CFO Insights

Puede la auditora interna ser el

centro de mando para el riesgo?
Tradicionalmente, la auditora interna (AI) ha servido
como los ojos y odos independientes de las juntas y de
la administracin, tanto en trminos de la vigilancia del
riesgo como del cumplimiento. Pero dado el diluvio de
riesgos que las compaas ahora enfrentan, junto con la
regulacin que continuamente evoluciona, hay la
oportunidad para que la AI se mueva ms all de su rol
de exploracin y sirva como parte integral del equipo
para identificar y combatir el riesgo.
Dados sus lentes trans-funcionales, la AI est en
posicin para hacer precisamente eso. Sin embargo,
para hacerlo de manera efectiva, requiere aprovechar
tcnicas innovadoras, tales como las analticas de datos
y la modelacin predictiva, a fin de identificar los riesgos
emergentes y asignar los recursos para maximizar

la cobertura. Adems, AI necesita el apoyo de la

administracin y del comit de auditora para moverse hacia
un rol de valor ms alto, as como tambin el talento para
entregar ms que los acostumbrados hallazgos de auditora.
Para los CFO [chief financial officer = director financiero
jefe], los beneficios de una funcin de AI altamente
evolucionada son mltiples. Con AI los costos de los
procesos para las compaas de Fortune representando
entre el 0.026% y el 0.126% de los ingresos ordinarios
(variables con base en el tamao de la compaa, la
industria, y la adopcin de las prcticas lderes),i extraer
mayor valor de tal inversin es primordial. Por otra parte,
dado que muchos directores de auditora jefes [CAE = chief
audit executives] todava reportan administrativamente al
CFO (70% de las Fortune 500, de acuerdo con la Global
Audit Information Network Annual Benchmarking Surveyii
[Encuesta anual de comparacin de la red global de
informacin sobre auditora], le corresponde a finanzas
equipar la funcin con las capacidades para entregar
reportes de auditora ms informados. Y dado el continuo
deseo de los CFO de jugar roles ms estratgicos, tener un
departamento de AI que sea prospectivo puede ser un arma
valiosa en su arsenal.
En esta entrega de CFO Insights, miramos las reas
especficas en las cuales la auditora interna puede agregar
valor adicional, y ofrece preguntas que pueden llevar a que
la AI se convierta ms en un centro de mando para el riesgo.

Aprovechar las herramientas y las tcnicas

En los ltimos aos auditora interna ha tenido varias
evoluciones. A mediados de los aos 2000, la
adherencia corporativa a la Ley Sarbanes-Oxley
increment la demanda por muchos auditores internos
y su centro de atencin puesto en probar el
cumplimiento y los controles financieros. Desde
entonces, sin embargo, muchas compaas han tendido
a verla como una funcin de consultora en riesgos y
negocios. Por supuesto, este no es el punto de vista de
todas las compaas, pero dos fuerzas estn
presionando la transformacin hacia adelante:
Facilitacin de tecnologa. Tal y como ocurre en la
mayora de las reas, las nuevas tecnologas estn
incrementando la velocidad de la entrega y estn
permitiendo mejores ideas. En la AI, de hecho, el uso de
la tecnologa est incrementando el impacto de los
hallazgos de auditora mediante, por ejemplo, la
visualizacin de los datos. Adems, otras tcnicas estn
haciendo que los reportes sean ms oportunos y
accesibles. La auditora continua, por ejemplo, que es
un enfoque automatizado, les permite a los auditores
obtener continuamente mayores datos crticos que
respalden y mejoren la auditora, ms que la norma
histrica de examinar muestras limitadas. Esto significa
que los ejecutivos pueden determinar con precisin y
actuar sobre, dgase, problemas de inventario, en
tiempo real en lugar de inferir problemas potenciales y
confiar en reportes basados en informacin
desactualizada.
Analticas de datos. Los datos capturados por las
nuevas tecnologas pueden ayudar a la AI y al negocio a
saber dnde estn los riesgos, cmo priorizarlos, y
cmo centrar de mejor manera los esfuerzos de
auditora y de administracin para mitigar los riesgos.
Por ejemplo, las pruebas de regresin y el
modelamiento predictivo pueden permitirles a los CFO y
a los auditores a identificar de manera rpida las
anomalas. Especficamente, las tcnicas analticas
avanzadas y las tcnicas de modelacin de datos que
usan algoritmos de auto-aprendizaje pueden
automticamente categorizar las anomalas dentro de
un rango amplio de variables para identificar las
entidades de riesgo de auditora ms alto. El anlisis de
esta naturaleza puede entonces ayudar a dirigir la
actividad de la auditora hacia reas de mayor

