Marco Actualizado de The IIA para Auditar la Inteligencia Artificial

La reciente versión actualizada del "IIA's AI Auditing Framework", elaborado por The IIA, proporciona un marco integral para la auditoría de inteligencia artificial (IA) que abarca varios aspectos clave para los auditores internos. A continuación, se presenta la síntesis preparada por el IMAI sobre los principales puntos y conceptos del documento.

Antecedentes

• Propósito del Marco: Proporciona a los auditores internos una guía para realizar servicios de asesoría y aseguramiento de IA de manera sistemática y disciplinada.
• Tres Dominios: El marco se estructura en torno a tres dominios principales: Gobernanza, Gestión, y Auditoría Interna, alineados con el modelo de las Tres Líneas del IIA.

Parte 1: Visión General

• Definición de IA: Se define IA como sistemas que poseen procesos intelectuales característicos de los humanos, como la capacidad de razonar, descubrir significados y aprender de la experiencia.
• Evolución de la IA: Se explora la historia de la IA desde sus inicios en los años 50 con Alan Turing hasta los avances recientes, incluyendo el aumento en la adopción de modelos de lenguaje grandes como ChatGPT en 2023.
• Niveles de Adopción: Según el índice de adopción global de IA de IBM 2022, el 35% de las empresas reportan usar IA y un 42% están explorando su uso.

Parte 2: Comenzando

• Comprensión del Uso de la IA: Importancia de que los auditores internos entiendan cómo se utiliza la IA en su organización. Esto incluye conversaciones con equipos de gestión y técnicos para evaluar el uso actual y planificado de la IA.
• Datos y Algoritmos: La calidad y gestión de los datos son cruciales, considerando aspectos como integridad, privacidad, confidencialidad, validez, precisión y completitud de los datos utilizados en la IA.

Parte 3: Marco de Auditoría de IA

• Gobernanza: Enfocado en la planificación estratégica de la IA y en la supervisión y monitoreo de sus actividades. Incluye garantizar que las actividades de IA estén alineadas con los valores organizacionales y responsabilidades éticas, sociales y legales.
• Gestión: Abarca la planificación y ejecución de la IA por parte de la organización, incluyendo el establecimiento de objetivos estratégicos y el entorno de control interno necesario para apoyar la IA.
• Auditoría Interna: Describe el papel dual de los auditores internos como asesores y proveedores de aseguramiento. Subraya la importancia de la comprensión de la IA por parte de los auditores para evaluar los riesgos y controles asociados.

Parte 4: Guía para Practicantes y Glosario

• Guía para Practicantes: Incluye listas de verificación y consideraciones prácticas para los auditores internos al evaluar cómo la organización maneja y reporta sobre la IA.
• Glosario: Proporciona definiciones y explicaciones de términos clave relacionados con la IA y su auditoría.

Consideraciones Clave

• Riesgos de la IA: Identificación y gestión de riesgos específicos de la IA, como resultados sesgados, compromiso de la privacidad, falta de transparencia y posibles daños éticos y sociales.
• Controles Internos: Importancia de establecer y evaluar controles internos efectivos para mitigar los riesgos asociados con la IA, incluyendo la ciberseguridad y la gestión de terceros.
• Transparencia y Explicabilidad: Garantizar que los proyectos de IA sean transparentes, explicables, responsables y auditables.

Desafíos para la Auditoría de IA

• Complejidad de la IA: La IA, especialmente los algoritmos, es una disciplina inherentemente compleja y presenta desafíos únicos para los auditores internos.
• Evolución Rápida: La rápida evolución de la IA requiere que los auditores internos actualicen continuamente su conocimiento y habilidades.
• Formación Limitada: Hay oportunidades limitadas de formación para mejorar las habilidades de auditoría relacionadas con la IA, lo que puede requerir la colaboración con recursos técnicos externos para aspectos más complejos.

Perspectivas IMAI

Este marco proporciona una base para que los auditores internos comprendan y aborden los riesgos y controles asociados con la IA, ayudando a las organizaciones a gestionar y supervisar eficazmente sus iniciativas en esta esfera cada vez más generalizada y relevante.

Si usted forma parte de nuestra Membresía, consulte el documento completo, disponible en inglés

Si aún no es miembro del IMAI, inscríbase hoy mismo en Afiliación, lo que le otorga su membresía automática a The IIA y a la amplia gama de recursos técnicos y educativos del IIA y del IMAI durante un año.

Preparándose para la Próxima Ola de Regulaciones de Sostenibilidad

La sostenibilidad se ha convertido en una preocupación crucial para las organizaciones debido a la llegada de nuevas regulaciones de emisión de informes en la materia. Mandatos recientes de la Unión Europea y la Comisión de Valores de Estados Unidos (SEC) exigen que los controles y el cumplimiento de los informes de sostenibilidad sean ahora cuestiones críticas. Este nuevo régimen regulatorio influirá en la forma en que las organizaciones abordan la sostenibilidad y sus metas relacionadas.

