Edición 5

PERCEPCIONES Y
PERSPECTIVAS GLOBALES:
tendencias emergentes
Basado en la encuesta “Global Pulse of Internal Audit”

Perspectivas globales:
tendencias emergentes

Índice
Consejo Asesor
Nur Hayati Baharuddin, CIA, Metodología y demografía......................................................... 3
CCSA, CFSA, CGAP, CRMA – IIA–
Malasia Introducción........................................................................... 4
Lesedi Lesetedi, CIA, QIAL – IIA
Auditar la cultura..................................................................... 6
de la Federación Africana
Conclusión....................................................................... 12
Hans Nieuwlands, CIA, CCSA,
CGAP – IIA–Países Bajos Seguir el ritmo a la tecnología................................................. 13
Karem Toufic Obeid, CIA, CCSA, Seguridad cibernética....................................................... 13
CRMA – Miembro del Macrodatos...................................................................... 18
IIA–Emiratos Árabes Unidos Conclusión....................................................................... 22
Carolyn Saint, CIA, CRMA, CPA –
IIA–América del Norte Alcanzar la posición de asesor de confianza.............................. 23
Conclusión....................................................................... 28
Ana Cristina Zambrano Preciado,
CIA, CCSA, CRMA – IIA–
Reflexiones finales................................................................. 29
Colombia

Opiniones de Para más información............................................................ 30
los lectores
Envíe sus preguntas o comentarios
a globalperspectives@theiia.org.
Copyright © 2016 del The Institute of Internal
Auditors, Inc., (“The IIA”) estrictamente reservado.
Toda reproducción del nombre o logotipo del IIA
llevará el símbolo de registro de marca federal de los
EE. UU. ®. No se puede reproducir ninguna parte
de este material de ninguna forma sin el permiso por
escrito del IIA.

2 globaliia.org

Perspectivas globales:
tendencias emergentes

Metodología y demografía
La encuesta “2016 Global Pulse of Internal Audit” (El ritmo de auditoría interna global)
de 2016 del IIA (en adelante, Global Pulse) se realizó por Internet entre el 9 de mayo y
el 27 mayo de 2016.1 El IIA recabó datos de 2254 encuestados de todo el mundo que
se autodesignaron como profesionales actuales de auditoría interna. Cincuenta y dos por
ciento de los encuestados son miembros del mayor rango en el departamento de auditoría
interna o directores o gerentes superiores que responden al DEA. En este informe, nos
referimos a este grupo como “líderes de auditoría interna”. Los encuestados también
incluyen gerentes que responden a directores (16 %), personal de auditoría que realiza
auditorías (28 %) y otros, incluso proveedores de servicios (4 %).

Los encuestados de 111 países o territorios representan un rango amplio de auditoría
interna en términos de tipo de organización, sector económico, ingresos, cantidad de
empleados y tamaño del departamento de auditoría interna.

Los encuestados trabajan predominantemente en organizaciones que cotizan en bolsa
(34 %), del sector público (27 %) y del privado (25 %).

Los sectores económicos con la mayor representación incluyen servicios financieros
(32 %), fabricación (12 %), administración pública (11 %), atención médica (6 %) y
servicios públicos (6 %).

Los resultados se ajustaron (normalizaron) para representar la distribución global de los
miembros del IIA por región:

25 %
39 %
4 % 17 %
8 %
7 %

1
Para una cantidad limitada de preguntas, los encuestados norteamericanos fueron encuestados entre el
20 de octubre de 2015 y el 10 de noviembre de 2015.

globaliia.org
3

Perspectivas globales: tendencias emergentes Introducción Los líderes de auditoría interna están avanzando hacia la excelencia en todo el mundo: demuestran que la agudeza en los negocios. Nota: P49: Si piensa en los siguientes doce meses. riesgos de negocios estratégicos y TI. de gestión de riesgos y de gobierno de la organización. ¿espera que la cantidad de personal equivalente a tiempo completo dentro de su función de auditoría interna: Muestra 2: proyección de presupuesto de auditoría interna Aumenta Disminuye 35 % 56 % Permanece igual 9% Nota: P50: Si piensa en los siguientes doce meses. los conocimientos técnicos y las habilidades para relacionarse son un recurso invaluable en el avance hacia los objetivos estratégicos. Pero según muchos indicios.org . ¿espera que el presupuesto de su función de auditoría interna: 4 globaliia. Muestra 1: proyección de personal de auditoría interna Aumenta Los aumentos previstos en el tamaño del personal y el 26 % Disminuye presupuesto de auditoría interna en muchas partes del mundo 68 % Permanece igual reflejan un reconocimiento y 6% respaldo del valor en aumento de auditoría por parte de la dirección ejecutiva y los consejos de administración. necesitamos continuar mejorando. Los aumentos previstos en el tamaño del personal y el presupuesto de auditoría interna en muchas partes del mundo reflejan un reconocimiento y respaldo del valor en aumento de auditoría por parte de la dirección ejecutiva y los consejos de administración y permiten que las funciones de auditoría interna incrementen el tiempo que dedican a áreas cruciales como aseguramiento de gestión de riesgos.

Nunca más que ahora. También exploramos cómo auditoría interna puede (y probablemente debe) elevarse al nivel de un asesor de confianza. Eso es lo que hace que auditoría interna sea una profesión tan exigente y aun así gratificante.. las expectativas que recaen sobre auditoría interna continúan aumentando. Sí. Perspectivas globales: tendencias emergentes En busca de los pasos que se están tomando en pos de la excelencia. hemos avanzado mucho como profesión.. pero todavía tenemos mucho trabajo por delante. Creemos que este informe respalda la necesidad de que auditoría interna continúe concentrándose en las prácticas y los temas emergentes clave. Este informe explora dos temas emergentes: auditar la cultura y seguir el ritmo de la tecnología (seguridad cibernética y macrodatos).org 5 . globaliia. Global Pulse analizó el estado de la auditoría interna al evaluar temas y prácticas emergentes en la gestión de auditoría interna a nivel global.

la mayoría indica una serie de factores que impiden su habilidad de progresar. la corrupción y otros tipos de conductas indebidas. un escándalo contable en Toshiba. el 72 por ciento de los líderes de auditoría interna indica que en la actualidad no audita la cultura (Muestra 3). acusaciones de sobornos y corrupción en FIFA. incorporarla eficazmente a los El comportamiento inaceptable. No obstante. No obstante. tal como se reflejan una ciencia exacta. aparece en los valores centrales y el su cultura. Pero es culturas tóxicas en la organización asociadas con el fraude. Ciertamente. auditoría interna ha estado auditando los controles subjetivos durante bastante tiempo y evaluando. En 2015 el mundo fue testigo de una serie de Dr. 6 globaliia. Director. contribuye a evaluación de riesgos. es la forma en la cual se hacen las cosas en toda la organización. Auditores Internos Certificados.co. “FRC calls for greater emphasis on corporate culture” (El FRC exige un mayor énfasis en la cultura em- presarial). al menos informalmente. Ian Peters. Los consejos de administración. la imagen de la dirección en muchas organizaciones desde que la “imagen de la dirección” se convirtió en una frase común. Solo esos ejemplos ya deberían ser una llamada de atención para que auditoría interna proporcione aseguramiento sobre si la cultura de la organización es o no consistente con los valores centrales expuestos y si fomenta o no la conducta ética y el cumplimiento de las leyes y normas. entre ellos.org . e incluso no ético (la forma en la cual NO hay que hacer procesos de aseguramiento y las cosas).uk/frc-calls-greater-emphasis-corporate-culture (se accedió el 24 de agosto de 2016). En términos organizaciones tienen simples. (IIA evidencia de pruebas de emisiones modificadas en Volkswagen e informes cuestionables Reino Unido e Irlanda)2 sobre el impacto del cambio climático de ExxonMobil. Perspectivas globales: tendencias emergentes Auditar la cultura La historia demuestra que la cultura puede afectar directa y negativamente las finanzas. 2 CCH Daily. las operaciones y la reputación de una organización. 20 de julio de 2016 https://www. mucho menos código de ética de la organización e impone el comportamiento aceptable e inaceptable. Instituto de incidentes de alto perfil que posiblemente indicaron grandes traspiés en la cultura. “Auditar la cultura no es La cultura representa las creencias y los valores de la organización. coloca a la organización en riesgo y. cuando se lleva al extremo.cchdaily. y la erosión de la confianza pública. Muchas a través de las acciones y los comportamientos de todos sus empleados. Algunos eventos destacados incluso han llevado a crisis económicas esencial que lo hagan”. para nombrar algunos. dificultades para definir La cultura deseada se establece desde la dirección. mientras algunos están dando el siguiente paso para auditar formalmente la cultura de la organización. los ejecutivos y otras partes interesadas deberían ser capaces de recurrir a auditoría interna para que les proporcione servicios de asesoramiento y aseguramiento que ayuden a la organización a supervisar y fortalecer su cultura y a dar señales de alerta cuando las cosas puedan estar mal.