riesgo. Particularmente efectivo a travs de

localizaciones geogrficas y operaciones en el
extranjero, tambin ha sido usado para analizar
reas tan diversas como fuga de ingresos
ordinarios, riesgos de cumplimiento, y otros riesgos
de la empresa.
Mediante aprovechar la tecnologa necesaria y los
datos, la AI puede aportar luces tales como las
siguientes:
1.

Riesgo ciberntico. En los Estados Unidos,

el costo promedio de la violacin de datos es
de $188 por prdida o registro robado, o un
promedio de $5.4 millones por organizacin
violada. Entender los riesgos implicados con
la proteccin de los activos de la compaa y
contener tales costos obviamente est en el
primer lugar de la atencin de los CFO.
Adems de un programa efectivo de
administracin del riesgo, que incluye
programas de educacin sobre, y el monitoreo
de, la seguridad ciberntica, AI puede
ayudarle a la organizacin a entender de
mejor manera su preparacin mediante usar
analticas para detectar los patrones de
violacin y revisar de manera regular los
controles cibernticos.

2.

Vnculo estratgico. De acuerdo con un

reciente estudio global de Deloitte Touche
Tohmatsu Limited (DTTL), el riesgo
estratgico se ha convertido en un centro
importante de atencin, con el 81% de las
compaas encuestadas administrando ahora
de manera explcita el riesgo estratgico
ms que limitar su atencin a las reas
tradicionales tales como riesgo operacional,
riesgo financiero, y riesgo de cumplimiento.
Pero entender cmo la AI puede ayudar a los
riesgos bandera relacionados con la estrategia
a menudo est fuera de la zona de comodidad
de la AI. Sin embargo, si la AU tiene una silla
en la mesa ejecutiva, est en la posicin para
reportar cuando la estrategia no sea bien
entendida a travs de la organizacin, lo cual
puede conducir a decisiones que no estn de
acuerdo con la estrategia general.

3.

Riesgo de inversin. En la encuesta ms

reciente de CFO SignalsTM, los CFO observaron
que ms de la mitad de sus desembolsos de
capital seran programados para crecimiento e
innovacin (37% y 14%, respectivamente).1 Las
tcnicas tradicionales de auditora para
determinar si los proyectos de inversin
relacionados fueron exitosos estaran a favor del
enfoque histrico. Pero mediante el uso de
modelos predictivos, los auditores internos
pueden hoy ayudar a los equipos a mejorar la
probabilidad de que un proyecto sea entregado
exitosamente: a tiempo, dentro del presupuesto,
y satisfaciendo los requerimientos de
especificacin y del negocio.

Fortalecimiento de valor de la AI
Cuando se trata de la AI, ciertos atributos
constituyen apuestas en la mesa. Por ejemplo, uno
de los principales trabajos de la auditora interna es
ejecutar un proceso fuerte de valoracin del riesgo
que oriente su proceso de auditora y su proceso de
asignacin de los recursos. Y es trabajo del comit
de auditora asegurar que la AI est financiada de la
manera apropiada y cuente con los recursos tan
efectivamente como sea posible. Pero hay
preguntas que los directores de finanzas pueden
hacer para ayudar a guiar a la AI a convertirse en
una organizacin que genere ms valor,
particularmente alrededor de la identificacin y
mitigacin del riesgo. Por ejemplo:

