PULSO GLOBAL DE AUDITORÍA INTERNA 2015

Transcripción

1 PULSO GLOBAL DE AUDITORÍA INTERNA 2015 Abrazando Oportunidades en un Entorno Dinámico JULIO 2015 This report is driven by The IIA Research Foundation Common Body of Knowledge (CBOK )

2

3 Embracing Opportunities in a Dynamic Environment RESPONSABILIDAD Derechos de reproducción 2015 de The Institute of Internal Auditors (IIA) localizado en 247 Maitland Ave., Altamonte Springs, FL, 32701, U.S.A. Todos los Derechos Reservados. Publicado en los Estados Unidos de Norteamérica. Excepto para los fines previstos por esta publicación, los lectores de este documento no podrán reproducir, redistribuir, exhibir, alquilar, prestar, revender, explotar comercialmente, o adaptar los datos estadísticos y otros contenidos en este documento sin el permiso del IIA. ACERCA DE ESTE DOCUMENTO La información incluida en este reporte es de carácter general y no pretende dirigirse a algún individuo, función de auditoría interna, u organización en particular. El objetivo de este documento es compartir información y otras prácticas de auditoría interna, las tendencias y los problemas. Sin embargo, ningún individuo, función de auditoría interna, u organización deberían actuar sobre la información proporcionada en este documento sin la consulta o el examen apropiado. Para el versión digital de este informe, visite org/goto/globalpulse. ACERCA DEL CBOK TABLA DE CONTENIDO Introducción...4 Metodología & Demográficas...5 Respondiendo a los Riesgos Emergentes...6 Logrando una Vista Total del Riesgo...9 Reporte Holístico Amplía las Oportunidades de Auditoría Interna...13 Administrando la Presión Conclusión Apéndice El Cuerpo Común de Conocimientos en Auditoría Interna (CBOK ) es el estudio más completo de la profesión de auditoría interna. Con el apoyo de los Institutos de todo el mundo, el CBOK incluye estudios integrales de los practicantes de la auditoría interna y sus partes interesadas. Para mayor información acerca del CBOK, visite ACERCA DEL CENTRO EJECUTIVO DE AUDITORÍA El Centro Ejecutivo de Auditoría de The IIA es un recurso esencial para otorgar a los Directores de Auditoría y tener más éxito. Es la sala de información, productos y servicios disponibles para los DEA s, para responder a los retos y riesgos emergentes de la profesión. Para mayor información acerca del Centro, visite 3

4 INTRODUCCIÓN Hoy más que nunca, el desafío de definir el papel de la auditoría interna es complicado en un entorno empresarial dinámico. Los riesgos emergentes no parecen reducir la velocidad, las partes interesadas quieren y necesitan una visión global del riesgo, los nuevos modelos de informes están surgiendo, y los Directores Ejecutivos de Auditoría (DEA s) están frecuentemente preocupados por las presiones políticas. To Para hacer frente a las preocupaciones de este año, el Centro Ejecutivo de Auditoría de The IIA coordinó con la Fundación para la Investigación de The IIA (IIARFTM) incluir las preguntas de la encuesta del Pulso de Auditoría Interna en la Encuesta del Practicante el Cuerpo Común de Conocimientos en Auditoría Interna (CBOK) De este modo, llegaremos a un número récord de DEA s para dar a conocer el reporte Pulso Global de Auditoría Interna En este informe se exponen cuatro grandes temas: Los riesgos continúan emergiendo rápidamente en las organizaciones. Una evaluación anual del riesgo ya no es suficiente. Los DEA s necesitan entender los riesgos emergentes rápidamente, revisar frecuentemente sus planes de auditoría en respuesta a esta nueva información, y comunicar de manera efectiva estos cambios con las principales partes interesadas. El riesgo no se puede ver en silos, pero debe ser considerado en términos generales. La auditoría interna debe tener la misma visión amplia. Esto significa que la auditoría interna debe trabajar en estrecha colaboración con otras áreas para definir, evaluar y proporcionar seguridad sobre los riesgos. La presentación de informes externos para las organizaciones incluye más información financiera. El uso del tema de sustentabilidad y la presentación de informes integrados ha crecido. Ambos tipos de informes se beneficiarán de la experiencia y conocimiento de la auditoría interna. Los DEA s pueden aprovechar esta oportunidad para dar mayor valor a sus organizaciones. Las presiones políticas pueden ser abordadas con éxito. Para ello, los DEA s necesitan, para optimizar sus líneas de reporte, tomar en cuenta el impacto que sus decisiones tienen, sobre su objetividad al realizar actividades de auditoría interna, insistir en que tengan el acceso a toda la información que necesitan, y garantizar que su trabajo es de alta calidad para resistir el desafío. Mediante el reporte del Pulso Global de Auditoría Interna, esperamos apoyar sus esfuerzos para avanzar en sus organizaciones y la profesión. Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA President and CEO The Institute of Internal Auditors 4 THE INSTITUTE OF INTERNAL AUDITORS