Al mismo tiempo, el aumento de la información pública disponible sobre los esfuerzos de sostenibilidad seguirá impulsando las decisiones de inversión en la gestión de activos. Este documento aborda cómo los auditores internos pueden apoyar a sus organizaciones en la gestión de esta nueva ola de regulaciones.

La síntesis del IMAI al documento del IIA se presenta a continuación.

Comprendiendo las Nuevas Regulaciones

Hasta hace poco, los informes de sostenibilidad corporativa eran típicamente voluntarios, permitiendo a las organizaciones elegir qué normas seguir y cómo emitir sus informes en este ámbito. Con más de 500 normas y marcos disponibles, las organizaciones enfrentaban desafíos para determinar cuáles eran los más adecuados. Esto cambiará con la adopción de nuevas regulaciones por parte de la Unión Europea y Estados Unidos, así como las directrices del Consejo de Normas Internacionales de Sostenibilidad (ISSB, por sus siglas en inglés), que proporcionarán una base común esperada para ser adoptada en diversas jurisdicciones.

Regulaciones Clave:

• Directiva de Informes de Sostenibilidad Corporativa (CSRD) de la UE: Efectiva para los informes del año fiscal 2024, incluye normas y estándares ambientales, sociales y de gobernanza, aplicables a grandes empresas y, en versiones simplificadas, a pequeñas y medianas empresas listadas.
• Requisitos de la SEC: Incluyen la divulgación de riesgos relacionados con el clima, la supervisión del Consejo y las emisiones de gases de efecto invernadero de Alcance 1 y 2.
• Leyes de California: Exigen informes sobre emisiones de Alcance 1 y 2 a partir de 2026 y de Alcance 3 desde 2027 para grandes empresas que operan en el estado.
• Directrices del ISSB: Incluyen las normas IFRS S1 y S2, que establecen requisitos generales y específicos para la divulgación de información financiera relacionada con la sostenibilidad.

Comenzando con el Pie Derecho

Las nuevas directrices han simplificado en cierta medida el campo, pero también han añadido complejidad. Según el Benchmark Ejecutivo de Workiva de 2024, el 74% de los ejecutivos creen que cumplir con los requisitos regulatorios será más desafiante en el próximo año. Para abordar esta complejidad, las organizaciones pueden seguir estos pasos:

1. Prepararse para la Complejidad: La recolección de datos es una tarea compleja que requiere recursos especializados en sostenibilidad.
2. Aprovechar Enfoques Existentes: Abordar los informes de sostenibilidad de la misma manera que los informes financieros, aprovechando las fortalezas y debilidades ya conocidas.
3. No Descuidar el Valor: Ver los informes de sostenibilidad no solo como una carga de cumplimiento, sino como una oportunidad para ofrecer una visión integrada del desempeño financiero y de sostenibilidad, lo cual es atractivo para los inversores.

Un Nuevo Enfoque en los Controles

Existe una creciente alineación en la necesidad de aplicar el mismo rigor a los informes no financieros que a los financieros. Sin embargo, hay una brecha significativa entre las opiniones de los ejecutivos y los gerentes sobre cómo se están manejando los informes ESG. Mientras que el 62% de los ejecutivos cree que su empresa aplica la misma diligencia a los informes ESG que a los financieros, solo el 32% de los gerentes está de acuerdo.

Roles Clave de la Auditoría Interna:

• Evaluación y Monitoreo de Controles: La función de auditoría interna debe evaluar y monitorear la efectividad de los controles sobre los informes de sostenibilidad.
• Asesoramiento y Aseguramiento: Ofrecer asesoramiento independiente sobre la efectividad de la gestión de riesgos y el cumplimiento regulatorio en relación con la sostenibilidad.
• Colaboración con la Gestión de Riesgos: Trabajar junto con la gestión de riesgos para identificar amenazas y oportunidades relacionadas con la sostenibilidad.

El Valor de los Auditores Internos

Los auditores internos son valorados por su capacidad para proporcionar advertencias tempranas sobre riesgos y amenazas potenciales. Su participación es crucial para navegar el entorno regulatorio desconocido y evitar sorpresas desagradables durante la ejecución de auditorías externas. Las auditorías internas previas pueden identificar y corregir problemas antes de que sean públicos, preparando mejor a la organización para las revisiones y auditorías externas.

Perspectivas IMAI

De cara al futuro, la auditoría interna debe asegurar que las consideraciones de informes de sostenibilidad se incorporen en sus planes de auditoría. En su rol de asesoría, los auditores internos pueden proporcionar orientación sobre la asignación de recursos y la construcción de controles internos sólidos para los informes de sostenibilidad.

Los auditores internos también pueden ofrecer una perspectiva sobre cómo el Consejo y Órgano de Gobierno recibe la información sobre sostenibilidad, asegurando que los esfuerzos en este ámbito sean reportados adecuadamente.

