La auditoría interna: Una pieza clave en la búsqueda de soluciones

El Coronavirus y su rápida propagación epidemiológica ha sido una de las fuerzas disruptivas más importantes en la historia de la humanidad debido al impacto sanitario que está ocasionando como consecuencia de la destrucción del valor de muchas organizaciones, industrias y economías a nivel global. 

Cuando nos referimos a la enfermedad del COVID-19 como una fuerza disruptiva, entendemos que ha producido una ruptura brusca integral, generando cambios determinantes en la economía mundial, así como en la forma de operar de un gran número de empresas que han interrumpido de manera total o parcial sus operaciones, afectando su continuidad, llegando a decisiones laborales extremas y a una falta de liquidez preocupante. Esta situación se hace más crítica para aquellas organizaciones que no han innovado o se han transformado digitalmente, lo cual puede representar, en el peor de los casos, su posible desaparición. 

La función de la auditoría interna (de planta o tercerizada) debe jugar un papel proactivo frente a esta disrupción, así como también en la gestión de los nuevos riesgos emergentes inherentes a esta pandemia. Como auditores debemos reevaluar nuestros planes anuales de auditoría para apoyar a las organizaciones (agregando valor) en el manejo de la crisis, su recuperación y continuidad como negocio. Para lograr esto, debemos ser conscientes que nuestro valor (“plus”) como auditores en los procesos de gobierno, gestión de riesgo y control interno mejora cuando somos proactivos y nuestras evaluaciones ofrecen nuevas perspectivas considerando impactos futuros (referencia a Norma 2100-Naturaleza del Trabajo del IIA).

Ante esta situación, como un primer paso sugerimos replantear algunas actividades del plan de trabajo con la Alta Gerencia y la Junta Directiva-Comité de Auditoría para consultar los posibles cambios en la estrategia del negocio (impacto) y los nuevos escenarios de gestión de riesgos emergentes frente a las prioridades de recuperación relacionadas a la administración de los flujos de efectivo (liquidez), mantenimiento de los recursos necesarios (humanos, financieros y tecnológicos), administración crediticia, funcionamiento de los servicios críticos y de la cadena de suministros (entrega de bienes o servicios), retención de clientes, entre otros relevantes, que aseguren la continuidad del negocio con el menor impacto posible. 

La Auditoría Interna según el Marco Internacional para la Práctica Profesional (MIPP) del Instituto Global de Auditores Internos (IIA) y basada en sus servicios independientes de aseguramiento y asesoría, tiene una constante misión orientada a “mejorar y proteger el valor de las organizaciones, proporcionando aseguramiento objetivo, asesoría y conocimiento basado en riesgos”. Ahora bien, en tiempos de crisis por pandemia COVID-19, siendo auditores, ¿cómo determinamos cuándo brindar aseguramiento y cuándo brindar asesoría?

Esta respuesta es coyuntural y dependerá de las conversaciones sostenidas previamente con la Junta Directiva-Comité de Auditoría y la Alta Gerencia, así como también del impacto que ha tenido la organización desde el punto de vista operativo y comercial.

A continuación, realizamos algunas recomendaciones (aplicables dependiendo el tipo de compañía o industria) que nos ayudarán a replantear ciertas actividades de nuestro plan anual de auditoría interna y a brindar servicios de valor agregado y de apoyo sin que se perciba una sensación de interferencia en el logro de los nuevos objetivos y planes de la organización para hacerle frente al contexto de COVID-19: 

Gobierno Corporativo:

• Ponerse a disposición en la mesa gerencial y directiva para asesorarla haciendo recomendaciones apropiadas que ayuden al manejo de la crisis y colaboren en la toma de mejores decisiones estratégicas-operativas, basadas en hechos y evidencias objetivas. 
• Promover una actitud resiliente proporcionando información de interés y “hot topics” sobre el manejo de crisis, comportamientos del mercado, de negocios homólogos, entre otros factores e indicadores relevantes asociados a la situación actual. Por otro lado, proporcionar insumos que apoyen el análisis de riesgos que puedan afectar el logro de las nuevas estrategias y planes para hacerle frente a la crisis.