mientras que las principales razones para no auditar la cultura incluyeron una reportada falta de competencias (25 %) o que no tenían el apoyo necesario de la organización (23 %) o el tiempo (21 %). cada una de las microculturas. Perspectivas globales: tendencias emergentes Muestra 3: porcentaje de departamentos de auditoría interna que auditan la cultura Sí 28 % No 72 % Nota: P5: ¿Su departamento de auditoría interna audita la cultura? Aunque la imagen de la organización en general se establece en la dirección y. auditoría la organización. Pero con esta visión y los riesgos posibles asociados amplia y objetiva de la organización. En primer lugar. auditoría interna debe comprender profundamente la macrocultura deseada si luego debe evaluar las subculturas y buscar diferencias entre lo que desea la dirección y lo que realmente sucede en toda la empresa.org 7 . departamentos. divisiones y microculturas. auditoría interna tiene el potencial de examinar para la organización. la cultura no es necesariamente homogénea en toda de la organización. como se observa en la Muestra 4.Una cultura que abarque toda la organización desde arriba hacia interna tiene el potencial de abajo (una “macrocultura”) es un punto de partida en lo que se refiere a definir el examinar cada una de las comportamiento deseado. globaliia. Un dato curioso es que el 18 por ciento indicó que no audita la cultura porque otra área realiza esta evaluación. su impacto en la otras unidades o grupos específicos de empleados con algo en común. Pero cada organización tiene muchas culturas pequeñas separadas (o “microculturas”) que reflejan localizaciones. pero solo aproximadamente la mitad (53 por ciento) indica que su departamento de auditoría interna realmente comprende cómo auditar la cultura. la cultura Con esta visión amplia y objetiva deseada emana de los líderes. Esta proliferación macrocultura de la organización de microculturas puede hacer que sea difícil auditar la cultura. Afortunadamente. una sólida mayoría de los líderes de auditoría interna (89 por ciento) coincide en que su departamento de auditoría interna comprende los riesgos asociados con la cultura de la organización. independientemente del tamaño o la complejidad de la organización. su impacto en la macrocultura de la organización y los riesgos posibles asociados para la organización.

habilidades y el conocimiento (Se les preguntó a aquellos que no auditan la cultura). IIA Malasia obligaciones esperadas para cada línea pueden incluir: 1. Perspectivas globales: tendencias emergentes Muestra 4: razones por las cuales los departamentos de auditoría interna no auditan la cultura Auditoría interna no tiene las competencias (habilidades y conocimientos) necesarias para auditar la cultura 25 % Auditoría interna no tiene el apoyo de la dirección ejecutiva para auditar la cultura 23 % Auditoría interna no tiene el tiempo para auditar la cultura 21 % Otra función de la organización evalúa la cultura (recursos humanos. los trabajos de auditoría estándar. 2. como se describe en “Percepciones y mejorar las actividades de la perspectivas globales: auditar la cultura: una mirada objetiva a lo subjetivo” de 2016 organización relacionadas con del IIA. las Directora Ejecutiva. ética y cumplimiento u otra) 18 % Auditoría interna no tiene el apoyo del consejo de administración o comité de auditoría para auditar la cultura 17 % 5% Un proveedor externo evalúa la cultura “Los departamentos de auditoría interna que no tienen las Nota: P6: ¿Cuál de las siguientes afirmaciones describe la razón por la cual su departamento de auditoría interna no audita la cultura? Los encuestados podían seleccionar más de una respuesta. 4 El IIA. Auditoría interna evalúa la cultura global e identifica las áreas donde esta es débil”. “los departamentos de auditores internos hacen bien: auditoría interna que no tienen las habilidades y el conocimiento para auditar la cultura pueden comenzar por hacer lo que los auditores internos hacen bien: aportar un enfoque aportar un enfoque sistemático sistemático y disciplinado para evaluar y mejorar las actividades de la organización y disciplinado para evaluar y relacionadas con la cultura”. que desarrolle programas de ética. que delinee el riesgo y las responsabilidades u obligaciones de control y las relaciones jerárquicas)3 es tan eficaz en la evaluación de la cultura como lo es en el respaldo de Nur Hayati Baharuddin.theiia. 8 globaliia. En lo que se refiere a la auditoría de la cultura. Por ejemplo. “Percepciones y perspectivas globales: auditar la cultura: una mirada objetiva a lo subjetivo”. La segunda línea es una función de vigilancia. 3. supervise los riesgos relacionados con la cultura y el cumplimiento de políticas y procedimientos relacionados con la cultura y proporcione asesoramiento a la primera línea. “comprender las tres líneas del modelo de defensa (u otro modelo adecuado la cultura”. La tercera línea (auditoría interna) evalúa el seguimiento de las normas establecidas y esperadas de la organización y evalúa si la cultura empresarial respalda el propósito. la estrategia y el modelo de negocios de la organización.org/gpi (se accedió el 24 de agosto de 2016). 2016. La primera línea de defensa (gerencia de línea de negocio) es responsable por establecer. como una oficina de ética.org/positionpapers (se accedió el 29 de septiembre de 2016). www. theiia.4 3 Declaración de posición del IIA. director ejecutivo del IIA Malasia. comunicar y dar el ejemplo de los valores y la conducta deseados.org . gestión de riesgos. para auditar la cultura pueden comenzar por hacer lo que los Según Nur Hayati Baharuddin. www. 2013. “The Three Lines of Defense in Effective Risk Management and Control” (Las tres líneas eficaces de defensa en gestión de riesgos y control).

El IIA Aquellos que sí están auditando la cultura están tomando un enfoque progresivo.. Las motivaciones clave para auditar la cultura incluyen: auditoría interna lo clasifica como un riesgo alto. o un informe sobre la suma de una serie de auditorías de microculturas que se realizaron a lo largo del tiempo. Quizás como reflejo de la cultura de la organización en sí. globaliia. hay una serie de enfoques diferentes que citó una minoría que en la actualidad audita la cultura (Muestra 6).org 9 . theiia. 5 El IIA. Perspectivas globales: tendencias emergentes No obstante. Presidente Global. Estos enfoques no se excluyen entre sí. lo solicita el comité de auditoría o el consejo de administración y como respuesta a un evento relacionado con la cultura (Muestra 5). a través de su liderazgo en el desarrollo de un plan de los auditores internos busquen auditoría interna basado en los riesgos y sus relaciones con el consejo de administración señales de advertencia o el comité de auditoría. Y recuerde que un 89 por ciento de los líderes de auditoría que respondió a la encuesta Global Pulse del IIA indicó que comprende los riesgos asociados con la cultura.5 Hay al menos tres formas de auditar la cultura: una evaluación independiente que abarque a toda la organización. proporcionándole Los encuestados podían seleccionar más de una respuesta. 3 www. auditar la cultura está entre las cinco prioridades principales de los líderes de auditoría interna. operativo o a 29 % “La auditoría de la cultura se la reputación de la organización) debe incorporar en cada trabajo Nota: P7: Por favor. indique por qué su departamento de auditoría interna ha auditado la cultura. 2016. sus organizaciones a mantener las culturas saludables y deseadas necesarias para que la organización logre su misión estratégica e implemente objetivos operaciones y de Angela Witzany. Muestra 5: motivos por los cuales los departamentos de auditoría interna auditan la cultura (tres principales) Auditoría interna calificó a la cultura como un riesgo alto 40 % Lo solicita la consejo de administración o comité de auditoría 30 % Como respuesta a un evento relacionado con la cultura (por ej. trabajos individuales como parte de muchas (si no todas) auditorías.org/gpi (se accedió el 24 de agosto de 2016). (Se les preguntó a aquellos que sí auditan la cultura). Como expresó la presidente global del IIA para 2016-2017 Angela Witzany. “Percepciones y perspectivas globales: auditar la cultura: una mirada objetiva a lo subjetivo”. conducta no ética que generó un daño financiero. “La auditoría de la cultura se debe incorporar en cada trabajo de auditoría. tenga las competencias o no. los DEA deben tener un rol crucial en la tarea de ayudar a anticipadas”. negocios relacionados. a la organización un punto de referencia para la supervisión continua y permitiendo que Al actuar con base en esto. auditar la cultura está en el radar de auditoría interna. de auditoría. proporcionándole a la organización un punto de referencia para la supervisión continua y permitiendo que los auditores internos busquen señales de advertencia anticipadas”. Según la Encuesta de capacidades de auditoría interna de 2016 de Protiviti.

