El rol de la auditoría interna en el multiverso de riesgos

El mundo está interconectado. Los impactos de los eventos geopolíticos y pandémicos, la volatilidad del mercado financiero y la escasez de suministros se propagan en geografías, industrias y organizaciones de todos los tamaños, y traen consigo los riesgos, que cambian rápidamente. Un solo evento de riesgo, como un ataque cibernético, puede causar estragos en las operaciones, la tecnología, las finanzas, los clientes, los proveedores, el cumplimiento normativo y la reputación empresarial. 

Si bien los riesgos a menudo se consideran amenazas que deben gestionarse, aceptarlos puede ser fundamental en la toma de decisiones. Las acciones estratégicas, como la creación de productos innovadores, la expansión a mercados cercanos, adquisiciones, digitalización y colaboraciones con terceros, representan ejemplos de tomar riesgos intencionados para impulsar el éxito de la organización.

Nuestra encuesta de riesgo global encontró que:

Estas cifras revelan la oportunidad que tiene la auditoría interna para participar de manera proactiva, aumentando su valor al proporcionar información más precisa y puntual acerca de riesgos novedosos o en desarrollo. Cada vez es más necesario contar con auditorías internas altamente eficientes que realicen evaluaciones exhaustivas, previas a la implementación de proyectos de transformación o tecnológicos para garantizar la detección temprana de riesgos.

Te puede interesar: Riesgo: identifícalo, compártelo, clasifícalo

La participación de AI en proyectos, por ejemplo, puede proporcionar a los comités directivos una perspectiva más diversa e independiente sobre el riesgo, y a prever si el proyecto obtendrá los beneficios previstos.

Estas son acciones que los líderes de auditoría interna pueden tomar:

• Crear conciencia sobre las futuras iniciativas de transformación digital o inversiones en capital, incorporando las contribuciones de la auditoría interna en los procesos de presupuesto y toma de decisiones estratégicas.

• Explorar cómo la auditoría interna puede brindar retroalimentación en tiempo real, cuando se involucra en iniciativas de transformación; por ejemplo, utilizando un documento de discusión, uno de posición de riesgo o un indicador clave de riesgo (KRI, por sus siglas en inglés), en lugar de un informe tradicional.

• Compartir estudios de casos anteriores con las partes interesadas, que demuestren el beneficio de contar con una auditoría interna desde el principio, como el ahorro de costos a partir de mejores decisiones sobre proyectos.

La auditoría interna debe continuar aprovechando la tecnología y los datos en todo el ciclo de vida, no solo para realizar pruebas, sino también para proporcionar diferentes conocimientos o resaltar nuevas áreas de riesgo.

Nuestra Encuesta de Riesgo Global encontró que:

Estos hallazgos significan que existe un deseo en las empresas por más información basada en datos. La auditoría interna puede ser pionera en proporcionar esto, mediante el uso de su experiencia en la extracción y el análisis de los mismos, y conversión en información procesable, que le permita al negocio identificar y cuantificar las exposiciones al riesgo y dirigir la atención hacia asuntos con mayor oportunidad.

Por ejemplo, las funciones más valoradas de la auditoría interna son aquellas que demuestran competencia digital no solo aprovechando los datos, sino presentándose de una manera que resalta las oportunidades para crear o proteger el valor. Esto incluye el uso de análisis de datos en la etapa de evaluación de riesgos para enfocar el esfuerzo y la implementación de herramientas de visualización, como PowerBI, Tableau o Qlikview, para ayudar a ver el riesgo de manera diferente. 

Estas son acciones que los líderes de auditoría interna pueden tomar:

• Invertir en la mejora de la capacidad y tecnología digital para complementar la experiencia en riesgos, control y procesos. La auditoría interna puede multiplicar su valor al combinar las habilidades humanas con la tecnología.

• Proporcionar información, métricas y análisis cuantificables y visuales que evidencien el poder de usar datos para detectar y monitorear riesgos antes de que se materialicen en un problema o una oportunidad perdida.

• Experimentar con diferentes estilos de informes para encontrar uno que mejor impacte a la audiencia.

La auditoría interna puede contribuir a la alineación de prioridades y en la definición de un lenguaje de riesgo compartido en las diferentes áreas de la organización.

Nuestra Encuesta de Riesgo Global encontró que:

La auditoría interna tiene un papel importante para ayudar a construir la confianza de las partes interesadas, en la forma en que la organización ve y aborda el riesgo. De hecho, las juntas y los comités de auditoría se involucran cada vez más con áreas de Medio Ambiente, Social y Gobernanza (ESG), seguridad cibernética, cambio regulatorio, fusiones y adquisiciones, gestión de terceros y reforma del estilo de trabajo, con el objetivo de obtener perspectivas más amplias, basadas en datos, sobre un panorama de riesgo.

La AI comprende el impacto y la probabilidad de los riesgos en una organización y puede conectar los puntos entre diferentes funciones, geografías y procesos para brindar una perspectiva consolidada sobre la cultura de riesgo general y las amenazas emergentes.