Los integrantes del personal de auditora interna

son expertos en su campo, y pueden consultar de
manera proactiva sobre los controles internos y
sobre la administracin del riesgo? Con la
introduccin de Sarbanes-Oxley, los especialistas
en AI se convirtieron en algunos de los ms
buscados luego del talento en negocios. Pero para
agregar valor adicional, la AI necesita hacer equipo
con otros en administracin del riesgo, incluyendo
legal y TI, a fin de monitorear de manera proactiva si
la administracin est abordando los planes de
mitigacin del riesgo. Adems, AI tiene que tener la
flexibilidad y los recursos para vincular los
especialistas apropiados para complementar sus
equipos cuando se necesite.
El proceso de auditora interna est diseado para
identificar si la organizacin est controlando las
reas que sean importantes para controlar y no solo
las que sean fciles de controlar? Dado que la AI es
una de las funciones con una perspectiva amplia de
la compaa, tiene la capacidad para tener acceso a
todos los aspectos de la organizacin y para
identificar las anomalas. Mediante trabajar de
manera estrecha con finanzas y con las unidades de
negocio, la AI puede priorizar cules riesgos
enfrentar primero y crear planes de asignacin de
recursos para asegurar que los riesgos ms
importantes son mitigados de la manera apropiada.

Auditora Interna en la nube

La computacin en la nube se ha tomado cual tormenta
el mundo de los negocios y con ella viene un potencial
diluvio de riesgos. En la medida en que
confidencialidad, seguridad, continuidad del servicio, y
cumplimiento regulatorio se convierten cada vez en ms
crticos en la empresa digital, qu rol debe jugar la AI
en el abordaje de esos riesgos?
La computacin en la nube presenta una nueva frontera
para muchas organizaciones y tambin para la AI,
anota Michael Juergens, principal, Deloitte & Touche
LLP. Cuando una compaa opta por la velocidad y la
conveniencia de moverse a la nube, por ejemplo, a
menudo abandona el control no solo sobre sus propios
datos, sino los de sus clientes. Para los auditores
internos, satisfacer los desafos de la computacin en la
nube puede significar ir ms all de sus roles
tradicionales de auditora, agregando mayor valor
cuando asisten a la organizacin en la construccin del
requerido ambiente de control.
De manera especfica, la AI debe asegurar que entiende
la actual huella que en la nube tiene la organizacin,
realiza auditoras de la nube comenzando en el proceso
de abastecimiento, y reconoce las condiciones que
pueden impulsar a que los usuarios del negocio se
desven de la tienda de IT y firmen directamente por los
servicios en la nube. Tambin debe desarrollar y
aprovechar una herramienta personalizada de la

Estructura del riesgo en la nube:

Un enfoque recomendado
Gobierno,
administracin
del riesgo, y
cumplimiento
Administracin de
la identidad y del
acceso

Operaciones
de TI

Entrega de
estrategia y
arquitectura

Infraestructura
de seguridad

Administracin
de datos

Capacidad de
recuperacin
del negocio y
disponibilidad

Administracin
del proveedor

Operaciones de
negocio

estructura para ayudar a identificar los principales riesgos

que la organizacin tiene en la nube y presentar las
declaraciones clave. Tal herramienta, que se esboza en
Will risk rain on your move to the cloud? [Llover
riesgo en su movimiento hacia la nube?], de Deloitte,
puede ir al corazn de los riesgos mediante proporcionar
un punto de vista sobre la naturaleza generalizada, en
evolucin, e interconectada de los riesgos asociados con
la computacin en la nube. Esos riesgos varan desde
gobierno y cumplimiento hasta infraestructura y
seguridad y desde administracin de los datos hasta
operaciones de TI, anota Wasti, director, Deloitte &
Touche LLP.
Comprometer a los stakeholders en discusiones
informadas acerca de las implicaciones del riesgo de
la computacin en la nube.
Revisar la estructura actual del riesgo de la
organizacin, hacindolo con base en los riesgos de
la nube que hayan sido identificados.
Desarrollar estrategias de mitigacin del riesgo para
ayudar a minimizar los riesgos que acompaan a la
computacin en la nube.
Revisar y entender de mejor manera el programa de
gobierno de los datos de la organizacin, dado que
este es un componente clave en el tratamiento de los
datos en la nube.
Evaluar a los potenciales vendedores de la nube,
hacindolo a partir de una perspectiva del riesgo.:

La computacin en la nube est cambiando el

panorama de la tecnologa, y los cambios es probable
que se intensifiquen, anota Charlie Willis, senior
manager, Deloitte & Touche LLP. Para muchas
organizaciones, la pregunta no es si la nube debe ser
parte de su estrategia de tecnologa, sino cundo y
cmo. Bajo la presin para proporcionar soluciones,
las organizaciones pueden estar tentadas a aprovechar
rpidamente los servicios en la nube, sin sopesar los
riesgos asociados. Como la tercera lnea de defensa, la
AI puede ayudar a proporcionar el contexto y la
estructura del riesgo que la organizacin debe
considerar cuando se mueva a la nube.

