El rol de la auditoría interna en el multiverso de riesgos
Septiembre 26, 2023
Acerca de la Encuesta de Riesgo Global de PwC
La Encuesta de Riesgo Global 2022 de PwC, llevada a cabo por PwC Research, el Centro de Excelencia Global para investigación e información de mercado de la Firma, se centró en la importancia de asumir el riesgo en situaciones disruptivas. Enfatizó en la necesidad de que los líderes ajusten sus estrategias y operaciones, transformando sus habilidades de gestión de riesgos, frente a lo cual sugirió cinco acciones clave que las organizaciones deben considerar para prevenir interrupciones y aprovechar nuevas oportunidades.
Esta encuesta fue realizada a 3584 ejecutivos de negocios y riesgos, auditoría y cumplimiento, del 4 de febrero al 31 de marzo de 2022. Los ejecutivos de negocios representaron el 49 % de la muestra y el 51 % restante se dividió entre ejecutivos de auditoría (16 %), gestión de riesgos (24 %) y cumplimiento (11 %).
Entendiendo el nuevo multiverso de riesgo
El mundo está interconectado. Los impactos de los eventos geopolíticos y pandémicos, la volatilidad del mercado financiero y la escasez de suministros se propagan en geografías, industrias y organizaciones de todos los tamaños, y traen consigo los riesgos, que cambian rápidamente. Un solo evento de riesgo, como un ataque cibernético, puede causar estragos en las operaciones, la tecnología, las finanzas, los clientes, los proveedores, el cumplimiento normativo y la reputación empresarial.
Si bien los riesgos a menudo se consideran amenazas que deben gestionarse, aceptarlos puede ser fundamental en la toma de decisiones. Las acciones estratégicas, como la creación de productos innovadores, la expansión a mercados cercanos, adquisiciones, digitalización y colaboraciones con terceros, representan ejemplos de tomar riesgos intencionados para impulsar el éxito de la organización.
Lee nuestra publicación sobre el riesgo en Colombia
¿Qué significa esto para la auditoría interna?
La posición estratégica de la Auditoría Interna (AI) en una organización le permite ser un enlace crucial en las empresas para asumir riesgos. En este contexto, puede cumplir su misión de proteger y generar valor, actuando como un asesor de confianza que brinda seguridad a todas las partes interesadas.
En la encuesta de PwC se consultó a los participantes acerca de quién consideraban responsable de la gestión de riesgos. Las respuestas revelaron una amplia diversidad de opiniones al respecto. Esto sugiere que aún queda mucho trabajo por hacer para crear un enfoque unificado y eficaz del riesgo; sin embargo, también brinda una oportunidad para que la auditoría interna sea ágil, proactiva y 'pionera' en ayudar a lograr esto.
Te puede interesar: Eventos del mercado: Evaluación del riesgo y consideraciones de auditoría
Percepción sobre la rendición de cuentas para la gestión de riesgos
| Riesgos | Financiero | Estratégico | Operacional | Digital | Informes | Cumplimiento | Reputacional |
| Director de Riesgos | 9% | 16% | 14% | 12% | 21% | 17% | 18% |
| Director Financiero | 58% | 8% | 8% | 7% | 20% | 9% | 8% |
| Director Ejecutivo | 10% | 29% | 15% | 10% | 13% | 13% | 25% |
| Director de Operaciones | 5% | 12% | 39% | 6% | 7% | 8% | 9% |
| Director de Seguridad de la Información | 3% | 7% | 4% | 18% | 7% | 6% | 5% |
| Director de Información | 3% | 5% | 4% | 16% | 9% | 5% | 6% |
| Director de Tecnología | 2% | 5% | 4% | 22% | 4% | 4% | 4% |
| Director Ejecutivo de Auditoría | 3% | 3% | 2% | 2% | 6% | 4% | 4% |
| Director de Cumplimiento | 1% | 2% | 1% | 2% | 3% | 24% | 5% |
| Consejero General | 1% | 2% | 1% | 1% | 3% | 4% | 4% |
| La Junta | 2% | 8% | 3% | 2% | 3% | 3% | 7% |
| Ningún Ejecutivo responsable | 1% | 2% | 3% | 2% | 3% | 2% | 5% |
| No lo sé | 0% | 0% | 0% | 0% | 1% | 0% | 1% |
Participa y obtén información sobre riesgos para tomar decisiones
Nuestra encuesta de riesgo global encontró que:
79 %
Informa que mantenerse al día con la velocidad de las transformaciones digitales es un desafío importante para la gestión de riesgos.
39 %
De los ejecutivos de negocios encuestados dice que está tomando mejores decisiones y logrando resultados al consultar, desde un principio, con profesionales de riesgo.
70 %
Está priorizando la diversidad en los equipos de riesgo.
Estas cifras revelan la oportunidad que tiene la auditoría interna para participar de manera proactiva, aumentando su valor al proporcionar información más precisa y puntual acerca de riesgos novedosos o en desarrollo. Cada vez es más necesario contar con auditorías internas altamente eficientes que realicen evaluaciones exhaustivas, previas a la implementación de proyectos de transformación o tecnológicos para garantizar la detección temprana de riesgos.
