en todos los niveles
y todas las áreas de este campo vasto y variado.

Chambers Los Soluciones Puntos de vista


acerca de la pensamientos de Soileau: de Pelletier:
profesión: de Jacka:

Reflexiones Pensamiento Asesoramiento para Percepciones e


experimentadas creativo para los los desafíos diarios innovaciones de una
sobre cuestiones tiempos de cambio en la auditoría persona con acceso
importantes a información
privilegiada

LEA TODOS NUESTROS BLOGS. Acceda a InternalAuditor.org.

2017-1087 PUB-Ia Blog Generic Mag Ad-FNLcrx.indd 1 2018-04-25 2:32 PM


Vigilancia del riesgo
POR SRIDHAR RAMAMOORTI, JAMES H. WANSERSKI + RICHARD STOVER EDITADO POR CHARLIE WRIGHT

LA VELOCIDAD DEL RIESGO


En momentos de
crisis instantáneas,
los auditores

A
internos y sus penas unas décadas de redes sociales hicieron conciencia de la velocidad del
partes interesadas atrás, el surgimiento que las valoraciones de las riesgo, los auditores internos
necesitan tener un de eventos de riesgo acciones cayeran en cuestión pueden identificar y abordar
problemáticos de minutos y condujeron áreas donde las organizaciones
sentido de urgencia a menudo era lento y las a pedidos inmediatos de deben tomar medidas
para identificar y organizaciones gestionaban investigaciones del gobierno. preventivas para reducir la
gestionar el riesgo. las secuelas correspondientes La divulgación de contratos posibilidad de que suceda
dentro un período manejable. de ventas inapropiados a cargo una crisis generada por un
Las organizaciones que de una importante institución evento de riesgo catastrófico.
contaban con amplios financiera de EE. UU. provocó
recursos de relaciones públicas una conmoción significativa, Velocidad y ERM
respondían a la mayoría de que incluyó importantes Las Normas Internacionales
las crisis posteriores a los cambios de personal. para el Ejercicio Profesional de
eventos luego de planificar y En el entorno actual, el la Auditoría Interna estipulan
analizar respuestas reflexivas. momento en que ocurre una la ejecución, la realización,
Además, las organizaciones crisis impulsada por riesgos los principios y las prácticas
calculaban cuidadosamente catastróficos y el declive en que también sirven como
su transparencia con las partes las finanzas y la reputación “protecciones” para la profesión.
interesadas en lo relativo de una organización puede Las normas relevantes para la
al evento para gestionar su ser prácticamente simultáneo. velocidad del riesgo lógicamente
impacto en la organización. Esta nueva realidad ha forzado se vinculan con competencias
Adelantándonos al hoy, a que los altos ejecutivos de auditoría interna como
el ritmo de la información es y los auditores internos demostrar competencia y debido
prácticamente instantáneo. Por consideren un nuevo aspecto cuidado profesional; alinearse
ejemplo: cuando una conocida de la gestión de riesgos: la con las estrategias, los objetivos
cadena de restaurantes de velocidad del riesgo. y los riesgos de la organización;
comida rápida en EE. UU. La velocidad del riesgo brindar aseguramiento basado
tuvo un brote de casos de es la rapidez o la intensidad en el riesgo; ser perspicaz, ser
personas afectadas con lechuga con la cual suceden los eventos proactivo y estar centrado en el
con E. coli, el precio de las en el entorno de negocio futuro; y promover la mejora de
acciones se desplomó un hoy en día. Auditar en esta la organización.
44 % en 90 días en medio “nueva normalidad” significa Los auditores internos
de una intensa exposición cambiar, adaptar y entender lo contribuyen de innumerables
en los medios y las redes fundamental de responder a la formas a los objetivos de
sociales. Recientes inquietudes velocidad del cambio con un gestión de riesgo empresarial
por temas de privacidad imperioso sentido de urgencia. (ERM, por su sigla en inglés)
relativas a diversas compañías Una vez que han tomado de las siguientes maneras:

ENVÍE IDEAS PARA ARTÍCULOS DE LA SECCIÓN VIGILANCIA DEL RIESGO a Charlie Wright a charliewright.audit@gmail.com

20 INTERNAL AUDITOR ABRIL 2019


PARA HACER COMENTARIOS sobre este artículo,
ENVÍE UN CORREO ELECTRÓNICO a los autores a
sridhar.ramamoorti@theiia.org

»» Ayudan a que la dirección gestione el riesgo. de dirección, e influir en ellos, para calibrar mejor, anticipar
»» Evalúan y auditan métodos y enfoques de evaluación necesidades y encuadrar el impacto de la velocidad en acciones
de riesgos. preventivas para eventos de riesgo.
»» Crean un plan de auditoría ágil, flexible y con capacidad Al realizar su trabajo, los auditores internos deberían
de respuesta. familiarizarse con la frase “auditar a la velocidad del riesgo”. Las
»» Evalúan si los programas de ERM están usando las reacciones posteriores a eventos de riesgo catastrófico tienden a
métricas correctas. ser mucho más costosas y perjudiciales para la organización. Los
»» Evalúan si la dirección está priorizando el riesgo en auditores deberían prever eventos relacionados con riesgos usando
forma apropiada. herramientas de vigilancia continua y auditando los sistemas
»» Respaldan y capacitan al consejo y a la alta dirección sobre mediante consultas, informes de excepción especializados y técnicas
avances recientes en abordajes de gestión de riesgos. similares. Estos métodos, junto con la inclusión de “la velocidad
A menudo, auditoría interna revisará de qué modo la organización del riesgo” como parámetro en debates sobre matriz de riesgo,
está abordando la evaluación de riesgos de toda la empresa que pueden destacar los procesos y las transacciones del negocio en
realiza el director de riesgos, y así brindar aseguramiento sobre el riesgo, mejorar la cobertura y agregar velocidad. Por ejemplo: los
establecimiento de prioridades y la adecuación de las estrategias de auditores internos pueden dotarse de herramientas y técnicas como
respuesta. Estas evaluaciones incluirán la perspectiva de auditoría revisiones de transacciones históricas con tendencia dentro de las
interna respecto de todas las operaciones de la organización operaciones de cadena de suministro.
dirigidas hacia las consideraciones sobre riesgos. Tal perspectiva Estos métodos —complementados por análisis de proveedor
debería incluir áreas de riesgo que son potencialmente perjudiciales por proveedor, revisiones de control interno y técnicas para
para la organización, según se prevé con evaluaciones de entrevistas— pueden conducir a una detección temprana de
probabilidad, tamaño y velocidad del impacto. Auditoría interna transacciones fraudulentas, discrepancias en los tiempos, gastos
debería abordar las áreas correspondientes dentro del alcance de que no son óptimos o económicos, y defectos de productos. La
su programa de trabajo. integración de la velocidad del riesgo en el entorno de auditoría
Al llevar a cabo estas tareas, los auditores internos deberían interna, junto con un sentido de urgencia, puede redundar
asegurar que la matriz del programa de ERM de la organización en eficiencia general, mejorar la agilidad y la resistencia de la
destaque de qué forma la velocidad del riesgo puede influir en la organización, y contribuir con valor para la dirección.
organización. Los auditores deberían recomendar que sea una de
las mediciones clave del programa de riesgo. La tercera dimensión del riesgo
Con la auditoría de la velocidad del riesgo se puede asegurar La velocidad del riesgo está impulsando a la profesión de auditoría
que los riesgos se prioricen de manera más apropiada, y así la interna para que crezca y apuntale su propia atención y la de la
dirección puede prevenir, gestionar y responder a los riesgos dirección hacia la velocidad de impacto del riesgo acelerando y
más eficazmente. Los auditores internos pueden ayudar a que la mejorando la auditoría basada en riesgos. La conexión con los
dirección y el consejo midan y aborden los riesgos catastróficos riesgos y las estrategias del negocio ahora es todavía más imperativa
al conocer los riesgos específicos que podrían afectar el negocio, para que auditoría interna mantenga su relevancia. Para no perder
medir el riesgo de modo organizado y sistemático, y documentar el ritmo, las empresas deben adoptar un enfoque de gestión
y comunicar las perspectivas de riesgos evaluados cualitativa y de riesgos tridimensional: probabilidad, tamaño del impacto
cuantitativamente. y, lo más importante, velocidad (esa mentalidad de sentido de
la oportunidad, rapidez y tiempo medio al evento).
Planificación y ejecución Al agregar la dimensión de velocidad, auditoría interna
Los auditores internos deben considerar la velocidad del riesgo al puede facilitar evaluaciones profundas de ciertas áreas de
priorizar y crear su plan de auditoría anual. El plan de auditoría riesgo que podrían volverse eventos de riesgo catastrófico. La
debería incluir una medida de velocidad del riesgo que refleje la identificación de estas áreas puede inspirar un diálogo más sólido
magnitud y la velocidad de reacción interna y externamente en caso con la dirección y el consejo acerca de cómo resolver posibles
de que ocurra un evento de riesgo catastrófico. El departamento dificultades. Es más, abordar la velocidad del riesgo puede habilitar
debería ajustar su perspectiva sobre la gestión de riesgos al a auditoría interna para ayudar a la dirección y al consejo a prever
reconocer y abordar la influencia de la velocidad en posibles e impedir que estos eventos de crisis ocurran.
eventos e impactos. Los auditores internos deben estar atentos a
SRIDHAR RAMAMOORTI, PHD, CIA, CRMA, CFSA, es profesor
los impactos actuales y continuos del riesgo en la empresa a la hora
asociado de contabilidad en la Universidad de Dayton en Ohio.
de diseñar y ejecutar auditorías; compilar resultados; documentar JAMES H. WANSERSKI es fundador de Wanserski & Associates
tendencias históricas y comunicar de qué forma la dirección, los en Atlanta.
procesos de negocio y la tecnología incorporada están abordando RICHARD STOVER, CPA, CGMA, es profesor en la Universidad
el riesgo. Es más, los auditores deberían asistir a los equipos de Dayton.

ABRIL 2019 INTERNAL AUDITOR 21


Observaciones de fraude
POR ANNA HOWARD Y ANDREW LOUGH EDITADO POR BRYANT RICHARDS

EL FRAUDE DE LA INGENIERÍA SOCIAL


La cultura nacional
juega un papel

K
importante en un
ai Tang estaba el dinero para cerrar el trato. intentaba entender cómo
fraude de whaling trabajando tarde el 25 Tang se había comunicado rara pudo ser víctima de semejante
que engaña al de diciembre. Era fin vez con el CEO directamente, engaño trivial y a la vez, de
contralor de una de año y la actividad pero sabía que tenía mal genio algún modo, sofisticado,
en la empresa se incrementaba, y que no toleraba que se lo los miembros del consejo
subsidiara en el
esto mantenía ocupado al cuestionara o desafiara. preguntaron, “¿Qué preguntas
extranjero. contralor de un distribuidor Mientras Tang no nos planteamos que
de un fabricante importante de consideraba cómo comunicarse podrían haber evitado que
EE. UU. en la activa Singapur. con su gerente general(que esto sucediera?”. Se nombraron
Dado que era feriado en estaba en un avión) y si varias razones que podrían
EE. UU, Tang sabía que no se debía comunicarse y de haber creado esta tormenta
lo interrumpiría con consultas qué manera con el CFO de perfecta de fallos incluida la
y solicitudes desde la casa la empresa en su hogar en cultura nacional, que se trajo
central corporativa. Aunque Navidad, su teléfono sonó. El a colación más de una vez.
el contralor corporativo y el hombre se presentó como un El psicólogo social
director financiero (CFO, por gerente sénior de una firma holandés Geert Hofstede
su sigla en inglés) rara vez lo de auditoría externa de la concluyó que seis dimensiones
visitaban personalmente, con empresa. Afirmó que estaba culturales están en juego en el
frecuencia se comunicaban trabajando con el CEO en mercado global. Una de ellas es
por correo electrónico con esta compra urgente y que la el índice de distancia de poder
preguntas, pero solo llamaban demora de la transferencia (PDI, por su sigla en inglés)
cuando el asunto era urgente por parte de Tang podría que mide la distribución de
debido a la diferencia horaria. poner en peligro todo el trato. poder — y riqueza — entre
Además, su subsidiara había Aunque la cabeza le daba las personas en una empresa,
sido visitada por auditores vueltas y se le presentaban cultura o nación. En un país
internos el mes anterior— sin preguntas persistentes, Tang como Singapur, donde existe
que surgieran problemas— y se apresuró a preparar una una jerarquía de la autoridad
estaba programada una visita transferencia de $100.000, más fuerte, es común que
de auditores externos en enero. confirmó la información de la los subordinados sigan los
De pronto, Tang recibió cuenta e hizo clic en “enviar”. caprichos de una figura
un correo electrónico del Esto resultó ser un engaño y autoritaria. Como regla general,
CEO de la empresa en el que la empresa nunca recuperó en culturas con PDI más
le notificaba de la compra de los fondos. alto es menos probable que
un edificio para una nueva Al mes siguiente en la los subordinados cuestionen
ubicación de la oficina de Asia. sala de sesiones del consejo a sus superiores que en las
El correo electrónico expresaba de administración, cuando culturas con PDI más bajo,
que era urgente transferir la empresa multinacional y en organizaciones donde

ENVÍE IDEAS PARA ARTÍCULOS DE LA SECCIÓN OBSERVACIONES DE FRAUDE a Bryant Richards a bryant_richards@yahoo.com

22 INTERNAL AUDITOR ABRIL 2019


PARA HACER COMENTARIOS sobre este
artículo, ENVÍE UN CORREO ELECTRÓNICO
al autor a anna.howard@theiia.org

es primordial en las relaciones, especialmente en Asia, y hay que


LECCIONES APRENDIDAS invertir tiempo para desarrollarla. Ninguno de los gerentes de
EE. UU. invirtió tiempo para desarrollar relaciones estrechas
»» Seguir la letra de la descripción de los
controles no es suficiente. Haga preguntas con sus colegas de Singapur.
independientemente de que se alcance el El whaling es un tipo de ataque que utiliza el correo
objetivo del control y revise la descripción, electrónico o el sitio web falsificándolos a fin de engañar al
de ser necesario. destinatario para que realice un acción determinada, que en
»» La gerencia de la empresa debería trabajar con este caso fue que el contralor transfiriera dinero a una cuenta.
los proveedores externos, como los bancos, a fin
Los ciberdelincuentes se hacen pasar por personas de funciones
de automatizar los controles.
»» La capacitación de los empleados debería estar de la alta dirección dentro de una organización y sus destinatarios
a cargo de la gerencia o de consultores expertos son otras personas importantes de la organización con el objetivo
para reconocer e identificar esquemas de fraude de robar dinero o información sensible, o de obtener acceso a
electrónico (phishing). La capacitación debería los sistemas informáticos. Específicamente, los destinatarios del
ser integral y frecuente. whaling son personas clave con quienes simulan una comunicación
»» Cuando usted trabaja en un entorno
de alguien de un rango superior o influyente —como el CEO—
multinacional, aprenda sobre la cultura,
identifique características que podrían facilitar con una solicitud que el personal se muestra reticente a rechazar.
el fraude, diseñe controles más sólidos, de ser Los controles internos ayudan a prevenir que ocurran estas
necesarios, y proporcione capacitación adicional cosas, pero el sistema existente resultó no ser eficaz para superar
a los empleados. una influencia cultural tan fuerte. De hecho, se comprobó que los
»» La gerencia debería crear una estructura de controles estaban mal diseñados para cualquier tipo de cultura. El
apoyo e invertir tiempo en entablar relaciones único control sobre las transferencias bancarias estaba redactado de
personales con los empleados extranjeros a fin
la siguiente manera:
de cultivar la confianza.
Las transferencias electrónicas se envían desde el sitio web
del banco. Para pagos electrónicos, todo el respaldo se da a
las figuras con autoridad trabajan en relación más estrecha con los un firmante autorizado, el contralor/gerente general/ gerente
subordinados y en donde es más aceptable desafiar la autoridad. financiero para la aprobación electrónica en el sitio web
Dessalegn Getie Mihret de la Universidad Deakin en Australia del banco.
llevó a cabo un estudio en 66 países en el que analizó la relación
entre las dimensiones de la cultura nacional y la exposición al Siempre que se probó este control durante una auditoría
fraude. Su investigación sugiere que existe una alta exposición interna, el contralor pudo presentar los documentos de la
al fraude en los países con PDI alto. Este fue un caso de fraude segunda aprobación del gerente general. Se seguía la letra del
externo, pero fraude, de todos modos En el caso de Tang, esta control. Los auditores internos nunca preguntaron, “¿Sería
dimensión cultural tuvo un doble efecto. Al ser Tang de Singapur, teóricamente posible que una persona aprobara y enviara una
transferencia desde el sitio web del

Se comprobó que los controles banco?” Evidentemente, el sitio web


del banco no requería una segunda
estaban mal diseñados para aprobación lo que hizo posible que una
persona enviara la transferencia.
cualquier tipo de cultura. Además, había un fallo en los
controles de seguridad de TI. El correo
electrónico fue evidencia clara de un
una cultura con PDI alto, no se sentía cómodo desafiando la esquema de fraude electrónico (phishing) exitoso donde el
solicitud de una persona a la que percibía como una autoridad
atacante se hace pasar por una persona de prestigio con la
de alto rango. El CEO de la empresa era de Albania, otra cultura
intención de defraudar a la organización. Una capacitación
con PDI alto, y era célebre por no tolerar ningún desafío a su
adecuada para educar a los empleados es fundamental a fin de
autoridad. Esto creó una cultura de miedo dentro de la empresa.
prevenir estos ataques y evidentemente Tang no la tenía.
Nadie quería ser sujeto de una reprimenda del CEO quien era
conocido por gritar y denigrar a sus empleados en público.
Otro factor en esta tormenta de fallos fue la ausencia de
asesores de confianza dentro de la empresa a quien Tang pudiera ANNA HOWARD, CPA, CMA, es directora del Programa
de Maestría en Ciencias de la Contabilidad en Nichols
consultar en momentos de duda. Al ser un feriado, a Tang no le
College en Dudley, Mass.
parecía adecuado comunicarse con ninguno de sus supervisores ANDREW LOUGH, CIA, CPA, CRMA, CGMA, es profesor
de EE. UU. No tenía una relación lo suficientemente estrecha adjunto de auditoría de control interno en Nichols College.
con ninguno de ellos y pensaba que los molestaría. La confianza

ABRIL 2019 INTERNAL AUDITOR 23


PRIVACIDAD DE LOS DATOS

ALCANCE-
GLOBAL DEL

S i las empresas de EE. UU. creían que


las abundantes aguas del Atlántico
las salvarían del nuevo Reglamento
General de Protección de Datos
de la Unión Europea (GDPR, por
su sigla en inglés) esa ilusión se
desvaneció el 21 de enero. En esa
fecha el organismo francés de control
de la privacidad, la Commission
Nationale de l’informatique et
des Libertés (CNIL, por su sigla en francés) aplicó una
multa de alrededor de €50 millones (USD $57 millones)
“por falta de transparencia, información inadecuada y
la falta de consentimiento válido en relación con [sic]
la personalización de anuncios”.