(Se les preguntó a aquellos que auditan la cultura). indique cuál de las siguientes afirmaciones describe mejor su enfoque para la auditoría de la cultura. y auditoría interna podría perfectamente tener las oportunidades para mejorar en esta área. los trabajos cultura independientes probablemente no fundamentales indicados por sean suficientes por sí solos. del comportamiento de la como preparación para una fusión o adquisición para evaluar la compatibilidad de las organizaciones o para identificar las causas principales de un asunto específico de organización con los valores incumplimiento. las prácticas de recursos A veces un trabajo de cultura independiente tiene sentido (en las ocasiones en las cuales humanos y la alineación una captura en el tiempo es necesaria. Alrededor de la mitad de los líderes de auditoría indica que considera al menos cuatro de los siete factores identificados en la encuesta (Muestra 7). puede ayudar mejor a la dirección ejecutiva y a los consejos de que se consideran con la mayor administración a detectar y abordar una microcultura que podría haberse desviado de frecuencia en cualquier trabajo la cultura deseada global de la organización. Los trabajos de cultura son más eficaces cuando se toma en cuenta una lista amplia de factores relacionados con la cultura. Así que hay lugar para ambas evaluaciones. Perspectivas globales: tendencias emergentes Muestra 6: enfoques para la auditoría de la cultura La cultura está incorporada en varios trabajos. Los problemas de cumplimiento. las diferentes microculturas. como después de un escándalo importante. sin ningún trabajo independiente de auditoría 31 % 13 % de la cultura Se realiza un trabajo independiente de auditoría de la cultura además de incorporar la cultura a varios trabajos 18 % Solo se realiza un trabajo independiente de auditoría de la cultura 27 % Se realiza un trabajo independiente de auditoría de la cultura además de incorporarla a todos los demás trabajos Nota: P8: Por favor.org . la de la macrocultura y también la de relacionado con la cultura. Cuando auditoría interna considera a la cultura en cada la organización son los factores trabajo correspondiente. 10 globaliia. Sin embargo. hasta incluso posiblemente convertirse en tóxica. sin ningún trabajo independiente de auditoría 11 % de la cultura La cultura está incorporada en todos los trabajos. Los problemas de cumplimiento. las prácticas de recursos humanos y la alineación del comportamiento de la organización con los valores fundamentales indicados por la organización son los factores que se consideran con la mayor frecuencia en cualquier trabajo relacionado con la cultura.

reglas de protección de denuncias o frecuencia con la cual la organización enfrentó problemas legales) 70 % Prácticas de recursos humanos (por ej. cultura coordinan con otros departamentos para hacerlo. transparencia y liderazgo) 52 % Línea de denuncias. competencia.. incentivos y cumplimiento. No obstante. (Se les preguntó a aquellos que coordinan esfuerzos con otros departamentos). tasa de uso.. globaliia. es la que debería Un dato interesante es que un 60 por ciento de aquellos que auditan la cultura considerar liderar el esfuerzo y coordinan con otros departamentos para hacerlo.. Muestra 8: departamentos con los cuales auditoría interna coordina para auditar la cultura (tres principales) Recursos humanos 63 % Cumplimiento 57 % Gestión de riesgos 48 % Nota: P11: ¿Con cuáles de los departamentos coordinó auditoría interna para auditar la cultura? Los encuestados podían seleccionar más de una respuesta. línea de asistencia o acuerdos para hablar sin reservas (por ej. Lo más frecuente es que auditoría llegar a sus propias conclusiones interna coordine con recursos humanos. tipos de problemas. La coordinación con otras áreas clave en la organización parece y reportar sus opiniones prudente y es posiblemente una práctica preponderante. cumplimiento o gestión de riesgos para auditar la cultura (Muestra 8). formación sobre los valores de la organización) 53 % Opiniones o satisfacción de las partes interesadas (por ej.. resultados de encuestas a empleados y clientes. franqueza. resoluciones) 34 % Sesenta por ciento de los departamentos de auditoría Nota: P12: ¿Cuáles de los siguientes factores relacionados con la cultura (si corresponde) se han considerado en cualquier trabajo de auditoría interna? Los encuestados podían seleccionar más de interna que auditan la una respuesta. opiniones de los clientes u opinión pública) 52 % Habilidades blandas (por ej. como entrevistas de salida y consistencia de las sanciones por infringir políticas) 58 % Alineación del comportamiento actual de la organización con los valores fundamentales declarados de la organización 56 % Formación relacionada con la cultura (por ej.. confianza. es esta la que debería considerar liderar independiente. No obstante. dado el rol y observaciones de forma independiente importante de auditoría interna. Perspectivas globales: tendencias emergentes Muestra 7: factores relacionados con la cultura que se consideran en los trabajos de auditoría interna Temas de cumplimiento (por ej.. percepción de la imagen de la dirección por parte de las partes interesadas. el esfuerzo y llegar a sus propias conclusiones y reportar sus opiniones y observaciones de forma independiente.org 11 . (Se les preguntó a aquellos que auditan la cultura).

org . Aunque es comprensible. uno de cada cinco indica que no ■■ Aplicar los marcos de gobierno o riesgos establecidos para evaluar las macro y ha reportado ningún resultado microculturas. y uno de cada cinco indica que no ha reportado ningún resultado de los trabajos que se refieren a la cultura. esta se convierte en un factor más que debe considerarse en cada conjunto individual de conclusiones y en el informe final. de los líderes de auditoría interna un grupo más pequeño de líderes de auditoría interna ha hecho avances en pos de la excelencia en el área. Cuando auditoría interna incorpora a la cultura en cada trabajo correspondiente. en cada trabajo. los auditores internos no deberían dudar en abordar las auditorías de la cultura. 12 globaliia. De hecho. a veces acompañado también por un informe oral. Se aconseja a la profesión de auditoría interna en general que siga reportó que su departamento el ejemplo de estos líderes al: de auditoría interna comprende cómo reportar sobre la cultura. de aquellos que están auditando la cultura. y ■■ Comprender completamente la macrocultura de la organización. ■■ Reportar continuamente sobre la cultura. el formato más común es un informe escrito. de los trabajos que se refieren a ■■ Tener en mente múltiples factores relacionados con la cultura. Aunque casi tres cuartos de los departamentos de auditoría Solo aproximadamente la mitad interna que respondieron a esta encuesta indican que no están auditando la cultura. solo aproximadamente la mitad de los líderes de auditoría reportó que su departamento de auditoría interna comprende cómo reportar sobre la cultura. Cuando se reportan los resultados. considerar la cultura la cultura. Perspectivas globales: tendencias emergentes Planteamos la hipótesis de que podrían ser los aspectos intangibles de la auditoría de la cultura los que expliquen por qué podría ser más difícil que auditoría interna reporte los resultados de un trabajo que se refiere a la cultura que para otros trabajos. Conclusión La evidencia comienza a sugerir que auditoría interna se está tornando más profundamente consciente de los temas culturales como una posible causa subyacente de daño a largo plazo para las organizaciones.

dado que los o compartida con servicios tercerizados) relacionados con esos temas. 2016. los auditores internos tienen que asumir un rol crucial”. cualquier encuesta de miembros de los consejos de administración calificará a los riesgos de la tecnología. con poco más que la mitad (55 por ciento) de los líderes de auditoría interna que indican que su organización utiliza un marco diseñado para abordar 6 El IIA. como tal. en inglés) en 2015. No es solamente un riesgo tecnológico. Perspectivas globales: tendencias emergentes Seguir el ritmo de la tecnología Aunque auditoría interna ha dado algunos pasos para seguir el ritmo de la dinámica en constante evolución de la tecnología compleja y rápidamente cambiante. EY advierte que se han subestimado los riesgos de la seguridad cibernética y que demasiadas organizaciones exacerban sus vulnerabilidades al asumir un enfoque ad hoc hacia el riesgo. los resultados de la encuesta Global Pulse indican que parece que todavía tiene dificultades para abordar ampliamente los riesgos de la tecnología. 5. “Creating trust in the digital world” (Crear confianza en el mundo digital). HPE atribuye este descenso a las presiones impuestas en la defensa cibernética por la informática de los macrodatos. es un riesgo para los negocios y. en particular los cibernéticos. se explica en “Percepciones y perspectivas globales: auditoría interna como asesor cibernético de confianza” de 2016 del IIA. Pero para otros. Para contrastar ese optimismo.org/gpi (se accedió el 24 de agosto de 2016). www. en su informe de 2016. desde la incapacidad de realizar transacciones básicas y la Seguridad cibernética pérdida de propiedad intelectual El término seguridad cibernética se refiere a las medidas que se toman para proteger la información de la empresa en sistemas informáticos con el fin de que no se pierda. globaliia. Auditoría interna no está sola en esta lucha. social. la amplia mayoría (93 por ciento) de los líderes de auditoría interna reporta que su departamento de auditoría interna comprende los riesgos asociados con la seguridad cibernética. hubo un descenso de un año a otro en la madurez del centro de operaciones de seguridad (SOC. según el informe global Estado de las operaciones de seguridad de 2016 de Hewlett Packard Enterprise (HPE). theiia. Global Pulse confirma esto. dado que los efectos del fracaso pueden ir desde la incapacidad de realizar transacciones básicas y la pérdida de propiedad intelectual hasta el daño a la reputación. ¿Cómo puede ayudar auditoría interna? Cada vez más líderes bien informados de auditoría interna están realizando avances hacia el posicionamiento de auditoría interna como asesor cibernético de confianza de la organización al aumentar las competencias “La seguridad cibernética debe y demostrar la destreza en temas de TI como seguridad cibernética y macrodatos y al considerarse de forma holística proporcionar un rango completo de servicios de auditoría interna (ya sea de forma directa y sistémica. móvil y de la nube y el aumento en la sofisticación de la comunidad de ataques cibernéticos. “La seguridad cibernética debe considerarse de forma holística y sistémica.6 Afortunadamente. sufra accesos no autorizados o uso indebido de partes no deseadas. “Percepciones y perspectivas globales: auditoría interna como asesor cibernético de confianza”. Sin embargo. hasta el daño a la reputación destruya. como altos (sino incluso en el primer puesto) en la lista de sus preocupaciones. Como posiblemente significativo. los datos de la encuesta Global Pulse sugieren que varios obstáculos evitan que auditoría efectos del fracaso pueden ir interna alcance la excelencia en esta área. De hecho.org 13 .