Guía COSO para la administración del Riesgo de Fraude
Análisis del Resumen Ejecutivo del "Fraud Risk Management Guide" de COSO

La segunda edición de la guía "Fraud Risk Management Guide" elaborada y publicada por COSO en asociación con ACFE, es una herramienta esencial para la gestión del riesgo de fraude en las organizaciones. Publicado originalmente en 2016 y actualizado en 2023, este guía se alinea con el Marco de Control Interno Integrado de COSO de 2013 y con el Marco de Gestión de Riesgos Empresariales (COSO ERM) de 2017, proporcionando un enfoque integral y actualizado para la prevención, detección y gestión del fraude.

A continuación se presenta la síntesis ejecutiva del documento

Principales Componentes y Principios de la Gestión del Riesgo de Fraude

El documento identifica cinco puntos clave para la gestión del riesgo de fraude, que se alinean con los cinco componentes del marco de control interno de COSO y sus 17 principios. Estos puntos clave son:

1. Gobernanza del Riesgo de Fraude:

• Establecimiento de políticas de gobernanza del riesgo de fraude.
• Demostración de compromiso de la alta dirección y del consejo de administración con altos valores de integridad y ética.

2. Evaluación del Riesgo de Fraude:

• Realización de evaluaciones comprensivas del riesgo de fraude.
• Identificación de esquemas y riesgos específicos de fraude, evaluación de su probabilidad y significancia, y evaluación de las actividades de control existentes.

3. Actividades de Control del Fraude:

• Desarrollo y despliegue de actividades preventivas y detectivas de control del fraude para mitigar el riesgo de ocurrencia o no detección oportuna de eventos fraudulentos.

4. Comunicación e Información sobre Fraude:

• Establecimiento de un proceso de comunicación para obtener información sobre posibles fraudes y despliegue de un enfoque coordinado para la investigación y acción correctiva.

5. Monitoreo del Programa de Gestión del Riesgo de Fraude:

• Realización de evaluaciones continuas para asegurar que cada uno de los cinco principios esté presente y funcionando correctamente.
• Comunicación de las deficiencias del programa a las partes responsables para tomar acciones correctivas.

Importancia de la Administración del Riesgo de Fraude

El fraude representa un riesgo significativo para todas las organizaciones, afectando tanto su reputación como su estabilidad financiera. La implementación de un programa de gestión del riesgo de fraude ayuda a:

• Prevenir y detectar fraudes de manera oportuna.
• Mitigar el impacto negativo del fraude en la organización.
• Fortalecer la confianza de las partes interesadas de la organización (accionistas, clientes, empleados, donantes, reguladores, etc.).
• Mejorar la cohesión y el trabajo en equipo dentro de la organización.

Actualizaciones Clave en la Guía de 2023

La edición de 2023 del "Fraud Risk Management Guide" incorpora varias mejoras y expansiones respecto a la edición de 2016:

• Integración de Análisis de Datos: Se ha ampliado la información sobre el uso de análisis de datos para la prevención y detección temprana del fraude.
• Actualización de Terminología: Se ha revisado la terminología para alinearla con las nuevas terminologías de COSO.
• Desarrollo y Ambiente Regulatorio: Se incluye información actualizada sobre desarrollos legales y regulatorios recientes en los EE.UU.
• Nuevas Amenazas de Fraude: Se abordan nuevas amenazas como el fraude cibernético, las criptomonedas y el trabajo remoto.

Roles y Responsabilidades

La gestión del riesgo de fraude requiere la participación activa de diversas partes dentro de la organización:

• Consejo de Administración y Comité de Auditoría: Proporcionan supervisión y dirección general del programa.
• Alta Dirección: Responsable del diseño e implementación del programa, asegurando que se establezcan y mantengan altos estándares de integridad y ética.
• Auditores Internos y Externos: Evalúan la efectividad del programa y realizan auditorías independientes sobre los controles internos.
• Especialistas y Profesionales Externos: Contribuyen con conocimientos especializados en áreas como cumplimiento, investigación, recursos humanos y análisis de datos.

Perspectivas IMAI

Esta Guía proporciona un marco integral y adaptable para administrar el riesgo de fraude, ofreciendo tanto a grandes organizaciones como a entidades más pequeñas las herramientas necesarias para diseñar programas específicos de gestión del riesgo de fraude. La colaboración entre diferentes áreas de la organización y el uso de tecnología avanzada, como el análisis de datos, son clave para el éxito de estos programas.

Para más información y acceso a herramientas adicionales, visite COSO y ACFE.

Perspectivas de COSO sobre Datos Alternativos

El documento "Alternative Data: A COSO Perspective" proporciona una visión integral sobre el uso y la gestión de datos alternativos (altdata) y sus riesgos asociados, aplicando el Marco de Gestión de Riesgos Empresariales (ERM) de COSO. A continuación, se presenta la síntesis preparada por el IMAI sobre los principales aspectos de este estudio.

