Una mayor atención a la cultura y la tecnología de la organización ayudará a los auditores internos a alcanzar el nivel de asesores de confianza en sus empresas, según un nuevo informe del Instituto de Auditores Internos (IIA).
«Aunque la profesión está haciendo claros progresos, sigue habiendo oportunidades de mejora a medida que los auditores internos trabajan para abordar más exhaustivamente los riesgos tecnológicos asociados a la ciberseguridad y los grandes datos, así como los riesgos asociados a la cultura», dijo el Presidente y Director General del IIA, Richard Chambers, en una declaración preparada.
Pero el informe, Global Perspectives and Insights: Tendencias Emergentes , deja claro que no será fácil. La mayoría (68 por ciento) de los profesionales de auditoría interna que respondieron a una encuesta del IIA dijeron que su nivel de personal no está aumentando, y más de la mitad (56 por ciento) dijeron que tampoco lo está su presupuesto. Y el 74 por ciento de los jefes ejecutivos de auditoría (CAE) dijeron que no son responsables de otras funciones.
«Continuar la evolución desde un enfoque posiblemente anticuado de los controles contables hasta una verdadera auditoría basada en el riesgo en toda la empresa ha sido un gran salto adelante para la profesión», afirma el informe. «Asimismo, la siguiente maduración de la profesión ha sido que las CEA han hecho progresos para asegurar la alineación del plan de auditoría interna con las prioridades estratégicas de la organización, y han proporcionado información sobre la capacidad (o incapacidad) de una organización para alcanzar con éxito sus objetivos estratégicos».
Pero eso no es suficiente, según el informe. La auditoría interna debe ser considerada como el asesor de confianza de la empresa para ser realmente eficaz.
«Sin embargo, en muchos casos, la auditoría interna sigue pidiendo ganar el codiciado ‘asiento en la mesa’ (si es que lo consigue), el lugar donde se discuten las cuestiones organizativas más urgentes y se toman las decisiones ejecutivas», afirma el informe. «A su vez, un verdadero asesor de confianza obtiene el asiento en la mesa en virtud del valor que todos aceptan como un dato. No piden participar – son invitados».
Ouch.
Por lo tanto, vamos a examinar más a fondo las dos cuestiones emergentes incluidas en el informe: la cultura y la tecnología.
Cultura
Si bien la mayoría de los encuestados dijeron que no auditan la cultura corporativa, «las pruebas están empezando a sugerir que la auditoría interna es cada vez más consciente de los problemas de la cultura como una causa potencial subyacente de los daños a largo plazo a las organizaciones», según el informe.
¿Qué se considera en la cultura de la auditoría? En la parte superior de la lista se encuentran las cuestiones de cumplimiento, seguidas de las prácticas de recursos humanos, la alineación del comportamiento de la organización con los valores básicos, la capacitación relacionada con la cultura, la satisfacción de las partes interesadas y los arreglos de líneas telefónicas de atención, ayuda y denuncia.
Los tres principales departamentos con los que trabajaría la auditoría interna para evaluar la cultura son los de recursos humanos, gestión de riesgos y cumplimiento.
Tecnología
Según el informe, son muy pocos los departamentos de auditoría interna que participan en la auditoría de los riesgos tecnológicos asociados a la ciberseguridad y a los grandes datos.
«El reto será que la auditoría interna se asegure de tener acceso a las habilidades, conocimientos, recursos e instrumentos en un entorno de riesgo siempre cambiante y dinámico», afirma el informe. «Aprovechar los acuerdos de colaboración aportando los conocimientos especializados apropiados en la materia puede resultar imperativo para muchas funciones de auditoría interna en el futuro».
En resumen, la auditoría interna tiene que aumentar su cociente de friki de la informática. De hecho, cuando se les preguntó por qué no auditan grandes datos, más de la mitad (61%) de los encuestados dijeron que carecían de las herramientas para hacerlo, mientras que casi la mitad (46%) dijo que carecían de las habilidades y conocimientos necesarios.
En el caso de los auditores internos que auditan grandes datos, la mayoría evalúa los controles sobre la disponibilidad y la seguridad de los mismos. A continuación, evalúan los riesgos que conlleva su uso, su exactitud y validez, y su valor para la organización.
En cuanto a la ciberseguridad, no hay duda de que los auditores son muy conscientes de su importancia. La mayoría (74%) de los encuestados dijo que es un elemento de alto riesgo en las organizaciones, y el 63% dijo que el CAE o jefe de auditoría interna planteó la cuestión durante la planificación anual de la auditoría.
Sin embargo, sólo el 27% de los encuestados dijeron que formaban parte de un equipo que proporcionaba orientación sobre el rendimiento de la ciberseguridad y los planes de aplicación.
Y eso se remonta a la falta de conocimientos informáticos. Porque para auditar realmente la ciberseguridad, la auditoría interna tiene que examinar los controles de cómo los sistemas en línea almacenan y procesan los datos, el plan de continuidad de las actividades, el proceso de evaluación de riesgos y las medidas de prevención, y los planes de respuesta a incidentes y de gestión de crisis.