Te puede interesar: Riesgo: identifícalo, compártelo, clasifícalo
La participación de AI en proyectos, por ejemplo, puede proporcionar a los comités directivos una perspectiva más diversa e independiente sobre el riesgo, y a prever si el proyecto obtendrá los beneficios previstos.
Estas son acciones que los líderes de auditoría interna pueden tomar:
Crear conciencia sobre las futuras iniciativas de transformación digital o inversiones en capital, incorporando las contribuciones de la auditoría interna en los procesos de presupuesto y toma de decisiones estratégicas.
- Explorar cómo la auditoría interna puede brindar retroalimentación en tiempo real, cuando se involucra en iniciativas de transformación; por ejemplo, utilizando un documento de discusión, uno de posición de riesgo o un indicador clave de riesgo (KRI, por sus siglas en inglés), en lugar de un informe tradicional.
- Compartir estudios de casos anteriores con las partes interesadas, que demuestren el beneficio de contar con una auditoría interna desde el principio, como el ahorro de costos a partir de mejores decisiones sobre proyectos.
Logra una vista panorámica del riesgo
La auditoría interna debe continuar aprovechando la tecnología y los datos en todo el ciclo de vida, no solo para realizar pruebas, sino también para proporcionar diferentes conocimientos o resaltar nuevas áreas de riesgo.
Nuestra Encuesta de Riesgo Global encontró que:
65 %
De las empresas está aumentando el gasto total en tecnología de gestión de riesgos.
75 %
Planea aumentar el gasto en análisis de datos, el 74 % en automatización de procesos y el 72 % en tecnología para respaldar la detección y el monitoreo de riesgos.
38 %
Informa que su gestión de riesgos no está buscando activamente información externa para evaluarlos y monitorearlos.
Estos hallazgos significan que existe un deseo en las empresas por más información basada en datos. La auditoría interna puede ser pionera en proporcionar esto, mediante el uso de su experiencia en la extracción y el análisis de los mismos, y conversión en información procesable, que le permita al negocio identificar y cuantificar las exposiciones al riesgo y dirigir la atención hacia asuntos con mayor oportunidad.
Por ejemplo, las funciones más valoradas de la auditoría interna son aquellas que demuestran competencia digital no solo aprovechando los datos, sino presentándose de una manera que resalta las oportunidades para crear o proteger el valor. Esto incluye el uso de análisis de datos en la etapa de evaluación de riesgos para enfocar el esfuerzo y la implementación de herramientas de visualización, como PowerBI, Tableau o Qlikview, para ayudar a ver el riesgo de manera diferente.
Estas son acciones que los líderes de auditoría interna pueden tomar:
Invertir en la mejora de la capacidad y tecnología digital para complementar la experiencia en riesgos, control y procesos. La auditoría interna puede multiplicar su valor al combinar las habilidades humanas con la tecnología.
Proporcionar información, métricas y análisis cuantificables y visuales que evidencien el poder de usar datos para detectar y monitorear riesgos antes de que se materialicen en un problema o una oportunidad perdida.
- Experimentar con diferentes estilos de informes para encontrar uno que mejor impacte a la audiencia.
Emplea la disposición al riesgo como una ventaja frente a las oportunidades que este ofrece
La auditoría interna puede contribuir a la alineación de prioridades y en la definición de un lenguaje de riesgo compartido en las diferentes áreas de la organización.
Nuestra Encuesta de Riesgo Global encontró que:
33 %
Está obteniendo beneficios al definir o establecer los umbrales de riesgo.
56 %
Está invirtiendo en cultura de riesgo y analizando su comportamiento, desde el 2022.
47 %
Tiene mucha confianza en su capacidad para construir una cultura más consciente sobre el riesgo.
La auditoría interna tiene un papel importante para ayudar a construir la confianza de las partes interesadas, en la forma en que la organización ve y aborda el riesgo. De hecho, las juntas y los comités de auditoría se involucran cada vez más con áreas de Medio Ambiente, Social y Gobernanza (ESG), seguridad cibernética, cambio regulatorio, fusiones y adquisiciones, gestión de terceros y reforma del estilo de trabajo, con el objetivo de obtener perspectivas más amplias, basadas en datos, sobre un panorama de riesgo.
La AI comprende el impacto y la probabilidad de los riesgos en una organización y puede conectar los puntos entre diferentes funciones, geografías y procesos para brindar una perspectiva consolidada sobre la cultura de riesgo general y las amenazas emergentes.