24 INTERNAL AUDITOR ABRIL 2019


THIS IS THE SLUG LINE

L GDPR
El NOYB, Centro Europeo de Derechos Digitales y La ni completa”. Además, la CNIL determinó que dado que la
Quadrature du Net — dos grupos activistas en defensa de compañía utilizaba los datos para una variedad de servicios,
la privacidad— presentaron el caso casi en cuanto el GDPR el fundamento jurídico de Google para el procesamiento
entró en vigencia el 25 de mayo de 2018. Adujeron que de cada servicio individual era demasiado oscuro para el
los usuarios no podían dar un consentimiento específico cliente.
para que Google procese los datos privados porque sus El organismo de control también encontró fallos
términos y condiciones eran demasiado ambiguos. en los procedimientos de consentimiento de Google al
El organismo de control estuvo de acuerdo. En destinar a los clientes avisos personalizados. Denunció
el primer caso importante a decidir conforme a las que los usuarios debían ir al menú “más opciones” para
nuevas regulaciones, la CNIL determinó que Google modificar el modo en que se utilizarían sus datos, la
había incumplido el requisito de transparencia. Si los casilla de consentimiento ya se encontraba marcada.
clientes deseaban saber cómo se utilizaban sus datos — Más importante, la CNIL mencionó que al crear una cuenta
especialmente para el servicio de seguimiento geográfico el usuario acordaba de modo eficaz a una variedad de
de las empresas— tendrían que hacer clic a través de cinco procesamientos de datos por parte de la compañía, lo que
o seis páginas diferentes del sitio de la compañía. Incluso incluye personalización de anuncios, reconocimiento de
entonces, parte de esa información “no siempre era clara voz y más, todo cubierto por un único acuerdo. “El GDPR

Los auditores internos de todo


el mundo están comenzando
a entender el impacto de la
regulación de protección de
datos de Europa sobre sus
organizaciones y sobre el
rol en cuanto a cumplimiento.
Arthur Piper

Ilustraciones por Sean Yates


Fotografía base
por Viktorus/Shutterstock.com

ABRIL 2019 INTERNAL AUDITOR 25


PARA HACER COMENTARIOS sobre este artículo,
ENVÍE UN CORREO ELECTRÓNICO al autor a
ALCANCE GLOBAL DEL GDPR arthur.piper@theiia.org

estipula que el consentimiento es las organizaciones pueden enviar correos presentó la causa contra la casa matriz de
‘específico’ solo cuando se da claramente electrónicos y mensajes de texto no Google LLC en EE. UU. Así lo determinó
para cada finalidad”, concluyó la CNIL. solicitados, permitirá a los usuarios de la porque la oficina de EE. UU. tuvo la última
web establecer sus preferencias de cookies palabra sobre cómo se utilizaban los datos
EL GDPR ES SOLO EL COMIENZO en sus navegadores y hará más rígidas las recopilados mediante su aplicación
Si bien Google apeló el caso ante el reglas de confidencialidad para los negocios Android, la casa matriz de EE. UU. era
organismos administrativo superior de en Internet. legalmente responsable de cumplir con el
Francia, el Consejo de Estado, la lógica Un país lejano, China, el año GDPR. Cualquier multa, por lo tanto, se
de la CNIL proporciona un indicio de pasado introdujo una gran cantidad calcula según el volumen de facturación
cómo interpretan los organismos de de regulaciones sobre ciberseguridad, de la casa matriz de la compañía. En
control aspectos claves del GDPR para las protección de datos y transferencia de datos 2017, Google LLC tuvo un volumen de
organizaciones con sede en cualquier parte entre países, con características distintivas facturación de USD $110.000 millones,
del mundo y cómo aplican multas. Y aún del tipo de las del GDPR. Y por lo que la multa que se le aplicó podría
más, es probable que el GDPR cambie el en EE. UU., la Ley de Privacidad del haber sido de USD $4.400 millones, en
modo en que las organizaciones manejan Consumidor de California de 2018, lugar de los USD $57 millones impuestos
los datos privados a escala global. Con que entra en vigor en 2020, incluye por la CNIL.
razón, los auditores internos que creían cláusulas de opción de exclusión, reglas El organismo de control del Reino
haber cruzado la línea de llegada, con la de transparencia, y derechos de los clientes Unido, la Oficina del Comisionado de
vigencia del GDPR se están dando cuenta a ser olvidados, similares al contenido Información (ICO, por su sigla en inglés)
de que recién empiezan la carrera. del GDPR. afirma que las multas no representan la
“Muchas organizaciones con sede
en EE. UU desearían haber comenzado
antes las tareas destinadas a cumplir Los organismos de control están
con el GDPR”, afirma Jan Hertzberg,
consultor independiente sobre privacidad
trabajando con las empresas para
y profesor adjunto en DePaul University ayudarlas a cumplir, pero también están
de Chicago. El año pasado, muchos de
ellos se centraron en actualizar sus políticas
preparados para aplicarles multas por las
y avisos de privacidad justo antes de que faltas de cumplimiento que encuentren.
entraran en vigencia los requisitos del
GDPR. En el año que comienza, planean
Los auditores internos están peor amenaza para las organizaciones en
priorizar la evaluación de riesgos relativos
trabajando a fin de entender mejor el relación con el GDPR. Sostiene que la
al GDPR a nivel de toda la empresa, “para
enfoque de los organismos de control idea de que habrá multas masivas es el
identificar sus mayores riesgos” y llevar
para equilibrar asesoramiento y castigo. “primer mito” a la hora de entender cómo
a cabo auditorías de gobierno relativas
Y algunos están ocupados en desarrollar los organismos de control implementan
al GDPR, señala.
redes dentro y fuera de sus organizaciones e interpretan sus nuevas facultades.
Este nuevo enfoque sobre la que los ayuden a entender las reglas y “En términos de facultades y sanciones,
privacidad de los datos es oportuno lo que implican para sus empresas. Y si la ICO tiene como objetivo educar y
porque la filosofía subyacente del GDPR bien aumentar las competencias de TI apoyar a las organizaciones a cumplir
se está abriendo camino en las nuevas probablemente sea importante, lograr sus responsabilidades en relación con
reglamentaciones en todo el mundo: Los entender en profundidad los temas la protección de datos”, dice Debora
clientes tienen que optar específicamente estratégicos es clave. Biasutti, jefa de comunicaciones de la ICO.
por los servicios, su consentimiento para “Establecer multas, siempre ha sido, y
el procesamiento de los datos tiene que EL ENFOQUE DE LOS ORGANISMOS continuará siendo, un último recurso”.
ser explícito, tienen el derecho a saber DE CONTROL En el momento de la publicación, el
qué organizaciones de datos los conservan El GDPR se aplica a todas las empresas Reino Unido podría potencialmente dejar a
y cómo los utilizan, y las organizaciones que conservan datos personales de la UE sin un conjunto formal de acuerdos
deben contar con procesos de respuesta ciudadanos de la UE que hacen negocios para regir el modo en que se utilizan
rápida para notificar a los organismos de fuera de Europa, potencialmente sujetos los datos de ciudadanos entre ambos
control y a los clientes en casos graves a las normas europeas. En el caso de territorios. Si eso sucede, el Reino Unido
de vulneración de datos. En la UE, por Google de este año, la CNIL hizo una estará cubierto por la Ley de Protección de
ejemplo, las disposiciones del GDPR importante distinción que probablemente Datos de 2018, que plasma la mayoría de
se extenderán a las comunicaciones tenga peso para denuncias que involucren las disposiciones del GDPR en las leyes del
electrónicas mediante un nuevo reglamento compañías de EE. UU. y otras con sede Reino Unido.
de privacidad electrónica, que se espera fuera de Europa. A pesar de que la casa Hay indicios prematuros de que los
que entre en vigencia más adelante este central corporativa de Google en Europa organismos de control están trabajando con
año. Estas reglas regirán el modo en que se encuentra en Dublín, Irlanda, la CNIL las empresas para ayudarlas a cumplir, pero

26 INTERNAL AUDITOR ABRIL 2019


Solo el 20 % de las empresas encuestadas después del plazo del 25 de mayo de
2018 dijeron que cumplían con los requisitos del GDPR, según el informe sobre el estado
del cumplimiento del GDPR elaborado por TrustArc.

también están preparados para aplicarles datos”, afirma el informe. El hecho de


multas “proporcionales” por las faltas de que las reglas no se basen en la ubicación
cumplimiento que encuentren. El modo donde se encuentra la organización, sino
en que los organismos de control buscan en la ubicación del cliente cuyos datos se
ayudar a las organizaciones se puede ver recopilan, podría haber llevado a algunos
por una serie de casos que involucran a DAE a pensar que no afectaba a sus
empresas mucho más pequeñas que Google. empresas, sugiere el informe.
En diciembre de 2018, por Hertzberg afirma que la aparente
ejemplo, la CNIL cerró una causa de lentitud de las organizaciones en
consentimiento del GDPR de una responder a los requisitos del GDPR
pequeña firma francesa de tecnología de puede atribuirse en parte a una falta de
la publicidad llamada Fidzup. Según la conocimiento de esos requisitos junto con
revista en líneaTechCrunch, Fidzup trabajó una falta de claridad sobre cómo lograr
con la CNIL para crear un formulario de el cumplimiento. De algún modo, él es
consentimiento más largo a fin de que crítico de lo que considera falta de atención
los clientes pudieran optar por incluir o por parte de la UE en la educación de las


excluir cada servicio, que ofrecía de manera empresas fuera de Europa. “Dado que
individual, lo que recuerda al enfoque de la obviamente es un fenómeno de todo el
CNIL para Google. mundo, los organismos de control europeos
“Ahora bien, tenemos algo entre el harían bien en considerar más a las partes Dado que
pedido inicial para la CNIL—que era como extranjeras”, dice. obviamente
un gran libro— y nuestra colección de “La falta de conocimiento de los es un
consentimientos antes de la advertencia, requisitos del GDPR es un problema
que era demasiado breve y no tenía la crítico para la gerencia, el personal y el fenómeno
información correcta”, dijo Oliver Magnan- consejo de las organizaciones”, agrega de todo el
Saurin, presidente ejecutivo (CEO, por su Hertzberg Los auditores internos y los mundo, los
sigla en inglés) de Fidzup, a TechCrunch. El profesionales encargados del cumplimiento
formulario de consentimiento enmendado suelen esforzarse para que dichas partes organismos
sigue siendo largo para leer, concede. La interesadas presten atención a lo que parece de control
compañía también tuvo que modificar ser una cuestión europea. “Ahora que la europeos
el modo en que trabajaba la tecnología, novedad del GDPR ha pasado, existe la
de modo que, por ejemplo, la aplicación preocupación de que en el futuro se preste harían
y sus funciones de ubicación geográfica incluso menos atención a estos requisitos”, bien en
seguían funcionando si los datos no iban explica. considerar


a los anunciantes cuando el usuario optaba Hertzberg señala que algunos
por ser excluido. miembros de auditoría interna —por más a las
ejemplo los DEA y los gerentes de auditoría partes Es necesario
PROCESO LENTO interna —podrían ser reacios a contratar extranjeras”. que auditoría
No está claro si los auditores internos especialistas en ciberseguridad y privacidad
han comprendido plenamente el alcance para sus departamentos. En cambio, han Jan Hertzberg interna
extraterritorial del GDPR, según una optado por colaborar con sus propios ayude a las
investigación reciente del IIA. La encuesta asesores jurídicos, directores de seguridad
2019 North American Pulse of Internal de la información y directores de privacidad empresas
Audit [El ritmo de la auditoría interna en para ayudarles entender en profundidad lo a entender
América del Norte 2019] detectó que si que las regulaciones implican en la práctica. si están
bien el 70 % de los directores ejecutivos de También han solicitado asistencia de
auditoría (DEA) encuestados estaban muy consultores externos. aprove-
preocupados acerca de la posibilidad de En general, los DEA se centran en chando los
sufrir daños en la reputación por problemas la toma de conciencia de los temas de datos tan
de privacidad, solo el 29 % expresó un ciberseguridad y privacidad de modo que
alto grado de preocupación acerca del quienes tienen responsabilidades operativas
bien como
cumplimiento de los requisitos del GDPR, entiendan claramente que deben “poseer” deberían”.
aunque esa preocupación alcanzo el 62 los datos que recopilan y utilizan. De este
% entre las organizaciones más grandes. modo, entenderán mejor la necesidad de Dominique Vincenti
“Esto podría reflejar algún malentendido retener y proteger los datos personales, y
de cómo y cuándo se aplican estas nuevas los temas relacionados con esta retención
reglas de protección y privacidad de los y protección. Más problemático, dice,

ABRIL 2019 INTERNAL AUDITOR 27


ALCANCE GLOBAL DEL GDPR

es que las empresas han tenido menos Vincenti dice que espera que la
claridad acerca de qué persona concreta mayoría de los auditores internos se
es responsable en última instancia de los anticipen en lo que se refiere a comprender
datos que la organización posee. la importancia de tales regulaciones. En
“Los requisitos de cumplimiento, primer lugar, la mayoría comprenderá
como el GDPR, están forzando cambios que gran parte de las organizaciones
en el modo en que se manejan los datos cuentan con procesos de gobierno de
en muchas organizaciones”, explica datos deficientes, por lo que el GDPR
Hertzberg. “Para los DEA, no se trata les brinda la oportunidad de comenzar
solo de la privacidad de los datos, sino a abordar el modo en que las empresas
de la integridad de los datos en toda la gestionan y gobiernan los datos de manera
empresa. Esto significa que los auditores eficaz. En segundo lugar, esas debilidades
internos prestarán más atención que en el gobierno de los datos convierte al


nunca a los datos y tendrán un enfoque GDPR en un problema de negocio, más
más centrado en los datos al proporcionar que en uno de tecnología. “Es necesario
Si auditoría aseguramiento”. que la auditoría interna ayude a las
interna empresas a entender si están aprovechando
PROBLEMAS DE NEGOCIOS y protegiendo este activo fundamental
ocupa un Dominique Vincenti, DEA en Uber y como deberían”, explica.
buen lugar ex vicepresidenta de auditoría interna
en la mesa, en Nordstrom con sede en Seattle, dice MODELOS Y ESTRATEGIA
que el riesgo inicial para el negocio de A medida que regulaciones del estilo del
puede ser tienda de departamentos si se compara GDPR se vuelven más frecuentes, es posible
una caja de con vendedores minoristas en línea más que las empresas necesiten repensar sus
resonancia importantes se pensaba que era mínimo planes estratégicos, explica James Reinhard,
porque la proporción de compradores de director de auditoría en Simon Property
para la Europa que utilizaban el servicio en línea Group en Greenwood, Ind. Por ejemplo,
gerencia era relativamente pequeña. “Aprovechamos en lugar de diseñar una iniciativa en línea
ejecutiva y la oportunidad para motivar a la gerencia para que contenga datos en un servidor
acerca del tema porque nos parecía que aun centralizado es posible que una compañía
el comité de no siendo específicamente el GDPR sería necesite diseñar un modelo más disperso,
auditoría”. algo parecido a este”, dice. descentralizado que conserve los datos
En efecto, unos pocos meses después en diversos países porque algunas de las
James Reinhard de que el GDPR entrara en vigor, jurisdicciones objetivo podrían prohibir
California aprobó sus propias leyes de las transferencias de datos entre países. Esto,
protección al consumidor. Vincenti dice a su vez, podría afectar el costo, el alcance y
que no le sorprendería que se estuvieran la viabilidad de dichos proyectos.
preparando leyes federales similares. “Si auditoría interna ocupa un buen
lugar en la mesa, puede ser una caja de
resonancia para la gerencia ejecutiva y el
A medida que regulaciones del estilo comité de auditoría, y puede evaluar si la
gerencia está supervisando adecuadamente
del GDPR se vuelven más frecuentes, el entorno cambiante”, explica. “Si no
existe tal alineación con la gerencia, esto se
es posible que las empresas necesiten convertirá en un problema cada vez mayor
para auditoría interna”.
repensar sus planes estratégicos. Reinhard explica que los DEA podrían
fortalecer sus competencias en TI a fin
de poder llevar a cabo revisiones de la
“California es significativa para todas privacidad de los datos más sofisticadas,
las empresas de EE. UU.”, explica. “Si realizando un seguimiento de los datos y
usted busca cumplir con las disposiciones protegiéndolos a medida que fluyen a través
similares al GDPR, no va a adaptar sus de las empresas cada vez más digitalizadas.
sistemas solo para sus clientes de California “Auditoría interna necesitará apoyarse
porque sería muy difícil separarlos del resto. en el asesor legar de la compañía para que
Simplemente se manejará con el común le proporcione orientación sobre cómo
denominador más alto”. interpretar cuál es el uso de un conjunto

28 INTERNAL AUDITOR ABRIL 2019


944 vulneraciones de datos llevaron a que se vean comprometidos
3.300 millones de registros en todo el mundo en la primera mitad de 2018,
según el índice de nivel de vulneraciones más reciente de Gemalto.

específico de datos y el modo en que Los demandantes estaban entre los 100.000
se debe proteger”, explicar Reinhard. trabajadores de Morrisons cuyos detalles
“Naturalmente, si la interpretación personales fueron publicados en Internet
legal de la compañía es incorrecta, la por un antiguo empleado descontento. En
opinión de auditoría interna al confirmar el que podría ser el primero de muchos
el cumplimiento, podría ser también casos, un abogado del Reino Unido
incorrecta”. Ampliar la red profesional de entabló una acción siguiendo un desarrollo
auditoría interna puede permitirle evaluar relativamente reciente del derecho
y encontrar ideas que puedan incorporarse consuetudinario que estableció el principio
a la organización, agrega. de que las personas afectadas por una
vulneración de datos personales podrían
DESCUBRIR EL SIGNIFICADO reclamar una compensación simplemente
Independientemente de en dónde tengan su por la preocupación que se les ocasionó.
sede, muchas empresas se están esforzando “Recién es el comienzo, pero esto
por entender lo que el GDPR implica en podría convertirse en un gran riesgo para
la práctica, afirma James Castro-Edward, las empresas en relación con la actividad de
socio en la firma de abogados Wedlake Bell aplicación de los requisitos de la ICO, dada
de Londres. “Nos hemos enterado sobre la cantidad de personas que normalmente
organizaciones que han publicado cientos se ven afectadas por una vulneración
de páginas de información en respuesta de datos importante”, explica Castro-
a las solicitudes de acceso de los sujetos Edwards. “Cada persona afectada solo
cuando no es eso lo que la ley les exige necesita reclamar una pequeña suma por la
que hagan”, explica. Existe un tendencia preocupación por posibles daños y luego
similar en informar vulneraciones de datos llegar a una suma significativa.”
poco importantes donde la información Eso podría implicar que una
afectada es de bajo riesgo —nombres compañía de EE. UU. que conserve datos
relativos a clientes del Reino Unido, podría


y direcciones de personas— o en casos
donde había estado correctamente encontrarse atrapada en una demanda
encriptada y protegida. colectiva. “Lo cierto es que la ICO y otros
“Los auditores internos tendrán que organismos de control cuentan con recursos Los auditores
centrarse mucho más en el cumplimiento limitados”, afirma, “pero cualquier abogado internos
con tiempo y energía podría entablar este
de la protección de datos”, afirma Castro-
tipo de demanda en nombre de una gran
tendrán que
Edwards. Eso puede incluir proporcionar
aseguramiento sobre la comprensión de cantidad de personas luego de una centrarse
la empresa respecto de la materialidad, de vulneración de datos personales”. mucho
Quizá la lección clave del GDPR para
modo que la gerencia no pierda tiempo
los auditores internos es que las nuevas
más en el
en informar cuando no es necesario. La
ICO ha comentado sobre la abundancia regulaciones no solo cambiaron las reglas cumplimiento
de informes no necesarios de vulneraciones sobre el procesamiento y la privacidad de de la
los datos, sino que cambiaron el juego. Es
de datos personales presentados desde
un juego en el que los ganadores tendrán
protección
la entrada en vigor del GDPR. Se han
informado muchos incidentes como un buen gobierno de los datos y prestarán de datos”.
medida de precaución a la vez que se mucha atención a cómo se desarrollan las
reglas a escala global. Los auditores internos James Castro-Edwards
podría haber pasado por alto la obligación
de mantener un registro de incidentes, que que cuenten con redes sólidas en toda la
incluye la explicación de toda decisión de empresa y fuera de ella podrán ayudar al
no informar incidentes. consejo a entender cómo el GDPR puede
Castro-Edwards afirma que las afectar tanto las operaciones como la
acciones de aplicación de las regulaciones estrategia. Serán, en resumen, un jugador
ayudarán gradualmente a que las empresas clave en el equipo.
comprendan mejor el GDPR. Pero todavía
aparecen nuevos riesgos legales.
El año pasado, el supermercado
Morrisons del Reino Unido se encontró
en un litigio de grupo —o demanda ARTHUR PIPER es escritor especializado
colectiva— entablado en nombre en gobierno corporativo, auditoría interna,
de algo más de 5.500 empleados. gestión de riesgos y tecnología.