5 Abrazando Oportunidades en un Entorno Dinámico METODOLOGÍA Y DEMOGRAFÍA Coordinando esfuerzos con la IIARF, el Centro Ejecutivo de The IIA incorporó las preguntas de la encuesta de Auditoría Interna en la Encuesta del Practicante del Cuerpo Común de Conocimientos en Auditoría interna CBOK. Esto dió lugar a más de , de 166 países, respuestas utilizables, para su inclusión en los informes del CBOK. Todas las respuestas fueron anónimas. La encuesta se llevó a cabo del 2 de febrero, 2015 al 1 de abril, El link de la encuesta fue distribuido a través de las listas de correo electrónico, sitios web del instituto de The IIA, boletines y medios sociales. Las encuestas parcialmente completadas se consideraron útiles, siempre y cuando las preguntas demográficas fueron completadas. Se analizaron las respuestas de la encuesta de 3,344 DEA S o equivalentes y directores o altos directivos para el reporte de la Encuesta Pulso Global de Auditoría Interna Dentro de este informe, estos dos grupos se refirieron a DEA s y directores. A menos que se indicara lo contrario, los datos proporcionados en este informe se derivan del análisis de las respuestas de DEA s y directores. En algunos casos, se analizaron estrictamente los de DEA s. Tome en cuenta que los datos reportados en este documento representan los promedios entre los que respondieron a la encuesta y no pueden ser generalizados a la población de los auditores internos en ninguna región en particular. Los DEA s y directores que respondieron a la encuesta de organizaciones que varían ampliamente en la ubicación, el tipo, el tamaño y el sector de la industria. La mayoría de los encuestados (28 por ciento) informó que trabaja principalmente en Europa y Asia Central seguida de Asia y el Pacífico Medio y América del Norte en un 20 por ciento cada uno. Además, el 14 por ciento respondió de América Latina y el Caribe, un 8 por ciento desde el Medio Oriente y África del Norte, el 6 por ciento de África Sub-Sahara, y el 3 por ciento desde el sur de Asia. Ver el apéndice para más detalles sobre cuantos DEA s y directores de cada país o territorio respondieron a la encuesta. Los DEA s y directores que respondieron a la encuesta provenían de diversos tipos de organización: el 35 por ciento identificó su organización como privada; 33 la identificó como pública que cotiza en bolsa; y 23 por ciento como sector público. Aunque muchos DEA s y directores (34 por ciento) informaron un ingreso anual de US $ 1 mil millones o más para sus organizaciones individuales, la mayoría de los encuestados estiman que los ingresos totales sustancialmente es menor. De hecho, el 34 por ciento reportó ingresos anuales de US $ 100 millones o menos. Del mismo modo, el tamaño del personal de auditoría también varió ampliamente entre DEA s y directores en relación con la mayoría (61 por ciento) el tamaño está entre uno a nueve - aunque un 12 por ciento reportó personal de 50 o más. De una selección de 20 posibles respuestas, el 29 por ciento de los DEA s y directores identificaron su industria como de finanzas y seguros. Otras industrias representaron números más altos; los cuales incluyen manufactura (13 por ciento), y administración pública (8 por ciento). 5

6 RESPONDIENDO A LOS RIESGOS EMERGENTES En el momento, en el que el mundo tiene acceso instantáneo a la información, los riesgos pueden ser capaces de destruir décadas de valor acumulado, pueden materializarse durante la noche y sin avisar. Las sorpresas ciber geopolíticas, macroeconómicas y las relacionadas se han convertido en casi una rutina. Rara vez pasa un día sin hacer referencia a una nueva amenaza global o ciberataque. Ya sea la inestabilidad política, los terremotos, o una pandemia, cada una tiene un impacto en los negocios. La volatilidad de estos riesgos emergentes y en desarrollo está poniendo una enorme presión sobre las funciones de auditoría interna, las cuales deben lidiar con una amplia gama de temas que van desde la identificación y gestión de los riesgos relacionados con la globalización y la interdependencia a la proliferación de canales de comunicación interconectados a nivel mundial. Las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (Normas) del The IIA exige a los auditores internos tener un plan basado en riesgos. Como tal, nuestra atención debe centrarse en las áreas de una organización que más probabilidades tienen de verse afectadas por factores que impidan los objetivos de la organización - las zonas de mayor riesgo. Los riesgos rutinarios y tradicionales que son fáciles de identificar, son bien conocidos, y son evaluados fácilmente. Los riesgos emergentes, aquellos que no fueron identificados el mes pasado o en el presente año, son los riesgos más difíciles de identificar y evaluar. Pero por esta misma razón, también pueden ser los más críticos en los que la auditoría interna debe centrarse. Hallazgos Relacionados con los Riesgos Emergentes PLAN DE AUDITORÍA. Los DEA s que respondieron a la encuesta dieron a conocer que tienen un mayor enfoque en el riesgo de negocio estratégico (48 por ciento), TI (42 por ciento), y de gobierno corporativo (32 por ciento) - áreas especialmente sensibles a los riesgos emergentes. Al mismo tiempo, los DEA s reportaron la actualización de sus evaluaciones de riesgos, en intervalos que podrían ser menos frecuentes a los necesarios. Sólo el 23 por ciento informó que llevan a cabo la evaluación continua del riesgo (ver Anexo 1). Esto puede ser la razón por la que la mayoría de los DEA s informaran que actualizan su plan de auditoría en la mayoría, de una o dos veces al año (ver Anexo 2). Aunque la velocidad a la que corre el riesgo de cambio es rápida, sólo el 16 por ciento de los DEA s indicó que su proceso de plan de auditoría es lo suficientemente flexible como para responder a los riesgos emergentes de inmediato. Estos datos indican que el 77 por ciento de los DEA s podrían no identificar los riesgos de manera oportuna y el 84 por ciento, tarde en responder con un plan de auditoría actualizado si se enfrentara a una crisis, tal como un sistema de planeación de recursos empresariales fallido, un ataque cibernético a su competidor cercano, o el derrocamiento de un gobierno en un país en el que la organización hace negocios. El DEA podría estar pensando que estos temas no tendrían un impacto en la organización, pero la historia de los grandes eventos de riesgo alerta que las organizaciones a menudo no están preparadas para responder con rapidez, debido a un exceso de confianza en su capacidad, para evitar este tipo de riesgos. 6 THE INSTITUTE OF INTERNAL AUDITORS