Sin embargo, no puede lograr esto por sí sola. Es crucial que una organización mantenga una visión unificada en todas sus áreas. Esto abarca el lenguaje empleado al abordar el riesgo, métodos y herramientas utilizados para su evaluación, así como el empeño destinado a mitigarlo o asumirlo. La falta de esta coherencia puede llevar a que las empresas se confundan, desorienten o abrumen rápidamente, debilitando la cultura de la gestión de riesgos, debido a la complejidad y la interconexión propia del entorno de riesgo,
Estas son acciones que los líderes de auditoría interna pueden tomar:
Mantener actualizado sobre el riesgo empresarial y comprender las posibles perspectivas divergentes de diversos grupos de interés como la junta directiva, ejecutivos y el comité de auditoría y riesgo.
Proporcionar datos y sugerencias relacionadas con el riesgo y los límites establecidos por la empresa para contribuir a la priorización de asuntos actuales y futuros, a medida que las circunstancias de riesgo evolucionan.
- Trabajar de la mano con las diferentes áreas para identificar las discrepancias en términos de lenguaje, enfoque y prioridades en cuanto a la gestión de riesgos en toda la organización. Adicionalmente, reconocer y resaltar aquellos ejemplos exitosos de buenas prácticas, en las cuales los colaboradores han demostrado innovación o avances significativos en la gestión de riesgos.
Usa la tecnología para respaldar la toma de decisiones basada en el riesgo
La auditoría interna debe entender cómo la gerencia usa la tecnología para incorporar el riesgo en su toma de decisiones y estar dispuesta a compartir los datos, las herramientas y las técnicas.
Nuestra Encuesta de Riesgo Global encontró que:
74 %
De las empresas están incrementando su inversión para incorporar tecnología y capacidades digitales en la gestión de riesgos.
54 %
Amplía las inversiones en tecnología de riesgo, mediante la incorporación de personal y cambios en los procesos.
75 %
Afirma que tener sistemas tecnológicos que no funcionan juntos es un desafío importante para la gestión de riesgos.
Es importante que la auditoría interna sea capaz de no solo usar la tecnología de manera efectiva para realizar su propio trabajo, sino que comprenda cómo esta se integra en la toma de decisiones en todos los niveles de la organización. El ritmo del cambio tecnológico y la tasa de su adopción en las compañías hacen de este un imperativo estratégico para esta integración.
La experiencia de la AI en la comprensión y evaluación de flujos de información complejos, la integridad de los datos, la configuración del sistema y la generación de informes significa que está bien posicionada para brindar su asesoramiento. Esto puede ayudar a la empresa a identificar puntos de decisión críticos, comprender los factores de riesgo involucrados y sentirse cómoda con los sistemas y datos subyacentes en los que confía.
Además, es esencial que esté dispuesta a compartir sus herramientas, técnicas y los datos que recolecta, para respaldar a las áreas operativas y de supervisión, en la mejora de sus capacidades, cuando sea pertinente. En ciertos casos, esto podría implicar colaborar en la creación de enfoques que integren decisiones y controles basados en riesgos en los procesos subsiguientes. Esto puede incluir, por ejemplo, secuencias de análisis que identifiquen tendencias o valores inusuales en un conjunto de datos, automatización robótica de procesos (RPA, por sus siglas en inglés) para recopilar y examinar informes, o herramientas de visualización para facilitar la revisión y presentación de información.
Estas son acciones que los líderes de auditoría interna pueden tomar:
Identificar las herramientas, técnicas y datos valiosos que la auditoría interna podría proporcionar a las diferentes áreas de la organización, para facilitar la toma de decisiones fundamentada en el riesgo.
Actualizar la metodología de AI y genera capacitaciones para ayudar a los auditores internos a planificar, buscar y evaluar los puntos clave de decisión en la gestión de un proceso, riesgos relacionados y sistemas y datos involucrados.
Revisar la estrategia y el plan de tecnologías de la información (TI) de la organización, junto con la estrategia tecnológica de auditoría interna, con el fin de identificar áreas de colaboración, posibles desarrollos conjuntos y oportunidades para compartir conocimientos.
Te puede interesar: Inteligencia de datos para brindar información relevante sobre riesgo
Conclusión
Los riesgos para las empresas y el mundo nunca han sido más complicados o estado más interconectados. Del mismo modo, las oportunidades para la auditoría interna de intensificar y ayudar a otros a navegar en este nuevo universo de riesgo nunca han sido mayores o más importantes.
La auditoría interna ya posee muchas de las capacidades fundamentales requeridas para enfrentar este desafío, pero es necesario combinarlas con otros activos y recursos de las distintas áreas de la organización o idear su desarrollo, si aún no están presentes. Alcanzar este efecto multiplicador se vuelve esencial para abordar de manera efectiva el panorama de riesgos, especialmente, en ámbitos como ESG, ciberseguridad y cumplimiento normativo.
En última instancia, el éxito y la relevancia de la auditoría interna radicarán en su capacidad para adoptar un enfoque innovador en la gestión de riesgos y asistir a la organización en hacer lo mismo.
Este artículo está basado en el artículo "PwC Global Risk Survey: Internal Audit’s response to the new risk multiverse” de PwC Global. Esta versión es organizada y revisada por PwC Colombia.
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
Síguenos PwC Colombia