ABRIL 2019 INTERNAL AUDITOR 29


EXAMEN

CIA DEL IIA


LEARNING SYSTEM ®

Un sistema para
alcanzar el éxito
¡Ahora alineado con el examen CIA 2019!

El sistema de aprendizaje para el examen CIA del IIA

es un programa de revisión interactivo que combina

materiales de lectura y herramientas de estudio en

línea para enseñar y reforzar las tres partes del examen

CIA. Este sistema se ha actualizado con el fin de estar

alineado con las normas del sector más recientes,

incluido el Marco Internacional para la Práctica

Profesional (MIPP) y las Normas Internacionales para

el Ejercicio Profesional de la Auditoría Interna del IIA.

Prepárese para aprobar el examen.


www.LearnCIA.com
2018-1529

Realice una visita guiada | Lea ejemplos de páginas | Pruebe responder a preguntas de práctica gratis | Obtenga sugerencias para el examen
GESTIÓN DE RIESGOS

El IMPACTO
POSITIVO
L os auditores internos normalmente
interpretan los requisitos profesionales para
contribuir con la gestión de riesgos de la
organización, como ayudar a que la alta
dirección aborde debilidades y amenazas
con miras a lograr los objetivos de la organización. La tendencia a
enfocarse en los factores de impacto negativo que pueden efectiva
o potencialmente impedir el éxito de la organización está muy
arraigada, y aporta un valor que debe continuar para cubrir las
expectativas profesionales y de las partes interesadas.

del riesgo
¿Pero qué sucede con las fortalezas y las oportunidades
de la organización y su contribución en pos de los objetivos de
la organización? El concepto de auditoría positiva, un enfoque
que amplía los análisis basados en el riesgo y apunta a mejorar
las fortalezas y las oportunidades, puede mejorar el valor del
aseguramiento independiente. Mientras que una auditoría interna
típica proporciona aseguramiento en debilidades y amenazas de
Los auditores impacto negativo en la organización y que deben abordarse, la
auditoría positiva brinda aseguramiento en fortalezas y oportunidades
internos pueden de impacto positivo en la organización que se deben sostener.

aportar mayor Los planes basados en el riesgo deberían incluir


aseguramientos en fortalezas, oportunidades y factores de impacto
valor al enfocarse, positivo considerados críticos para el logro de los objetivos de
la organización. Es importante observar que esta expansión
además, en cumple con la definición de auditoría interna actual y los
los aspectos requisitos obligatorios del Marco Internacional para la Práctica
Profesional (MIPP). La auditoría positiva mejora la reputación
positivos. Basil Orsini de la organización al abordar los intereses de las partes interesadas

ABRIL 2019 INTERNAL AUDITOR 31


EL IMPACTO POSITIVO DEL RIESGO

de la organización en lo que atañe a las demuestra que los auditores internos tienen
cosas que funcionan, además de identificar una mayor comprensión de las operaciones
las áreas que necesitan mejoras. de negocio, motiva a los gerentes al
reconocer sus esfuerzos que están dando
UN CAMBIO DE ENFOQUE buenos frutos y, en consecuencia, alienta
Un cambio en el enfoque hacia las una mayor aceptación para abordar
fortalezas guarda relación con las recomendaciones de mejora. La auditoría
innovaciones en los campos del positiva construye sobre estas iniciativas
comportamiento social. En 1998, tras más y beneficios al diseñar trabajos y planes
de 100 años de abordar principalmente los
basados en el riesgo desde el comienzo
aspectos negativos de los comportamientos
individuales y sociales, la psicología que consideran el aporte de altos niveles
expandió formalmente su alcance para de aseguramiento en áreas positivas
incluir el ahora floreciente campo de la que se consideran críticas para el éxito
psicología positiva. Tal como lo destacan de la organización en el campo de la
C. R. Snyder, Jennifer Pedrotti y Shane auditoría interna.
Lopez en su libro Positive Psychology: The
Scientific and Practical Explorations of ANÁLISIS DE RIESGO MÁS COMPLETO
Human Strengths, “la psicología positiva El MIPP define al riesgo como “la
ofrece un equilibro respecto del enfoque posibilidad de que suceda un evento
previo en las debilidades y nos sugiere que
que tendrá un impacto en el logro de los
también exploremos las fortalezas de las
personas, además de sus puntos débiles. objetivos. El riesgo se mide en términos de
… La psicología positiva busca tener una su impacto y probabilidad”. Esta definición
visión más completa y equilibrada del no está limitada a las incertidumbres
funcionamiento humano”. de impacto negativo; incluye también
Al hacer mejoras similares en cómo las incertidumbres de impacto positivo,
se ve y se promociona a sí misma, y como oportunidades de ganancias.
cómo la ven sus partes interesadas, la Los conceptos de riesgo y gestión
auditoría interna ofrece una orientación de riesgos aplicados por los auditores
más equilibrada y completa al paradigma internos normalmente se enfocan a abordar
incertidumbres adversas que es probable
que tengan un impacto negativo en el
logro de los objetivos de la organización.
Los auditores internos han tomado La orientación hacia los riesgos negativos
se puede explicar en parte por el deseo de
la iniciativa de aportar más equilibrio minimizar el riesgo de auditoría, como el
riesgo de hacer evaluaciones imprecisas.
en sus informes al incluir hallazgos Como las debilidades y las amenazas de
la organización a menudo se conocen o
positivos para los trabajos. se sospechan, existe menos resistencia a la
hora de aceptar una auditoría interna y sus
recomendaciones. Como la dirección toma
decisiones que implican incertidumbres
de aseguramiento, que es un área nueva de impacto tanto positivo como negativo,
de innovación en servicio y crecimiento el análisis de riesgo de la auditoría interna
profesional. debería ser más integral y conducir al
desarrollo de pensamiento crítico y
ELABORACIÓN DE INFORMES herramientas analíticas más completas.
EQUILIBRADOS
Los auditores internos han tomado la PLANIFICACIÓN DE AUDITORÍA
iniciativa de aportar más equilibrio en sus INTERNA MÁS COMPLETA Y BASADA
informes al incluir hallazgos positivos para EN EL RIESGO
los trabajos que normalmente se enfocan Con la auditoría positiva, la planificación
en cuestiones de impacto negativo que de auditoría basada en el riesgo amplía el
requieren mejora. Este equilibrio agregado alcance de las evaluaciones de riesgos y

32 INTERNAL AUDITOR ABRIL 2019


mandato nro. 1 para los comités de auditoría es comprender y considerar
El
los riesgos que podrían afectar el negocio y su capacidad de informar, según los
informes de Protiviti sobre cómo establecer la agenda del comité de auditoría de 2019.

considera las fortalezas y las oportunidades »» Asegurar la calidad de las


que son críticas para la organización y actividades de diligencia debida en
donde la confirmación independiente respaldo de la toma de decisiones
agrega valor. Pone las consultas sobre y las iniciativas importantes para
planes de auditoría interna en línea con la organización.
los intereses de la dirección sobre lo que
está funcionando y las áreas donde los Exámenes de procesos de control
aseguramientos independientes abordan los Este campo brinda supervisión operativa
intereses de las partes interesadas externas. para mantener a la organización en buen
Es probable que haya una mayor cobertura camino respecto a alcanzar sus objetivos.
y una alineación más completa con las
prioridades de negocio de la organización.
Existen ocasiones en las cuales se La auditoría positiva pone las
agrega valor mediante la evaluación
independiente y la confirmación de la consultas sobre planes de auditoría
auditoría interna en cuanto a fortalezas y
debilidades de la organización. Pensemos interna más en línea con los intereses
en tres campos de la auditoría interna
—gobierno organizacional, gestión de de la dirección sobre lo que está
riesgos y procesos de control— que, en los
ejemplos mostrados no son prioritarios en funcionando.
los planes de auditoría interna porque no
hay indicaciones de que exista un riesgo
adverso significativo. Los procesos de control se adaptan a las
necesidades cambiantes de la organización.
Gobierno organizacional Este campo Los objetivos de la auditoría interna
se puede beneficiar de aseguramientos pueden ser:
en oportunidades y fortalezas de la »» Asegurar la continuidad en
organización, además de las amenazas la relevancia y la calidad de
y las debilidades. Los objetivos de la las normas de desempeño
auditoría interna serían: e información en las que
»» Asegurar que la organización se basa la alta dirección.
administre en forma apropiada las »» Asegurar la relación costo-
quejas relativas al comportamiento beneficio continua de los
social y personal. sistemas de supervisión interna.
»» Asegurar la integridad de la Estos ejemplos muestran dónde la
información sobre desempeño auditoría interna positiva podría brindar
positivo para respaldo de los aseguramiento de valor agregado a las
pagos de bonos de fin de año partes interesadas de la organización,
a la dirección. incluso cuando no se prevé que el programa
de auditoría interna y los planes de trabajo
Gestión de riesgos Este campo se aporten recomendaciones importantes para
beneficia de la supervisión que aporta mejoras. Este alcance ampliado hacia áreas
información integral y validada. El positivas tiene el beneficio adicional de
programa interno de gestión de riesgos aumentar la cobertura de auditoría interna
tiene en cuenta las fortalezas y las y detectar posibles conductas fraudulentas
oportunidades, además de las debilidades en la organización.
y las amenazas para el éxito de la
organización. Los objetivos de la auditoría PROMOVER LA
interna serían: AUDITORÍA POSITIVA
»» Asegurar la solidez de las fortalezas La auditoría positiva amplía el rango de
y las oportunidades informadas servicios de aseguramiento de la auditoría
en todo el programa de gestión interna al mejorar el análisis sistemático de
de riesgos. factores de impacto positivo — fortalezas

ABRIL 2019 INTERNAL AUDITOR 33


¡GRÍTELO FUERTE!
Mayo es el mes de concientización internacional
de la importancia de la auditoría interna
Difunda el mensaje sobre el valor que auditoría interna aporta
a una organización y a la comunidad de los negocios.

Descargue ahora el conjunto


de herramientas para
generar conciencia del IIA
de 2019 para acceder a
ideas creativas, sugerencias,
herramientas, plantillas y
otra información para elevar
y defender la profesión de
auditoría interna.

www.theiia.org/Awareness

2018-0288
PARA HACER COMENTARIOS sobre este
artículo, ENVÍE UN CORREO ELECTRÓNICO
al autor a basil.orsini@theiia.org

y oportunidades de la organización— para organización. De cualquier forma, favorece diversas partes interesadas. La comunidad
respaldar el logro de los objetivos de la la confianza de las partes interesadas de auditoría interna debería sopesar el
organización. Brinda una orientación para internas y externas en la supervisión asunto en conjunto, consultar a las partes
la innovación de servicios y el crecimiento que ejerce la dirección. interesadas y determinar hasta qué punto
profesional dentro del MIPP actual al
abordar los riesgos de impacto positivo y La auditoría positiva puede impulsar
confirmar lo que está funcionando, ambos
de relevancia crítica para el éxito de la el paradigma de la profesión, expandir
organización.
También contribuye a la mejora de la
los servicios de aseguramiento y
organización al mejorar la diligencia debida permitirnos contarles algo nuevo
de la supervisión que ejerce la dirección
y confirmar las fortalezas en áreas que
a nuestras partes interesadas.
se consideran críticas para el éxito. Los
procesos de auditoría interna aumentan el
la auditoría positiva ofrece una dirección
análisis y la atención a factores críticos en La auditoría positiva también
viable para la innovación en la profesión.
el área examinada por todos los implicados. representa una oportunidad para impulsar
Si el examen revelara áreas inesperadas el paradigma de la profesión de auditoría
que requieren mejora, el dirección habrá interna, expandir el rango de servicios de BASIL ORSINI, CIA, CGAP, CRMA, CFE,
demostrado ser proactiva y diligente en aseguramiento en los planes basados en es auditor de gobierno recientemente
la búsqueda del desempeño deseado de la el riesgo y contarles algo nuevo a nuestras retirado en Ottawa.

auditboard.com 1 (877) 769-5444 info@auditboard.com

ABRIL 2019 INTERNAL AUDITOR 35


TECNOLOGÍAS EMERGENTES

CIUDAD
INTELIGENTE
Las tecnologías municipales
cada vez más sofisticadas
introducen una serie de riesgos
que se deben abordar.

Russell A. Jackson

36 INTERNAL AUDITOR ABRIL 2019


A medida que las ciudades adoptan enérgicamente tecnologías “inteligentes” —en
especial en las áreas de seguridad y transporte en el contacto con el público—,
los auditores municipales se enfrentarán cada vez más a una nueva versión de un
riesgo familiar: la ciberseguridad. El sustento de la conexión de Internet de las
cosas (IoT, por su sigla en inglés) que permite que la tecnología inteligente sea tan
inteligente también es su talón de Aquiles, porque les ofrece a los atacantes el acceso
en una enorme escala a todo tipo de tecnología complicada, y a las personas involucradas.
Y contrarrestar ese riesgo puede requerir nuevas herramientas y habilidades de auditoría
interna.
Cuando la tecnología funciona, los sensores inteligentes crean enormes cantidades
de datos que activan respuestas mecánicas: los caminos cargan los vehículos eléctricos a
medida que transitan, los automóviles conectados encuentran los mejores lugares para
estacionar. Pero los expertos en delitos cibernéticos se toman en serio los riesgos de las
tecnologías inteligentes —y sus implicaciones para las municipalidades— y vislumbran
un futuro nada halagüeño si las cosas fracasan. ¿Qué sucedería si, por ejemplo, los
ciberdelincuentes pusieran todos los semáforos de la ciudad en verde al mismo tiempo o
si mezclaran los ciclos de colores de toda la red durante el horario pico? ¿Y si anularan por
completo la red de energía eléctrica inteligente de la ciudad? ¿Qué sucedería si atacaran

ABRIL 2019 INTERNAL AUDITOR 37


PARA HACER COMENTARIOS sobre este artículo,
envíe un CORREO ELECTRÓNICO al autor a
AUDITAR LA CIUDAD INTELIGENTE russell.jackson@theiia.org

los sistemas de distribución de agua y La división trabaja a diario y la eficacia en la gestión de seguridad de
tratamiento de aguas residuales, alterando codo a codo con el Departamento de los datos y en el logro de las misiones y las
los medidores automáticos que detectan y Tecnología de la Ciudad y Condado de metas de las organizaciones en lo que atañe
responden a condiciones de inundación? San Francisco, su Comité para Tecnología a servir a la ciudad”, afirma Lediju.
Los auditores también se toman de la Información y los departamentos
esos riesgos en serio. “Los beneficios que adoptan nuevas tecnologías para SUECIA Y LA TECNOLOGÍA INTELIGENTE
que pueden brindar las tecnologías asegurar que todos los riesgos se gestionen En Trafikverket —la Administración
emergentes e inteligentes vienen en forma adecuada, antes de su adopción, de Transporte de Suecia— con sede en
acompañados de diversos riesgos nuevos”, señala Lediju. Ella sigue tres pasos clave: Borlänge, la unidad de auditoría también
explica Tonia Lediju, directora ejecutiva comprender el recorrido de las tecnologías se involucra desde el comienzo, explica
de auditoría (DEA) para la Ciudad y emergentes que se están analizando, Peter Funck, DEA. “La Agencia”, como
Condado de San Francisco. “Necesitamos identificar las tendencias de riesgo y ayudar él la llama, es el organismo del gobierno
asegurar que las ciudades tengan a que los departamentos gestionen los nacional responsable del transporte público
implementados gobiernos, procesos y riesgos activamente mientras manejan terrestre y ferroviario; la oficina de Funck
controles de seguridad apropiados”. las regulaciones relevantes. está enfocada en las fases de planificación
En el ámbito de la ciberseguridad, la y desarrollo, que, según su punto de vista,
CIUDAD INTELIGENTE EN LA BAHÍA División de Auditores de Servicios de la allí es donde su unidad ofrece el mayor
En San Francisco, hay una gran cantidad municipalidad “identifica vulnerabilidades valor agregado. La auditoría y la Agencia,
de tecnología inteligente para auditar. y riesgos de los sistemas mediante pruebas añade, han aprendido a gestionar grandes
Lediju cuenta que es una de las ciudades de penetración y evaluación, y recomienda proyectos de desarrollo de infraestructura
inteligentes líderes del mundo y que está soluciones”, indica Lediju. Las pruebas y software de modos similares, lo que
trabajando incluso en más soluciones abarcan diversas áreas, incluida adopción de significa que la auditoría está involucrada
de movilidad inteligentes (a menudo un enfoque de ciberseguridad, capacitación “varias veces antes de que comience la
en asociación con empresas privadas o sobre conciencia de la seguridad, gobierno codificación, así como antes de que la
con el gobierno federal de los EE. UU.). de TI, seguridad en redes y sistemas, y primera pala empiece a hacer su trabajo”,
Las iniciativas incluyen señales de continuidad del negocio. explica Funck. Tal ha sido el caso con dos
tránsito inteligentes, un sistema de peaje “También aportamos percepciones de las iniciativas de tecnología inteligente
electrónico con tarifas de congestión y un tomadas de nuestro amplio alcance claves de Suecia:
servicio de transporte eléctrico autónomo del trabajo para ayudar a que los »» el Sistema de Gestión de Tráfico
hacia la isla Treasure en la bahía de departamentos evolucionen y mejoren sus Ferroviario Europeo (ERTMS, por
San Francisco. La ciudad también utiliza estrategias y protocolos, y así estar mejor su sigla en inglés) es un proyecto
parquímetros inteligentes que cambian preparados para los ataques cibernéticos”, industrial fundamental en curso
de precio según la hora y el día de la agrega Lediju. El trabajo de su equipo se en la Unión Europea, destaca
semana. basa en las funciones clave del Enfoque de Funck, y Suecia es uno de los
Lediju afirma que sus auditores Ciberseguridad detalladas por el Instituto primero países en desarrollarlo
abordan los nuevos riesgos de las Nacional de Normas y Tecnología (NIST, e implementarlo. ERTMS es un
sistema de seguridad que “hace que
los trenes cumplan las restricciones
Lediju explica que el plan de velocidad y los estados de
señalización”, afirma.
de trabajo anual de su equipo »» Suecia también está desarrollando
un sistema nacional para el
incluye auditar nuevas tecnologías. control y la programación de
todos los trenes que integrarán
la programación de horarios de
tecnologías inteligentes en forma directa. por su sigla en inglés) del Departamento maquinistas de trenes. “Se trata
La División de Auditores de Servicios de Comercio de EE. UU.: identificar, de uno de los proyectos basados
de la Ciudad colabora con distintos proteger, detectar, responder y recuperar. en software más grandes del
departamentos municipales afectados por La División de Auditores de Servicios país”, explica Funck. “El proyecto
la nueva tecnología de transporte, por de la Ciudad, destaca, también hace posibilita una gran cantidad de
ejemplo, para comprender los riesgos, recomendaciones en función de las pautas oportunidades, pero, por supuesto,
supervisar los controles de aplicación de CIS Controls y CIS Benchmarks el tamaño y la complejidad
diseñados para acotarlos y elaborar elaboradas por el Center for Internet implican desafíos: ¿Funcionará?
respuestas preventivas. Lediju explica Security (CIS). “Estas recomendaciones ¿Es seguro?”.
que el plan de trabajo anual de su equipo del CIS pone de relieve, a los ojos de los Funck destaca que su unidad auditó
incluye auditar nuevas tecnologías clientes, las diversas oportunidades de los proyectos ERTMS y de integración
cuando se considera necesario, en función mejoras en controles y procesos u otras nacional varias veces, incluso antes de que
de una evaluación de riesgos. mejoras que en definitiva podrían aumentar se implementaran como prueba. “Esas