Administración del flujo de efectivo y liquidez:

• Indagar y proporcionar información relevante sobre los sectores mayor y menormente afectados por la pandemia, que permitan analizar el impacto en la cartera actual de los clientes existentes, así como el incremento potencial del riesgo de crédito y cobranza, que ayuden a establecer con mejor precisión las proyecciones de facturación y cobros.  
• Asesorar a la Administración en la proyección de planes de facturación y expectativas de cobros que generarán los flujos de efectivo requeridos para continuar operando con los recursos críticos y necesarios.  
• Evaluar los nuevos ajustes establecidos en las políticas actuales de crédito y cobros, así como su cumplimiento razonable. Se debe tomar en cuenta que los clientes también se están viendo afectados por la pandemia y podrán solicitar nuevos acuerdos-términos de pago.   
• Recomendar la realización de nuevos escenarios de liquidez y pruebas de tensión frente a una posible dilatación de la crisis o dificultades para la pronta recuperación (supervivencia). 
• Dar seguimiento a las reservas de liquidez y planes de fondeo contingentes que puedan establecerse para cubrir las obligaciones primarias requeridas para la recuperación y continuidad del negocio. 
• Recomendar iniciativas para el manejo de relaciones con proveedores, que lleven a identificar aquellos de mayor criticidad y negociar planes de pago de acuerdo con los flujos de cobros proyectados. Monitorear los nuevos acuerdos, condiciones y términos de pago con acreedores (proveedores, bancos, aseguradoras, servicios, entre otros).

Riesgo, control interno y cumplimiento regulatorio:

•  Asistir en la evaluación de nuevos riesgos por cambios en las estructuras y sistemas de control interno debido a la reducción de personal, teletrabajo, estructuras de seguridad, flexibilización de procesos, incremento de excepciones en políticas y segregación de funciones (operativas y tecnológicas), entre otros, realizando recomendaciones apropiadas de mitigación y brindar aseguramiento razonable sobre el cumplimiento de éstos. 
• Evaluar la razonabilidad de las nuevas tolerancias y apetito de riesgo por tipo de riesgo integral (crédito, liquidez, mercado, operacional, país, reputacional, estratégico, tecnológico, regulatorio, entre otros). 
• Realizar análisis predictivos que permitan identificar nuevas banderas rojas e incremento de situaciones de fraude coyunturales a la crisis, así como la existencia y funcionamiento de controles internos adecuados.
  Evaluar la razonabilidad de los posibles cambios en indicadores de riesgo operativo, apoyando en el seguimiento continuo de los mismos para asegurar que se encuentren dentro de los nuevos límites de tolerancia conforme al apetito de riesgo de la organización. 
• Promover en el Departamento de Recursos Humanos acciones que permitan el monitoreo del estado de ánimo, salud mental y física de los colaboradores con jornadas de campo expuestas al riesgo de contagio por COVID-19, así como aquellos bajo la modalidad de teletrabajo y/o aquellos con impacto salarial por jornadas laborales reducidas. 
• Verificar el cumplimiento de los nuevos acuerdos y términos para la presentación de reportes hacia reguladores y pago de obligaciones legales (seguridad social, impuestos). 
• Apoyar en la vigilancia de los riesgos legales (nuevos y existentes). 
• En materia de prevención del blanqueo de capitales, evaluar la razonabilidad de los posibles ajustes por medidas flexibilizadas de conocimiento del cliente, monitoreo transaccional, con especial atención a las nuevas consideraciones de riesgo relacionadas a COVID-19 emitidas por GAFILAT (fraudes financieros, estafas, tráfico de medicamentos falsificados, esquemas Ponzi, tráfico ilícito de mercancía e implementos sanitarios, suplantación de identidad de organismos de salud, repunte de actos ilegales y corrupción, incremento de operaciones remotas, y otros derivados de las necesidades económicas de la población y desempleo). 