org . Así que aunque la mayoría de los departamentos de auditoría interna pueden decir que comprenden los riesgos de la seguridad cibernética. solo unos pocos traducen completamente esa comprensión en acciones al proporcionar ampliamente todos los servicios de auditoría interna de la seguridad cibernética que necesita su organización.7 la tecnología de la información y la minería de datos o el análisis de datos son dos de las siete habilidades que buscan los DEA al contratar o que están aumentando dentro de sus departamentos de auditoría interna. uno de cada cuatro (25 por ciento) líderes de auditoría interna indica que no se ha proporcionado ningún servicio de auditoría interna relacionado con la seguridad cibernética a su organización. Muestra 9: quién proporciona servicios de auditoría interna relacionados con la seguridad cibernética a las organizaciones El departamento de auditoría interna proporciona Uno de cada cuatro líderes de todos los servicios de auditoría interna relacionados con la seguridad cibernética auditoría interna que no se había 16 % Auditoría interna y proveedores externos proporcionado ningún servicio 25 % proporcionan en conjunto los servicios de auditoría interna relacionados con la seguridad de auditoría interna relacionado cibernética con la seguridad cibernética a la Todos los servicios de auditoría interna organización. 7 James Rose. 14 globaliia. ya sea de forma exclusiva (16 por ciento) o compartida con servicios tercerizados (42 por ciento). reporta que todos los servicios de auditoría interna relacionados con la seguridad cibernética se tercerizan completamente (Muestra 9). como se ve en la Muestra 9. Los DEA también compensan por la falta de competencias y herramientas a través de acuerdos de tercerización total o compartida. Perspectivas globales: tendencias emergentes la seguridad cibernética. 42 % 16 % relacionados con la seguridad cibernética se tercerizan No se ha proporcionado ningún servicio de auditoría interna relacionado con la seguridad cibernética en mi organización Nota: P25: ¿Qué afirmación describe mejor quién proporciona servicios de auditoría interna relacionados con la seguridad cibernética a su organización? Recuerde: la suma de los porcentajes no da un 100 % debido al redondeo. 16 por ciento.mkt5790. “The Top 7 Skills CAEs Want” (Las 7 habilidades principales que quieren los DEA) (Altamonte Springs: The IIA Research Foundation. 2.com/CBOK_2015_Top_Skills_CAEs_Want. Pero lo que es incluso más alarmante es que. Según un informe de 2016 del CBOK del IIARF. 2016) pág. Los DEA están tomando medidas para corregir estas deficiencias. http://theiia. Ese es aproximadamente el mismo número (58 por ciento) que dice que proporciona servicios de auditoría interna relacionados con la seguridad cibernética a su organización. dada la comprensión expresada por los líderes de auditoría interna de los riesgos de la seguridad cibernética y la alta visibilidad y los grandes daños causados por eventos cibernéticos muy difundidos. Las principales razones por las que no se proporcionaron servicios de auditoría interna a la organización incluyen la falta de competencias (destrezas y conocimientos) de auditoría interna y la falta de herramientas para auditar la seguridad cibernética (Muestra 10). El resto.

pwc. ¿Qué puede hacer un auditor interno para progresar en esta área? En primer lugar. Key findings from the 2015 US State of Cybercrime Survey” (Seguridad cibernética en EE. http://www. según un estudio reciente en los Estados Unidos.com/us/cybercrime (se accedió el 24 de agosto de 2016). Como se afirmó en Auditoría interna como asesor cibernético de confianza. para cada gran proyecto es crucial el respaldo de la dirección.: progreso estancado. Perspectivas globales: tendencias emergentes Muestra 10: razones por las cuales los departamentos de auditoría interna no auditan la seguridad cibernética Auditoría interna no tiene las competencias (habilidades y conocimientos) necesarias para proporcionar servicios de auditoría relacionados con la 65 % seguridad cibernética Auditoría interna no tiene las herramientas para auditar la seguridad cibernética 55 % Auditoría interna no ha evaluado el riesgo relacionado con la 26 % seguridad cibernética 22 % Auditoría interna no tiene el tiempo para auditar la seguridad cibernética Auditoría interna no tiene el apoyo de la dirección ejecutiva para auditar 19 % la seguridad cibernética 16 % Un proveedor de aseguramiento externo evalúa la seguridad cibernética Auditoría interna no tiene el apoyo del consejo de administración o comité de 16 % auditoría para auditar la seguridad cibernética 14 % Otro proveedor de aseguramiento interno evalúa la seguridad cibernética Auditoría interna ha evaluado el riesgo relacionado con la seguridad cibernética como un 7% riesgo bajo para la organización Nota: P26: ¿Cuál de las siguientes afirmaciones describe la razón por la que el departamento de auditoría interna no proporciona actualmente servicios de auditoría interna relacionados específicamente con la seguridad cibernética? Los encuestados podían seleccionar más de una respuesta. globaliia. Además. hallazgos clave de la encuesta del estado de los delitos cibernéticos de 2015 de EE. reconocer la necesidad de apoyo de la dirección. en prácticamente todas las organizaciones. Es claro a partir de los resultados de la encuesta que estos son los dos principales impedimentos para auditar con éxito esta área crucial. UU. “US cybersecurity: Progress stalled. Sin embargo. Después.8 8 PwC. 26 por ciento de las personas encuestadas indicaron que su director de seguridad de la información (CISO) o director de seguridad (CSO) realiza una presentación de seguridad ante consejo de administración solo una vez al año. UU.). todo comienza por tener u obtener las competencias y herramientas requeridas para auditar la seguridad cibernética.org 15 . los consejos de administración podrían no estar actuando sobre sus principales preocupaciones relacionadas con la seguridad cibernética con acciones proporcionales con el riesgo. casi un tercio dijo que no había ningún comité ni miembro del consejo de administración trabajando en el riesgo cibernético. Por ejemplo. aproximadamente un porcentaje igual (28 por ciento) reportó que no se hace ninguna presentación. solo 15 por ciento indicó un compromiso por parte del comité de auditoría con el riesgo cibernético. (Se les preguntó a aquellos que indicaron que no se había proporcionado ningún servicio de auditoría interna relacionado con la seguridad cibernética a la organización). julio de 2015.

entienda que la seguridad cibernética requiere un esfuerzo de colaboración que depende de la pericia al momento de liderar que demuestre el DEA. en Global Pulse.9 al consejo de administración o comité de auditoría y su En segundo lugar. ¿qué es necesario hacer? En primer lugar. Como explica Hans comprensión de los riesgos de la Nieuwlands. “los DEA deben establecer asociaciones seguridad cibernética. Como ejemplo. día. De hecho. solo un 56 por ciento de los líderes de auditoría interna dijo que recibió la orden de auditar la seguridad cibernética del consejo de administración o comité de auditoría. entiendan que este es un factor de riesgo importante que ciertamente se hará más grave a medida que la tecnología continúe evolucionando más rápido que los esfuerzos para gestionar y controlar eficazmente los riesgos. director ejecutivo del IIA Países Bajos. de planificación de auditoría. 9 Steve Morgan. Como se cibernéticas y ofrecer asistencia mencionó anteriormente. Para aquellos que no aprecian la gravedad de los riesgos de la seguridad cibernética. “Cyber Crime Costs Projected to Reach $2 Trillion by 2019” (Se proyecta que los costes de los delitos cibernéticos alcanzarán los USD 2 billones en 2019).forbes. ya sea de forma exclusiva o compartida con servicios tercerizados. abordar las vulnerabilidades En tercer lugar. http://www. Una oportunidad posiblemente obvia en que los líderes de auditoría interna se involucren más en la parte inicial del proceso al asesorar sobre equipos de proyectos y proporcionar orientación sobre planes de desempeño e implementación de seguridad cibernética. Algo importante es que los departamentos de auditoría interna que auditan la seguridad cibernética están comenzando a proporcionar un rango amplio de servicios valiosos para sus organizaciones. Perspectivas globales: tendencias emergentes Posiblemente como resultado de cierta combinación de percepción y realidad de que auditoría interna no tiene suficiente competencia en la evaluación de la seguridad cibernética. Entonces. con su acceso privilegiado al consejo de administración o comité de auditoría y su comprensión de los riesgos de la seguridad cibernética. Los servicios que se mencionan con mayor frecuencia incluyen evaluar controles que abordan cómo los sistemas conectados a Internet procesan. almacenan o transportan datos. abordar las vulnerabilidades cibernéticas y ofrecer asistencia con un proceso para establecer la aceptación de riesgos de la seguridad cibernética por parte de la organización. siga los pasos de aquellos que ya han hecho avances en esta área. demostrando que los líderes de auditoría interna podrían no tener la necesidad de ser los catalizadores para que la organización ponga el énfasis correcto en la importancia en constante cambio de la seguridad cibernética (Muestra 11). la confianza en que auditoría interna corrija esta deficiencia también es escasa. la aceptación de riesgos de la Las principales razones para auditar la seguridad cibernética son que esta fue calificada seguridad cibernética por parte correctamente como un riesgo alto y que los DEA plantearon este tema durante el proceso de la organización. los líderes de confianza con la dirección ejecutiva.com/sites/stevemorgan/2016/01/17/ cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0 16 globaliia. director de seguridad de cibernética en sus órdenes del la información (CISO) y directivos superiores en asuntos legales o de privacidad”. los líderes de auditoría interna deberían mantener a la seguridad cibernética en sus órdenes del día.org . más de la mitad (58 por ciento) de los líderes de auditoría interna dice que proporcionan servicios de auditoría interna relacionados con la seguridad cibernética con un proceso para establecer a su organización. ofrecer asesoramiento y soluciones que gestionen de auditoría interna deberían o reduzcan los riesgos de la seguridad cibernética a un nivel aceptable y desarrollar mantener a la seguridad relaciones de colaboración con el director de información (CIO). Forbes reportó a principios de 2016 una proyección que indicaba que se esperaba que los Con su acceso privilegiado costes de los delitos cibernéticos alcanzaran los USD 2 billones para 2019. evaluar el plan de continuidad de los negocios y analizar el proceso de evaluación de riesgos de la seguridad cibernética (Muestra 12).