7 Embracing Opportunities in a Dynamic Environment Nota: Q42: Qué tan frecuentemente auditoría interna realiza una evaluación de riesgos? DEAs sólo. n = 2,941. Debido al redondeo, algunos totales por región puede no ser igual al 100 por ciento. Nota: Q38: Cómo describiría el desarrollo del plan de auditoría en su organización? DEAs sólo. n = 3,014. Debido al redondeo, algunos totales por región pueden no ser igual al 100 por ciento. 7

8 El aumento de la atención de la auditoría interna en las áreas más susceptibles de los riesgos emergentes sugiere progresar, pero el progreso es lento. La auditoría interna tiene que auditar a la velocidad del riesgo, no a la velocidad de sus procesos internos tradicionales. Mirando hacia el Futuro Ante la amenaza, el alcance y significado de los riesgos emergentes y su evolución, es imprescindible que las funciones de auditoría interna y de las organizaciones evalúen hábilmente el riesgo de manera continua y rápidamente respondan a ese riesgo. Auditoría a la velocidad de riesgo significa que el DEA necesita desarrollar la capacidad de su equipo, para alinear de forma continua o realinear su cobertura de auditoría, para abordar los riesgos principales y evitar sorpresas perjudiciales. Las empresas globales, en particular, necesitan recalibrar constantemente sus planes de auditoría con base en lo que está sucediendo dentro de sus organizaciones, sus industrias, y el mundo. Esenciales para el DEA El mandato para hacer frente a los riesgos emergentes y en evolución es claro. Los riesgos están surgiendo a un ritmo sin precedentes y la impaciencia de sorpresas de las partes interesadas es evidente. Las siguientes acciones sugeridas son una adaptación de Imperativos para Cambio: Encuesta Global de Auditoría Interna de The IIA en Acción 1 : DESARROLLAR procesos de auditoría interna para identificar e informar sobre los riesgos emergentes: Hacer la identificación y evaluación de los asuntos emergentes es una competencia clave de la auditoría interna. Coordinar con los negocios de la organización y sus funciones para compartir información y opiniones sobre asuntos emergentes. Utilizar fuentes externas de datos, conocimientos y temas de negocios para ayudar en la identificación de nuevos asuntos externos. EVALUAR el proceso existente para la revisión del plan de auditoría interna; desarrollar un enfoque para avanzar más rápido y hacer cambios más frecuentes en el plan de auditoría a medida que cambian los riesgos de la organización. COMUNICARSE con los principales interesados (alta dirección y el consejo) sobre el cambio de los riesgos y la necesidad de revisar de manera oportuna el plan de auditoría. Buscar un acuerdo sobre un equilibrio adecuado entre la necesidad de auditoría interna para "completar el plan anual" y la necesidad de una auditoría interna para responder a los nuevos y cambiantes riesgos. INFORME para los principales interesados sobre los riesgos de cambios y el link directo de estos cambios con los cambios en el plan de auditoría. 1. Richard J. Anderson and J. Christopher Svare, Imperatives for Change: The IIA s Global Internal Audit Survey in Action, (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2011). 8 THE INSTITUTE OF INTERNAL AUDITORS

9 Embracing Opportunities in a Dynamic Environment LOGRANDO UNA VISTA TOTAL DEL RIESGO Cuando se trata de la mitigación de riesgos, uno de los objetivos principales del consejo es tener una vista completa de la amplia gama de riesgos que enfrenta la organización. Aunque las funciones de auditoría interna están bien posicionadas para ayudar al consejo en su supervisión de gestión de riesgos y gobernanza, esto puede variar por la naturaleza, tamaño y tipo de organización; así como, los mercados a los que atiende. En las organizaciones más pequeñas, por ejemplo, los auditores internos pueden proporcionar al consejo independencia, objetividad, y puntos de vista con conocimiento necesario para obtener una foto completa de los riesgos de la organización. Haciendo una comparación, una organización más grande puede tener un director de riesgos encargado de apoyar al consejo en sus funciones de supervisión sobre una base regular. En tales casos, el papel de la auditoría interna es más de colaboración en apoyo a las actividades de identificación de riesgos de la administración. Las actividades regulatorias derivadas de la legislación del mercado de capitales también conducen a responsabilidades de supervisión del consejo y contribuyen a la madurez relativa de las actividades de gestión de riesgos de la empresa. Por ejemplo, de acuerdo con el Código de Gobierno Corporativo del Reino Unido 2 (Código Reino Unido), el cual regula a las sociedades que cotizan en la Bolsa de Valores de Londres, el consejo de administración tiene la responsabilidad de "determinar la naturaleza y el alcance de los principales riesgos que está dispuesto a tomar, para lograr sus objetivos estratégicos " y el mantenimiento "Gestión de Riesgos y sistemas de control interno." El Código del Reino Unido también contempla la Responsabilidad de establecer Acuerdos en torno a la Aplicación del informe corporativo, gestión de Riesgos, y los Principios del control interno. Las técnicas utilizadas por la auditoría interna proporcionan apoyo al consejo para sus responsabilidades de supervisión del riesgo. Van desde simples hojas de trabajo para la elaboración de sistemas. El objetivo de estas técnicas es proporcionar una visión de la Administración del Riesgo Empresarial (ERM) y aseguramiento combinado. Los Hallazgos Relacionados a la Vista Total del Riesgo Tomando en cuenta que ERM es un método común utilizado para el perfil de riesgo en toda la organización, la encuesta buscó obtener una foto precisa de las responsabilidades de auditoría interna en ERM. Como se informó en la encuesta, 47 por ciento de los DEA s y directores encuestados proporcionan aseguramiento sobre la gestión de riesgos como un todo, y 56 por ciento proporciona consultoría en las actividades de administración de riesgos. Cuando se les pidió describir la madurez relativa del proceso de gestión de riesgos de la organización, el 37 por ciento de estas respuestas describieron su proceso de gestión de riesgos como informal o simplemente 2. The U.K. Corporate Governance Code, (London: Financial Reporting Council, 2014), 17. 9