Introducción a los Datos Alternativos

Definición de Altdata: Los datos alternativos incluyen información sobre una organización disponible fuera de los canales tradicionales de informes financieros y regulatorios. Estos datos pueden provenir de diversas fuentes como correos electrónicos, dispositivos móviles, transacciones con tarjetas de pago, datos de geolocalización, redes sociales, sensores, datos web, dispositivos del Internet de las Cosas (IoT), datos satelitales, información de puntos de venta y programas de recompensas.

Importancia de los Datos Alternativos:

• Crecimiento del Mercado: El mercado de datos alternativos ha crecido significativamente y se espera que alcance un valor de aproximadamente $156.23 mil millones para 2030.
• Utilización y Ventajas Competitivas: Los datos alternativos son utilizados para obtener inteligencia de mercado y ventajas competitivas, permitiendo a las organizaciones desarrollar estrategias de negocio basadas en múltiples puntos de datos disponibles.

Aplicación del Marco ERM de COSO a los Datos Alternativos

El marco ERM de COSO incluye cinco componentes interrelacionados que pueden aplicarse al análisis de altdata:

1. Gobernanza y Cultura:

• Establece el tono de la organización y refuerza la importancia de la gestión de riesgos empresariales.
• Las organizaciones deben alinear sus estructuras de gobernanza para evaluar mejor los riesgos y oportunidades de altdata.

2. Estrategia y Definición de Objetivos

• Incluye la integración de la gestión de riesgos empresariales con la estrategia y la definición de objetivos.
• Las organizaciones deben determinar cómo integrar altdata en sus objetivos estratégicos y desempeño operacional o financiero.

3. Desempeño:

• Identificación y evaluación de riesgos que pueden impactar el logro de objetivos estratégicos y de negocio.
• Las organizaciones deben evaluar los riesgos de altdata a la luz de sus objetivos estratégicos y determinar cómo responder a estos riesgos.

4. Monitoreo y Revisión:

• Considera el funcionamiento de los componentes de gestión de riesgos empresariales a lo largo del tiempo y qué revisiones son necesarias.
• Las organizaciones deben revisar continuamente su perfil de altdata y ajustar su enfoque según sea necesario.

5. Información, Comunicación e Informes:

• Proceso continuo de obtención y compartición de información necesaria tanto de fuentes internas como externas.
• Las organizaciones deben mejorar sus ejercicios de reporte y recopilación de información para desarrollar canales de reporte adecuados para altdata.

Riesgos Asociados con los Datos Alternativos

1. Divulgaciones Involuntarias:

• Las organizaciones pueden incurrir en riesgos cuando no son conscientes de la existencia de altdata que producen y la historia que puede revelar sobre ellas.
• Esto puede llevar a la divulgación involuntaria de información competitiva sensible, objetivos estratégicos, propiedad intelectual o incluso resultados financieros.

2. Informes Inexactos y Brechas de Cumplimiento:

• Si la altdata no se gestiona adecuadamente, puede presentar riesgos de cumplimiento y de informes, exponiendo diferencias entre el conocimiento legalmente imputado y el conocimiento real de la organización.
• La proliferación de altdata sugiere que el volumen de datos de una organización puede ser mayor al que los programas de control interno y análisis de datos actuales están diseñados para evaluar.

3. Falta de Realización de Valor y Oportunidades:

• Las organizaciones pueden no identificar el valor de altdata, impidiendo el objetivo de maximizar el valor para los accionistas.
• Puede ocurrir una falla en la valoración de altdata, lo que podría resultar en la pérdida de oportunidades de monetización o explotación segura de estos activos.

Pasos Específicos de Evaluación y Gestión de Riesgos

1. Evaluación y Mejora de Controles y Procedimientos de Datos:

• Diseñar e implementar políticas para facilitar la identificación y el análisis de altdata.
• Evaluar y reforzar medidas protectoras respecto a altdata mediante principios del marco ERM.

2. Aprovechamiento de Herramientas Analíticas:

• Identificar diferencias entre los datos reportados públicamente y otros datos divulgados intencionalmente o no.
• Reducir la variabilidad entre los resultados del análisis de altdata y los informes externos.

3. Adaptación de Estructuras de Gobernanza:

• Adaptar procesos de gobernanza y gestión de riesgos acordes a la proliferación de altdata.
• Los consejos de administración deben entender la gama de altdata disponible sobre la organización y su uso público, monitorear los controles y las guías de protección para el altdata, e incorporar estrategias frente a posibles iniciativas de desinformación o comportamiento malicioso.

Perspectivas IMAI

La proliferación de altdata presenta tanto oportunidades como riesgos para las organizaciones. El marco ERM de COSO es adecuado para abordar los problemas presentados por altdata, proporcionando la estructura necesaria para la identificación y análisis de altdata dentro de las organizaciones. La gestión efectiva de altdata puede mejorar el desempeño, la competitividad, el cumplimiento y la emisión de informes de las organizaciones.

Para más información sobre el marco ERM de COSO y otros recursos, visite COSO.

Reporte a las Naciones 2024, ACFE

El "Reporte a las Naciones 2024 sobre el Fraude Ocupacional" elaborado por la Asociación de Examinadores de Fraude Certificados (ACFE), contiene la edición número 13 de este estudio exhaustivo sobre los costos y efectos que el fraude tiene en las organizaciones.