una vulneración de datos que generó un daño financiero. Los encuestados podían seleccionar más de una respuesta. Los encuestados podían seleccionar más de una respuesta. operativo o a la reputación de la organización) Como respuesta a cambios en las métricas de seguridad cibernética establecidas 10 % (por ej. mayor número de infracciones a la política de seguridad cibernética) Nota: P27: Por favor. mayor número de alertas de software de protección. almacenan o transportan información 70 % Evaluó el plan de continuidad de los negocios 68 % Evaluó el proceso de evaluación de riesgos de seguridad cibernética 64 % Evaluó la prevención de la seguridad cibernética 59 % Evaluó el plan de respuesta ante incidentes 56 % Evaluó el plan de manejo de crisis 47 % Participó en un equipo de proyecto para proporcionar 27 % orientación para el desempeño y los planes de implementación de la seguridad cibernética Nota: P28: Por favor. globaliia. Perspectivas globales: tendencias emergentes Muestra 11: por qué los departamentos de auditoría interna auditan la seguridad cibernética La seguridad cibernética se calificó como un riesgo alto 74 % El director ejecutivo de auditoría (DEA) o el jefe de auditoría interna plantearon el tema durante el proceso de planificación anual de auditoría 63 % Lo solicitó el consejo de administración o comité 34 % de auditoría Lo solicitó la dirección 28 % Como respuesta a un evento relacionado con la seguridad cibernética 17 % (por ej.. (Se les preguntó a aquellos que proporcionan (o tercerizan parcialmente) servicios relacionados con la seguridad cibernética). Muestra 12: cómo auditan la seguridad cibernética los departamentos de auditoría interna Evaluó los controles que abordan cómo los sistemas conectados a Internet procesan. (Se les preguntó a aquellos que proporcionan (o tercerizan parcialmente) servicios relacionados con la seguridad cibernética).org 17 . indique cómo su departamento de auditoría interna se ha involucrado en la seguridad cibernética. indique por qué su departamento de auditoría interna ha proporcionado servicios de auditoría interna específicamente relacionados con la seguridad cibernética..

■■ La perspectiva y la velocidad de los negocios son los principales impulsores de la empresa de inversión en los macrodatos. A nivel global. 18 globaliia. herramientas y prácticas diseñadas específicamente para manejar los datos. 2016.org . “Big Data Executive Survey 2016” (Encuesta de ejecutivos de macrodatos de 2016). herramientas ni prácticas específicamente indica que sus organizaciones 21 % diseñadas para manejar macrodatos.pdf (se accedió el 24 de agosto de 2016). herramientas ni prácticas específicamente diseñadas para manejar macrodatos y no tiene organización tiene una estrategia 23 % planes de hacerlo implementada para hacerlo. casi la mitad de los líderes de auditoría interna Mi organización no ha invertido en arquitectura de sistema. una variedad. el del director de datos.10 10 New Vantage Partners LLC. ■■ Un nuevo rol en la organización. casi la mitad (49 por ciento) de los líderes de auditoría interna indica que sus organizaciones han hecho esas inversiones (y supuestamente han implementado sistemas para manejar eficazmente los macrodatos en cierto grado) y otro 23 por ciento dice que su organización tiene una estrategia implementada para hacerlo (Muestra 13). Macrodatos se refiere a datos (información) en la organización que alcanzan un volumen. No lo sé La expectativa debería ser que auditoría interna está o estará abordando los macrodatos en Nota: P17: ¿Qué afirmación describe mejor el enfoque de su organización en cuanto a los macrodatos? sus planes de auditorías basadas en los riesgos. ■■ La asociación entre los negocios y la tecnología se ve como crucial para la adopción de los macrodatos.com/wp-content/uploads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL. ■■ La variedad (de los datos) continúa superando al volumen y a la velocidad como impulsor técnico detrás de las inversiones en macrodatos. una velocidad y una variabilidad tan altos que las organizaciones deben invertir en arquitecturas de sistemas. http://newvantage. Como resultado. pero tiene una estrategia implementada han hecho esas inversiones y 49 % Mi organización no ha invertido en arquitectura de otro 23 por ciento dice que su sistema. herramientas y prácticas específicamente diseñadas para manejar macrodatos A nivel global. se está estableciendo bien. Muestra 13: organizaciones que han invertido en macrodatos Mi organización ha invertido en arquitectura de 7% sistema. Un encuesta de 2016 de New Vantage Partners (NVP) dirigida a personas a cargo de tomar las decisiones de tecnología y negocios en empresas estadounidenses de la lista Fortune 1000. Perspectivas globales: tendencias emergentes Macrodatos El término macrodatos implica más que solo grandes cantidades de información. la expectativa debería ser que auditoría interna está o estará abordando los macrodatos en sus planes de auditorías basadas en los riesgos. descubrió que: ■■ Los macrodatos han alcanzado la adopción a nivel general.

un 64 por ciento dice que su departamento proporciona servicios de auditoría interna relacionados con los macrodatos a la organización. Según 32 % No se han proporcionado servicios de el informe.org 19 . Los servicios que se citan con mayor frecuencia incluyen evaluar controles sobre la disponibilidad. o el DEA elevó el auditoría interna relacionados con los macrodatos a mi organización tema durante el proceso de planificación anual o auditoría Nota: P19: ¿Qué afirmación describe mejor a quién proporciona los servicios de auditoría interna interna calificó a los macrodatos relacionados con los macrodatos en su organización? (Se les preguntó a aquellos que han invertido en macrodatos). y evaluar la precisión de los macrodatos (Muestra 15). Muestra 14: quién proporciona servicios de auditoría interna relacionados con los macrodatos a las organizaciones El departamento de auditoría interna proporciona todos los servicios de auditoría interna relacionados con los macrodatos Auditoría interna y proveedores externos Entre los líderes de auditoría 32 % 26 % proporcionan en conjunto los servicios de auditoría interna relacionados con interna que auditan los los macrodatos macrodatos. Los departamentos de auditoría interna que observan los macrodatos están proporcionando un rango amplio de servicios relacionados con los macrodatos para sus organizaciones. como un riesgo alto. o el DEA elevó el tema durante el proceso de planificación anual de auditoría o auditoría interna calificó a los macrodatos como un riesgo alto. usabilidad. ya sea de forma exclusiva (32 por ciento) o parcialmente tercerizada a un proveedor externo (32 por ciento). las principales dos 9% Todos los servicios de auditoría interna razones citadas para hacerlo relacionados con los macrodatos se tercerizan se relacionan el riesgo. evaluar los riesgos asociados con el uso de los macrodatos. Según el informe. las principales dos razones citadas para hacerlo se relacionan con ver el riesgo. Recuerde: la suma de los porcentajes no da un 100 % debido al redondeo. Y. globaliia. integridad o seguridad de los datos. Perspectivas globales: tendencias emergentes De los líderes de auditoría interna que trabajan en organizaciones que han invertido en los macrodatos. como se ve en la Muestra 14. Entre los líderes de auditoría interna que auditan los macrodatos. los líderes de auditoría interna con frecuenta orientan la atención de la organización hacia los temas de control y gestión de riesgos de macrodatos. al igual que con la seguridad cibernética.