38 INTERNAL AUDITOR ABRIL 2019


Más del 75 % de los líderes de la ciudad y otras partes interesadas en todo el mundo
afirma que la tecnología de cadena de bloques podría ayudar a resolver
problemas urbanos, según una encuesta de 2018 realizada por SmartCitiesWorld.

auditorías tenían diferentes enfoques”, con experiencia en tecnología. Un auditor


explica, “pero el denominador común de sistemas de información sénior, explica,
ha sido si los controles internos aportan tiene varias certificaciones de TI, incluidas
requisitos previos para que funcionen y CISA, CITP y ITIL v3 Foundation.
sean seguros”. La municipalidad de Albuquerque,
De todos modos, los proyectos no señala Thompson, ha implementado
han avanzado lo suficiente para realizar diversas tecnologías inteligentes, incluida
auditorías de desempeño a posteriori. la transparencia en datos y documentos
Pero Funck observa que, en todos los de gobierno, aplicaciones de transporte,
proyectos de tecnologías inteligentes de acceso inalámbrico mejorado y servicios
su oficina, la salud y la seguridad, incluidos policiales en línea. Los trabajos planificados
los ataques terroristas, son las principales de auditoría que evalúan las preocupaciones
preocupaciones sobre riesgos. “La seguridad en materia de privacidad estarán dirigidos


de la información a menudo reduce esos a algunas de esas mejoras. “Nuestro plan
riesgos a un nivel relativamente aceptable”, de auditoría anual este año incluye una
afirma. De hecho, Funck hace hincapié auditoría de todos los sistemas y los Los beneficios
en que la tecnología de la seguridad de la dispositivos de la ciudad que contienen
información disponible, en general, está información personal identificable (PII, que pueden
a la altura del desafío de las tecnologías por su sigla en inglés)”, destaca Thompson. brindar las
inteligentes; el mayor problema son las “Se incluirán algunas tecnologías tecnologías
personas y sus roles para que las ciudades inteligentes de la ciudad”.
inteligentes no paren de moverse. Thompson explica que la auditoría emergentes
Funck añade: “Siempre es necesaria tendrá en cuenta si la ciudad mantiene e inteligentes
la aceptación de cierto nivel de riesgo en una lista de todos los sistemas y los vienen
materia de seguridad al desarrollar procesos dispositivos que contienen PII y si hay
de negocio para encontrar un equilibro con controles implementados para clasificar y acompañados
los requisitos de productividad”. Al final proteger la PII correctamente, incluidos de diversos
del día, señala, “las vías del ferrocarril y puntos de entrada, puntos de divulgación
los caminos están más seguros si quitamos e intercambio de datos y almacenamiento.
riesgos
todos los trenes y automóviles”. También examinará si los individuos nuevos”.
con acceso al entorno informático de la


PROTECCIONES DE municipalidad están capacitados y si son Tonia Lediju
DATOS Y PRIVACIDAD conscientes de su responsabilidad en lo que
Jim Thompson, auditor de la atañe a proteger la PII y qué hacer dado Los desafíos
municipalidad en la Oficina de Auditoría el caso de una vulneración de datos. La
Interna (OIA, por su sigla en inglés) OIA considerará los requisitos federales, técnicos
de Albuquerque, sabe cómo lidiar estatales, locales y contractuales para la pueden
tranquilamente con las tecnologías PII y comparará las prácticas actuales de provenir
inteligentes, aunque es consciente de la ciudad con las mejores prácticas del
los riesgos que conllevan, incluidos los enfoque de gobierno de TI recomendadas de nuestra
relacionados con la ciberseguridad. “La por el enfoque COBIT de ISACA, además visión (de
del NIST.
OIA realiza una evaluación de riesgos anual la ciudad)
de la municipalidad, que incluye considerar
el riesgo de la tecnología de la información PROTEGER LA VISIÓN sobre
de la ciudad”, explica. “A medida que la En Chattanooga, Tennessee, el auditor de la cuestiones
ciudad aumenta su uso y dependencia de municipalidad Stan Sewell también señala relativas a
las tecnologías de la información, incluidas el riesgo de la ciberseguridad asociado
las tecnologías inteligentes, el riesgo de con las tecnologías emergentes de su ciberse-
la ciberseguridad y de la vulneración municipalidad. Y, si bien no es prioridad guridad,
de datos —así como el riesgo en la número uno, las iniciativas enfocadas en
responsabilidad— también aumenta”. la tecnología de la ciudad son un motivo
piratería
El Departamento de Tecnología de peso para asegurar que se aborden los informática y
e Innovación de la ciudad mantiene problemas en materia de seguridad en privacidad”.
controles internos sobre TI y también línea. “Definitivamente es un riesgo, pero
recurre a expertos externos para que realicen es más bien una preocupación tipo ‘cisne Stan Sewell
evaluaciones de riesgos de vulnerabilidad negro’”, explica.
de TI y pruebas de intrusión. Asimismo, La División de Ciudad Inteligente de
Thompson mantiene un equipo interno Chattanooga, que gestiona la iluminación

ABRIL 2019 INTERNAL AUDITOR 39


VISITE la versión en línea de este artículo en InternalAuditor.org
para conocer un debate adicional sobre el modo en que la
tecnología inteligente puede aumentar los riesgos que enfrentan
AUDITAR LA CIUDAD INTELIGENTE las municipalidades.

de las calles y las señales de tránsito, y operaciones. Pero desde su punto de


reconoce que “los desafíos técnicos pueden vista, lo novedoso puede jugar en contra
provenir de nuestra visión sobre cuestiones de la posibilidad de auditar un programa.
relativas a ciberseguridad, piratería “A menudo no tiene sentido auditar un
informática y privacidad”. La “visión” en programa sin registro de seguimiento”,
Chattanooga incluye vehículos autónomos explica. “Y siempre existe un riesgo con
y sólidas comunicaciones vehículo- un programa nuevo”.
vehículo y vehículo-infraestructura. De hecho, enfatiza Jones, las
La ciudad fue galardonada con el tecnologías inteligentes son “apenas una
Premio 2019 Smart Cities Connect cosa más de las tantas que estarían en
Smart 50 Award, un reconocimiento nuestros posibles temas de auditoría.
mundial por el trabajo en proyectos Cubrimos todo, desde aeropuertos hasta
transformadores de ciudades inteligentes, el zoológico, y no hacemos hincapié en
por su asociación de investigación en una cosa o la otra”.
iniciativas de colaboración de comunidades Austin, Texas, otro galardonado con
inteligentes de Chattanooga. el premio 2019 Smart 50 Award, también


La principal preocupación de Sewell considera de alta prioridad aprovechar la
son los sistemas de supervisión, control y tecnología. De hecho, el auditor municipal
Quienes adquisición de datos (SCADA, por su sigla adjunto Andrew Keegan explica que Austin
toman las en inglés), compuestos de computadoras intenta usar su tecnología para ayudar a
y módulos de comunicaciones de salvar vidas. “Austin tiene el compromiso
decisiones datos alámbricos e inalámbricos que de cumplir con un plan vial de Vision
valoran brindan acceso remoto a los procesos de Zero, que exige cero víctimas fatales o
nuestra infraestructura de la ciudad y su control. lesiones graves a causa de choques entre
“Los sistemas SCADA son vulnerables a los vehículos para el año 2025”, explica. “Parte
opinión. ... ataques cibernéticos”, explica, “que están de ese plan está enfocado en implementar
Necesitamos sucediendo cada vez con más frecuencia”. nuevas tecnologías”.
encontrar Un atacante cibernético podría obtener el Pero es probable que el equipo


control remoto del tratamiento de agua de Keegan no entre en escena hasta
un modo de la ciudad, por ejemplo, “indicando que que esos planes y programas se hayan
Seleccionar de evaluar se liberen las aguas residuales o enviando implementado. “Seleccionar una tecnología
una e informar datos falsos de sensores de presión, lo que en particular para auditar depende del
provocaría un fallo catastrófico de controles riesgo que impone la nueva tecnología en
tecnología sobre la y bombas de agua”. Sewell añade: “Las comparación con otros riesgos que enfrenta
en particular tecnología diversas tecnologías inteligentes aumentan la ciudad”, señala. “Esta es nuestra práctica,
para auditar emergente”. las cantidad de puntos de acceso potenciales más allá del tema”. De hecho, en este
para entrar en los sistemas de la ciudad y momento, su oficina está realizando una
depende Amanda Noble obtener acceso a otras áreas”. auditoría relacionada con el bienestar los
del riesgo conductores. “Si bien parte de ese proyecto
que impone PROBADO Y COMPROBADO incluye revisar la implementación de nueva
En algunas municipalidades, el tratamiento tecnología”, comenta, “la auditoría está
la nueva de la función de auditoría en cuanto a las enfocada en el problema general de la
tecnología en tecnologías inteligentes no difiere mucho seguridad en el tránsito”.
comparación de cómo se manejan otras iniciativas de Amanda Noble, auditora de la
la ciudad. Las tecnologías inteligentes Oficina del Auditor Municipal de la
con otros constituyen un tema ampliamente de ciudad de Atlanta, destaca que Atlanta ha
riesgos que rutina, por ejemplo, para la Oficina del implementado tecnología de movilidad
enfrenta la Auditor Municipal en Kansas City, Misuri. inteligente, pero también observa que
la función de auditoría no tenía un rol
ciudad”. El auditor municipal Douglas Jones
al momento de evaluar el riesgo en la
afirma que conoce muchas de las iniciativas
Andrew Keegan de la ciudad, una de las cuales obtuvo un fase inicial. “Cuando la ciudad estaba
premio 2019 Smart 50 Award de Kansas implementando la tecnología, tomamos
City; además, sabe que las tecnologías conocimiento de eso y fuimos a una
inteligentes son “oportunas y temáticas” y demostración”, explica. “Pero observamos
que implican cierto riesgo en la reputación, los datos a los cuales estaba conectada
además de riesgos relacionados con TI la ciudad y sus usos potenciales en las

40 INTERNAL AUDITOR ABRIL 2019


La denegación de servicio y software maligno/ransomware son los tipos
de ataques de infraestructura inteligente que más preocupan a los profesionales
de la seguridad y del riesgo, según la encuesta 2018 sobre ciudades inteligentes de ISACA.

base existente de normas y principios


de auditoría para detectar debilidades
LO QUE VIENE

P
en los controles internos y riesgos de
ara los auditores municipales que en este momento no están fraude”, explica. “Pero la profesión debe
involucrados en auditar la tecnología inteligente de su ciudad, es
estar lista para asumir un rol más de
bastante probable que pronto deban hacerlo. De hecho, el director
de innovación de Kansas City, Misuri, Bob Bennett, el año pasado en asesoría y ayudar a las ciudades a seguirle
el encuentro Smart Cities Connect Conference and Expo declaró que el ritmo y adelantarse a los riesgos
las municipalidades que no se subieran al vagón de las tecnologías emergentes, y mantener su perspectiva
inteligentes pronto pasarían a formar parte de una “herrumbrosa única sobre las personas, los procesos y
área digital”. el gobierno en su lucha por fortalecer los
»» El 66 % de las ciudades dicen que están invirtiendo en tecnologías programas de gestión de riesgos”.
inteligentes, según un informe de 2017 de la Liga Nacional de Dado el conocimiento especializado
Ciudades llamado Cities and the Innovation Economy: Perspectives of que requieren las tecnologías nuevas e
Local Leaders (Ciudades y la economía de la innovación: perspectivas inteligentes, añade, se necesitarán auditores
de los líderes locales); un cuarto del resto lo está analizando. internos que posean una combinación de
»» International Data Corp. informó en enero que el gasto mundial en habilidades de negocio y tecnología. De
iniciativas de ciudades inteligentes alcanzaría los u$s95.800 millones
hecho, se necesitará una cantidad mayor.
en 2019, un aumento del 17,7 % respecto de 2018; para el año 2021, el
total podría llegar a los u$s135.000 millones. Se espera que Singapur, “La tecnología inteligente requiere más
Nueva York, Tokio y Londres inviertan más de u$s1.000 millones cada recursos de auditoría interna porque
una este año, añadió IDC; las aplicaciones que más fondos reciben el conjunto de herramientas está en
son vigilancia visual fija, tránsito público avanzado, iluminación constante expansión y se utiliza para
exterior inteligente y gestión del tránsito inteligente. diversas operaciones en los servicios de
»» IoT Analytics afirmó a fines del año pasado que había gobierno”, explica Lediju. Por ende, afirma,
17.000 millones de dispositivos conectados en todo el mundo; la supervisión y la responsabilidad en
la cantidad de dispositivos IoT —sin incluir teléfonos inteligentes, información y software, incluidos recursos
tabletas, computadoras portátiles y teléfonos de línea fija— se calculó humanos y tecnológicos, se hacen más
en 7.000 millones. “Se espera que la cantidad de dispositivos IoT necesarios.
aumente a 10.000 millones para el año 2020”, destaca la firma, Los auditores internos necesitarán
“y a 22.000 millones para el año 2025”.
adoptar nuevas herramientas y técnicas,
»» La movilidad es el área más común de inversión en tecnología
inteligente, según el informe de la Liga Nacional de Ciudades. Otras añade, como auditoría y conciliaciones de
aplicaciones clave incluyen soluciones de iluminación, seguridad y cadena de bloques e inteligencia artificial
gestión de servicios públicos, según el informe de 2018 de McKinsey con miras a aumentar las actividades de
Global Institute, Smart Cities: Digital Solutions for a More Livable auditoría continua, detectar rápidamente
Future (Ciudades inteligentes: soluciones digitales para un futuro brechas en los controles e identificar
más vivible). incumplimientos y oportunidades de
mejoras en los procesos en tiempo real.
Dice que su oficina “en este momento
evaluaciones de riesgos y el trabajo de como algo individual. No hay nada depende de servicios de consultoría y
auditoría. No habíamos pensado en sistemático”. Agrega que las restricciones de contratación externos para no quedarse
auditar la tecnología en sí”. recursos limitan la capacidad de la función rezagada en las prácticas y las tendencias
¿Serviría? “Yo creo que sí”, de auditoría para abordar problemas de rápida evolución en cuanto a tecnología,
explica Noble. Comenta que su equipo emergentes, de modo que los riesgos gobierno, seguridad y privacidad relevantes
ha evaluado controles en instalaciones de nuevos no se pueden auditar hasta haber para las respectivas tecnologías”.
sistemas financieros, pero “posiblemente transcurrido casi un año. A ella le gustaría Lediju añade: “Con los requisitos
porque la tecnología inteligente no son hacer más. de educación profesional continua y el
datos contables, la función de auditoría no “Quienes toman las decisiones objetivo de ayudar a que las empresas y
fue convocada a desempeñar un rol”. Puede valoran nuestra opinión”, destaca Noble. el gobierno adopten mejores prácticas o
ser frustrante que las partes interesadas “Necesitamos encontrar un modo de prácticas líderes, la auditoría interna puede
vean a la profesión como abocada evaluar e informar sobre la tecnología permanecer como un agente de cambio
principalmente a la información financiera, emergente”. necesario y beneficioso”. Tal vez, de hecho,
agrega, a la luz de la capacitación de la profesión podría hacer más cuando se
auditoría interna que hace hincapié en SERVICIOS EXPANDIDOS, trata de tecnologías inteligentes.
la importancia de la previsión en todas NUEVAS HABILIDADES
las áreas de la empresa. Lediju nota un equilibrio entre los servicios
“Entonces gran parte de nuestro de auditoría probados y comprobados y el
rol es mirar hacia atrás”, explica Noble. hecho de ayudar a que las organizaciones RUSSELL A. JACKSON es escritor
“En realidad no existe un proceso para el vean un poco más allá. “Tenemos que independiente con domicilio en West
riesgo emergente, a menos que lo hagamos mantenernos enfocados en nuestra Hollywood, California

ABRIL 2019 INTERNAL AUDITOR 41


INFORMES DE AUDITORÍA

Wade Cassels, Kevin Alvero,


Chris Errington
Ilustraciones de Gary Hovland

Los auditores internos tienen que


trasladar el foco de los informes
de auditoría de sus propias
prioridades a las del cliente.

E l informe de auditoría tenía 25 páginas de longitud. Los


resultados no comenzaban hasta la página 16. Y peor aún,
el objetivo de la auditoría no se reveló hasta no adentrarse
profundamente en el documento. Aparecía después de las firmas
de los auditores, después de un texto repetitivo que definía el
papel de la auditoría interna y establecía su independencia, y
después de una descripción de las normas según las cuales se
realizó la auditoría. En la página 4, transcurridas 600 palabras del informe de auditoría,
los autores incluyeron una única frase, que explicaba, aunque vagamente, porqué se había
realizado la auditoría.
Esta es una historia real, si bien no es una narración de incompetencia. En efecto, la
auditoría en sí representó un trabajo superior realizado por un auditor de gran experiencia
y pericia. La anécdota, en cambio, apunta a resaltar un fallo demasiado común entre la
realización del trabajo de auditoría interna y la comunicación de los resultados. Muestra un
informe de auditoría que se centra demasiado en la auditoría y el auditor, y no lo suficiente
en los clientes y sus objetivos de negocio.
Para solucionar este problema, los auditores tienen que autoentrenarse en escribir
informes de auditoría teniendo en mente al público. Poner en práctica esa habilidad,
no obstante, requiere el respaldo de la gerencia de auditoría y la confianza del cliente de
auditoría. Poniendo estos elementos en su lugar, los auditores pueden crear informes que
sirvan mucho más como vehículos de comunicación eficaz y proporcionen mayor valor a
los clientes.

