Al igual que la velocidad del riesgo, el final de 2018 se acerca muy rápidamente. Eso significa que muchos de ustedes están dando los toques finales a su plan anual de auditoría interna de 2019. Estoy seguro que su proceso ha sido exhaustivo y se está preparando para presentar un plan para su comité de auditoría que reflejará las prioridades basadas en el riesgo adecuadas para su organización. Sin embargo, antes que la tinta se seque en su plan, pensé que podría resultarle útil echar un vistazo temprano a las prioridades que sus compañeros planean abordar en el próximo año.
El riesgo define el mundo del auditor interno. En última instancia, el riesgo es lo que configura nuestros planes de auditoría, dirige a nuestros accionistas y determina nuestro éxito o fracaso. Es por eso que dedicamos tanto tiempo y esfuerzo a ayudar a nuestras organizaciones a identificar, comprender y mitigar o aprovechar los riesgos. Comprender la combinación única de riesgos que enfrentan nuestras organizaciones y la tolerancia al riesgo de nuestros accionistas es crucial para que la auditoría interna agregue valor.
Varias organizaciones producen informes anuales que intentan mirar en el horizonte para identificar riesgos en el próximo año. A veces, es fácil predecir cuáles serán esos riesgos, ya que algunos de los principales son a largo plazo, si no perpetuos. El desafío es identificar o anticipar riesgos inesperados, emergentes o atípicos que pueden madurar en las próximas semanas o meses, con la esperanza de prepararse para ceñirse a ellos o usarlos para beneficiar a la organización.
Dos informes recientemente publicados, uno de Gartner Inc. y el otro de la Confederación Europea de Institutos de Auditoría Interna (ECIIA), identifican a un enemigo familiar como el principal riesgo para 2019: la ciberseguridad. A lo largo de los años, este desafío para las organizaciones ha escalado constantemente la jerarquía de riesgos en los informes anuales. También nos ha abierto los ojos a otras categorías de riesgo, ya que nuestra comprensión del ciberespacio se vuelve más sofisticada y nuestros enfoques para su gestión maduran.
De hecho, el enfoque en la seguridad cibernética nos ha ayudado a comprender que la tecnología y los datos están inexorablemente entrelazados, y ha aumentado nuestra conciencia del riesgo relacionado con el gobierno y la privacidad de los datos. Nos ha llevado a ser más conscientes de los riesgos relacionados con las relaciones con terceros, el gobierno de TI y la cultura.
Por ejemplo, cuatro de los cinco riesgos principales en el informe de Gartner se derivan de nuestro enfoque en la ciberseguridad: la preparación de la ciberseguridad, la privacidad de los datos, la gobernanza de los datos y el riesgo de terceros. Risk in Focus 2019, el informe desarrollado y producido por ECIIA, agrupa la ciberseguridad, el gobierno de TI y los riesgos de terceros en una categoría. Otra categoría en el informe ECIIA es la protección de datos y las estrategias en un mundo posterior a GDPR.
Los datos y la tecnología también son fundamentales para las discusiones sobre riesgos en digitalización, automatización e inteligencia artificial. Estas discusiones demuestran claramente el desafío de equilibrar el riesgo y la oportunidad. Como señala el informe ECIIA:
«Los beneficios de costo y eficiencia de la automatización y otros procesos digitales pueden ser transformadores, si se aprovechan a su máximo potencial. Pero las organizaciones también deben considerar el riesgo asociado con tal transformación.»
Los datos recopilados desde 2016 por The IIA en sus encuestas anuales Pulso de Auditoría Interna reflejan el mismo enfoque en el ciberespacio. El porcentaje de ejecutivos principales de auditoría (CAE) de América del Norte que calificaron al ciberespacio como el mayor riesgo para sus organizaciones aumentó del 60% al 68% entre 2016 y 2018. Durante el mismo período, el porcentaje de CAE que calificaron a la TI como un riesgo mayor aumentó 39% a 53%, y las relaciones con terceros también mostraron un crecimiento modesto.
El informe de Gartner, que examinó 144 CAE, encontró que dos tercios de los encuestados dijeron que habían experimentado una interrupción relacionada con un tercero en los últimos dos años o que carecían del conocimiento suficiente de las actividades de terceros para identificar una interrupción.
Lo que se sabe es que los riesgos de terceros se están volviendo más complejos a medida que la digitalización, el intercambio de datos y la supervisión débil de las relaciones con terceros amenazan con exponer a las organizaciones a daños a la reputación.
Es fácil fijarse en los riesgos impulsados por los datos y la tecnología, pero ciertamente existen otros, según coinciden los dos informes de riesgos. Gartner identifica la ética y la integridad como un riesgo que ha evolucionado a partir de los riesgos culturales identificados en su informe de 2018. El informe ECIIA también identifica la cultura del lugar de trabajo como un riesgo.
En 2018, el movimiento #MeToo redefinió cómo las organizaciones ven los riesgos asociados con el acoso sexual y la desigualdad en el lugar de trabajo. Si bien esas dos áreas eran categorías de riesgo conocidas, la explosión de acusaciones serias contra ejecutivos de la industria del entretenimiento de alto perfil y el posterior daño a la reputación de sus organizaciones ha aumentado significativamente este nivel de riesgo. El importante papel de las redes sociales no puede ser exagerado. Una vez más, la tecnología está influyendo en cómo vemos el riesgo.
El escándalo de Cambridge Analytics ofrece otro ejemplo. Facebook y su icónico fundador, Mark Zuckerberg, sufrieron daños significativos en su reputación al permitir que la compañía británica extrajera información personal de millones de usuarios del servicio. También sensibilizó sobre las responsabilidades éticas asociadas con la protección de datos y la privacidad que ahora se consideran un riesgo importante tanto en los informes de Gartner como en los de ECIIA.
A medida que miramos hacia 2019, es probable que el panorama de riesgos se centre en la seguridad cibernética, la gobernabilidad y la privacidad de los datos, el riesgo de terceros y los riesgos en evolución asociados con el impacto de la tecnología en la ética, la cultura y la integridad de la organización.
Al preparar sus planes de auditoría interna para el próximo año, debe asegurarse de haber considerado todos los riesgos que enfrenta su organización y discutirlos con sus comités de auditoría y la administración ejecutiva. La lista no es de ninguna manera completa ni necesariamente aplicable a todas las organizaciones. Sin embargo, proporciona un punto de referencia útil al contemplar lo que se avecina en 2019.
Como siempre, espero sus comentarios.
Declaración
Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.