indique cómo su departamento de auditoría interna se ha involucrado en los macrodatos. auditoría interna puede estimular conversaciones Nota: P22: Por favor. Probablemente estos servicios de auditoría interna se pueden relacionar con cada uno de seguridad e integridad de los hallazgos clave de la encuesta de NVP. Carolyn Saing. directora de auditoría interna en la Universidad Internacional de Ciencias y Tecnología de Botsuana. Sin embargo. aunque la mayoría mencionan la falta de herramientas y competencias (habilidades y conocimientos) como el motivo por el cual auditoría interna se contiene en este sentido (Muestra 16). (Se les preguntó a aquellos reflexivas que aborden las que proporcionan (o tercerizan parcialmente) servicios relacionados con los macrodatos). auditoría interna puede estimular conversaciones reflexivas que aborden las perspectivas tecnológica y de negocios en temas como requisitos de privacidad. utilidad.org . Los encuestados podían seleccionar más de una respuesta. datos”. La asistencia de auditoría interna con un análisis de costes y beneficios puede ayudar a University of Virginia garantizarles a la dirección ejecutiva y al consejo de administración que el dinero gastado se justifica por los posibles beneficios que puede gozar la organización”. Perspectivas globales: tendencias emergentes Muestra 15: cómo auditan los macrodatos los departamentos de auditoría interna Evaluó los controles sobre la disponibilidad. 20 globaliia. “La encuesta de NVP revela que el gasto en los macrodatos está en aumento. Carolyn Saint. University of Virginia. perspectivas tecnológica y de negocios en temas como requisitos de privacidad. uno de cada cuatro (26 por ciento) líderes de auditoría interna que trabajan en organizaciones que han invertido en macrodatos dice que no se ha proporcionado ningún servicio de auditoría interna relacionado con los macrodatos a la organización. como explicó Lesedi Lesetedi. DEA. DEA. integridad o seguridad de los macrodatos 80 % Evaluó los riesgos asociados con el uso de macrodatos 66 % Evaluó la precisión de los macrodatos 54 % Evaluó la validez de los macrodatos (adecuación de los datos para su uso previsto) 51 % Evaluó el valor de los análisis de macrodatos para la organización 38 % Participó en un equipo de proyecto de macrodatos para proporcionar 24 % orientación para desempeño y planes de implementación “Al participar en los equipos 10 % Asistió con el análisis de coste y beneficio de proyectos. Por ejemplo. a pesar de que un 92 por ciento de los líderes de auditoría interna reporta que su departamento de auditoría interna comprende los riesgos asociados con macrodatos y los millones de formas en las cuales auditoría interna puede contribuir con las iniciativas de macrodatos de su organización. seguridad e integridad de datos”. añade que “Al participar en los equipos de proyectos. Estos líderes de auditoría interna citan una variedad de razones.

(Se les preguntó a aquellos que indicaron que no se había proporcionado ningún servicio de auditoría interna relacionado con los macrodatos a la organización). Perspectivas globales: tendencias emergentes Muestra 16: razones por las cuales los departamentos de auditoría interna no auditan los macrodatos Auditoría interna no tiene las herramientas para auditar los macrodatos 61 % Auditoría interna no tiene las competencias (habilidades y conocimientos) necesarios para auditar los macrodatos 46 % Auditoría interna no ha evaluado el riesgo relacionado con los macrodatos 34 % Auditoría interna no tiene tiempo para auditar los macrodatos 22 % Auditoría interna no tiene el apoyo de la dirección 17 % ejecutiva para auditar los macrodatos 14 % Un proveedor de aseguramiento externo evalúa los macrodatos Auditoría interna no tiene el apoyo del consejo de administración o 13 % comité de auditoría para auditar los macrodatos Auditoría interna ha evaluado el riesgo relacionado con los macrodatos como 8% un riesgo bajo para la organización 5% Otro proveedor de aseguramiento interno evalúa los macrodatos Nota: P20: ¿Cuál de las siguientes afirmaciones describe la razón por la que el departamento de auditoría interna no proporciona actualmente servicios de auditoría interna relacionados específicamente con los macrodatos? Los encuestados podían seleccionar más de una respuesta. globaliia.org 21 .

auditoría interna relacionados ■■ Ayudar a fomentar la cooperación entre las operaciones de negocios y tecnología. Aprovechar los arreglos de tercerización parcial al incorporar los conocimientos adecuados en la materia podría ser imperativo para muchas funciones de auditoría interna en el futuro. desde participar en los equipos de gestión de proyectos hasta proporcionar gestión de riesgos relacionados con la tecnología y aseguramiento de controles internos para el consejo de administración. Perspectivas globales: tendencias emergentes Conclusión Aunque los riesgos tecnológicos relacionados con la seguridad cibernética y los macrodatos están entre las principales preocupaciones de muchos consejos de administración. el conocimiento. tecnología. la cantidad de departamentos de auditoría interna que están proporcionando servicios de auditoría interna relacionados para sus organizaciones parecen no estar al nivel que se necesita dados los riesgos. No obstante. 22 globaliia. para sus organizaciones parecen no estar al nivel que se necesita ■■ Proporcionar un conjunto amplio de servicios de auditoría interna relacionados con la dados los riesgos. los recursos y las herramientas en un entorno de riesgos dinámico y en constante cambio. los departamentos de auditoría interna que sí proporcionan estos servicios con frecuencia ayudan a dirigir la atención de la organización a los temas críticos de riesgo y control asociados con la seguridad cibernética y los macrodatos. La cantidad de departamentos ■■ Aprovechar las inversiones en tecnología de la organización para obtener las de auditoría interna que están herramientas necesarias para auditar la seguridad cibernética y los macrodatos. proporcionando servicios de ■■ Desarrollar las competencias necesarias en auditoría interna. Los pasos que ayudarán a auditoría interna a progresar hacia la excelencia en esta área incluyen: ■■ Comprender completamente los riesgos relacionados con la tecnología y su posible impacto en el logro de objetivos estratégicos y operativos. El desafío será que auditoría interna se asegure de tener acceso a las habilidades.org .

Continuar la evolución desde un enfoque probablemente anticuado en los controles contables hasta una auditoría que realmente abarque a toda la empresa y se base en los riesgos ha sido un gran paso hacia adelante para la profesión. en muchos casos. Entonces. Leadership Matters: Advancing toward true north as stakeholders expect more” (Estudio sobre el estado de la profesión de Auditoría Interna de 2016.. Perspectivas globales: tendencias emergentes Alcanzar la posición de asesor de confianza Aunque pueda ser impreciso y desafiante. Para muchos esto será un desafío permanente. que “Solo un 28 por ciento de los DEA cree que globaliia. ¿cuál es el siguiente paso? Muchos dicen ahora que auditoría interna necesita elevarse más. entre las aspiraciones de la profesión y lo que realmente está dando en la actualidad. un asesor de solicitan que los involucren. Para el DEA y su equipo.org 23 . Evolution or irrelevance? Internal Audit at a crossroads” (Encuesta Global de Directivos de 2016. mientras que un 62 por ciento espera que auditoría interna lo haga en los siguientes cinco años. auditoría interna ha continuado haciendo avances en la tarea de mantenerse al ritmo de las expectativas en constante aumento de las partes interesadas. solo un 16 por ciento de los encuestados por PwC (DEA y sus partes interesadas) dijo que en la actualidad auditoría interna está proporcionando servicios de valor agregado y asesoramiento estratégico proactivo para la empresa mucho más allá que la ejecución eficiente y eficaz del plan de auditoría. No aceptan como dado. Deloitte reportó en su “2016 Global Chief Executive Survey. auditoría interna todavía está solicitando confianza obtiene un puesto en el codiciado “puesto en la mesa” (si es que recibe uno): el lugar donde se tratan los temas la mesa en virtud del valor que más apremiantes de la organización y se toman las decisiones ejecutivas. Reconociendo la expectativa. PwC reveló un vacío. los conocimientos los invitan. un verdadero asesor de confianza obtiene un puesto en la mesa en virtud del valor que todos todos aceptan como dado. A su vez. De forma similar. mientras que para otros será una cuestión de al menos intentar estar uno o dos pasos delante de las crecientes demandas y expectativas. No solicitan que los involucren. ¿Evolución o irrelevancia? Auditoría interna en una encrucijada). la siguiente maduración de la profesión ha sido que los DEA avancen para garantizar una alineación del plan de auditoría interna con las prioridades estratégicas de la organización y proporcionar perspectivas sobre la habilidad (o inhabilidad) de la organización de alcanzar sus objetivos estratégicos con éxito. que en toda la organización se la vea como el “asesor de confianza” para ser Un verdadero asesor de realmente eficaz.. En su informe titulado “2016 State of Internal Audit Profession Study.. significa tener consistentemente algo con un valor significativo para aportar. confianza debe tener el complemento total de la pericia de negocios. Entonces. Además. Asuntos de liderazgo: avanzar hacia el verdadero norte a medida que las partes interesadas esperan más). No obstante. técnicos y las habilidades para relacionarse para que las partes interesadas lo perciban como un recurso valioso en el avance hacia los objetivos de la organización.. los invitan. consistente con las opiniones predominantes.