Desde la primera edición publicada en 1996, el Reporte ha analizado más de 20,000 casos de fraude ocupacional. El informe 2024 destaca la magnitud y el impacto del fraude, ofreciendo perspectivas sustentadas e informadas que resultan críticas para los cargos de liderazgo empresarial, funcionarios gubernamentales, auditores internos y profesionales antifraude.

A continuación, se presenta una síntesis preparada por el IMAI sobre los principales aspectos de este estudio, con un apartado específico de América Latina y México. Los montos expresados en nuestra síntesis se encuentran en dólares estadounidenses.

Principales Hallazgos

1. Alcance Global del Fraude:

• Casos Analizados: 1,921 casos.
• Países y Territorios: 138.
• Pérdidas Totales: Más de $3.1 mil millones.
• Pérdida Promedio por Caso: $1.7 millones.
• Pérdida Mediana por Caso: $145,000.
• Porcentaje de Ingresos Perdidos por Fraude Anualmente: 5%

2. Tipos de Fraude Ocupacional más comunes a nivel global:

• Malversación de Activos: 89% de los casos, con una pérdida mediana de $120,000.
• Corrupción: 48% de los casos, con una pérdida mediana de $200,000.
• Fraude en los Estados Financieros: 5% de los casos, pero con la mayor pérdida mediana de $766,000.

Nota: (En múltiples instancias, distintos tipos de fraude ocurrieron como parte de un solo caso, por lo que los porcentajes globales rebasan los 100 puntos).

3. Duración de los Esquemas de Fraude:

• La mediana de duración de un esquema de fraude antes de ser detectado es de 12 meses.
• Los fraudes detectados en los primeros seis meses causaron una pérdida mediana de $30,000, mientras que aquellos que duraron más de cinco años causaron una pérdida mediana de $875,000.

4. Métodos de Detección:

• Denuncias de Informantes: 43% de los fraudes se detectan a través de quejas/denuncias (tips), siendo el método más común.
• Auditoría Interna: 14%
• Revisiones a cargo de la Dirección: 13%

5. Controles Anti-Fraude.

La presencia de controles antifraude está asociada con una detección más rápida y pérdidas menores.

Controles Más Comunes:

• Código de Conducta (85%)
• Auditoría Externa de Estados Financieros (84%)
• Departamento de Auditoría Interna (80%)

Efectividad:

Los controles como auditorías sorpresa y análisis de datos proactivos pueden reducir las pérdidas y la duración del fraude en más del 50%.

Características de las Organizaciones Víctimas

1. Tipo de Organización:

• Privadas: 42% de los casos, con una pérdida mediana de $150,000.
• Cotizantes en Bolsas y Gubernamentales: 26% y 17% respectivamente, ambas con una pérdida mediana de $150,000.
• Sin Fines de Lucro: 10% de los casos, con una pérdida mediana de $76,000.

2. Tamaño de la Organización:

• Las organizaciones más grandes (10,000+ empleados) experimentaron la mayor pérdida mediana de $200,000.
• Las pequeñas empresas (<100 empleados) sufrieron una pérdida mediana de $141,000.

3. Industria:

• Banca y Servicios Financieros: La industria más representada con 305 casos y una pérdida mediana de $120,000.
• Manufactura y Comercio al por Mayor: Con pérdidas medianas de $267,000 y $361,000 respectivamente.

Perfiles de los Defraudadores

1. Cargo del Defraudador:

• Empleados: Pérdida mediana de $60,000.
• Propietarios/Ejecutivos: Pérdida mediana de $459,000, más de siete veces mayor que la de los empleados.

Comportamiento:

• El 84% de los defraudadores mostró al menos una señal de alerta comportamental, como vivir más allá de sus medios o tener una actitud excesivamente defensiva y hermética.

3. Antigüedad del Defraudador en la Organización:

• Los fraudes cometidos por empleados con más de 10 años en la organización causaron una pérdida mediana de $250,000.

Impacto de la Pandemia de COVID-19

La pandemia de COVID-19 influyó significativamente en las tendencias de fraude ocupacional:

• Factores Relacionados con la Pandemia: Contribuyeron al 53% de los casos.
• Aumento en las Pérdidas Medianas: Las pérdidas medianas de los fraudes aumentaron un 24% durante la pandemia.

Situación de América Latina y el Caribe, incluido México

Como se ha señalado, el Reporte a las Naciones 2024 de ACFE ofrece una visión integral de los fraudes ocupacionales a nivel mundial, destacando estadísticas específicas para diferentes regiones, incluyendo América Latina y el Caribe. Los puntos más relevantes relacionados con nuestra región son los siguientes:

Principales Esquemas de Fraude

Los fraudes más comunes en América Latina y el Caribe incluyen:

1. Corrupción: El esquema de fraude más prevalente, presente en el 55% de los casos.
2. Facturación Falsa: Representa el 25% de los casos de fraude.
3. Fraude No Monetario: Constituye el 23% de los casos.
4. Robo de Efectivo en Caja: Presente en el 15% de los casos.
5. Manipulación de Cheques y Pagos: Afecta al 11% de las organizaciones.
6. Reembolso de Gastos Falsos: Implica el 9% de los casos de fraude.