APROBAR EL EXAMEN
En un artículo titulado “Understanding a Writer’s Awareness of Audience” [Comprender

¡No
cómo el escritor tiene siempre en mente al público al que dirige su narración], su autora
y profesora de escritura Carol Berkenkotter analizó escritores expertos y el rol de tener en
mente al público en el proceso de composición. Su trabajo se inspiró en “The Cognition
of Discovery: Defining a Rhetorical Problem” [La cognición del descubrimiento: definir
un problema retórico], se trata de un estudio realizado por los investigadores Linda Flower
y John Hayes, quienes descubrieron que los escritores experimentados se formaban una
imagen mental de sus lectores. Los estudiantes universitarios de los primeros años que
participaron en el estudio se esforzaban por pensar más allá del tema y el contenido de
los ensayos.
“A diferencia de las situaciones del mundo real”, escribió Berkenkotter, “que
confronta al escritor con una variedad de situaciones retóricas y públicos con distintas

42 INTERNAL AUDITOR ABRIL 2019


No se trata de usted!
ABRIL 2019 INTERNAL AUDITOR 43
PARA HACER COMENTARIOS sobre este artículo,
ENVÍE UN CORREO ELECTRÓNICO a los autores a
¡NO SE TRATA DE USTED! wade.cassels@theiia.org

necesidades, la escritura en la escuela que se puede aprender y desarrollar. ESTRUCTURA Y SECUENCIA


exige que el estudiante escriba para una Berkenkotter detectó que los escritores El contenido del informe de auditoría
única autoridad, el docente”. Como que tienen en mente al público se centran debería ser organizado según su
resultado, el éxito en el proceso de escritura en cuatro tipos de actividades, como se importancia para el cliente de auditoría.
está determinado por la capacidad del muestra en “Tener en mente al público” Comenzar con los resultados de la auditoría
estudiante de demostrar su competencia en la página 45. Cada actividad está después de las páginas que describen
sobre un tema dado ante esa figura de acompañada por una lista de preguntas, los procedimientos de auditoría, como
autoridad. esta aparece en la columna de la derecha. citó anteriormente el informe, solo tiene
Si bien los auditores profesionales Berkenkotter sugiere que con la práctica a sentido para el auditor que ha estado
han dejado atrás el entorno de una clase, través del tiempo, abordar estas preguntas inmerso en el trabajo durante meses. Para
regresar a la mentalidad propia de esta se convierte en un estado mental y menos las partes interesadas de auditoría interna,
cuando se escriben informes de auditoría en un proceso. “Los escritores profesionales leer y comprender los resultados es más
importante que saber cómo se hallaron
esos resultados.
Para las partes interesadas de auditoría Como guía práctica, el contenido
de un informe de auditoría centrado en
interna, comprender los resultados el cliente debería establecer las prioridades
según cuatro áreas principales:
es más importante que saber cómo 1. El motivo de la auditoría
relacionado con los objetivos
se hallaron esos resultados. de negocio del cliente.
2. Los resultados de la auditoría y
su impacto en los objetivos de
fácilmente dará como resultado que el foco automáticamente internalizan sus públicos negocio del cliente.
se centre en demostrar la propia autoridad a medida que escriben, se plantean 3. Recomendaciones, si las hubiere.
de los auditores. Los informes producidos las preguntas que los lectores podrían 4. Información sobre el proceso de
de este modo con frecuencia fallan en realizarse”, indica. “En el proceso de ser auditoría y los auditores.
comunicar eficazmente el valor de la el propio lector, el escritor experto revisa Si bien esta estructura refleja el orden
auditoría o en satisfacer las necesidades constantemente su trabajo”. Este público de importancia, no dicta estrictamente
de las partes interesadas. imaginario, agrega, se convierte en la piedra la secuencia del informe. Por ejemplo, la
angular sobre la que el escritor basa sus información sobre los auditores y el proceso
Afortunadamente, escribir teniendo
decisiones, incluida la organización. de auditoría puede estar entrelazada a través
en mente al público es una habilidad
del documento; no necesariamente, los
auditores deben colocarla toda al final. Lo
que importa es si el informe está centrado
en el cliente (en modo opuesto al centrado
en la auditoría) y si prioriza la información
más importante para los clientes.
En otras palabras, los informes de
auditoría no deberían seguir la misma
plantilla. Las decisiones sobre qué incluir,
qué dejar afuera y cómo organizar el
informe deberían tomarse teniendo en
mente el público específico. Escribir
teniendo en mente ese público ayudará a
los auditores a superar la mentalidad del
informe orientado a la tarea que a su vez
da como resultado informes centrados en la
auditoría. Pero para poner en práctica esta
técnica, los auditores tienen que creer que
tienen la autoridad para cambiar.

CULTURA Y AUTORIDAD
El informe de auditoría que dice a las partes
interesadas lo que los auditores desean decir

44 INTERNAL AUDITOR ABRIL 2019


VISITE NUESTRO SITIO MOBILE APP +
InternalAuditor.org para ver una serie de videos
sobre preparación de informes de auditoría.

TENER EN MENTE AL PÚBLICO


La autora y profesora de escritura Carol Berkenkotter identificó cuatro actividades en las que se centran los
escritores que tienen en mente al público. Los auditores internos pueden aplicar cada una de estas para mejorar
su escritura del informe de auditoría.
ACTIVIDAD QUÉ SIGNIFICA ESTO PARA LOS ESCRITORES DEL INFORME DE AUDITORÍA

Analizar o construir un público Conceptualizar el público del informe ¿Quiénes son? ¿Cuáles son sus roles?
hipotético ¿Cuáles son sus necesidades? ¿Cuáles son sus metas? ¿Qué les agrada y qué
no les agrada? ¿Cómo me perciben?
Establecer metas y denominar Identificar el mensaje previsto que se llevará el cliente a partir del informe.
los planes que apuntan a un ¿Qué desea que el público entienda? ¿Qué desea que hagan? ¿Qué es lo más
público específico importante?
Considerar cómo responderá el público al contenido y el estilo del informe.
Evaluar el contenido y el estilo
¿El estilo es apropiado para el público? ¿El estilo es apropiado para el tema
(personal) respecto de la res-
del público? ¿El estilo influye en si la información será recibida del modo
puesta anticipada del público.
deseado o no?
Revisar sistemáticamente y mejorar el texto siempre teniendo en mente
Revisar, editar y repasar según
al público. ¿El informe utiliza el lenguaje del público? ¿Logra las metas de
un público específico
comunicación basadas en las percepciones del público?

Adaptado del artículo de Carol Berkenkotter, “Understanding a Writer’s Awareness of Audience” College
Composition and Communication, Vol. 32, N.° 4 (Diciembre 1981), 388–399.

es un artefacto con el que se encuentran de cuántos artículos lean los auditores, A la luz de hacer justicia, debido a que
mucho auditores noveles al aprender sobre o a cuántos seminarios asistan, nunca el informe de auditoría, por lo general, sirve
la profesión. Subjetividades culturales, adoptarán enfoques mejorados si la cultura como método principal para documentar lo
como referirse al informe con palabras del del departamento de auditoría incluye que ocurrió en una auditoría, los auditores
tipo “producto” y “producto del trabajo”, expectativas tácitas de que la preparación naturalmente desean justificar su valor
refuerzan la noción de que el objetivo del del informe de auditoría implica llenar demostrando el volumen y la calidad del
informe es documentar la ejecución del viejas plantillas. Cuando los DEA y trabajo realizado. En vez de pedir al auditor
que simplemente reprima esa inclinación,
Los DEA y los gerentes de auditoría los gerentes de auditoría pueden aliviar la
carga dando a los auditores otros canales
deben capacitar a su personal en la a través de los cuales comuniquen en
escritura de informes de auditoría que detalle el rigor y la calidad del trabajo. Por
ejemplo, los gerentes pueden reunirse con
se centren en los objetivos de negocio los auditores para analizar la ejecución
del cliente. de un trabajo dado, y permitirles detallar
cuánto tiempo les llevó y cuáles fueron las
trabajo de auditoría interna. dificultades con las que se encontraron,
Para cambiar esta mentalidad, los los gerentes de auditoría leen informes así como también repasar las decisiones
gerentes de auditoría y los directores de auditoría que comienzan diciendo que se tomaron. Estos tipos de detalles,
ejecutivos de auditoría (DEA) tienen que “Auditoría interna realizó una revisión de importantes para el proceso de auditoría,
comenzar por facultar a los miembros …”, tienen que empezar por devolverlos pero no demasiado vitales para el cliente,
del personal y exigirles que adopten un y capacitar al personal sobre cómo escribir debería documentarse en los papeles de
enfoque diferente para la preparación informes que se centren en los objetivos trabajo de la auditoría como referencia a
de los informes. Independientemente de negocio del cliente. futuro. La documentación puede ayudar

ABRIL 2019 INTERNAL AUDITOR 45


File Edit View Review Data XBRL Windows
Según el informe 2019 North American Pulse of Internal Audit [El ritmo de la auditoría interna
en América del Norte], el 53 %
de las funciones de auditoría el grado comunica
de riesgo cibernético de la organización y se esfuerza por abordar dicho riesgo ante la gerencia
y el consejo.

a asegurar a los auditores que si bien los lo que esos resultados significan para el Fuera de la zona de seguridad de la
clientes podrían no estar al tanto de los negocio del cliente. preparación de informes basados en
detalles del proceso, la gerencia de auditoría Para superar esta mentalidad plantillas, los auditores tienen que hacer
comprende y aprecia esos detalles. defensiva, los auditores internos deben elecciones cuidadosas sobre qué incluir,
trabajar constantemente de un trabajo a qué excluir y en qué orden colocar la
CONFIANZA DEL CLIENTE otro para fortalecer la confianza, tanto en la información para maximizar la percepción
Para realizar la transición de un informe función de auditoría en su conjunto como del cliente respecto de la calidad y utilidad
de auditoría defensiva centrada en la en cada uno de sus auditores. Si los clientes del informe. No obstante, la ventaja para
documentación del proceso a un informe reciben comunicaciones regulares durante los auditores deseosos de aceptar el desafío
proactivo y centrado en la utilidad para el la ejecución de los trabajos, comprenden es ver cómo los clientes comprenden
público, los auditores internos tienen que que la misión de auditoría interna es ayudar mejor el valor de la auditoría interna
contar con la confianza de sus clientes. a que la empresa alcance sus objetivos, y y lo reconocen.
Uno de los motivos por el cual los informes si han sido educados sobre el proceso de
de auditoría con frecuencia contienen un auditoría podrán aceptar los informes de
detalle excesivo del proceso es que a los auditoría con confianza, textos repetitivos
auditores les preocupa que los clientes y descargos aparte. WADE CASSELS, CIA, CISA, CFE,
puedan sentir cierta resistencia, o bien tener CRMA, es auditor sénior de TI de
sospechas sobre el proceso de auditoría, en SE TRATA DEL CLIENTE DE AUDITORÍA Nielsen en Oldsmar, Florida.
especial si el cliente percibe los resultados Escribir informes de auditoría interesantes KEVIN ALVERO, CISA, CFE,
es vicepresidente primero de
como desfavorables. Cuando esto tiene y adecuados para las necesidades auditoría interna, cumplimiento
lugar, los auditores internos se centran de cada cliente puede ser liberador y gobierno en Nielsen.
principalmente en defender su trabajo para los auditores, pero también CHRIS ERRINGTON es especialista
y los resultados, más que en comunicar representa un desafío. sénior en comunicaciones en Nielsen.

Haga oír su voz en la profesión.


Escriba para Internal Auditor.
Como publicación líder en el mundo sobre la profesión de auditoría interna, Internal Auditor desea
que comparta su valiosa experiencia con más de 200.000 socios en todo el mundo.

¿Ha encontrado una nueva manera de auditar un área de alto riesgo o de satisfacer las necesidades
cambiantes de las partes interesadas? ¿Sus sugerencias pueden ayudar a un colega a evitar los
obstáculos u orientar a una nueva función de auditoría hacia el camino indicado?

Aporte sus conocimientos a Internal Auditor.

Comience hoy mismo. Visite InternalAuditor.org/guidelines.

AUDITOR INTERNO

2015-0412

ABRIL 2019 INTERNAL AUDITOR 47


¡Gracias por hacer de 2018 todo un éxito!
A través de las generosas contribuciones de numerosas personas, organizaciones y afiliadas del IIA,
la Internal Audit Foundation continúa su tarea de desarrollar innovadores recursos educativos y de
investigación para impulsar la profesión.

Socios estratégicos de la Fundación Socios de Oro


(+ de $30.000) ($5.000 – $14.999)
ExxonMobil Corporation
IAI - Capítulo de Central Ohio
IAI - Capítulo de Detroit
IAI - Capítulo de Kansas City
IAI - Capítulo de Nueva York
IAI - Capítulo de Filadelfia
IAI - Capítulo de San Francisco
Socios de la Fundación IAI - Capítulo de Toronto
($15.000 – $29.999)
N.G. Shankar, CIA
Paul J. Sobel,
CIA, QIAL, CRMA
Raytheon
Silicon Valley Bank
Larry Harrington,
CIA, QIAL, CRMA
2019-2207

Respalde nuestra visión y misión ¡Haga su donación hoy mismo!


www.theiia.org/Foundation
COMITÉ DE AUDITORÍA

Cuanto
MÁS
información
revele
Muchos comités de
auditoría revelan
voluntariamente
información sobre
su supervisión y
L os comités de auditoría de empresas de
EE. UU. que cotizan en bolsa tienen
mayores responsabilidades de divulgación de
información desde que la Ley Sarbanes-Oxley
de 2002 de EE. UU. entró en vigencia. Tanto la Comisión del
Mercado de Valores (SEC, por su sigla en inglés) como el Consejo
de Supervisión de Contabilidad de las Empresas Públicas (PCAOB,
por su sigla en inglés) han establecido y puesto en vigor pautas
de auditoría y divulgación, incluidas las normas sobre lo que los
comités de auditoría deberían revelar al público. Sin embargo,
esos requisitos de divulgación son limitados en su alcance.
desempeño. Recientemente algunos comités de auditoría han
comenzado a proporcionar divulgaciones voluntarias para
mejorar la transparencia y permitir mayor conocimiento sobre la
composición, las actividades y los procesos de toma de decisión del
comité. La divulgación voluntaria ofrece un contexto adicional a las
divulgaciones obligatorias de la SEC. Algunos comités de auditoría
tal vez revelen más información con la esperanza de que esto
desalentará a la SEC a ampliar los requisitos de divulgación. Más
aún, los accionistas y otras partes interesadas pueden aprovechar
el hecho de tener más información sobre cómo se seleccionan,
Craig G. Gallagher se remuneran y se evalúan las firmas de auditoría.
A la luz de este desarrollo, los auditores internos necesitan
Katheryn L. Zielinski
comprender cuáles son las divulgaciones del comité de auditoría
Douglas M. Boyle que se exigen y familiarizarse con la tendencia de la divulgación
voluntaria. Al trabajar con el consejo y el comité de auditoría,
auditoría interna puede ayudarles a que formen sus opiniones
sobre cuáles son las divulgaciones voluntarias que benefician a
la organización y a las partes interesadas clave. Más aún, puede

ABRIL 2019 INTERNAL AUDITOR 49


PARA HACER COMENTARIOS sobre este
artículo, ENVÍE UN CORREO ELECTRÓNICO
al autor a craig.gallagher@theiia.org

proporcionar al consejo mejor información que al menos un miembro es un


sobre las tendencias de divulgación. especialista en temas financieros.
»» Proporcionar los nombres de
DIVULGACIONES REQUERIDAS cada miembro del comité de
Desde 1999, la SEC ha definido en gran auditoría o de aquellos que actúan
parte los requisitos de divulgación del como integrantes del comité de
comité de auditoría. Históricamente, estos auditoría.
requisitos se han limitado a información En 2015, la SEC emitió un comunicado
descriptiva y a aseveraciones respecto de concepto sobre posibles revisiones de las
a procesos seleccionados, todo lo cual divulgaciones del comité de auditoría, pero
continúa en vigor después de la aprobación la SEC aún tiene que cambiar los requisitos
de la Ley Sarbanes–Oxley. Actualmente, la al respecto. En un discurso de julio 2017
Regulación S-K, Ítem 407, requiere que el emitido en el Economic Club of New York,
comité de auditoría realice lo siguiente: Jay Clayton, presidente de la SEC en ese
»» Declarar si el comité de auditoría entonces, afirmó que había varias iniciativas
tiene un estatuto, y de ser así, darle en curso para mejorar las divulgaciones de
la divulgación apropiada. información a los inversores.
»» Si el consejo considera que un Los auditores internos deberían
miembro del comité de auditoría evaluar si la gerencia tiene un gobierno
no es independiente, revelar la adecuado como para asegurar que las
naturaleza de la relación que divulgaciones del comité de auditoría
hace que esa persona no sea requeridas se realizan y se identifican de
independiente y los motivos modo apropiado. Crear una matriz de
para la determinación del consejo. divulgaciones que contenga las categorías
»» Manifestar si el comité de sobre divulgaciones requeridas por
auditoría ha revisado y analizado la SEC puede asegurar que todos los
con la gerencia los estados ítems obligatorios según la SEC estén
financieros auditados. incluidos en las divulgaciones del comité
»» Indicar si el comité de auditoría de auditoría respecto de los informes
ha analizado con auditores para los accionistas.
independientes los asuntos
requeridos en la norma AU BENEFICIOS VOLUNTARIOS
Sección 380 sobre “Comunicación Además de respetar las indicaciones para
con los comités de auditoría” del las divulgaciones requeridas, los comités
PCAOB. de auditoría a menudo voluntariamente
comunican información adicional a

Los auditores internos pueden educar los accionistas. En estos años, diversas
organizaciones han abogado por una
al comité de auditoría sobre tendencias divulgación mayor de información. En
respuesta al comunicado de concepto sobre
de la divulgación voluntaria. divulgación del comité de auditoría emitido
por la SEC en 2015, Richard Chambers,
presidente ejecutivo del IIA, destacó que
»» Indicar que el comité de auditoría la mayor divulgación podría respaldar
ha recibido una carta del la reputación de la auditoría interna, su
contador independiente, incluidas independencia y sus recursos. También
divulgaciones escritas referidas a la contribuiría a infundir confianza en los
independencia del contador (según inversores y demás usuarios externos de
regulaciones de PCAOB). la información financiera.
»» Con base en la revisión y los El informe de la agenda del consejo
análisis apropiados, proporcionar de Deloitte de julio de 2018 señala que
un enunciado en el que se los informes para los accionistas del índice
recomiende que los estados Standard & Poor (S&P) 100 “ayudan a
financieros auditados sean proporcionar transparencia a las actividades
colocados en el formulario de supervisión del comité de auditoría”.
10-K o en la memoria anual. Además un informe de Deloitte de
»» Revelar la independencia de los 2017 afirma que “la transparencia de las
miembros, incluidas pruebas de actividades de supervisión del comité de

50 INTERNAL AUDITOR ABRIL 2019


En 201843 % de los comités de auditoría revelaron su rol de supervisión sobre
temas de ciberseguridad, y el 40 % analizó los criterios de la gerencia o las estimaciones
contables, señala un análisis de Deloitte de informes para los accionistas del índice S&P 100.

INCREMENTOS DE LAS DIVULGACIONES VOLUNTARIAS

L
a tabla a continuación ilustra las tendencias de divulgación voluntaria a 5 años para las empresas de
mediana a pequeña capitalización del índice S&P 500. Si bien se observa un incremento en la divulgación
voluntaria en las tres categorías, es mayor el porcentaje de empresas grandes que el de las más pequeñas.