El comit de auditora, la administracin principal, y

el CAE han conciliado sus expectativas para la
auditora interna? Sin apoyo la AI no puede
evolucionar hacia un nivel ms alto en la organizacin.
Si las juntas quieren que la AI se centre solamente en
los controles financieros y el cumplimiento, y la
administracin quiere que se centre en el
mejoramiento de los procesos, obviamente hay una
brecha en el rol. En consecuencia, es importante
primero aclarar el rol mediante dilogo directo de
manera que la AI sepa qu tanto de su tiempo y de
sus recursos debe gastar en las actividades bsicas
de aparejar-las-poleas y qu tanto en las actividades
tipo consultora, tales como riesgos emergentes y
eficiencias.

los auditores independientes? Equipada con las analticas

de los datos y la visualizacin, la reputacin de la AI solo
puede ser mejorada. Por ejemplo, las nuevas formas de
comunicacin que capturen en una pgina los mayores
riesgos que la compaa enfrenta sern acogidas tanto por
las juntas como por los equipos de la administracin
ejecutiva. Ellos desean saber cules son los riesgos
principales y sobre los cuales actuar no un reporte de 30
pginas lleno de detalles que los dejen fuera de accin. Tal
y como ocurre con los auditores internos, trabajar con una
organizacin de AI que saque de raz y controle los riesgos
emergentes puede conducir a auditoras ms eficientes y a
mejores relaciones de trabajo.

La auditora interna est centrada en las reas

correctas de riesgo? El equipo de auditora interna debe
ir ms all de centrarse principalmente en los riesgos de
la informacin financiera y evaluar los riesgos actuales y
prospectivos, incluyendo los riesgos estratgico,
reputacional, operacional, financiero, legal, de TI, y de
cumplimiento. Por ejemplo, si la compaa est
planeando una adquisicin en Bangladesh, la AI debe
participar en la valoracin de los riesgos asociados con
establecer operaciones y asegurar las licencias all.

En AI, entregar los hallazgos de auditora tpicamente ha

sido la medida de xito. Pero debe ser valorado prevenir en
primer lugar la ocurrencia de esos hallazgos. Pero
conseguir esa estructura mental, sin embargo, requiere
ms que aprovechar la tecnologa y los datos para
asociarse de mejor manera con las finanzas; tambin
requiere habilidades adicionales de AI, y algunas veces un
cambio de cultura.

Cmo la auditora interna se relaciona, e interacta,

con las otras funciones relacionadas con el riesgo,
yales como administracin del riesgo de la empresa,
planeacin estratgica, legal, seguridad, y TI? Para
verdaderamente crear valor, la AI necesita trabajar
transversalmente y con los especialistas correctos en
la materia sujeto relacionada con un riesgo particular.
Adems, la AI necesita estar alineada con el equipo
ejecutivo, el director de riesgos jefe (si la organizacin
tiene uno), y la organizacin general de la
administracin del riesgo. Cuando la AI se centra en
valorar no en administrar lo robusto y la efectividad
de los programas que la organizacin tiene alrededor
del riesgo, trabajar en equipo con la funcin apropiada
del riesgo puede conducir a auditoras ms holsticas y
a mejor administracin del riesgo.
El departamento de auditora interna es percibido
como objetivo y competente por la administracin y por