10 Nota: Q58: Cuál es el nivel de desarrollo de sus procesos de gestión de riesgos de su organización? DEA s sólo. n = 2,675. Debido al redondeo, algunos totales por región pueden no ser igual al 100 por ciento. en desarrollo, el 29 por ciento informó que tenían procesos de gestión de riesgos formales y procedimientos establecidos, y el 24 por ciento dijo que su organización tiene un proceso de ERM formal con un jefe de riesgos o el equivalente (ver el Anexo 3). AUDITORÍA INTERNA Y ERM. Los encuestados también informaron sobre la relación entre la auditoría interna y el ERM de su organización. El doce por ciento de los encuestados DEA s y directores informaron que auditoría interna y ERM son funciones separadas, sin interacción. Otro 66 por ciento informó que a pesar de que son funciones separadas, auditoría interna y ERM son más de colaboración de coordinación e intercambio de conocimientos entre los dos staffs. Un porcentaje significativamente mayor (72 por ciento) en Europa y Asia Central ha indicado que este acuerdo de colaboración describe la relación entre las dos funciones en sus organizaciones. Mientras tanto, 15 por ciento de los DEA s y directores encuestados indicaron que la auditoría interna es responsable de la función de ERM de la organización, y otro 7 por ciento estableció que auditoría interna es actualmente responsable de ERM, pero la organización tiene previsto cambiar la responsabilidad de ERM a otra área. Independencia y objetividad son consideraciones clave para el 22 por ciento que actualmente es responsable de ERM. La auditoría interna no puede auditar los procesos para los cuales tiene responsabilidad. 10 THE INSTITUTE OF INTERNAL AUDITORS

11 Embracing Opportunities in a Dynamic Environment Nota: Q61: Su organización ha implementado un modelo formal de aseguramiento combinado? Sólo se informan las respuestas de los DEA s y directores. "Si o planea implementar aseguramiento combinado en el futuro" incluidos los que respondieron "sí, implementado ahora", "sí, pero aún no ha sido aprobado por el comité de auditoría o consejo", y "no, pero planea adoptarlo en los próximos 2 a 3 años." n = Debido al redondeo, algunos totales por región no son igual al 100 por ciento. AUDITORÍA INTERNA Y ASEGURAMIENTO COMBINADO. La encuesta también midió las actividades de los encuestados en el área de aseguramiento combinado, que como lo señala el Rey III 3 tiene como objetivo optimizar la cobertura obtenida de la administración, proveedores de aseguramiento interno y proveedores de aseguramiento externo sobre las áreas de riesgo que afectan a la compañía. En específico, se les preguntó a DEA s y directores si sus organizaciones habían implementado un modelo formal de aseguramiento combinado: el 49 por ciento informó que ya habían implementado un modelo o tienen previsto hacerlo en el futuro; 26 por ciento informó que no tiene planes de adoptar un modelo de este tipo; y otro 25 por ciento indicó que no estaban familiarizados en absoluto con el modelo (ver Anexo 4). Cabe destacar que el 57 por ciento de DEA s y directores también informaron que sus funciones de auditoría interna emiten un reporte escrito de la evaluación de aseguramiento combinado. Aunque el aseguramiento combinado proporcionado por la auditoría interna ofrece una serie de beneficios, Ernesto Martinez Gómez, subdirector corporativo de auditoría interna del Banco Santander y director de The IIA Global en general, señaló que "podría poner en peligro la independencia de la actividad de auditoría interna y afectar su posicionamiento como un verdadero proveedor de aseguramiento global. El aseguramiento proporcionado por la dirección no es igual al 3. King Code of Governance Principles, (Parklands, South Africa: Institute of Directors in Southern Africa, 2009). 11