S&P CAP
S&P 500 MEDIA S&P CAP PEQ
ÍTEM DE DIVULGACIÓN 2014 2018 2014 2018 2014 2018
Consideraciones del comité de auditoría al designar a la
13 %   40 %  10 %  27 %  8 % 19 % 
firma de auditoría
Duración del trabajo de la firma de auditoría 47 %  70 %  42 %   52 %  50 %  51 %
Responsabilidad del comité de auditoría sobre las
 8 % 20 %  1 %  5 %  1 %  4 % 
negociaciones de los honorarios a pagar
Análisis del impacto de los servicios que no son de auditoría
83 %  83 %  69 %  78 %  58 %  75 % 
en la independencia
Criterios considerados cuando se evalúa la firma de auditoría 8 %  46 %  7 %  36 %  15 %  32 % 
Evaluación de la firma de auditoría, como mínimo,
4 %  26 % 3 %  17 %  4 %  12 % 
anualmente
Participación del comité de auditoría en la selección del
 13 % 52 %  1 %  20 %  1 %  10 % 
socio de la firma de auditoría externa
Rotación del socio de la firma de auditoría externa cada
 16 % 49 %  3 %  20 %  4 %  12 % 
cinco años

Fuente: The Center for Audit Quality, 2018 Audit Committee Transparency Barometer

auditoría y su desempeño brindan a los »» Alineamiento de todas las dentro del sector específico, e informarle
inversores la capacidad de comprender expectativas de las partes sobre los potenciales beneficios para la
mejor el desempeño del comité de auditoría interesadas, lo que da como organización. Pueden agregar una categoría
y el proceso de auditoría”. resultado la disminución de voluntaria en su matriz de exposición
Sumado a la transparencia, el informe conflictos. con el fin de enumerar las potenciales
para los accionistas de EY de 2018 señala »» Relaciones de confianza entre las divulgaciones voluntarias que se pondrán
que si bien los inversores manifiestan que a consideración de la organización. Para
partes interesadas.
confían en los informes contables de las compilar esa lista, deberían consultar
empresas que cotizan en bolsa, algunos »» Mayor confianza de los inversores
los estudios actuales sobre divulgación e
evalúan las relaciones entre la empresa y en el consejo.
investigar cuáles son las empresas del índice
el auditor. Con anterioridad, el Informe »» Mayor confianza de los inversores S&P 500 y demás organizaciones de su
de 2017 del Comité de Auditoría para en cuanto a la calidad de los sector que proporcionan esos informes.
los accionistas destacó que las partes ingresos financieros. Conforme a esa información, los auditores
interesadas observan con detenimiento el »» Mayor confianza de los inversores internos asistirán a la gerencia y al consejo
rol del consejo y de los comités de auditoría en la presencia de políticas brindándoles recomendaciones respecto
en “la tarea de respaldar informes contables corporativas. al alcance y al tipo de divulgaciones
de alta calidad”. »» Capacidad de evaluar las decisiones voluntarias sobre el comité de auditoría
Dos publicaciones independientes de y conductas de la alta dirección. que debería realizar la organización.
EY y el del Centro de Calidad de Auditoría »» Mejor percepción y evaluación del
(CAQ, por su sigla en inglés) resaltan los TIPOS DE DIVULGACIONES
proceso de toma de decisiones del
numerosos beneficios potenciales para una
comité de auditoría. El informe Barómetro de transparencia
empresa que proporciona divulgaciones
Los auditores internos pueden educar al 2018 del comité de auditoría de
voluntarias:
»» Mayor transparencia para las partes comité de auditoría en las tendencias de CAQ ofrece información sobre qué
interesadas clave. divulgación voluntaria, tanto general como divulgaciones realizan voluntariamente

ABRIL 2019 INTERNAL AUDITOR 51


KEYNOTE SPEAKERS

Bill Browder Bastian Obermayer


CEO, Hermitage Capital Investigative Journalist,
Lisa Osofsky Author of New York Times Best Seller Panama Papers Recipient,
Director, U.K. Serious Fraud Office
Red Notice: A True Story of High 2017 Pulitzer Prize Winner
Finance, Murder and One Man’s Süddeutsche Zeitung
Fight for Justice

Nemtowreotrhkan 100+ educational


sessions
w it h Earn

3u,d0fig0ht0ers
including an up to
Auditing for Fraud track 40CPE
fra Nearly
25 auditors !
% of attendees are

t and Out.
S
Visit FraudConference.com to register.
88 % de los comités de auditoría de empresas de la lista Fortune
En 2012, según EY, el
100 revelaron que son responsables de la designación del auditor externo, su
remuneración y supervisión; un 44 % más en comparación con 2012.

las empresas más allá de los requisitos la firma Deloitte en 2018, detectó que
de la SEC. El barómetro proporciona las divulgaciones relacionadas con la
datos de la tendencia de cinco años sobre independencia del auditor ascendieron
“divulgaciones mejoradas” para cada una un 10 % en una muestra de empresas
de las empresas de mediana a pequeña del índice S&P 100 que se informó el
capitalización del índice S&P 500: 31 de mayo de 2018. Dados estos dos
»» Selección y ratificación de la firma factores, los comités de auditoría tal vez
de auditoría. estén incrementando las divulgaciones
»» Remuneración de la firma de voluntarias para proporcionar mayor
auditoría. aseguramiento respecto a que se toman
»» Evaluación y supervisión de la las acciones apropiadas para asegurar la
firma de auditoría. independencia de la firma de auditoría.
»» Selección del socio de la firma
de auditoría externa que tendrá IMPLICACIONES PRÁCTICAS
a cargo el trabajo de auditoría. Si cada vez más comités de auditoría optan
El marco de muestreo utilizado en el por proporcionar divulgaciones voluntarias,
informe de CAQ fue el índice S&P los auditores internos presentarán valiosa
Composite 1.500 que incluye informes información sobre el tema al comité de
para los accionistas de las empresas auditoría. Los auditores internos deberían
presentes en estos índices al final del supervisar periódicamente las divulgaciones
periodo de presentación. El cuadro del comité de auditoría de los competidores
“Incremento de divulgaciones voluntarias” de la organización y cualquier acción
de la página 51 revela una tendencia futura que la SEC puede incluir en
ascendente en casi todas las divulgaciones su comunicado de concepto. Además,
voluntarias analizadas de 2014 y 2018.
Este aumento tal vez sea impulsado por
dos factores. El PCAOB señaló a la independencia
En primer lugar, estas áreas ofrecen
información sobre el grado de diligencia como una de las áreas clave en la que
con que un comité de auditoría evalúa la
independencia de la firma de auditoría. La centrar las inspecciones en 2019.
SEC cita esta responsabilidad como una
de las obligaciones más importantes del deberían verificar las publicaciones
comité de auditoría. anuales de los informes de inspección
Un segundo factor puede ser la del personal de PCAOB, CAQ, y los
respuesta a los informes de inspección documentos aplicables relacionados tanto
del personal de PCAOB que expresan para comprender las tendencias en cuanto
inquietudes corrientes sobre la a divulgación como para prestar la atención
independencia de la firma de auditoría. necesaria a estos temas. Finalmente, los
En diciembre de 2018, el informe auditores internos deberían informar a sus
Perspectivas de inspecciones para 2019 del clientes que los inversores están evaluando
PCAOB señaló a la independencia como la relación entre las empresas y las firmas de
una de sus áreas clave en la que centrar
auditoría Un modo de comunicar el tema
las inspecciones en 2019 y a futuro. El
a los inversores es a través de la divulgación
informe sobre inspección del personal
voluntaria.
de consejos de administración, emitido
en agosto de 2017, observó que algunos
sistemas de control de calidad de ciertas CRAIG G. GALLAGHER, PMP,
firmas no proporcionaban suficiente es estudiante del doctorado en
aseguramiento respecto a que el personal administración de empresas de la
comprendía y cumplía con los requisitos Universidad de Scranton en Pensilvania.
de independencia. Entre las deficiencias CRAIG G. GALLAGHER, PMP,
se encontraron servicios que no son de es estudiante del doctorado en
auditoría inadmisibles e instancias donde administración de empresas de la
los auditores externos realizaron esos Universidad de Scranton.
servicios sin la preaprobación del comité DOUGLAS M. BOYLE, DBA, CPA,
de auditoría. CMA, es director del departamento de
De modo similar, un informe del contabilidad y profesor asociado de la
Centro de Eficacia de los Consejos, de Universidad de Scranton.

ABRIL 2019 INTERNAL AUDITOR 53


RELACIONES CON LAS PARTES INTERESADAS

L a fábula de Esopo “El molinero, el hijo y el burro” cuenta el peligroso viaje de este trío al
mercado en el cual, a medida que avanzan, el hombre y su hijo enfrentan diversas críticas
por las decisiones que toman. Primero, se los tilda de tontos y derrochadores por caminar,
luego, de holgazanes y crueles por montar el burro. En un intento desesperado por acallar
la segunda crítica, deciden llevar ellos al animal y finalmente lo pierden en el río. La
moraleja: es imposible complacer a todos por la gran diversidad de opiniones e intentar
hacerlo puede resultar infructuoso.
Esto también se aplica a las funciones de auditoría interna. A medida que el rol
de auditoría interna continúa expandiéndose, lo mismo sucede con la base de las partes
interesadas y el nivel de expectativas. Pero, al igual que los espectadores de la fábula, la base de las partes
interesadas cada vez más amplia de la auditoría interna puede valorar diversas cualidades contradictorias. Por
ejemplo: el departamento de fabricación de una organización, que valora la eficiencia y la reducción al mínimo
del tiempo improductivo, puede percibir la evaluación de controles conforme a la Ley Sarbanes-Oxley de 2002
de EE. UU. como medidas sin valor y disruptivas de sus operaciones, mientras que los directores ejecutivos y
los auditores externos pueden ver a esas pruebas como un barómetro sumamente valioso en la evaluación de
controles generales.

Manejar las expectativas


Los auditores internos
pueden utilizar un
enfoque multifacético
para cubrir las diversas
necesidades de las
partes interesadas.
Jack Pelikan

54 INTERNAL AUDITOR ABRIL 2019


ABRIL 2019 INTERNAL AUDITOR 55
MANEJAR LAS EXPECTATIVAS

Al reconocer que la aprobación internos deberían estipular metas para con las políticas de viajes y gastos de la
universal de las partes interesadas no el trabajo y analizarlas con las partes empresa, un auditor interno que revisa los
siempre es posible, una función de interesadas afectadas antes de comenzar gastos de traslado puede hacer hincapié
auditoría interna eficaz también reconoce el trabajo de campo. Además, los auditores en los beneficios de cooperar durante
que puede actuar sistemáticamente a favor pueden ganar el interés de las partes la auditoría, como una duración más
de los mejores intereses de la organización y interesadas articulando los vínculos directos corta de la auditoría, menor disrupción
sus valores centrales, incluso si eso conduce o indirectos entre el trabajo propuesto y el y una reducción en las observaciones de
a la insatisfacción de algunas partes logro de objetivos a nivel de departamentos auditoría. La auditoría también puede
interesadas. Y si bien los valores de cada o en toda la organización. Por ejemplo: una destacar las ventajas de implementar
organización son únicos y no existe un auditoría operativa de la función de envíos las recomendaciones posteriores, como
solo enfoque válido para la gestión de la de una organización debería comenzar mejor gestión y supervisión de gastos,
partes interesadas, los directores ejecutivos con la evaluación de las metas inmediatas y el cumplimiento del presupuesto.
de auditoría (DEA) y los integrantes de su y a largo plazo del departamento, como
personal pueden evaluar medidas específicas el envío del 100 por ciento de los pedidos MANTENERSE ÁGILES
durante todo el ciclo de vida del trabajo previstos este mes, trimestre y año, y Mientras que un plan de trabajo sólido
y, a la par, poder manejar la amplitud de los objetivos que respaldan en toda la puede establecer las pautas y asegurar una
expectativas de las partes interesadas. organización, como una mayor satisfacción asignación eficaz de recursos de auditoría,
del cliente y rentabilidad superior. el éxito de un trabajo de auditoría —y del
COMENZAR CON LA EVALUACIÓN En consecuencia, las metas del trabajo departamento— depende de la capacidad
DE RIESGOS deberían incluir identificar las causas raíz del equipo para adaptarse prontamente
Independientemente del sector económico, del problema y brindar recomendaciones al cambio. Según la encuesta 2018 North
la organización o el departamento, todas que les permitan alcanzar sus metas. American Pulse of Internal Audit (El
las partes interesadas enfrentan una forma Cuando las metas del departamento ritmo de la auditoría interna en América
u otra de riesgo y entienden la necesidad discrepen con los objetivos a nivel de toda del Norte 2018) del IIA, dos tercios de los
de gestionarlo dentro de límites aceptables. la empresa (o no se alineen con ellos), se DEA valoran en gran medida la agilidad a
Dicho esto, el desacuerdo en la naturaleza puede justificar un mayor diálogo con el futuro, y solo un 45 por ciento considera
y la gravedad del riesgo es inevitable. liderazgo ejecutivo o departamental antes que sus departamentos son muy ágiles o
Si bien no se espera que los auditores de comenzar el trabajo de campo. extremadamente ágiles hoy en día.
evalúen el riesgo con la misma mirada El proceso para pasar a ser ágil
que sus partes interesadas, pueden utilizar LOGRAR UN CONVENCIMIENTO puede comenzar al dar flexibilidad al
el proceso de evaluación de riesgos para A fin de promover un enfoque “sin plan de trabajo, que puede abarcar desde
hacer intervenir a las partes interesadas sorpresas”, los auditores internos deben asignar horas para responder solicitudes
—por ejemplo, mediante entrevistas y comunicar de manera proactiva las metas ad hoc hasta refinar continuamente
encuestas— y como una oportunidad de del trabajo a las partes interesadas y obtener el plan luego de alcanzados hitos
alinear a futuras auditorías o proyectos con el consenso en cuanto al alcance y los fundamentales. Además, los equipos de
riesgos acordados mutuamente. Además, tiempos. Si bien esta práctica a muchos les auditoría deben establecer un protocolo
para asegurar que las partes interesadas puede parecer obvia, a veces no se tiene de gestión del cambio del alcance con
también estén presentes en los criterios en cuenta su importancia. Los auditores las partes interesadas de antemano de
de evaluación y las calificaciones de riesgo, deberían utilizar propuestas de trabajo, modo de asegurar que los cambios en el
los auditores deberían utilizar metodologías documentos de alcance y reuniones de plan original y el alcance se manejen en
de evaluación de riesgos generalmente lanzamiento como vehículo para que forma consistente.
aceptadas, como la Gestión de riesgo intervengan las partes interesadas y se
empresarial – Integración con la estrategia y establezcan expectativas y reglas básicas. USAR METODOLOGÍAS ACEPTADAS
el desempeño del Comité de Organizaciones Además, lograr el convencimiento Y MEJORES PRÁCTICAS
Patrocinadoras de la Comisión Treadway. de las partes interesadas requiere no solo Para evitar diferencias de opinión
Siempre que sea posible, deberían analizar los términos del trabajo, sino irreconciliables, los auditores pueden
cuantificar la probabilidad y el impacto también comunicar qué tendrá de beneficio basar su enfoque, criterios de evaluación
potencial de tales riesgos en lugar de para ellos. Si bien este mensaje puede y, por último, sus conclusiones en normas
usar mapas de calor con categorizaciones representar un desafío, especialmente en generalmente aceptadas. Por ejemplo:
de nivel alto, medio y bajo, sumamente una auditoría de cumplimiento obligatorio, al evaluar los requisitos de contraseña
subjetivos y a menudo polémicos. las partes interesadas están más inclinadas de TI de una empresa, es probable que
a actuar como socios cuando conocen un auditor se encuentre con rechazo y
ALINEAR LAS METAS DE TRABAJO sus incentivos. Por ejemplo: en lugar de cuestionamientos de las partes interesadas
Una vez establecida la necesidad de advertir a los líderes del departamento de al concluir que los requisitos de longitud
un trabajo al alinearlo con los riesgos ventas acerca de las sanciones por la falta de contraseña son débiles o incluso que
mutuamente acordados, los auditores de cumplimiento de su equipo en relación no cumplen con las normas sin hacer

56 INTERNAL AUDITOR ABRIL 2019


PARA HACER COMENTARIOS sobre este artículo,
ENVÍE UN CORREO ELECTRÓNICO al autor a
jack.pelikan@theiia.org

referencia a ningún enfoque específico. Por contabilidad tienen un desacuerdo sobre


otro lado, si el auditor nota que el requisito la interpretación de la nueva Norma de
de longitud de contraseña actual de la Contabilidad sobre Arrendamientos del
empresa de cinco caracteres no se alinea Consejo de Normas de Contabilidad
con la recomendación de la Publicación Financiera, el DEA puede consultar a la
Especial 800-63 del Instituto Nacional firma de auditoría externa para transmitir
de Normas y Tecnología (NIST, en inglés) a ambas partes su interpretación objetiva
de Estados Unidos de ocho caracteres e independiente de la norma, con miras a
como mínimo, las partes interesadas lograr una mayor alineación.
están mucho menos inclinadas a desafiar
las observaciones y son más propensas a SER AUTOSUFICIENTE
aceptar la recomendación, en especial si Si bien una evaluación de riesgos minuciosa
también valoran el enfoque del NIST y se y un plan bien articulado pueden ayudar
las informó sobre los criterios de auditoría a que las partes interesadas comprendan la
previamente en el trabajo. necesidad del trabajo, e incluso lo lleguen
a apreciar, es menos probable que adopten
MANTENERSE NEUTRALES
Más allá de la organización, los
conflictos interdepartamentales o las Los auditores internos deberían evitar
luchas territoriales son inevitables, y, con
frecuencia, las partes interesadas suelen el uso de palabras con connotaciones
pedirles a los auditores internos —dada
su autoridad— que respalden un lado fuertes como fracaso, debilidad
en particular. La Norma 1120 del IIA,
Objetividad individual estipula que o brecha.
“Los auditores internos deben asumir una
actitud imparcial, no sesgada y evitar los el proceso de trabajo de campo en sí. Por
conflictos de intereses”. Si bien mantener ejemplo: un gerente de operaciones al por
una mentalidad objetiva es crítico, puede menor preocupado por la retracción puede
ser mucho más dificultoso para los aceptar con agrado la idea de una auditoría
auditores internos aparecer como neutrales de prevención de pérdidas, pero demostrar
a los ojos de las partes interesadas. Además menos entusiasmo para el requisito
de respetar los requisitos explícitos de del auditor de realizar después de hora
neutralidad, que incluyen negarse a recibir inventarios que insumen tiempo. Si bien
regalos y evitar la fraternización en el lugar los auditores deberían evitar la tentación
de trabajo, los auditores internos deberían de eliminar o modificar procedimientos
abstenerse de elogiar o criticar en exceso a de auditoría clave para aplacar a las partes
un grupo de partes interesadas particular interesadas, también deberían intentar
en sus interacciones y en sus informes. Por reducir la carga de la auditoría compilando
ejemplo: los auditores internos deberían su propia documentación, como
evitar el uso de palabras con connotaciones ejecutar informes y consultas, programar
fuertes como fracaso, debilidad o brecha observaciones en momentos acordados
y reemplazarlas por términos más mutuamente y estar preparados a pleno
constructivos, como oportunidad. en el arranque del trabajo de campo para
Dada la situación indeseada de limitar la duración de la auditoría.
que surja una disputa entre auditoría
interna y una parte interesada —como INFORMES VERIFICADOS,
FOURLEAFLOVER / SHUTTERSTOCK.COM

desacuerdos relativos a interpretaciones CUANTIFICABLES Y QUE SE


sobre regulaciones, hallazgos de auditoría PUEDEN TRADUCIR EN ACCIONES
o recomendaciones—, los DEA deberían El informe de auditoría puede ser el
recurrir a un tercero considerado en producto más valioso de un trabajo,
forma mutua como mediador, ya sea otro pero también puede ser el más
departamento, como asuntos legales o controvertido. De acuerdo con la Encuesta
recursos humanos, o consultores externos. de Investigación Global a DEAs (Directores
Por ejemplo: si auditoría interna y de Auditoría) 2018 de Deloitte, el 24 por

ABRIL 2019 INTERNAL AUDITOR 57


Relevante. Confiable. Proporciona respuesta.

AGUDICE SU INTERÉS
Como recurso siempre disponible, galardonado y multiplataforma
para auditores internos de todo el mundo, Internal Auditor brinda
contenido exhaustivo, una funcionalidad optimizada y conexiones
interactivas para agudizar su interés.