Detección de Fraude

Los métodos más comunes para detectar el fraude en la región incluyen:

1. Denuncias (Tips): El 53% de los fraudes se detectan a través de denuncias anónimas.
2. Revisiones Gerenciales: Contribuyen al 15% de las detecciones.
3. Auditorías Internas: Responsables del 11% de los fraudes detectados.
4. Descubrimiento Accidental: Representa el 6% de las detecciones
5. Auditorías Externas: Detectan el 5% de los fraudes.

Controles Antifraude Comunes

Las medidas de control antifraude más frecuentes en América Latina y el Caribe son:

1. Código de Conducta: Implementado en el 90% de las organizaciones.
2. Auditoría Externa de Estados Financieros: Presente en el 85% de los casos.
3. Departamento de Auditoría Interna: Utilizado por el 79% de las organizaciones.
4. Líneas Éticas (Hotlines): Establecidas en el 77% de las empresas.
5. Certificación Gerencial de Estados Financieros: Aplicada en el 76% de las organizaciones.
6. Comités de Auditoría Independientes: Existentes en el 71% de las entidades.

Recuperación de Pérdidas

La efectividad en la recuperación de pérdidas por fraude varía, con los siguientes resultados:

1. Recuperación Parcial: Lograda en el 25% de los casos.
2. Ninguna Recuperación: Ocurre en el 72% de los casos.
3. Recuperación Completa: Solo el 3% de los fraudes en la región resultan en la recuperación total de las pérdidas.

Pérdidas Financieras

El informe también detalla las pérdidas medianas por fraude en la región, con un monto mediano de $250,000 por caso. Además, las pérdidas varían según el nivel de autoridad del perpetrador:

1. Empleados: Pérdida mediana de $30,000.
2. Gerentes: Pérdida mediana de $300,000.
3. Propietarios/Ejecutivos: Pérdida mediana de $675,000.

Distribución de Casos por País

México presenta el mayor número de casos reportados en la región con 29 casos, seguido de Brasil con 11 y Colombia con 7. Otros países como Argentina, Chile y Perú también reportaron varios casos de fraude ocupacional.

Perspectivas IMAI

El "Reporte a las Naciones 2024 sobre el Fraude Ocupacional" proporciona una visión crítica del impacto global del fraude en las organizaciones. Los datos destacan la necesidad de implementar controles internos focalizados y robustos, así como estrategias proactivas de detección y prevención del fraude y la corrupción.

La comprensión de las características y métodos de los defraudadores, así como de los tipos de fraudes más comunes en diferentes industrias, permite a las organizaciones implementar medidas más efectivas para prevenir y mitigar el fraude.

Para el caso de nuestra región, el informe subraya la importancia de implementar controles efectivos y la necesidad de una mayor vigilancia y educación sobre fraude. En América Latina y el Caribe, la corrupción sigue siendo el principal desafío, y aunque existen mecanismos de detección como las líneas éticas de denuncia y las auditorías internas, la recuperación de pérdidas aún es limitada, lo que resalta aún más la necesidad de fortalecer las estrategias de prevención de incidentes, así como de recuperación de las pérdidas.

Este informe es una herramienta esencial para líderes de organizaciones y profesionales antifraude comprometidos con la protección ante las pérdidas financieras y de reputación causadas por estos lesivos fenómenos.

Conozca a detalle los datos completos

Evaluación de Cumplimiento: Guía para Cumplir los Nuevos Requisitos de las Normas Globales de Auditoría Interna

El Instituto Global de Auditores Internos (The IIA) ha publicado una herramienta de evaluación para que los ejecutivos de auditoría interna y sus equipos, midan si están preparados para cumplir con los nuevos requisitos de las Normas Globales de Auditoría Interna, que entrarán en vigor el 9 de enero de 2025.

Este documento ofrece una visión detallada de los cambios significativos y proporciona una guía para implementar estos nuevos estándares y prepararse para las evaluaciones de calidad.

A continuación se presenta la síntesis preparada por el IMAI de esta importante guía.

Principales Cambios en las Normas

1. Honestidad y Coraje Profesional (Estándar 1.1):

• Los auditores internos deben comunicar con veracidad y actuar adecuadamente, incluso en situaciones difíciles.
• El responsable máximo de auditoría (DEA / CAE) debe crear un entorno donde los auditores se sientan respaldados al expresar resultados basados en evidencia.

2. Expectativas Éticas de la Organización (Estándar 1.2):

• Los auditores internos deben informar cualquier comportamiento que no cumpla con las expectativas éticas de la organización según las políticas y procedimientos aplicables.

