El futuro Reglamento Europeo de Protección de Datos, ciberseguridad, avalancha regulatoria, innovación, incertidumbre política, la contratación de terceros, la cultura corporativa y la transición generacional. Éstos son los principales temas que las empresas europeas deberán abordar en 2018, y sobre los que los auditores internos tendrán que trabajar para mitigar los riesgos asociados.
Así lo recoge la publicación Risk in Focus. Hot Topics for Internal Audit 2018, elaborada por los Institutos de Auditores Internos de España, Francia, Italia, Holanda, Suiza y Reino Unido e Irlanda, en base a las entrevistas realizadas a los directores de Auditoría Interna de un amplio rango de empresas europeas de los principales sectores: construcción/infraestructuras; servicios financieros; TI; manufacturación; sector público, retail/consumo; telecomunicaciones; y energía.
Además de recoger las áreas de riesgo prioritarias, el informe realiza evaluaciones de las amenazas a largo plazo con el objetivo de que las direcciones de Auditoría Interna de las compañías los incluyan en sus planes anuales para afrontarlas y proteger e incrementar su valor.
Ocho focos de riesgo para las empresas y uno para Auditoría Interna
La privacidad de datos es una de las principales áreas en las que poner el foco en 2018, especialmente el Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés), que entrará en vigor en mayo. Solo el 31% de los tomadores de decisiones en las compañías creen que sus organizaciones cumplirían con el reglamento si se aplicara hoy, y de ellas solo el 2% lo harían completamente, según Veritas. El GDPR regulará la forma en la que las organizaciones recopilan, utilizan y divulgan estos datos y elevará los estándares, ampliando la definición de datos personales e identificadores en línea, como las direcciones IP.
Aún persiste la brecha entre la concienciación y la preparación en lo referente a la ciberseguridad, el área más identificada de riesgo en todos los países y sectores, que exige un seguimiento para que no erosione aún más la operativa de las empresas. El 62% de las compañías creen que los ciberriesgos causarán una disrupción en los próximos tres años, y sin embargo el 74% de tienen bajo o nulo riesgo de madurez cibernética, según PwC.
El 66% de los miembros de los consejos de administración consideran que el cambio regulatorio y un mayor escrutinio son un riesgo de “Impacto significativo”. La complejidad regulatoria debido a los cambios frecuentes y la falta de margen de maniobra para adaptarse preocupa especialmente a sectores como el financiero o el de seguros. Como ejemplo, actualmente, el 90% de los inversores institucionales en Europa corre el riesgo de no cumplir con la normativa MIFID II, según una encuesta de PwC.
Hay un conjunto de nuevos riesgos relacionados con la transformación económica debido a la innovación, con la digitalización que reemplaza cada vez más al mundo físico. El 51% de los ejecutivos cree que la automatización será el mayor disruptor comercial en 25 años, según Thomson Reuters; y un tercio de ellos cree que su modelo de negocio se verá afectado en los próximos cinco. En 2018, los sectores en los que más impactará la digitalización serán, según los ejecutivos senior de cada uno, los de Media (72%), Telecomunicaciones (64%), servicios financieros (61%), retail (57%) y tecnología (57%), seguidos del asegurador (53%).
También existen riesgos que preocupan más según el sector o el país en el que esté la organización. Es el caso por ejemplo de la incertidumbre política, que ha sido más mencionada como área de riesgo en Reino Unido, aunque el 57% de las empresas ni siquiera han llegado a discutir los riesgos que representa el Brexit.
El riesgo de la contratación de terceros ha vuelto a la palestra, en parte porque las compañías siguen buscando la rentabilidad del outsourcing y migran cada vez más sus operaciones a los servicios alojados en la nube. También los fabricantes tradicionales dejan fuera de la organización procesos y activos que una vez fueron alojados internamente. El 74,1% de las multinacionales se han enfrentado al menos a un incidente relacionado con terceros en los últimos años, según Deloitte, y solo llevan a cabo procesos de due diligence en el 62% de sus proveedores, distribuidores y relaciones con terceros.
La cultura corporativa se posiciona como uno de los aspectos clave para la buena marcha de las organizaciones. Muchas, especialmente en el sector financiero o energético, han perdido la confianza de los ciudadanos, y los incidentes que han puesto en peligro la reputación de las compañías han sido en parte el resultado directo o indirecto de una pobre cultura corporativa.
Otro de los aspectos identificados en el documento es la transición generacional en las organizaciones que exigirá nuevas políticas de Recursos Humanos, con los baby boomers continuando su transición hacia la jubilación, y la incorporación de los millennials. Como ejemplo, solo el 13% de las compañías británicas dicen estar preparadas para responder a la disrupción de la fuerza laboral.
Ante estos aspectos, Risk in Focus. Hot Topics for Internal Audit 2018 identifica uno último: la evolución de la Auditoría Interna para afrontar los nuevos riesgos y cumplir así con su función de aseguramiento y de protección del valor de las organizaciones, y de mano derecha de las comisiones de Auditoría. En este sentido, cobrarán especial importancia las técnicas de auditoría agile, la aportación de valor, la especialización en ciberseguridad/TI, el Data Analytics y la cultura corporativa.
Acerca del Instituto de Auditores Internos de España:
El Instituto de Auditores Internos de España es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