Impreso | En línea | Móvil | Redes sociales

ENCUÉNTRELO en InternalAuditor.org

2017-0409

2017-0409 PUB-Ia Brand Awareness Ad-B-FNL.indd 1 2018-04-25 1:56 PM


El 40 % de quienes respondieron dijo que la auditoría interna tiene
un fuerte impacto e influencia en la organización —un incremento en comparación con
el 28 % registrado en 2016— según la encuesta global a DEAs 2018 de Deloitte.

ciento de los participantes mencionaron como entrevistas de evaluación de calidad las herramientas proporcionadas por el
a la ayuda para que el negocio responda y encuestas a las partes interesadas. IIA en general es suficiente, los DEA
a recomendaciones previas de auditoría Según la Encuesta de Benchmarking deben cumplir con la guía recomendada
interna como una prioridad estratégica 2018 de KPMG, tres cuartos de quienes del IIA e involucrar a una parte
clave. Dado que los informes de auditoría respondieron usan un cuestionario formal independiente al menos una vez cada
pueden tener un público amplio, incluidos de satisfacción de las partes interesadas. Si cinco años para realizar la evaluación y
el liderazgo ejecutivo y el consejo, las partes bien las encuestas eficaces pueden adoptar asegurar que las partes interesadas sean
interesadas pueden estar muy sensibles distintas formas, las encuestas de auditoría informadas de esta práctica y así evitar
ante la retroalimentación negativa y el interna deberían ser anónimas para asegurar que se perciba como un conflicto de
modo en que se presenta. Si bien cierta una retroalimentación sincera y darles a intereses. Al igual que con las encuestas
postura defensiva de la partes interesadas los participantes la oportunidad de brindar de retroalimentación de auditoría, los
es inevitable, los auditores internos pueden respuestas libres (más que respuestas de DEA deberían considerar informar los
hacer los informes de auditoría menos opciones múltiples o escalas de calificación resultados de las evaluaciones de calidad,
controvertidos elaborándolos con un numérica) para que se explayen en la incluido todo plan de acción subsiguiente,
proceso sumamente colaborativo e iterativo. explicación de oportunidades de mejoras a las partes interesadas afectadas para
Si bien las partes interesadas no deberían con ejemplos y recomendaciones. demostrar el compromiso de la función
elaborar, redactar o editar un informe de de auditoría con la mejora continua.
auditoría, se les debería dar la oportunidad
de revisar los borradores y hacer preguntas Los auditores pueden hacer los
hasta alcanzar el consenso antes de hacerlo
llegar al público general. informes de auditoría menos
Por otro lado, las recomendaciones
de auditoría no deberían adoptar la forma
controvertidos elaborándolos
de mandatos, sino más bien propuestas de con un proceso sumamente
valor respaldadas por beneficios tangibles
y cuantificables. Por ejemplo: un auditor colaborativo e iterativo.
que realiza una evaluación Lean Six Sigma
UN ENFOQUE PERSONALIZADO
puede recomendar a las partes interesadas Si bien la administración de encuestas
que implementen recomendaciones Las funciones de auditoría interna
puede tomarse como un gesto de buena fe
propuestas ya que podría impulsar la enfrentan desafíos constantes al tener
por las partes interesadas, puede percibirse
productividad hasta X por ciento y que manejar expectativas diversas y en
como algo meramente superficial si no
reducir los costos operativos en Y por ocasiones contrapuestas de sus partes
se convierte en acciones visibles. Para
ciento. Si esos datos no están disponibles interesadas, incluidos clientes potenciales
asegurar que las partes interesadas noten
a nivel interno, el auditor al menos de las unidades de negocio, ejecutivos,
que la retroalimentación que aportan no
puede señalar estudios de casos exitosos, miembros del consejo, auditores externos y
es en vano, los DEA deberían pensar en
como el ahorro de General Electric de organismos de control. Lamentablemente,
resumir los resultados de la encuesta, e
u$s12.000 millones en los primeros cinco estos desafíos no se pueden paliar solo con
incluir oportunidades de mejoras y los
años tras implementar Six Sigma. Por una acción ni con un único enfoque válido.
planes de acción subsiguientes, además
último, en la medida en que el respaldo Sin embargo, una función de auditoría
de comunicarlos a las partes interesadas
a la dirección para que implemente las interna eficaz puede manejar la amplitud
afectadas mediante informes o reuniones
recomendaciones de auditoría no interfiera de expectativas de las partes interesadas
informativas.
con la independencia, los auditores mediante un enfoque multifacético que
deberían ofrecerse a brindar respaldo involucre a las partes interesadas en cada
REALIZAR EVALUACIONES DE CALIDAD
en todo el proceso para asegurar que las aspecto del ciclo de vida del trabajo. Al
La retroalimentación más valiosa que
recomendaciones se aborden en forma distinguir entre una gestión eficaz de las
una función de auditoría interna puede
oportuna y satisfactoria. partes interesadas y continuamente intentar
recibir es la que proviene directamente
complacer a todos, los auditores internos
de sus partes interesadas. No obstante,
TRANSFORMAR EN ACCIÓN LA pueden evitar el destino que ilustra la
el desempeño de las evaluaciones de
RETROALIMENTACIÓN SOLICITADA fábula de Esopo.
calidad periódicas, como lo estipulan las
Si bien es valioso solicitar retroalimentación Normas Internacionales para el Ejercicio
informal y en tiempo real durante Profesional de la Auditoría Interna del IIA,
JACK PELIKAN, CPA, CISA, CISSP,
todo el ciclo de vida del trabajo, los puede ayudar a identificar oportunidades
es director principal de auditoría interna
auditores internos no pueden subestimar adicionales para alinearse con las mejores
de Caleres Inc. en St. Louis.
la importancia de los mecanismos de prácticas generalmente aceptadas. Si bien
retroalimentación formales y recurrentes, una autoevaluación de calidad usando

ABRIL 2019 INTERNAL AUDITOR 59


Perspectivas del Consejo
POR MATT KELLY

LA MIRADA DEL OJO DEL CONSEJO


ACERCA DE LA DISRUPCIÓN DIGITAL
Las organizaciones temen no poder mantenerse actualizadas al
ritmo de sus competidores de origen digital.

A
l fin de cada año, la permanentemente,” dice Tom En consecuencia, las
Universidad Estatal de Richlovsky, presidente del firmas digitales están mucho
Carolina del Norte y comité de auditoría de United menos comprometidas con
Protiviti publican un Community Banks (UCB), los bienes físicos, y por ello
informe de la encuesta sobre un banco regional con sede pueden seleccionar problemas
los riesgos empresariales que en Georgia. Una generación específicos de un negocio
desvelan a los directores de los atrás, UCB nunca se vería e implementar cualquier
consejos de administración y bajo presión por empresas solución nueva que deseen.
a los ejecutivos corporativos emergentes de tecnología De esta manera trastocan
para el año siguiente. El financiera o bancos globales los modelos de negocio de
informe Perspectivas de los que cortejan a todos los que empresas establecidas. Las
ejecutivos sobre los principales usan un teléfono celular. Hoy, firmas digitales ofrecen nuevas
ERIC ALLEGAKOEN opciones a los clientes, quienes
riesgos siempre es una lectura UCB siente esa presión. Tal
valiosa y la edición de 2019 como manifiesta Richlovsky: con frecuencia dejan el modelo
no defraudará al lector. “Tenemos un asiento en de la organización para irse al
¿Qué riesgo encabeza la primera fila y vemos cómo de la empresa emergente.
lista este año? Temor de que opera la disrupción digital”. Una gran parte del éxito
las operaciones y la tecnología en la transformación digital
existentes no acompañen las La amenaza estratégica implica una observación
expectativas de desempeño, minuciosa de los clientes de
Primero, veamos qué ocurre la organización, además de una
en particular en comparación
con la disrupción digital. gran porción de imaginación,
con las de los competidores
de origen digital. Esto no es Las firmas de origen digital para identificar cuáles son
TOM RICHLOVSKY pueden ser muy disruptivas
una sorpresa. Taxis vs. Uber, las nuevas relaciones que la
hoteles vs. Airbnb, agentes porque desarrollan modelos organización puede forjar con
intermediarios financieros de negocio para los problemas ellos. “Uno debe entender qué
vs. asesores robóticos, incluso existentes con un compromiso está pasando con los clientes
la industria discográfica vs. significativamente menor para para posicionarse delante de
iTunes si miramos hacia el con los bienes físicos. De eso se ellos y lograr que adopten
pasado reciente. Temor a los trata ese modelo económico. distintas tecnologías, a la vez
competidores de la próxima Lo que ocurre que se convierten en clientes
generación sumamente ágiles, operativamente tiene muchos más leales al permanecer
mientras su propia organización más matices. Las firmas con uno”, dice Glenn Gow,
ALAN SIEGFRIED es demasiado conservadora y digitales pueden ser ágiles exdirector del consejo de la
poco dispuesta al cambio, esto porque están menos atadas firma de análisis de datos
no es nuevo. a modos específicos de hacer acuteIQ, y quien ahora asesora
¿Entonces, cómo las cosas. Al fin y al cabo, un a los consejos sobre temas de
deberían los consejos abordar código es solo un código y si a estrategia digital.
la transformación digital? uno no le gusta cómo funciona, Gow utiliza el ejemplo
“Es un tema que analizamos se cambia y listo. de pedir unas pizza. En la

PARA LEER MÁS SOBRE RELACIONES con las partes interesadas, visite InternalAuditor.org

60 INTERNAL AUDITOR ABRIL 2019


PARA HACER COMENTARIOS sobre este
artículo, ENVÍE UN CORREO ELECTRÓNICO
al autor a matt.kelly@theiia.org

de negocio deberían ser transformados digitalmente y de qué


modo. Por ejemplo, ¿el negocio debería estar más centrado en un
LOS PRINCIPALES RIESGOS EN 2019 “enfoque ofensivo” y desarrollar nuevos productos o servicios, o en
1. Operaciones existentes que cumplan con las un “enfoque defensivo” y desarrollar mejoras en los ya existentes?
expectativas de desempeño en comparación ¿Debería reducir costos fijos mediante el traslado a un modelo
con aquellas de las firmas de origen digital. de servicios basados en la nube, incluso cuando esto acentúe los
2. Desafíos respecto a la sucesión, y capacidad riesgos de seguridad, privacidad y litigios?
de atraer y retener a los principales talentos. Gow sugiere que los consejos trabajen estrechamente sobre
3. Cambios reglamentarios y regulaciones más estos puntos con el presidente ejecutivo (CEO, por su sigla en
rigurosas. inglés) y el director de información (CIO, por su sigla en inglés).
4. Amenazas cibernéticas. Al fin y al cabo, si el éxito en la disrupción digital depende de un
5. Resistencia a modificar operaciones. análisis astuto de los datos y de una imaginación audaz sobre cómo
6. Velocidad incesante de innovaciones disruptivas
atender al cliente mediante nuevas maneras; el CIO se ocupará de
y nuevas tecnológicas.
lo primero y el CEO, de lo segundo.
7. Gestión de la privacidad e identidad, y seguridad
Luego, el consejo y la gerencia pueden desarrollar una
de la información.
estrategia de tecnología que respalde la transformación digital,
8. Incapacidad para utilizar análisis y big data.
9. La cultura de la organización puede no incluido el paso crítico de cuáles serán los nuevos controles
incentivar suficientemente la identificación necesarios para implementar la estrategia. Por ejemplo, trasladar los
y el escalamientos oportuno de los problemas procesos de negocio a la nube y aprovechar los dispositivos móviles
de riesgo. para que la organización lance una fuerza de ventas internacional
10. Conservar la lealtad del cliente y su retención. con más agentes en el campo, es una meta de transformación
digital razonable.
Fuente: Perspectivas de los ejecutivos sobre los La estrategia de tecnología, no obstante, dará lugar a
principales riesgos de 2019, Informe de la iniciativa preguntas como las siguientes: ¿Cómo la empresa puede aprovechar
de gestión de riesgo empresarial de Poole College todos los datos de las operaciones si los datos están almacenados
of Management de la Universidad Estatal de dentro de distintas aplicaciones? ¿Cómo la empresa protege sus
Carolina del Norte y Protiviti datos cuando están almacenados en los dispositivos personales de
los empleados? En esa instancia, las funciones de auditoría interna
o cumplimiento pueden volver a integrarse a las conversaciones
dado que ya se ha delineado la meta de transformación digital.
última década, los consumidores han pasado de realizar sus pedidos Los interrogantes se centran más en la gestión de riesgos para
por teléfono a hacerlo mediante una aplicación. El pedido en línea asegurar que la transformación no fracase.
facilita la transacción al cliente y genera más datos sobre el cliente
para la empresa de pizzas (un buen ejemplo de disrupción digital Supervisión de la transformación digital
que beneficia a todas las partes de la operación), manifiesta Gow. ¿Qué comité del consejo debería tener a la transformación digital
Muchos consejos le temen más a las amenazas de disrupción como parte de su cometido? Un poderoso argumento indica que
digital que a abrazar sus oportunidades. La verdad es que la ningún comité específico debería ser el propietario. Los únicos
disrupción digital va a impulsar tanto las amenazas como las candidatos lógicos serían el comité de auditoría o el comité de
oportunidades. “Las maneras en que tiene lugar la disrupción riesgos, y haciendo uso de la frase de Richlovsky son “comités
se multiplican”, agrega Richlovsky, por tanto el consejo tiene reactivos”. Es decir, estos buscan asegurar que se implementen
que informarse sobre todas esas maneras. las protecciones relativas a cualquier estrategia que la organización
desee adoptar. No obstante, la manera de pasar al mundo digital
Gobierno de la disrupción digital por parte de la organización es una opción estratégica en sí
En teoría, si el consejo desea obtener más conocimientos sobre misma. Por consiguiente, todo el consejo debería ser responsable
los riesgos que un determinado problema puede presentar, el paso de infundir consciencia digital en cada estrategia y objetivo de la
1 es preguntar a la función de auditoría interna. Sin embargo, la organización.
disrupción digital plantea tantas preguntas estratégicas que no “Si se trata de un viaje estratégico en el que se embarcará la
permite un análisis tan directo. Queda el interrogante sobre si la empresa, este tiene que ser un tema de todo el consejo completo”,
mayoría de las funciones de auditoría podrían entender y evaluar dice Eric Allegakoen, director de auditoría interna de Adobe
los retos que se plantean. y presidente del Comité de Auditoría del IIA. “Una vez que la
“El concepto es una buena idea”, manifiesta Alan Siegfried, estrategia esté clara en cuanto a cómo se ejecutará, el comité de
actualmente miembro del comité de auditoría y con anterioridad, auditoría o el comité de riesgos tendrán responsabilidades de
integrante de los comités de auditoría de UNICEF y Bon Secours supervisar el avance”.
Health System, “pero en realidad, es probable que el 90 % de las Y si los riesgos listados por Protiviti (vea en esta página “Los
funciones de auditoría no posean las calificaciones ni el conjunto principales riesgos de 2019”) son de alguna manera indicadores,
de habilidades como para realizar esa tarea satisfactoriamente”. la transformación digital es muy probable que impregne las
Los consejos pueden adoptar ciertas medidas para mejorar conversaciones del consejo durante cierto tiempo.
ese panorama. Primero necesitan identificar, con mayor claridad,
las prioridades estratégicas para la transformación digital de modo
que las unidades de negocio determinen qué operaciones y procesos MATT KELLY es editor y CEO de Radical Compliance en Boston.

ABRIL 2019 INTERNAL AUDITOR 61


Obtenga todas las herramientas y recursos para realizar
una auditoría más eficaz.
Los expertos del sector a escala global del IIA desarrollan, documentan y proporcionan las normas
de la profesión junto con todas las herramientas necesarias para comprenderlas y aplicarlas.
Alinearse con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna
puede ayudar a los auditores internos de todos los niveles y sectores a realizar su trabajo de
modo más eficaz.

Herramientas prácticas | Recursos actuales | Cursos de capacitación

La práctica de las normas sin duda tiene sentido


www.theiia.org/HaveStandards

2018-0691
Percepciones/Los pensamientos de Jacka
PARA HACER COMENTARIOS sobre este
artículo, ENVÍE UN CORREO ELECTRÓNICO
al autor a michael.jacka@theiia.org

POR J. MICHAEL JACKA

SIEMPRE PUEDE DAR


MARCHA ATRÁS

D
urante una auditoría, Historias del mundo de la un trabajo de manera obstinada
Si el trabajo que usted descubre auditoría real —experiencias de solo porque está “en el plan”
está realizando no que el proyecto mi propia carrera profesional sigue persiguiendo a nuestra
más importante o que he aprendido de otros profesión. Afirmamos que
tiene un propósito
de un departamento estaba de primera mano— ayudan queremos ser ágiles, pero ni
razonable, mal orientado, ya no estaba a ilustrar este problema. Se siquiera tenemos la agilidad
simplemente alineado con las necesidades han eliminado detalles a fin necesaria para adaptarnos a
diga no. de la organización y se de proteger a los inocentes, las circunstancias cambiantes.
desperdiciaban los limitados los culpables y los que están No hay nada —proyecto,
recursos del departamento. en algún lugar del medio. trabajo de auditoría, ni plan—-
Todos los involucrados están ɅɅ Al proporcionar ayuda que la auditoría interna deba
de acuerdo con su evaluación, a los auditores externos, imponerse a sí misma que tiene
lo que lleva a la pregunta, “¿Por el director ejecutivo que finalizar solo porque ya se
qué continuar?”. El liderazgo de auditoría (DEA) ha comenzado, porque es lo
responde con razones como: explicó que una de las que siempre se ha hecho, o,
“Siempre finalizamos todos pruebas planificadas no lo más temido, “no queremos
los proyectos”; “Hacemos se aplicaba al modo en tener que explicar por qué
simplemente lo que se que operaba la empresa. cambiamos”. Esto no es valor,
nos dijo”; y “No podemos El contador estuvo de esto no es servicio, esto no
detenernos, sería admitir que acuerdo, pero explicó es profesionalismo—esto es
fracasamos”. ¿Qué hace usted? que la prueba debería adhesión ciega a un dogma
Cualquier auditor que completarse porque “era sin sentido.
valore su planilla de horas un requisito del programa Mire hacia adelante al
completa, recomendaría a esa de auditoría”. trabajo que está realizando y,
gerencia que ajuste, modifique ɅɅ Aunque se les dijo a los si no tiene razón de ser —si
o detenga el proyecto allí auditores que el plan el riesgo no está allí, si los
mismo para permitir que de tareas de la auditoría requisitos no están allí, si se
el departamento se ponga a era flexible, nunca nadie hace para apoyar algo que
trabajar en algo (cualquier había dejado de seguirlo. se prometió y que no tiene
cosa) más importante. El líder de auditoría diría, sentido— simplemente
Lamentablemente, si bien “Si fuéramos al comité de diga no. Dé marcha atrás
podemos ser muy buenos para auditoría y pidiéramos un y comience con algo nuevo,
decirles a otros lo que deben cambio, pensarían que no diferente, mejor.
hacer, muchos departamentos sabíamos lo que hacíamos
de auditoría no practican lo cuando armamos el plan J. MICHAEL JACKA,
que predican y con frecuencia inicial”. CIA, CPCU, CFE, CPA,
siguen adelante con proyectos Lamentablemente, no me es cofundador y director
potencialmente intrascendentes fue muy difícil dar con estos creativo de Flying Pig Audit,
como si no fuera posible dar ejemplo —una señal de que Consulting, and Training
marcha atrás. la práctica de continuar con Services en Phoenix.