la mayoría de los líderes de auditoría interna todavía se reúnen con el CEO.org . Un inquietante 16 por ciento indicó que auditoría interna no tiene o casi no tiene impacto e influencia. Mientras tanto. es probable que sea necesario dar pasos proactivos y agresivos. Tawazun. al menos en este momento para muchos. Y construir sobre la necesidad de relaciones sólidas con los directivos. 5. “Llenar el vacío requiere construir relaciones de confianza con la dirección ejecutiva y el consejo de administración. en combinación con la necesidad de ser minucioso. No obstante.com/global/en/pages/audit/solutions/global-chief-audit-executive-survey. Según Karem Toufic Obeid. la dirección ejecutiva y el presidente del comité de auditoría solo en momentos predeterminados y designados en lugar de en la medida que sea necesario y con frecuencia. 11 % 11 % A menudo 17 % 26 % A veces Rara vez 36 % Nunca Nota: P38: ¿Con cuánta frecuencia participa auditoría interna en las grandes iniciativas de cambio de la organización (si es que lo hace)? La suma de los porcentajes no da un 100 % debido al redondeo. sino que es previsor y esclarecedor”. casi dos tercios creen que la fuerza de auditoría interna en estas áreas será importante en los siguientes años”. La confianza se aumenta cuando el trabajo de auditoría interna ya no es solo fiable y cumple con sus promesas. “Evolution or irrelevance? Internal audit at a crossroads” (¿Evolución o irrelevancia? Auditoría interna en una encrucijada).deloitte. DEA. sin dejar de incluir la pericia de negocios y los La mayoría (66 por ciento) de conocimientos técnicos afilados. 11 Deloitte. 24 globaliia. Como resultado. http://www2. tercio de los líderes de auditoría interna nunca se los invita a Muestra 17: con cuánta frecuencia participa auditoría interna en participar en una reunión del las iniciativas de cambio de la organización consejo de administración Todo el tiempo completo. Pero parece que esto se está convirtiendo en una certeza. los líderes de auditoría interna puede ser muy exigente. Desafortunadamente. 2016.11 ¿Auditoría interna puede llenar estos vacíos considerables y avanzar para convertirse en un asesor de confianza? Dadas las expectativas. la mayoría (66 por ciento) de los líderes de auditoría interna reportan que no reportan que no se les solicita se les solicita frecuentemente que participen en grandes iniciativas de cambio de la frecuentemente que participen organización (Muestra 17) y a casi un tercio de los líderes de auditoría interna nunca se en grandes iniciativas de cambio los invita a participar en una reunión del consejo de administración completo (Muestra de la organización y a casi un 18). la posición de asesor de confianza continúa siendo una aspiración “en progreso” prometedora. html (se accedió el 24 de agosto de 2016). Perspectivas globales: tendencias emergentes sus funciones han tenido un impacto y una influencia fuertes en la organización.

la dirección ejecutiva y el presidente del comité de auditoría. que los líderes de auditoría interna y su personal establezcan y mantengan el punto de partida de las relaciones necesarias para elevarse al Karem Toufic Obeid. trabajando se aumenta cuando el trabajo en pos de establecer relaciones sostenibles y profundas. Tawazun Muestra 19: programas mediante los cuales los auditores internos se reúnen con el personal de la organización Sí. las organizaciones de cualquier tamaño. sino que es previsor y continua (Muestra 19). Sin un programa así será difícil. tenemos un programa formal 14 % Sí. esto se logra mejor a través de una planificación intencional utilizando interacciones repetitivas y estructuradas. los dirección ejecutiva y el consejo líderes de auditoría interna y el personal también necesitan desarrollar relaciones con de administración.org 25 . tenemos un programa informal 35 % 15 % No. sino imposible. en la mayoría de esclarecedor. no tenemos un programa así. DEA. no tenemos un programa así y no lo estamos considerando Nota: P31: ¿Auditoría interna tiene un programa mediante el cual los auditores internos se reúnen con personal de la organización de forma continua? globaliia. La confianza los directivos superiores e intermedios. pero lo estamos considerando 36 % No. Sin embargo. Llenar el vacío requiere construir relaciones de confianza con la Además del CEO. el 65 por ciento de auditoría interna ya no es de los líderes de auditoría interna indica que no tiene un programa formal mediante el solo fiable y cumple con sus cual los auditores internos se reúnen con personal específico de la organización de forma promesas. Perspectivas globales: tendencias emergentes Muestra 18: con cuánta frecuencia se invita a los DEA a asistir a una reunión del consejo de administración completo En todas las reuniones Anualmente 23 % 31 % A pedido del consejo de administración 4% A pedido del director ejecutivo de auditoría 7% (DEA) o jefe de auditoría interna 34 % Nunca Nota: P37: ¿Con cuánta frecuencia (si es que lo hacen) invitan al directivo o jefe de auditoría a asistir a una reunión del consejo de administración completo (separado del comité de auditoría)? La suma de los porcentajes no da un 100 % debido al redondeo. Para muchos. punto en el que se los considere asesores de confianza.

Uno de cada cuatro líderes de auditoría interna (26 %) indica que es responsable de funciones externas a auditoría interna (Muestra 21). Perspectivas globales: tendencias emergentes Los programas formales que incrementan la interacción del auditor interno con el personal de la organización ayudan a que auditoría interna se haga más visible. esto podría verse como una estadística preocupante y una posible barrera para alcanzar la visibilidad y posición de asesor de confianza. presidente y CEO del IIA Colombia. No obstante.org . Otro factor que podría incrementar la visibilidad y posición de los líderes de auditoría interna en la organización. 26 globaliia. Y todos sabemos que esa percepción arrastra a la realidad. Claramente el 74 por ciento restante no ve que lo perciban como un par del equipo ejecutivo (Muestra 20). Dirección intermedia Nota: P35: El director ejecutivo de auditoría (DEA) o el jefe de auditoría interna se percibe como un miembro de: (Los datos proporcionados solo reflejan las respuestas de los DEA). “Cómo se presentan los DEA a sí mismos impacta cómo los percibirá la organización”. es que se les solicite que asuman responsabilidades externas a la auditoría interna. Como explica Ana Cristina Zambrano Preciado. más reconocible y esté en más sintonía con lo que realmente sucede dentro de la organización. Las funciones que se mencionaron con mayor frecuencia son las funciones enfocadas en la segunda línea de defensa. Dado que tantos DEA no creen que se los percibe como parte de los rangos más superiores de la organización. los resultados de la encuesta indican que solo un 26 por ciento de los DEA dice que cree que se lo percibe como un miembro de la dirección ejecutiva. aunque no sin desafíos. Muestra 20: cómo se percibe al DEA Dirección ejecutiva 20 % 26 % Dirección superior Solo un 26 % de los DEA dice que cree que se lo percibe 55 % como un miembro de la dirección ejecutiva. gestión de riesgos y cumplimiento. La suma de los porcentajes no da un 100 % debido al redondeo.

Una de las principales preocupaciones es de cumplimiento o gestión de mantener la objetividad real y percibida. también según las líneas de jerarquía. globaliia. a medida que auditoría interna continúa saliendo de un rol estereotípico de concentrarse principalmente en temas contables y financieros. 12 Reportar administrativamente se refiere a la supervisión de asuntos cotidianos. organización a lo largo de un Las líneas jerárquicas óptimas (en el punto de vista emergente para muchas rango de funciones. habilidades la auditoría interna.org 27 . Reportar operativamen- te se refiere a la supervisión de las responsabilidades de la función de auditoría interna. la admi- nistración de recursos humanos. entre ellos. habilidades y aportes pueden ser y son significativos para toda la significativos para toda la organización a lo largo de un rango de funciones. el plan de auditoría. hay riesgos de que se desdibujen la segunda y puede ser una señal indicadora tercera líneas de defensa. Perspectivas globales: tendencias emergentes Muestra 21: porcentaje de DEA que son responsables de otras funciones Sí 26 % No 74 % Nota: P39: ¿El director ejecutivo de auditoría (DEA) o el jefe de auditoría interna en su organización Si se les solicita que amplíen también es responsable de otra(s) función(es) que no sea(n) auditoría interna? sus competencias para exceder la auditoría interna Por supuesto. la evaluación del DEA y la compensación de este. Global Pulse revela que un 45 por ciento de los líderes de auditoría interna reporta administrativamente al CEO (o su equivalente) y un 73 por ciento reporta operativamente al consejo de administración o comité de auditoría (o equivalente). organizaciones de reportar administrativamente al CEO y operativamente al comité de auditoría) ayudan a los líderes de auditoría interna a mantener la independencia de la organización maximizando a la vez su potencial para ser asesores de confianza. la comunicación. Sí. los líderes de auditoría interna enfrentan desafíos al asumir (al tomar responsabilidades responsabilidades externas a auditoría interna. las políticas internas y los procedimientos.12 Estos porcentajes han continuado aumentando con el transcurso del tiempo. el presupuesto. incluso la aprobación del estatuto de auditoría interna. y el DEA debe evitar fuertemente que auditoría interna se para los DEA de que sus vea arrastrada en una dirección que minimice o comprometa su principal obligación de cualquier forma. además de las dificultades con la independencia riesgos por ejemplo). Pero si se les solicita que amplíen sus competencias para exceder conocimientos. también puede ser una señal indicadora para los DEA de que y aportes pueden ser y son sus conocimientos.