12 aseguramiento proporcionado por los auditores internos o externos; los cuales tienen diferentes niveles de independencia y objetividad". Esenciales para el DEA El aumento de la colaboración multifuncional y la promoción de un enfoque coordinado sobre el riesgo con funciones adyacentes son las formas principales de la auditoría interna que pueden servir a la organización, para optimizar las oportunidades en el campo de la gestión de riesgos: COLABORAR con las funciones adyacentes para alcanzar un enfoque eficaz de la gestión de riesgos de toda la empresa. En la práctica, la auditoría interna puede centrarse en los riesgos mitigados a través de los controles internos, mientras que otras funciones pueden ver más allá de estos riesgos para proporcionar una perspectiva adicional. Reuniendo todas las funciones que se dedican a la identificación, administración y presentación de informes sobre los resultados de riesgos como una fotografía de la gestión de riesgos, para la organización como un todo. DETERMINAR como la auditoría interna y sus funciones adyacentes pueden apoyar la supervisión del consejo en la gestión de riesgos y actividades de gobierno. Tomando en cuenta la madurez de las operaciones de gestión de riesgos y la capacidad de auditoría interna de las funciones relacionadas con el riesgo, para coordinar la conducción del ERM. ESFUERZOS DE EVALUACIÓN DE ENLACE. Para una función de auditoría interna, el objetivo final es proporcionar una evaluación independiente y objetiva sobre la gestión de riesgos, incluyendo las actividades de la primera y segunda líneas de defensa del Modelo de las Tres Líneas de defensa. Si una organización tiene una serie de funciones separadas en la segunda línea de defensa las que llevan a cabo las evaluaciones de riesgos y la prestación de algún tipo de aseguramiento - como TI y gestión de riesgos, además de auditoría interna - la organización debe desarrollar una visión integral de todas las actividades del consejo. DESAFIAR el proceso de evaluación de riesgos para garantizar que todos los riesgos significativos están debidamente identificados y evaluados por el Consejo. Considere los métodos utilizados para definir y medir el riesgo. SER CREATIVO. No hay un modelo único del ERM que funcione para todas las organizaciones. Identifique, explore y critique diferentes enfoques para el ERM y determine el mejor para la organización. 4. The IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, (Altamonte Springs, FL: The Institute of Internal Auditors, 2013). 12 THE INSTITUTE OF INTERNAL AUDITORS

13 Embracing Opportunities in a Dynamic Environment REPORTE HOLÍSTICO AMPLÍA LAS OPORTUNIDADES DE AUDITORÍA INTERNA Bancos y otras crisis han originado que las partes interesadas cuestionen las decisiones estratégicas y el verdadero valor de una organización. El valor de una organización va más allá del análisis financiero y la presentación de informes en la asignación de recursos y toma de decisiones. La capacidad de las organizaciones para comunicar una visión integral y holística de la creación de valor se ha vuelto más importante. Históricamente, algunas compañías liberan informes financieros, de sustentabilidad y otros informes internos o externos. El movimiento actual es hacia la presentación de informes que incorporan resultados de varios informes para crear una historia integral sobre el valor de una organización. Este método se conoce como la presentación de informes integrados, el cual es simplemente un documento conciso que describe cómo una organización planea crear valor en el corto, mediano y largo plazo, enfocándose sobre los seis capitales organizacionales 5. Aunque es relativamente nuevo, se espera que el uso de informes integrados crezca significativamente. Al mismo tiempo, el uso reportes de sustentabilidad, que ha sido utilizado durante años para mejorar las estrategias de mercadotecnia y la toma de decisiones, también está creciendo. Para ambos tipos de informes, hay una fuerte necesidad de experiencia y conocimiento de la auditoría interna. Hallazgos Relacionados con el Reporte Holístico INFORME INTEGRADO. Se pidió a DEA s y directores que respondieran en la encuesta si sus organizaciones estaban planeando crear un informe anual integrado basado en el Marco de Informe Internacional Integrado <IR>, el cual fue liberado a finales de Cuando se les preguntó, el 30 por ciento de los DEA s y directores comentaron que planean emitir un informe integrado este año o en el futuro inmediato - con el 63 por ciento de los que respondieron de África Sub-Sahara 6 indicaron que están adoptando el marco (ver Anexo 5). INFORME SUSTENTABLE. Mientras tanto, casi la mitad (48 por ciento) de los DEA s y directores que respondieron a la encuesta dijeron que sus organizaciones tienen planeado emitir un informe de sustentabilidad este año o en el futuro (ver Anexo 5). De acuerdo con estas respuestas, América del Norte 7 va a la zaga con sólo el 28 por ciento de la planeación para emitir un informe de sustentabilidad. 5. The International <IR> Framework, (London: The International Integrated Reporting Council, 2013). 6. Treinta y tres por ciento de los DEA s y directores de África Sub-Sahara que respondieron a la encuesta indicaron que están basados en Sudáfrica. En 2010, la Bolsa de Valores de Johannesburgo adoptó los principios de Rey III, que recomiendan el uso de informes integrados. 6. Las siete regiones utilizadas en este reporte son las regiones definidas por el Banco Mundial, colocando a México en América Latina. 13

14 14% Nota: Q69: Su organización planea crear un informe anual integrado basado en el Marco de Información Integrada Internacional (<IR>)? Q70: Su organización planea liberar un informe sobre sustentabilidad? El cual incluye a aquellos que respondieron "sí, este año", "sí, en algún momento de los próximos 2 a 3 años", y "sí, en un punto no especificado en el futuro." Sólo las respuestas de DEA s y directores son reporta das. n = 3746; La Auditoría Interna está bien Posicionada para Apoyar el Informe Integral y Sustentable La auditoría interna es la única calificada para apoyar la implementación de informes integrados. Como se señala en un documento reciente emitido por los Institutos Europeos de los Auditores Internos, los DEA s interactúan rutinariamente con los principales jugadores centrales del proceso de información integrada de una organización 8. Con independencia organizacional adecuada y un buen entendimiento de la empresa, la auditoría interna puede proporcionar el aseguramiento necesario para incrementar la credibilidad de la información integrada y puede ayudar a reforzar la coherencia de la comunicación a través de las unidades de negocio. Lo mismo se puede aplicar a los informes de sustentabilidad. Aunque históricamente la auditoría interna no ha participado en la presentación de informes sustentables, la auditoría interna puede aportar valor al comunicar el impacto en los procesos de negocio. "Nadie puede proporcionar informes integrados significativos sin una sólida comprensión de sus impactos sobre la sustentabilidad y cómo los procesos de negocio incorporan los datos de dicha sustentabilidad", señaló Eric Hespenheide, presidente del Comité Asesor Técnico del Global Reporting Initiative y ex socio de Deloitte. 8. Enhancing Integrated Reporting Internal Audit Value Proposition, (IIA France, IIA Netherlands, IIA Norway, IIA Spain, IIA UK and Ireland, 2015). 14 THE INSTITUTE OF INTERNAL AUDITORS