3. Competencia (Estándar 3.1):

• Los auditores internos deben poseer o desarrollar conocimientos adecuados sobre las Normas Globales de Auditoría Interna y demostrar competencias acorde con su experiencia.

4. Desarrollo Profesional Continuo (Estándar 3.2):

• Los auditores internos certificados deben cumplir con las políticas de educación profesional continua aplicables a sus certificaciones.

5. Escepticismo Profesional (Estándar 4.3):

• Los auditores internos deben ejercer escepticismo profesional al planificar y realizar servicios de auditoría interna, manteniendo una actitud inquisitiva y evaluando críticamente la fiabilidad de la información.

6. Protección de la Información (Estándar 5.2):

• El DEA debe garantizar que la función de auditoría interna y las personas que la asisten cumplan con los requisitos de protección de la información.

7. Relaciones y Comunicación con los Interesados (Estándar 11.1):

• El DEA debe desarrollar un enfoque para construir relaciones y confianza con los interesados clave, incluyendo la junta, la alta dirección, la gestión operativa, los reguladores y otros proveedores de aseguramiento.

8. Medición del Desempeño (Estándar 12.2):

• El DEA debe desarrollar objetivos para evaluar el desempeño de la función de auditoría interna, considerando las expectativas del Consejo y la alta dirección.

9. Comunicación de Resultados (Estándar 15.1):

• La comunicación final debe especificar a las personas responsables de abordar los hallazgos y las fechas previstas para la finalización de las acciones.

Consideraciones para la Implementación

• Evaluación de Competencias: Implementar programas formales de capacitación y revisiones de desempeño para validar las competencias de los auditores internos.
• Desarrollo Profesional: Mantener planes documentados para la educación profesional continua y registros de participación en eventos de formación.
• Protección de Datos: Monitorear el acceso a la información y aplicar controles como encriptación de datos, protección por contraseña y restricciones de acceso físico.
• Comunicación Efectiva: Mantener una comunicación continua y colaborativa entre la función de auditoría interna y la gestión durante todas las etapas de un compromiso
• Planificación y Evaluación: Documentar planes de auditoría internos, estrategias y metodologías, y realizar evaluaciones periódicas para mejorar la eficiencia y efectividad.

Ejemplos de Evidencia de Cumplimiento

• Evaluaciones de Desempeño: Incluir objetivos relacionados con la honestidad y el coraje profesional.
• Documentación Ética: Demostrar que las cuestiones éticas se comunicaron al Consejo y la alta dirección.
• Registros de Formación: Documentar la finalización de programas de educación profesional continua y certificaciones obtenidas.
• Comunicación Documentada: Mantener registros de las comunicaciones durante los trabajos de auditoría, incluyendo objetivos, alcance y limitaciones de alcance.
• Evaluaciones de Calidad: Resultados de autoevaluaciones y evaluaciones externas que incluyan la efectividad de las metodologías de la función de auditoría interna.

Perspectivas IMAI

La herramienta de evaluación del nivel de preparación para el cumplimiento, elaborada por The IIA, es esencial para que los ejecutivos de Auditoría Interna y sus equipos comprendan y se alineen con los nuevos requisitos de las Normas Globales de Auditoría Interna de 2024.

Al seguir las directrices y considerar las recomendaciones de implementación, las organizaciones pueden mejorar significativamente su capacidad para cumplir con las Normas Globales y demostrar su compromiso con la integridad, la transparencia y la excelencia en la auditoría interna.

Lo alentamos a conocer a detalle los datos completos de esta esencial herramienta de implementación que le ayudará a elevar su práctica profesional.

Si usted forma parte de nuestra Membresía, consulte el documento completo disponible en inglés.

Si aún no es miembro del IMAI, no espere más. Inscríbase hoy mismo.

Auditoría Interna y Fraude: Evaluando la Gobernanza y la Administración de Riesgos de Fraude en las Organizaciones, 2024

La Auditoría Interna juega un papel crucial en la identificación, prevención y mitigación del fraude y la corrupción dentro de las organizaciones.

La tercera edición de la guía "Internal Auditing and Fraud: Assessing Fraud Risk Governance and Management at the Organizational Level", publicada por The IIA, proporciona directrices actualizadas y detalladas para que los auditores internos puedan evaluar y gestionar el riesgo de fraude de manera efectiva.

A continuación, el IMAI presenta una síntesis de esta relevante Guía, destacando las mejores prácticas y los marcos de referencia recomendados para la gestión del riesgo de fraude.

Principales Cambios en las Normas

1. Ética y Valor Profesional:

• Los auditores internos deben comunicar con veracidad y actuar apropiadamente, incluso en situaciones difíciles, para mantener la integridad y credibilidad de la función de auditoría interna.

2. Competencia y Desarrollo Profesional:

• Los auditores internos deben poseer o desarrollar conocimientos adecuados sobre las Normas Globales de Auditoría Interna y demostrar competencias en riesgos generalizados como el fraude.
• Los auditores internos certificados deben cumplir con las políticas de educación profesional continua aplicables a sus certificaciones, para mantenerse actualizados sobre los esquemas, tendencias y mejores prácticas en materia de combate al fraude.