LEA EL BLOG DE MIKE JACKA visite InternalAuditor.org/mike-jacka

ABRIL 2019 INTERNAL AUDITOR 63


Una mirada a los negocios

UN TEMA DE PRIVACIDAD
Los auditores internos pueden evaluar
el gobierno de la privacidad de los datos
dentro de sus organizaciones.
¿De qué modo abordan comunes en relación con o el 2 % del volumen de
los problemas de la la protección de datos, lo facturación global anual, el que
protección de datos que incluye la dificultad sea mayor de los dos. Desde el
regulaciones como el de mantener un inventario punto de vista operativo, los
Reglamento General de actualizado de los datos organismos de control también
Protección de Datos de personales, no lograr conectar pueden decidir detener el flujo
la Unión Europea (GDPR, los avisos de privacidad y los de datos personales fuera de
por su sigla en inglés)? consentimientos de privacidad la Unión Europea (UE), a
MAALI El Reglamento con los datos personales y menos que los datos vayan a
General de Protección de Datos conservar los datos personales un país que se considere que
de la Unión Europea [GDPR] más de lo que se requiere para cuenta con disposiciones de
fomenta que las compañías completar el fin comercial protección adecuadas conforme
que en sus negocios manejan descrito. Las compañías a las regulaciones de la UE —
datos de europeos hagan tres también enfrentan el desafío EE. UU., por ejemplo, no
cosas bien: que otorguen a de mantener la exactitud de los entra en dicha categoría. Los
las personas el control sobre datos personales y de responder organismos de control también
MIKE MAALI sus datos, que respondan oportunamente a las solicitudes pueden restringir la capacidad
Líder de auditoría rápidamente ante vulneraciones de acceso del sujeto de datos. de una organización de utilizar
interna, cumplimiento, y que incorporen controles de datos personales de residentes
y soluciones de gestión privacidad en toda la empresa. ¿Cuáles son las en la UE hasta que se resuelvan
de riesgos Las leyes han cambiado la consecuencias de los problemas de cumplimiento
PwC EE. UU.  función de la privacidad para no cumplir con las subyacentes. Y quizás sea más
dejar de lado la ejecución de regulaciones de problemático el daño que se
políticas y contratos basados en privacidad de los datos? ocasiona a la reputación de la
papel, y adoptar un programa HRUBEY Conforme organización. En una economía
de transformación del negocio a GDPR corresponden altamente digitalizada, los
que afecta a cada producto multas por la falta de clientes deben poder confiar
y servicio que utiliza datos cumplimiento —en especial en las organizaciones respecto
europeos. con los requisitos relacionados a la protección de sus datos
HRUBEY GDPR y con el consentimiento del personales.
regulaciones como la Ley de sujeto de datos— y pueden MAALI Se ha dicho mucho
Privacidad del Consumidor ser de hasta €20 millones sobre la multa máxima por
de California, la nueva Ley (USD $22,5 millones), una violación importante de
PAM HRUBEY GDPR. Pero GDPR también
general de Protección de o el 4 % del volumen de
Directora general,
datos de Brasil y las nuevas facturación global anual, el otorga a los ciudadanos
Consultoría de riesgos
Crowe regulaciones revisadas de que sea mayor de los dos. Las europeos un derecho privado
Australia, China y Japón, organizaciones que incurren de acción para entablar
resaltan la necesidad de que en una violación relacionada juicios contra compañías por
las compañías pongan en orden con la vulneración de datos violaciones a la privacidad, y los
sus prácticas de protección pueden tener que pagar tribunales no tienen límite para
de datos. Las organizaciones multas de hasta €10 millones las sanciones e indemnizaciones
tienden a tener desafíos (USD $11,2 millones), que aprueban. Quizá el mayor

PARA LEER MÁS SOBRE TEMAS DE NEGOCIOS DE HOY síganos en Twitter @TheIIA

64 INTERNAL AUDITOR ABRIL 2019


PARA HACER COMENTARIOS sobre este
artículo, ENVÍE UN CORREO ELECTRÓNICO
al autor a editor@theiia.org

riesgo sea que un organismo de control imponga una prohibición línea de defensa están mejor posicionadas para tener la solución de
judicial a fin de evitar que la compañía continúe procesando datos las brechas de control. Auditoría interna también está posicionada
personales. Esto podría detener un producto o servicio de la noche para probar estos controles en forma continua, lo que incluye
a la mañana. informar el progreso a la alta dirección y al consejo.

¿Cómo pueden demostrar las organizaciones que ¿Qué debería evaluar auditoría interna con respecto
protegen la información? al cumplimiento en relación con la privacidad de los
MAALI El modo más visible para que las compañías demuestren datos de terceros?
un nivel alto de madurez en la privacidad de los datos es ofrecer MAALI Auditoría interna puede ayudar a que la organización
a los empleados y a los consumidores un portal donde puedan reduzca el riesgo relacionado con la privacidad de terceros de
visualizar, corregir y eliminar sus datos y un modo fácil de optar diversos modos. Primero, auditoría interna puede asegurar que
por adherir a los consentimientos de privacidad o rechazarlos. la gerencia cuente con los procesos necesarios para identificar
Además, contar con un proceso bien documentado para evaluar, proveedores de alto riesgo y llevar a cabo una supervisión
supervisar y mitigar el riesgo puede proporcionar confianza a las permanente. Además, auditoría interna puede asegurar que
partes interesadas clave. existen las protecciones necesarias en los contratos de terceros
HRUBEY Los organismos de control esperan que las incluidas cláusulas sobre el derecho a auditar. Por último, la
organizaciones puedan defender las decisiones basadas en el auditoría interna puede desempeñar un papel importante en
riesgo que hayan tomado con respecto a la implementación de la evaluación de los controles de la privacidad de los datos para
los requisitos de GDPR. Del lado del cliente, las organizaciones proveedores de alto riesgo.
deberían ser transparentes con respecto a las protecciones que HRUBEY Conforme a GDPR los terceros que procesan datos
utilizan para proteger los datos personales. Los avisos de privacidad personales en nombre de una organización son responsables de
deberían incluir, utilizando un lenguaje sencillo, una descripción cumplir con los requisitos reglamentarios correspondientes. Esto
del modo en que la compañía protege los datos personales que se no significa que la organización que contrata a un tercero quede
le confían a su cuidado y actualizarla cuando la organización ajusta libre de responsabilidad. Dado que la organización contratante en
las protecciones que utiliza. Las organizaciones deberían adoptar general opera como contralor conforme a GDPR (la entidad que
un enfoque similar con respecto al lenguaje del consentimiento de determina los fines, las condiciones y los medios del procesamiento
privacidad, y cuidar no procesar los datos personales antes de haber de los datos personales), el contralor podría ser responsable si las
obtenido el consentimiento del sujeto de datos. Las organizaciones instrucciones proporcionadas al tercero relativas al procesamiento
también deben considerar incluir información sobre su programa de datos personales fueron inapropiadas. Las organizaciones
de privacidad en su sitio web. deberían tener contratos que aborden las expectativas asociadas
a la privacidad y protección de los datos. Auditoría interna puede
¿Cuál es el rol de la auditoría en la evaluación del evaluar el cumplimiento de los contratos.
gobierno de la privacidad?
HRUBEY GDPR requiere que las organizaciones evalúen ¿Qué controles son los más necesarios para asegurar
periódicamente el cumplimiento según los requisitos. Auditoría que la organización cumple con las regulaciones de
interna en general es un puesto excelente para llevar a cabo la privacidad de los datos?
evaluación en nombre de la organización. La clave para una HRUBEY La respuesta depende, al menos en parte, del trabajo y
auditoría de la privacidad exitosa es comprender el panorama el sector al que pertenece la organización y de los datos personales
respecto de la privacidad de la organización y los riesgos potenciales específicos que procese. En general, las organizaciones necesitan
a los que se enfrenta. Teniendo en cuenta esos riesgos, la auditoría controles relacionados con la privacidad de los datos. Esto incluye
interna puede aprovechar las metodologías de auditoría existentes una persona que sea responsable de determinar qué regulaciones
y seguir las metodologías de auditoría interna habituales a fin de se aplican y qué debe hacer la organización para cumplir con estas;
entender el desempeño de la organización en dichas áreas de riesgo a la vez, esa persona también debe indicar procesos de evaluación
potencial. La privacidad está en constante cambio, por lo que ser de riesgos que pueden identificar los riesgos relacionados con la
ágil en lo que se refiere al panorama de riesgos es el mejor enfoque privacidad y la protección de los datos; políticas y procedimientos
para la auditoría de la privacidad. Los miembros del equipo claros que los empleados deben observar; capacitación periódica e
de privacidad junto con sus colegas de asesoramiento legal son investigaciones de los incumplimientos por los que se reconocen
responsables de determinar de qué modo se aplican las regulaciones causas raíz asociadas. Los procesos sólidos relacionados con
como GDPR a la organización, y luego de asegurar que se preparen la seguridad de la información deberían incluir, por ejemplo,
los materiales apropiados para el programa. Auditoría interna controles de acceso por función y, cuando sea apropiado, por
puede evaluar si la organización ha implementado las políticas persona; encriptación de equipos electrónicos, incluidas las
y procedimientos como se esperaba. computadoras portátiles y los dispositivos móviles; seguridad física
MAALI Auditoría interna puede desempeñar diversas funciones y seguridad lógica.
para ayudar a que una compañía acelere su camino en materia MAALI El control de la privacidad más difícil, pero fundamental
de privacidad. Lo primero es considerar la privacidad de y más importante, es mantener un inventario actualizado de los
los datos como un riesgo material que la organización debe datos personales, tanto de dentro de la organización como entre los
supervisar. Auditoría interna también puede asesorar a la gerencia terceros relevantes. Todas las líneas de defensa desempeñarán una
sobre la selección de un enfoque de control que sea el más función en el cumplimiento de ese objetivo. Con un inventario de
aplicable al sector al que pertenece la compañía. Puede evaluar datos sostenible y exacto, las compañías pueden implementar otros
e informar el estado de la compañía con respecto al marco y controles sobre la seguridad de la información y los derechos de los
hacer recomendaciones sobre qué partes interesadas en cada sujetos de datos.

ABRIL 2019 INTERNAL AUDITOR 65


Digitally fit organizations
incorporate risk governance
into every aspect of their
digital transformation
Because every digital initiative owns the risk attached to it.

Technologies such as facial recognition can cross privacy boundaries.


Moving work to the cloud can bring unintended consequences. With
business growth comes business risk.

Are your risk functions keeping up with your digital strategy?


Are they flexible enough to grow and change at the speed your
business needs to act?

Our 2019 Global Risk, Internal Audit & Compliance Survey of more
than 2000 CEOs, board members, risk management, internal audit
and compliance professionals examined how organizations use
digital intelligence to help their people become smarter risk takers.

To learn more, download the survey findings, including the 2019


State of the Internal Audit Profession, at pwc.com/us/RiskStudy

© 2019 PwC. All rights reserved. PwC refers to the US member firm or one of its subsidiaries or
affiliates, and may sometimes refer to the PwC network. Each member firm is a separate legal
entity. Please see www.pwc.com/structure for further details. This content is for general information
purposes only, and should not be used as a substitute for consultation with professional advisors.

540415-2019-Global Risk Internal Audit & Compliance Survey 2019 Ad v3.indd 1 2/20/2019 9:36:40 AM
Calendario del IIA

18 DE SEPTIEMBRE 15 AL 18 DE ABRIL 7 AL 10 DE MAYO


CONFEREN- Las mujeres en el Foro de Muestreo estadístico para
los auditores internos
Cursos varios
Boston
CIAS DEL IIA liderazgo de la auditoría
interna En línea
www.theiia.org/ Washington Hilton 7 AL 10 DE MAYO
conferences Washington, DC 16 AL 25 DE ABRIL Cursos varios
NUEVO. Auditoría Washington, DC
21 AL 23 DE OCTUBRE basada en el riesgo,
29 Y 30 DE ABRIL Conferencia “All Star” nivel avanzado 7 AL 16 DE MAYO
Academia de liderazgo En línea Fundamentos de auditoría
MGM Grand
Disney’s Yacht Club Resort de TI
Las Vegas
Orlando, FL 22 AL 24 DE ABRIL En línea
Certificados de Control
7 AL 10 DE JULIO
Conferencia internacional
CAPACITACIÓN Interno de COSO
Tampa, FL
8 Y 9 DE MAYO
Anaheim Convention DEL IIA Análisis de datos para
auditores internos
Center www.theiia.org/training 22 ABRIL AL 1 DE MAYO En línea
Anaheim, CA Auditar la ciberseguridad
en un mundo inseguro 13 AL 22 DE MAYO
12 AL 14 DE AGOSTO En línea El auditor eficaz:
Conferencia sobre comprender y utilizar
gobierno, riesgo y control NUEVO. Auditoría
30 ABRIL AL 3 DE MAYO la inteligencia emocional
The Diplomat de gobierno de TI
Cursos varios En línea
Fort Lauderdale, FL OnDemand
Seattle
NUEVO. Comprender 14 AL 17 DE MAYO
13 AL 15 DE SEPTIEMBRE y auditar los big data 30 ABRIL AL 9 DE MAYO Herramientas y técnicas
Intercambio para OnDemand NUEVO: Fundamentos I: el nuevo auditor interno
estudiantes de de la auditoría basada Salt Lake City
auditoría interna en el riesgo
2 AL 11 DE ABRIL En línea
Rosen Centre 14 AL 17 DE MAYO
Gestión de Riesgo
Orlando, FL Empresarial: un Cursos varios
impulsor para el 6 AL 15 DE MAYO Chicago
16 Y 17 DE SEPTIEMBRE éxito organizacional Redacción de informes
Intercambio sobre En línea de auditoría 21 AL 23 DE MAYO
medio ambiente, En línea Certificados de Control
salud y seguridad 8 AL 17 DE ABRIL Interno de COSO
Washington Hilton Análisis de causas raíz 7 AL 10 DE MAYO Minneapolis, MN
Washington, DC para auditores internos Herramientas y técnicas
En línea III: Gerente de auditoría
FOTO: RAWPIXEL.COM/SHUTTERSTOCK.COM

16 AL 17 DE SEPTIEMBRE Houston

ABRIL/MAYO/JUNIO/J
Intercambio sobre 9 AL 12 DE ABRIL
servicios financieros Cursos varios
Washington Hilton Nueva York
Washington, DC

EL IIA OFRECE numerosas oportunidades de aprendizaje a través del año. Para obtener una lista completa visite el sitio:
www.theiia.org/events

ABRIL 2019 INTERNAL AUDITOR 67


Percepciones/En mi opinión
PARA HACER COMENTARIOS sobre este artículo,
ENVÍE UN CORREO ELECTRÓNICO al autor a
stephen.zwelling@theiia.org

POR STEPHEN N. ZWELLING

REDEFINIR LA
AUDITORÍA INTERNA

S
i bien la definición de “concebida para agregar valor revisión proactiva se reducen
Ha llegado el auditoría interna ha y mejorar las operaciones de de modo significativo y los
servido para describir las una organización” implica la riesgos asociados aumentan
momento de profesión en las últimas posibilidad de que no logre considerablemente. Las
revisar cómo dos décadas, es necesario estos propósitos. Los auditores relaciones de la auditoría
se define la actualizarla. La definición internos agregan valor siempre interna con los clientes,
profesión a actual es: “La auditoría interna que realizan su trabajo de fomentadas por las
consiste en una actividad manera correcta, incluso interacciones personales, son
sí misma. independiente y objetiva de aunque la organización no esenciales para asegurar que
aseguramiento y consultoría acepte sus recomendaciones. se convoque a los auditores
concebida para agregar valor Además, no debería ser internos cuando la organización
y mejorar las operaciones de necesario que los auditores considera hacer un cambio.
una organización. Ayuda a la especificaran independencia Con estas consideraciones
organización a alcanzar sus de la organización para todos en mente, propongo una
objetivos aportando un enfoque los tipos de trabajos. La definición revisada y más
disciplinado y sistemático para independencia y la objetividad amplia: “La auditoría interna
evaluar y mejorar la eficacia son necesarias en los servicios es un servicio que lleva a cabo
de los procesos de gestión de de auditoría pero no en los trabajos de auditoría y de
riesgos, control y gobierno”. servicios de consultoría. Los consultoría a fin de agregar
En muchos aspectos, esta clientes de la consultoría valor y mejorar las operaciones
descripción no proporciona determinan el alcance de de una organización. Alcanza
a la dirección y a las partes los servicios de consultoría. estos objetivos mediante
interesadas un cuadro exacto de Por lo tanto, la objetividad un enfoque disciplinado y
la profesión, y le falta claridad y la independencia para este sistemático para evaluar y
en diversas áreas importantes. tipo de trabajos no presentan mejorar la eficacia de los
Primero, la auditoría un problema; en cambio, la procesos de gestión de riesgos,
interna es un servicio, no una competencia es clave. control y gobierno. La auditoría
actividad, la palabra actividad Por último, la interna trabaja en estrecha
subestima su propósito y definición no hace referencia colaboración con las personas
enfoque. Jugar al béisbol es una a la importancia de la a quienes presta sus servicios
actividad. Cortar el césped es auditoría interna como una a fin de desarrollar relaciones
una actividad. Servicio es lo que función interna. El cambio a largo plazo de modo que
hacemos por el bien de otros. organizacional puede afectar juntos revisen los cambios de
Comporta una exigencia más de modo significativo los manera proactiva para el bien
alta que una actividad y tiene sistemas y controles que los de la organización”. Espero
una connotación de una mayor auditores ayudan a la gerencia que esta revisión marque el
importancia. a evaluar. El cambio y sus comienzo de un diálogo sobre
Cuando los auditores efectos deberían ser revisados cómo se debería definir nuestra
internos prestan sus servicios, de manera proactiva antes profesión.
agregan valor de manera de su implementación. Si
intrínseca y generan mejoras, la organización no cuenta STEPHEN N. ZWELLING,
de lo contrario no deberían con una presencia de CIA, CPA, CISA, es
estar en la organización. auditoría de manera interna, propietario de KISS
Decir que la profesión está las posibilidades de una en Lewis Center, Ohio.

LEA MÁS OPINIONES SOBRE LA PROFESIÓN, visite la sección Voices (Opiniones) en InternalAuditorOnline.org

68 INTERNAL AUDITOR ABRIL 2019


UNA ONDA ÚNICA Y ESPECIAL
La Conferencia Internacional de 2019 del IIA
llega al Sur de California.

Inscripción abierta hoy mismo. ic.globaliia.org

SOUTHERN CALIFORNIA, USA / 7-10 JULY 2019


Presentamos
Los blogs del auditor interno
Opiniones con puntos de vista acerca de la profesión

Además del contenido de publicación de primera clase, tenemos el honor de presentar


cuatro blogs escritos por líderes en auditoría que invitan a la reflexión. Cada uno de los blogs
explora temas importantes que afectan a los auditores internos actuales en todos los niveles
y todas las áreas de este campo vasto y variado.

Chambers Los Soluciones Puntos de vista


acerca de la pensamientos de Soileau: de Pelletier:
profesión: de Jacka:

Reflexiones Pensamiento Asesoramiento para Percepciones e


experimentadas creativo para los los desafíos diarios innovaciones de una
sobre cuestiones tiempos de cambio en la auditoría persona con acceso
importantes a información
privilegiada

LEA TODOS NUESTROS BLOGS. Acceda a InternalAuditor.org.

2017-1087 PUB-Ia Blog Generic Mag Ad-FNLcrx.indd 1 2018-04-25 2:32 PM