. buscan a un consultor. y ahora desde las evaluaciones de los riesgos desde abajo hacia arriba hasta la alineación de las prioridades de auditoría interna con las prioridades estratégicas de la organización.aspx (se accedió el 24 de agosto de 2016). desde la auditoría basada en los controles hasta la auditoría basada en los riesgos. la de elevarse a la posición de asesor de confianza. https://iaonline. ■■ Cuando se identifica un riesgo significativo. 28 globaliia.org . y un destino que algunos pocos pioneros ya están alcanzando. sugirió señales de que sus contribuciones como DEA o auditoría interna pueden no estarse valorando: ■■ Le llegan pocas (o ninguna) solicitudes de auditoría a lo largo del año. Un blog de la revista Internal Auditor del presidente y CEO del IIA. la dirección no le llama. ha llegado la siguiente etapa de evolución. además de una dinámica cambiante en términos de habilidades valiosas y talentos codiciados. Perspectivas globales: tendencias emergentes Conclusión En primer lugar. 14 de junio de 2016. ■■ Los destinatarios de sus informes son indiferentes o se resisten a las conclusiones o recomendaciones.theiia. “Forensic Examination May Explain Why You Aren’t a Trusted Advisor” (Examen forense podría explicar por qué no es un asesor de confianza). ■■ No lo invitan a las reuniones donde se debate o formula la estrategia de la empresa..org/blogs/ chambers/2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-a-Trusted-Advisor.. Richard Chambers. El camino que tenemos por delante requerirá un esfuerzo dedicado.13 13 Chambers. Richard. Pero es un camino que las partes interesadas de auditoría interna están comenzando a esperar que se recorra. ■■ Se recibe un aporte mínimo durante el proceso de evaluación anual de riesgos de auditoría interna..

org 29 . Dado el apoyo en cuanto a la dotación de recursos. sino aumentar. Los líderes de auditoría interna han hecho avances. pero es muy probable que la profesión en su totalidad tenga que acelerar el ritmo y ciertamente no puede permitirse perder el impulso. energía y concentración valiosos. auditoría interna debe estar en primera fila para abordar las exposiciones cruciales de la organización. la oportunidad de que auditoría interna de los pasos extra necesarios para alcanzar y exceder las crecientes expectativas de las partes interesadas podría nunca ser mayor. al continuar su búsqueda de excelencia y de la posición de asesor de confianza. Como indica la encuesta Global Pulse de 2016. Perspectivas globales: tendencias emergentes Reflexiones finales Dado que los niveles de presupuesto y personal para respaldar las actividades cruciales de auditoría interna se están manteniendo sin cambios o están aumentando para la mayoría. las exposiciones apremiantes como la cultura. globaliia. Y. la seguridad cibernética y los macrodatos están entre temas emergentes a los cuales auditoría interna necesita dedicar. tiempo. ahora podría ser el mejor momento para aprovechar la oportunidad.

com/Publication/vwLUAssets/EY-creating-trust-in-the-digital-world/$FILE/ EY-creating-trust-in-the-digital-world.org.: progreso estancado.aspx (se accedió el 25 de agosto de 2016). 2015 http://www.pdf (se accedió el 24 de agosto de 2016).com/sites/stevemorgan/2016/01/17/cyber-crime-costs- projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0 30 globaliia.uk/Our-Work/Corporate-Governance-Reporting/Corporate-governance/Corporate- Culture-and-the-Role-of-Boards. ■■ New Vantage Partners LLC.uk/ policy/publications/culture-evolving-approaches-to-embedding-and-assurance-board- briefing/ (se accedió el 24 de agosto de 2016).pwc. julio de 2015. UU. ■■ KPMG. “US cybersecurity: Progress stalled. https://www.co. “Organizational Culture: Evolving approaches to embedding and assurance” (Cultura de la organización: desarrollar enfoques hacia la integración y el aseguramiento). http://www. Seguir el ritmo de la tecnología ■■ EY. “Corporate Culture and the Role of Boards” (Cultura empresarial y el rol de los consejos de administración).com/wp-content/ uploads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL. julio de 2016. UU.com/us/cybercrime (se accedió el 24 de agosto de 2016). https://home. ■■ CCH Daily. http://www. “Percepciones y perspectivas globales: auditar la cultura: una mirada objetiva a lo subjetivo”. Perspectivas globales: tendencias emergentes Para más información Auditar la cultura ■■ Instituto de Auditores Internos Certificados. ■■ Consejo de Informes Financieros. frc.cchdaily. mayo de 2016.pdf (se accedió el 24 de agosto de 2016).com/xx/en/home/ insights/2016/05/global-profiles-of-the-fraudster. 2016.theiia. “Creating trust in the digital world” (Crear confianza en el mundo digital). “FRC calls for greater emphasis on corporate culture” (El FRC exige un mayor énfasis en la cultura empresarial).kpmg. mayo de 2016. hallazgos clave de la encuesta del estado de los delitos cibernéticos de 2015 de EE. 2016.org . 20 de julio de 2016 https://www.uk/ frc-calls-greater-emphasis-corporate-culture (se accedió el 24 de agosto de 2016). Key findings from the 2015 US State of Cybercrime Survey” (Seguridad cibernética en EE.org.). ■■ PwC. https://iia.html (se accedió el 24 de agosto de 2016).org/gpi (se accedió el 29 de septiembre de 2016). www. ■■ Steve Morgan. “Cyber Crime Costs Projected to Reach $2 Trillion by 2019” (Se proyecta que los costes de los delitos cibernéticos alcanzarán los USD 2 billones en 2019). http://newvantage.forbes. “Big Data Executive Survey 2016” (Encuesta de ejecutivos de macrodatos de 2016).ey. “Global profiles of the fraudster: Technology enables and weak controls fuel the fraud” (Perfiles globales del estafador: la tecnología permite y los controles débiles alimentan el fraude). ■■ El IIA.

theiia.deloitte. “Evolution or irrelevance? Internal Audit at a crossroads” (¿Evolución o irrelevancia? Auditoría interna en una encrucijada). http://www.theiia. “2016 State of Internal Audit Profession Study.com/CBOK_2015_Top_Skills_CAEs_Want.protiviti. 2016. 2016. ■■ James Rose.globaliia. “Forensic Examination May Explain Why You Aren’t a Trusted Advisor” (Examen forense podría explicar por qué no es un asesor de confianza). 2016. pwc.org/gpi (se accedió el 29 de septiembre de 2016).theiia. 2016. 2016.pdf (se accedió el 24 de agosto de 2016). 2. 14 de junio de 2016. “The Top 7 Skills CAEs Want” (Las 7 habilidades principales que quieren los DEA) (Altamonte Springs: The IIA Institute of Internal Auditors Research Foundation. www. General ■■ Deloitte. ■■ Protiviti. Richard. https://www. Leadership matters: Advancing toward true north as stakeholders expect more” (Estudio sobre el estado de la profesión de Auditoría Interna de 2016. http://www2. “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense” (Evaluar el riesgo de la seguridad cibernética: los roles de las tres líneas de defensa).org 31 . http://theiia.mkt5790. ■■ Guía de Auditoría de Tecnología Global (GTAG) del IIA. “The Three Lines of Defense in Effective Risk Management and Control” (Las tres líneas eficaces de defensa en gestión de riesgos y control). Asuntos de liderazgo: avanzar hacia el verdadero norte a medida que las partes interesadas esperan más). Perspectivas globales: tendencias emergentes ■■ El IIA. https://iaonline. www. globaliia. www.org/position-papers (se accedió el 29 de septiembre de 2016).org/standards-guidance (se accedió el 29 de septiembre de 2016) Asesor de confianza ■■ Chambers.com/ global/en/pages/audit/solutions/global-chief-audit-executive-survey.htm l (se accedió el 24 de agosto de 2016). ■■ PwC.org/blogs/chambers/2016/Pages/Forensic- Examination-May-Explain-Why-You-Arent-a-Trusted-Advisor. 2013. “Arriving at Internal Audit’s Tipping Point Amid Business Transformation” (Llegar al punto de inflexión de auditoría interna en medio de una transformación de los negocios).com/en-US/Pages/IA-Capabilities-and-Needs- Survey.aspx (se accedió el 25 de agosto de 2016). “Percepciones y perspectivas globales: auditoría interna como asesor cibernético de confianza”. ■■ Declaración de posición del IIA.com/ca/en/risk/publications/pwc-state-of-internal-audit-profession-study-2016- 03-en.aspx (se accedió el 24 de agosto de 2016). 2016) pág.

9/2016-1036 globaliia.org .