15 Embracing Opportunities in a Dynamic Environment El creciente interés en estos informes crea la oportunidad para que los DEA s participen más con su organización, para ofrecer una visión sobre el impacto de los riesgos de sustentabilidad, y para proporcionar seguridad sobre la fiabilidad de los datos de sustentabilidad. Por otra parte, la popularidad de los informes integrados y sustentables ofrece a la auditoría interna la oportunidad de "permitir una mejor toma de decisiones", como se estableció en la misión de una empresa dedicada a la fabricación de tecnología de punta. Esenciales para el DEA Como los requerimientos de sustentabilidad e integración crecen en todo el mundo, el DEA puede mostrar su liderazgo a través de las siguientes medidas: DESARROLLA un entendimiento sólido de los informes integrados y sustentables mediante la evaluación de la cultura de la organización y la conexión con los interesados para entender el impacto de la sustentabilidad en el negocio. IDENTIFICA datos relevantes no financieros, los procesos y procedimientos para el manejo de estos datos, y las oportunidades para la auditoría interna, para proporcionar servicios de asesoramiento de mejora. COLABORA con las principales partes interesadas para determinar dónde la auditoría interna puede proporcionar aseguramiento en cuanto a la calidad de los datos y sistemas de administración existentes, por ejemplo, auditorías de la cadena de suministro. CREA una estrategia de auditoría integral para el aseguramiento y servicios de asesoramiento, para los procesos y los sistemas que soportan informes integrados y sustentables incluye un mecanismo de retroalimentación para ayudar a asegurar la alineación de las partes interesadas. 15

16 ADMINISTRACIÓN DE LA PRESIÓN Para tener éxito, el DEA necesita el coraje para tratar eficazmente las presiones políticas y de esta manera poder hacer frente a una amplia gama de temas delicados; a los cuales se enfrentan sus organizaciones. En un reciente informe de la Fundación de Investigaciones de The IIA 8 señala que, algunos DEA s muestran la valentía y diplomacia necesaria para navegar eficientemente en los minados campos políticos. Los reportes evidencian otros responsables de auditoría interna que parecen haber fallado en este esfuerzo. Múltiples factores contribuyen al éxito en este campo: líneas de responsabilidad, los objetivos personales y organizacionales, y el apoyo del consejo - así como la conformidad con las Normas. Las respuestas de la encuesta ponen de relieve ciertas áreas en las que los DEA s deberían poner atención para manejar eficazmente la presión política. Hallazgos Relacionados a la Presión sobre el DEA LINEAS DE REPORTE. El posicionamiento de una función de auditoría interna dentro de su organización de la casa matriz tiene mucho que ver con su capacidad para llevar a cabo efectivamente su misión. Cuando se le preguntó acerca de la línea de reporte funcional primaria para el DEA o equivalente en su organización, el 72 por ciento de las respuestas de DEA s dijeron que ellos informa al comité de auditoría (o su equivalente) o al consejo de administración (ver Anexo 6). Tal estructura de información es ideal, ya que le permite al DEA buscar asesoramiento, consejo y el apoyo de las principales partes interesadas; las cuales son poco probable que sean una fuente de presión indebida en el proceso de auditoría. Al mismo tiempo, sin embargo, el 19 por ciento de los encuestados dijeron que reportan funcionalmente al CEO, presidente o director del organismo gubernamental y otro 4 por ciento, dijo que al director de finanzas. Para auditar con éxito, los DEA s deben estas libre del control de aquellos que necesitan auditar. Con este fin, las líneas de responsabilidad son fundamentales, pero no son suficientes, por sí mismas, para garantizar la libertad de control. Para el 72 por ciento de los DEA s que reportan a un grupo de supervisión, reportan necesidades para ser robustos, abiertos, colaborativos, y honestos - todos los factores sirven para reforzar un enfoque fuerte a la auditoría. El logro de tales caracterizaciones positivas requiere construir y mantener cerca las relaciones profesionales con los supervisores clave. Además, el 29 por ciento de los DEA s indicó que informan tanto funcional y administrativamente a la alta dirección. Estos DEA s puede encontrar más difíci tratar la presión política. PLAN DE CARRERA. Según los resultados de la encuesta, el 29 por ciento del informe de los DEA s están sujetos a presiones políticas para cambiar un hallazgo de auditoría o el informe. Obviamente, estas presiones pueden tener consecuencias significativas, que van desde la 9. Dr. Larry Rittenberg and Patricia K. Miller, The Politics of Internal Auditing, (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2015). 16 THE INSTITUTE OF INTERNAL AUDITORS