Escogiendo ser creador de valor

Especficamente, para ser el centro de mando para el

riesgo, AI tiene que agregar las habilidades necesarias de
modelamiento y analticas a su conocimiento prctico de los
controles internos y de los enfoques de administracin del
riesgo. Adems, los profesionales de AI necesitan salir de
su zona de comodidad y centrarse en los riesgos
identificados y resolverlos no para estar satisfechos con el
desempeo promedio. Por otra parte, finanzas y el comit
de auditora deben esperar que la AI se desempee en un
nivel ms alto y trabaje en equipo con los recursos y el
mandato para hacerlo.
Los comits de auditora y la administracin ejecutiva
confan en la auditora por el aseguramiento objetivo y por
las luces sobre la efectividad de la administracin del riesgo
y los procesos de control interno. Armada con este apoyo, la
AI puede aprovechar la tecnologa y los datos para ser
mejor socio con finanzas - y para contemporizar su rol de
gobierno con uno que identifique y aborde los riesgos ms
relevantes para la organizacin.

Contactos Primarios
Carey Oven
AERS Partner
Deloitte & Touc Carey
Oven
AERS Partner
Deloitte & Touche LLP
coven@deloitte.com
Sandy Pundmann
AERS Partner
Deloitte & Touche LLP
spundmann@deloittecom
Neil White
AERS Principal
Deloitte & Touche LLP
nwhite@deloitte.com

Notas finales
1 Summary information, 2013 Global Audit Information
Network (GAIN) Annual Benchmarking Survey, The Institute of
Internal Auditors.

CFO Insights, de Deloitte, son desarrollados con la

orientacin de Dr. Ajit Kambil, Global Research Director,
CFO Program, Deloitte LLP; y Lori Calabro, Senior
Manager, CFO Education & Events, Deloitte LLP.

Acerca del Programa CFO de Deloitte

El Programa CFO rene un equipo multidisciplinario
de lderes de Deloitte y especialistas temticos para
ayudar a los CFO a estar delante de los crecientes
desafos y demandas. El Programa aprovecha las
capacidades amplias de nuestra organizacin para
entregar pensamiento prospectivo y luces frescas en
cada etapa de la carrera de los CFO ayudando a los
CFO a administrar las complejidades de sus roles,
abordar los desafos ms importantes de sus
compaas, y adaptarse a los cambios estratgicos
en el mercado.

Para ms informacin acerca del Programa CFO de

Deloitte, visite nuestro sitio web en:
www.deloitte.com/us/thecfoprogram.

2 CAE Administrative Reporting Line, 2013 Global Audit

Information Network (GAIN) Annual Benchmarking Survey,
The Institute of Internal Auditors.
3 Data collected from the Ponemon Institute research report:
2013 Cost of Data Breach Study: Global Analysis, 2013.
4 Exploring Strategic Risk, DTTL and Forbes Insights, 2013.
CFO Signals, Q1 2014; U.S. CFO Program, Deloitte LLP.

Esta es una traduccin al espaol de la versin oficial en ingls de CFO Insights Can internal audit be a command center for risk?
publicado por Deloitte Development LLC 2014 - Traduccin realizada por Samuel A. Mantilla, asesor de investigacin contable
de Deloitte &Touche Ltda., Colombia, con la revisin tcnica de Csar Cheng, Socio Director General de Deloitte & Touche Ltda.,
Colombia.

Limitacin de responsabilidad
Esta publicacin contiene exclusivamente informacin de carcter general, y Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte
Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, as como sus firmas miembro y las empresas asociadas de las firmas mencionadas
(conjuntamente, la Red Deloitte), no pretenden, por medio de esta publicacin, prestar servicios o asesoramiento en materia contable, de negocios,
financiera, de inversiones, legal, fiscal u otro tipo de servicio o asesoramiento profesional. Esta publicacin no podr sustituir a dicho asesoramiento o
servicios profesionales, ni ser utilizada como base para tomar decisiones o adoptar medidas que puedan afectar a su situacin financiera o a su negocio.
Antes de tomar cualquier decisin o adoptar cualquier medida que pueda afectar a su situacin financiera o a su negocio, debe consultar con un asesor
profesional cualificado. Ninguna entidad de la Red Deloitte se hace responsable de las prdidas sufridas por cualquier persona que acte basndose en esta
publicacin.
2015 Deloitte Touche Tohmatsu.
Todos los derechos reservados.