Sin embargo, no puede lograr esto por sí sola. Es crucial que una organización mantenga una visión unificada en todas sus áreas. Esto abarca el lenguaje empleado al abordar el riesgo,  métodos y herramientas utilizados para su evaluación, así como el empeño destinado a mitigarlo o asumirlo. La falta de esta coherencia puede llevar a que las empresas se confundan, desorienten o abrumen rápidamente, debilitando la cultura de la gestión de riesgos,  debido a la complejidad y la interconexión propia del entorno de riesgo, 

Estas son acciones que los líderes de auditoría interna pueden tomar:

• Mantener actualizado sobre el riesgo empresarial y comprender las posibles perspectivas divergentes de diversos grupos de interés como la junta directiva, ejecutivos y el comité de auditoría y riesgo. 

• Proporcionar datos y sugerencias relacionadas con el riesgo y los límites establecidos por la empresa para contribuir a la priorización de asuntos actuales y futuros, a medida que las circunstancias de riesgo evolucionan.

• Trabajar de la mano con las diferentes áreas para identificar las discrepancias en términos de lenguaje, enfoque y prioridades en cuanto a la gestión de riesgos en toda la organización. Adicionalmente, reconocer y resaltar aquellos ejemplos exitosos de buenas prácticas, en las cuales los colaboradores han demostrado innovación o avances significativos en la gestión de riesgos.

La auditoría interna debe entender cómo la gerencia usa la tecnología para incorporar el riesgo en su toma de decisiones y estar dispuesta a compartir los datos, las herramientas y las técnicas. 

Nuestra Encuesta de Riesgo Global encontró que:

Es importante que la auditoría interna sea capaz de no solo usar la tecnología de manera efectiva para realizar su propio trabajo, sino que comprenda cómo esta se integra en la toma de decisiones en todos los niveles de la organización. El ritmo del cambio tecnológico y la tasa de su adopción en las compañías hacen de este un imperativo estratégico para esta integración.

La experiencia de la AI en la comprensión y evaluación de flujos de información complejos, la integridad de los datos, la configuración del sistema y la generación de informes significa que está bien posicionada para brindar su asesoramiento. Esto puede ayudar a la empresa a identificar puntos de decisión críticos, comprender los factores de riesgo involucrados y sentirse cómoda con los sistemas y datos subyacentes en los que confía.

Además, es esencial que esté dispuesta  a compartir sus herramientas, técnicas y los datos que recolecta, para respaldar a las áreas operativas y de supervisión, en la mejora de sus capacidades, cuando sea pertinente. En ciertos casos, esto podría implicar colaborar en la creación de enfoques que integren decisiones y controles basados en riesgos en los procesos subsiguientes. Esto puede incluir, por ejemplo, secuencias de análisis que identifiquen tendencias o valores inusuales en un conjunto de datos, automatización robótica de procesos (RPA, por sus siglas en inglés) para recopilar y examinar informes, o herramientas de visualización para facilitar la revisión y presentación de información.

Estas son acciones que los líderes de auditoría interna pueden tomar:

• Identificar las herramientas, técnicas y datos valiosos que la auditoría interna podría proporcionar a las diferentes áreas de la organización, para facilitar la toma de decisiones fundamentada en el riesgo.

• Actualizar la metodología de AI y genera capacitaciones para ayudar a los auditores internos a planificar, buscar y evaluar los puntos clave de decisión en la gestión de un proceso, riesgos relacionados y sistemas y datos involucrados.

• Revisar la estrategia y el plan de tecnologías de la información (TI) de la organización, junto con la estrategia tecnológica de auditoría interna, con el fin de identificar áreas de colaboración, posibles desarrollos conjuntos y oportunidades para compartir conocimientos.

Te puede interesar: Inteligencia de datos para brindar información relevante sobre riesgo

Los riesgos para las empresas y el mundo nunca han sido más complicados o estado más interconectados. Del mismo modo, las oportunidades para la auditoría interna de intensificar y ayudar a otros a navegar en este nuevo universo de riesgo nunca han sido mayores o más importantes. 

La auditoría interna ya posee muchas de las capacidades fundamentales requeridas para enfrentar este desafío, pero es necesario combinarlas con otros activos y recursos de las distintas áreas de la organización o idear su desarrollo, si aún no están presentes. Alcanzar este efecto multiplicador se vuelve esencial para abordar de manera efectiva el panorama de riesgos, especialmente, en ámbitos como ESG, ciberseguridad y cumplimiento normativo.

En última instancia, el éxito y la relevancia de la auditoría interna radicarán en su capacidad para adoptar un enfoque innovador en la gestión de riesgos y asistir a la organización en hacer lo mismo.

Este artículo está basado en el artículo "PwC Global Risk Survey: Internal Audit’s response to the new risk multiverse” de PwC Global. Esta versión es organizada y revisada por PwC Colombia.