17 Embracing Opportunities in a Dynamic Environment Nota: Q74: Cuál es la línea de reporte funcional primaria para el director ejecutivo de auditoría (DEA) o el equivalente en su org anización? DEA s solamente. La encuesta indicó que "los informes funcionales se refieren a la supervisión de las responsabilidades de la función de auditoría inte rna, incluyendo la aprobación del estatuto de auditoría interna, el plan de auditoría, la evaluación del DEA, la compensación para el DEA." n = Debido al redondeo, algunos totales por región pueden no ser igual al 100 por ciento. degradación del trabajo o la pérdida del empleo. Cuando se les preguntó acerca del plan de carrera, el 72 por ciento de los DEA dijeron que planean permanecer en la profesión de auditoría interna para los próximos cinco años, el 9 por ciento dijo que planea retirarse, y el resto respondió no estar seguro o piensa tomar diferentes roles (ver Anexo 7 ). Aparte de los DEA s que planean retirarse de la profesión, la mayoría de los responsables de auditoría se enfrentan a retos derivados de las presiones políticas. El 72 por ciento de los DEA s planea, para permanecer dentro de la auditoría interna, explorar movimientos de carrera; las opciones externas, si su organización no está dispuesta a respetar su resistencia a la presión política. Los DEA s planean dejar la auditoría interna, incluyendo aquellos temporales, para los cuales la auditoría interna es un obstáculo, deberá decidir si el cumplimiento de sus responsabilidades como DEA superan sus opciones de carrera a largo plazo dentro de la organización. APOYO Y ACCESO. Los resultados de la encuesta relacionados con el apoyo del consejo para las sugerencias de auditoría interna deberían ser un motivo de preocupación. Mientras que más de la mitad (57 por ciento) de los DEA s reportaron tener un apoyo total del consejo, para revisar las políticas y procedimientos de gobierno de la organización, un significativo 43 por ciento reportó algún o ningún apoyo. Las políticas y procedimientos de gobierno a menudo las consideran los auditores internos en las áreas con un impacto directo en la administración de personal, tal como la remuneración de los ejecutivos, la ética relacionada con programas, información fluida entre la alta dirección y el consejo, 17

18 Anexo 7 El DEA Planea Permanecer en Auditoría Interna 63% 75% 85% 74% 67% 74% 77% 72% Asia Europa y América Latina Medio Oriente North Asia África Global y el Oriental Pacífico Asia Central y Caribbean África America del Sur Sub-Sahara Average Nota: Q36: En los próximos cinco años, cuáles son sus planes profesionales relacionados con la auditoría interna? Sólo se informa de las respuestas de los CAE. n = Anexo 8 DEA s Informes Acceso Sin Restricciones 60% 57% 48% 65% 58% 54% 34% 38% Asia Europa y América Latina Medio Oriente North Asia África Global y el Oriental Pacífico Asia Central y Caribbean África America del Sur Sub-Sahara Average Nota: Q53: En su opinión, en qué medida el departamento de auditoría interna en su organización tiene acceso completo y sin restricciones a los bienes y los registros de los empleados, en su caso, para el desempeño de las actividades de auditoría? Sólo se informan las respuestas de los DEA s. n = THE INSTITUTE OF INTERNAL AUDITORS

19 Embracing Opportunities in a Dynamic Environment administración de políticas de la organización, etc. El apoyo del consejo es crítico y un DEA debería encontrar hallazgos sensibles que requieren el valor para abordarlos. También se preguntó a los encuestados sobre el acceso a los registros de auditoría interna y a los bienes cuando se realizan auditorías internas. Una ligera mayoría (54 por ciento) de los DEA s informó que la auditoría interna tiene acceso completo y sin restricciones a los registros de empleados y a los bienes cuando se realizan auditorías internas (ver Anexo 8). Básicamente, esto significa que en poco menos de la mitad de las organizaciones, los DEA s pueden evitar la obtención de documentación de empleados acerca de asuntos relacionados con el trabajo - el acceso sin restricciones es esencial para los auditores internos. DE CONFORMIDAD CON LAS NORMAS. Los DEA s que toman posiciones políticamente impopulares son desafiados por la administración, y por lo tanto, tienen que documentar su trabajo con eficacia. La mejor defensa contra el trabajo de auditoría incompleto, insuficiente y mal construido es una fuerte adhesión a las Normas. Un cumplimiento efectivo de las Normas requiere un sólido Programa de Aseguramiento y Mejora de la Calidad (PAMC). Cuando se les preguntó, sólo el 34 por ciento de los DEA s que respondieron a la encuesta reportaron tener un PAMC bien definido (ver Anexo 9). Otro tercio de los DEA s dijo que su PAMC estaba en desarrollo y el tercio restante indicó que su programa era ad hoc o inexistente. Si los procesos de auditoría no pueden resistir el escrutinio de las partes interesadas, el DEA tendrá dificultades para tomar una postura valiente. Nota: Q47: Cómo se desarrolla el Programa de Aseguramiento y Mejora de la Calidad (PAMC) en su organización? Sólo DEA s. "Bien definido" incluye a aquellos que respondieron "bien definido, incluyendo la revisión externa de calidad" o "bien definido, incluyendo la revisión externa de la calidad y un vínculo formal de las actividades de mejora y formación continua del personal." n = 2,