Tecnología, Ciberseguridad y Teletrabajo

•  Asistir en la evaluación de los nuevos riesgos tecnológicos y de seguridad generados por cambios en los sistemas de control interno por razones de reducción de personal y jornadas laborales, teletrabajo, segregación de funciones, flexibilidad de políticas, entre otros. 
• Verificación de los procesos de actualización de los aplicativos, antivirus y plataformas tecnológicas y evaluar los controles asociados a factores de autenticación y uso de VPN en equipos operados bajo la modalidad de teletrabajo. 
• Evaluar la adecuación de las políticas corporativas de seguridad, protección de datos y uso de internet en la modalidad de teletrabajo. Verificar existencia de controles en otros equipos tecnológicos y en el uso del correo electrónico en teletrabajo sobre computadoras personales, iPads, smartphones. Evaluar controles sobre nuevas herramientas, canales de comunicación-interacción y telefonía digital utilizada en teletrabajo, por ejemplo: WhatsApp, Teams, Zoom, Fuze, entre otras. 
• Evaluar controles sobre repositorios centrales de datos (OneDrive/Share Point), protocolos de encriptado (TLS y PGP) y canales de transmisión segura de datos (portales de descarga). 
• Recomendar el envío de campañas de concienciación frente al incremento de vulnerabilidades de ciberseguridad (malware, ransomware, entre otros). 
• Verificar que se tengan conexiones seguras entre los colaboradores y los recursos tecnológicos corporativos. Evaluar los controles sobre los dispositivos utilizados por los colaboradores, considerando que en algunos casos podrán utilizar dispositivos personales para acceder a los recursos tecnológicos corporativos; en este sentido, se debe validar que estos dispositivos tengan controles básicos de seguridad. Evaluar el adecuado cumplimiento de las políticas de protección de datos personales aplicables.

Continuidad y recuperación

• Ponerse a disposición y participar como asesor en los comités de continuidad, contingencia y manejo de crisis para brindar recomendaciones basadas en su conocimiento en riesgos y en los nuevos ejercicios de análisis de impacto del negocio (BIA).
• Brindar seguimiento oportuno a los nuevos indicadores de gestión de disponibilidad y funcionamiento de las diferentes plataformas y servicios-sistemas críticos de la compañía. 
• Verificar los procesos y controles establecidos sobre las actividades de respaldo de la información (respaldo tradicional o en la nube). 
• Evaluar las consideraciones utilizadas para el diseño de los nuevos planes de continuidad de negocios y recuperación de desastres. Frente al alto riesgo de contagio por COVID-19 y porcentajes potenciales de letalidad de éste; evaluar los planes de sucesión sobre personal crítico y clave de la organización.
• Brindar seguimiento a los planes y acciones correctivas generadas como resultados de las actualizaciones de los planes de continuidad y recuperación de desastre.

Como hemos indicado al inicio de esta sección de recomendaciones, los servicios de aseguramiento y asesoría de los auditores internos (de planta o tercerizados) serán coyunturales en tiempos de crisis y dependerán de los diferentes sectores-industrias, así como también de las expectativas acordadas con los interesados clave, y aún cuando en algunos casos puedan ser incompatibles (generando posibles afectaciones a su independencia), éstos deberán establecer las salvaguardas necesarias para poder poner sus recursos a disposición de la organización, aportar en todo momento recomendaciones en base a su conocimiento en riesgos y apoyar a las organizaciones en la planificación del nuevo retorno.

Puede descargar el documento oficial aqui: auditoria-interna-rsm-latin-america.pdf

EDWIN RÍOS | [email protected] SOCIO DE RISK ADVISORY SERVICES – RSM PANAMÁ