El año 2024 viene cargado de nuevos propósitos y retos para auditoría interna, una función en constante transformación, condicionada, entre otros, por factores de mercado y regulatorios, que el auditor interno debe identificar, evaluar y gestionar en su ámbito de actuación. Un estudio reciente elaborado por KPMG Irlanda ‘Internal Audit: Key thematic areas to consider in 2024’ destaca las áreas clave en las que el auditor interno debería poner foco. Cuestiones que son también claves para el desempeño de la función de auditoría interna en el mercado español y que, de hecho, han sido nombradas en informes de instituciones como el World Economic Forum o el Instituto de Auditores Internos.
El valor del citado informe radica en la agrupación en áreas y subáreas temáticas relacionadas con cuatro grandes ámbitos (presiones externas, cambios operativos, tecnología y regulación), así como la propuesta de cómo abordarlas desde la óptica del auditor interno con ejemplos concretos para evitar caer en lo etéreo o las buenas intenciones.
La primera de estas áreas temáticas en las que el auditor interno deberá poner especial foco a lo largo de este año son las presiones externas, área en la que se incluyen la incertidumbre económica y geopolítica, las cuestiones ESG y la relación con terceros/cadena de suministro.
El auditor interno necesita analizar cómo la primera y la segunda línea de defensa están gestionando y valorando el impacto de los factores geopolíticos y económicos en la operativa, así como involucrarse en la evaluación de las áreas de riesgo críticas asociadas, tales como las estrategias a largo plazo destinadas a mitigar los riesgos financieros y operativos, los proveedores vulnerables a fluctuaciones económicas, la planificación financiera y los procedimientos operativos.
En relación con los aspectos ESG, el auditor interno debería revisar el reporte de sostenibilidad bajo la CSRD en aquellas compañías sujetas a esta regulación en la primera tanda (2024) y realizar una evaluación en el caso de implementaciones posteriores a esa fecha, asesorando y proporcionando aseguramiento sobre los marcos de gobierno y control de la información no financiera, así como la revisión de los procesos de adquisición, agregación, cuantificación y reporte de métricas ESG. El auditor interno también puede asesorar sobre capacidades más amplias de gestión de riesgos para alinear los riesgos, las estrategias y los objetivos ESG de la organización, como los ODS y el Pacto Verde Europeo.
Por último, sobre la relación con terceros, el auditor interno debería ir más allá de la gestión de contratos y valorar la madurez y resiliencia de las cadenas de suministro, así como brindar asesoramiento sobre la idoneidad de su modelo operativo y determinar si se han considerado adecuadamente los riesgos asociados con la situación macroeconómica y las condiciones geopolíticas actuales.
2. Cambios operativos
En segundo lugar, en cuanto a los cambios operativos, se incluyen la rentabilidad, inflación y liquidez, gestión del talento y resiliencia operativa. En este sentido, el auditor interno deberá prestar atención a la presión adicional en los equipos financieros al tenor de las condiciones macroeconómicas, llevando a cabo revisiones sobre las decisiones de inversión/financiación, cadena de suministro y aprovisionamientos. ¿Cómo? Evaluando cómo la dirección está identificando, y abordando el riesgo de inflación y de tipos
Adicionalmente, el auditor interno debería evaluar la calidad del sistema de gestión de crisis y resiliencia, asegurando que se han identificado las amenazas críticas, que se han implementado planes de respuesta adecuados y que se han considerado los riesgos emergentes. También debe garantizar que las organizaciones comprendan el impacto de la disrupción, determinen qué sería intolerable y el coste/beneficio de las medidas de mitigación/resiliencia.
En relación con el talento, el auditor interno debería evaluar el enfoque de la organización respecto de la planificación de los recursos humanos y la demanda futura de habilidades, la adquisición de talento y las estrategias de retención de talento.
3. Tecnología
En tercer lugar, en el área de Tecnología están comprendidos los factores relacionados con la ciberseguridad, privacidad y disrupción digital y tecnologías emergentes.
El auditor interno debe evaluar los controles existentes para mitigar los riesgos de ciberseguridad y garantizar que la primera y segunda línea de defensa estén monitoreando continuamente los controles asociados a estos riesgos.
Adicionalmente, el auditor interno deberá evaluar los controles de privacidad y protección de datos implementados en su organización y asegurarse de que quede claro por qué la organización ha recopilado los datos, dónde se almacenarán, si son seguros, durante cuánto tiempo planean conservarlos y cómo se eliminarán, en línea con cualquier regulación que aplique. Asimismo, deben garantizar una comprensión integral de si terceros tienen acceso a los datos de la organización y, de ser así, cómo se monitorea y controla este acceso.
Finalmente, el auditor interno debe evaluar la estrategia de transformación digital y para proporcionar asesoramiento sobre cuestiones de gobernanza y control. Entre otros, debe comprender cómo y por qué las organizaciones utilizan la inteligencia artificial y también qué controles existen para mitigar los riesgos que conlleva su uso.
4. Regulación
Por último, para evaluar eficazmente el cumplimiento de la regulación por parte de una organización, el auditor interno debe obtener una comprensión integral del panorama regulatorio existente para la industria en la que opera actualmente la organización.
En este ámbito, en los últimos meses se han producido cambios relevantes a nivel de áreas específicas de auditoría interna como la nueva regulación en materia de inteligencia artificial, el código de buen gobierno de ciberseguridad o la nueva normativa de reporte de sostenibilidad.
Y, de cara al 2024, además de estas normativas específicas que se han trasladado o se trasladarán a auditorías específicas, han surgido dos novedades regulatorias importantes que tienen en común la transversalidad al tratar cuestiones propias de la organización, estrategia, metodología y gestión de la propia función de auditoría interna. La primera es la emisión de las normas globales de auditoría interna que se aprobarán próximamente y que exigirán una adaptación mayor o menor en función del grado de madurez de las funciones de auditoría interna actuales. Y, en este sentido, es importante realizar un análisis preventivo de los posibles gaps de cara a su cumplimiento efectivo en 2025, tras un período de adaptación que las propias normas establecen para el año 2024.
La segunda de estas novedades se refiere a la revisión de la Guía Técnica para Comisiones de Auditoría de 2017, que la CNMV expuso a consulta pública el 18 de diciembre del año pasado. Como el propio regulador del mercado de valores ya indicaba en su nota de prensa, el elemento esencial de esta actualización ha sido el tratamiento de la información sobre sostenibilidad y sus riesgos asociados. Sin duda, un foco mayor donde la comisión de auditoría pondrá especial atención y donde el auditor interno, sin duda, tendrá un papel relevante.
La función de auditoría interna aportando valor
Ya sea por los factores del entorno o por los regulatorios, sin duda el año 2024 trae consigo asuntos y áreas que supondrán un reto adicional y que harán que la función de auditoría interna siga siendo una función en transformación constante. Es por ello que el auditor interno debe revisitar estas cuestiones para seguir aportando valor al negocio y resto de grupos de interés.