20 Esenciales para el DEA Aunque cada organización es distinta, los DEA s de cualquier lugar, necesitan fortalecer su capacidad para hacer frente eficazmente a temas sensibles. Para este fin, el DEA debe: DESARROLLAR líneas de reporte y relaciones, informando que la posición de auditoría interna cuenta con la independencia necesaria para abordar temas delicados directamente con los miembros de supervisión de la organización (por ejemplo, el consejo). Evitar confiar demasiado en los organigramas o relaciones formales. CONTEMPLAR el impacto que los temas sensibles pueden tener sobre el papel o carrera del DEA. En particular, esto se aplica para los DEA s que planean mudarse a un área fuera de la auditoría interna dentro de la misma organización OBTENER el apoyo de las partes interesadas y el acceso necesario para auditar los riesgos altos de toda la organización. ASEGURAR que la auditoría interna tiene un PAMC robusto que permita verificar que el trabajo de auditoría se realiza con calidad suficiente para resistir el escrutinio de las partes interesadas. 20 THE INSTITUTE OF INTERNAL AUDITORS

21 Embracing Opportunities in a Dynamic Environment CONCLUSIÓN En el entorno empresarial actual, con sus riesgos emergentes y el cambio continuo, la auditoría interna tiene que ser más sensible y capaz. Los DEA s que tomen la responsabilidad para ayudar al consejo a cumplir con sus deberes de supervisión de riesgos, los posicionan en este entorno dinámico, para desempeñarse con éxito. Por lo tanto, el reporte Pulso Global de Auditoría Interna 2015 aboga por amplias visiones de riesgos y la planeación de auditorías flexibles -, así como, por la libertad para ampliar el dominio de la auditoría interna y el coraje para manejar las presiones políticas. Evaluando los riesgos emergentes a través de las evaluaciones de riesgo formales o conversaciones informales, el DEA debería utilizar esta información para realizar ajustes al plan de auditoría. Cuanto más volátil es el perfil de riesgo de una organización, el plan de auditoría debería ser más flexible y sensible. Entre más amplíe su visión de auditoría interna para incluir los riesgos empresariales, el DEA debería enfocarse en ofrecer aseguramiento en las evaluaciones de riesgos de la empresa - independientemente de quién administre esos riesgos. Por otra parte, la auditoría interna necesita asegurar que nunca estará en amenaza su independencia y objetividad cuando sea involucrado en el ERM o aseguramiento combinado. Las preocupaciones de la empresa para la toma de decisiones incluyen la utilización de datos financieros y no financieros. Específicamente, las partes interesadas están prestando más atención a la presentación de informes no financieros, tales como informes integrados y de sustentabilidad. Esto presenta oportunidades para la auditoría interna, para expandir su dominio y ofrecer aseguramiento en áreas sin una dirección. El primer paso es entender el impacto de la sustentabilidad en la organización y que la auditoría interna puede apoyar para evaluar los riesgos relacionados. Para satisfacer las demandas de la profesión, los DEA S también tienen que soportar las presiones políticas de su rol. La auditoría interna requiere mecanismos adecuados de defensa la independencia, apoyo al consejo, y una función de auditoría interna con calidad con el fin de combatir estas presiones. En la medida en la que el DEA puede influir en estas áreas, también podrá influir en el nivel de acceso que tiene auditoría interna en una organización y proteger su propia toma de decisiones objetiva. En definitiva, como señaló Douglas Anderson, ex DEA y líder de pensamiento actual en la profesión, "Ahora no es el momento de que los DEA s sean complacientes. El mundo está cambiando rápidamente a nuestro alrededor y no debemos simplemente reaccionar, sino estar preparado. Enfocarse en el riesgo, el alcance de su trabajo, y cómo va a asegurarse de que puede manejar las presiones políticas." 21

22 APÉNDICE Asia y el Pacifico Medio DEA s y Directores Europa y Asia Central DEA s y Directores América Latina y el Caribe DEA s y Directores Medio Oriente y África del Norte DEA s y Directores América del Norte DEA s y Directores Sur de Asia DEA s y Directores África Sub-Sahara DEA s y Directores n = 977 n = 1,355 n = 675 n = 394 n = 999 n = 166 n = 317 Australia...62 Austria...37 Argentina...61 Israel...58 Canadá Bangladesh...24 Sudáfrica China Croacia...21 Brasil...92 Omán...24 Estados Unidos India Tanzania, República Unida de...55 Indonesia República Chile...70 Arabia Saudita Otros...14 Uganda...20 Checa...24 Japón Dinamarca Colombia...55 Emiratos Árabes Unidos Zimbabue...36 Malasia...81 Estonia...25 Costa Rica...56 Other...73 Otros Nueva Zelanda...22 Francia Ecuador...38 Filipinas...23 Alemania El Salvador...33 Singapur...49 Greecia...57 México...77 Taiwán Italia...82 Nicaragua...20 Otros...43 Letonia...22 Panamá...32 Polania...41 Perú...45 Rumania...23 Uruguay...25 Rusia...27 Otrosr...71 Serbia...22 Eslovenia...31 España Suecia...35 Suiza Turquía...69 Ucrania...21 Reino Unido...47 Otros Nota: Q6: En qué región está basado usted o trabaja principalmente? Los encuestados identificaron su región y luego seleccionaron el país o territorio específico. Las respuestas fueron redistribuidas dentro de las siete regiones definidas por el Banco Mundial. Sólo se reportan las respuestas de los DEA s y directores. "Otros" incluyen los países o territorios de regiónes con menos de 20 respuestas. n = 4,883. Excluye los encuestados que no identificaron una región global. 22 THE INSTITUTE OF INTERNAL AUDITORS

23

24 GLOBAL HEADQUARTERS 247 Maitland Avenue Altamonte Springs, FL I 201$.0718