3. Escepticismo Profesional:

• Es esencial que los auditores internos mantengan una actitud inquisitiva y evalúen críticamente la fiabilidad de la información durante la planificación y ejecución de los servicios de auditoría interna.

4. Protección de la Información:

• El DEA debe asegurar que la función de auditoría interna cumpla con los requisitos de protección de la información, implementando controles adecuados como la encriptación de datos y restricciones de acceso.

Marcos de Referencia para la Gestión del Riesgo de Fraude

Modelo de las Tres Líneas:

• Este modelo enfatiza la importancia de la colaboración y la clara definición de roles dentro de la organización para asegurar una gobernanza coherente para enfrentar el riesgo de fraude.

Marco COSO para la Gestión del Riesgo de Fraude:

• Entorno de Control: Establecer y comunicar un programa de gestión del riesgo de fraude que demuestre el compromiso de la alta dirección con la integridad y los valores éticos.
• Evaluación del Riesgo: Realizar evaluaciones integrales del riesgo de fraude para identificar esquemas específicos y evaluar su probabilidad e impacto.
• Actividades de Control: Desarrollar y desplegar actividades de control preventivo y detectivo para mitigar el riesgo de fraude
• Información y Comunicación: Implementar un proceso de comunicación eficaz para obtener información sobre posibles fraudes y coordinar las acciones de investigación y correctivas.
• Monitoreo: Realizar evaluaciones continuas para asegurar que cada uno de los principios de administración del riesgo de fraude esté presente y funciona correctamente.

Roles y Responsabilidades

Consejo y Comité de Auditoría:

• El Consejo es responsable de la gobernanza efectiva del riesgo de fraude y debe establecer un tono ético desde la cima; es decir, ser ejemplo de integridad y demostrar con sus acciones el respaldo que da al profesionalismo, el control y la ética en la organización. El comité de auditoría puede también desempeñar un papel crucial en la supervisión de la función de auditoría interna y en la evaluación de las actividades antifraude.

Administración:

• La Administración (directores, subdirectores y demás cargos directivos) tiene la responsabilidad primaria de implementar y monitorear los procesos y controles internos para prevenir, detectar y responder al fraude. Esto incluye la evaluación de la vulnerabilidad de la entidad a actividades fraudulentas y la implementación de políticas y procedimientos antifraude.

Auditoría Interna:

• La función de auditoría interna proporciona aseguramiento al Consejo y a la Alta Dirección sobre la efectividad de la gestión del riesgo de fraude. Esto incluye la evaluación de la coherencia de las actividades de administración del riesgo de fraude y su alineación con la estrategia organizacional.

Evaluación del Programa de Gestión del Riesgo de Fraude

Proceso de Evaluación de la Auditoría Interna:

1. Identificación del Riesgo: Utilizar listas de verificación, entrevistas y análisis de datos para identificar potenciales riesgos de fraude.
2. Evaluación del Impacto del Riesgo: Evaluar la severidad de los riesgos de fraude mediante la aplicación de criterios adecuados.
3. Priorización de los Riesgos: Analizar y evaluar los riesgos de fraude y priorizarlos según su impacto en los objetivos organizacionales.
4. Implementación de Respuestas al Riesgo: Revisar las respuestas organizacionales a los riesgos de fraude, y mapear los procesos y controles existentes.
5. Visión General del Portafolio: Considerar las interrelaciones entre los riesgos de fraude y otros riesgos contenidos en el inventario de riesgos de la organización, para diagnosticar de manera efectiva el posible impacto.

Perspectivas IMAI

La tercera edición de la guía del IIA sobre la auditoría interna y el fraude, proporciona un marco detallado y actualizado para que los auditores internos evalúen y gestionen el riesgo de fraude. La implementación de estas directrices y mejores prácticas no solo ayuda a prevenir y detectar el fraude, sino que también fortalece la confianza en la gobernanza organizacional y mejora la resiliencia frente a estos riesgos generalizados y nocivos. Al adoptar un enfoque proactivo y colaborativo, las organizaciones pueden mitigar efectivamente los riesgos de fraude y asegurar la sostenibilidad a largo plazo.

Animamos a nuestros miembros a que descarguen la guía completa para obtener toda la información, consejos, y el paso a paso para mejorar sus conocimientos, competencias y práctica profesional en este ámbito fundamental de la auditoría interna y el aseguramiento.

Si aún no es parte de la membresía del IMAI (lo que le da acceso automático a los recursos exclusivos de The IIA y de nuestro Instituto durante un año completo), inscríbase hoy mismo.

La Gestión de Riesgos de Cumplimiento - Aplicando el Marco COSO ERM

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) ha desarrollado un marco integral para la gestión de riesgos empresariales (ERM) que también puede ser aplicado a la gestión de riesgos de cumplimiento. Este guía ofrece una visión detallada de cómo las organizaciones pueden integrar los principios del marco COSO ERM en sus programas de cumplimiento y ética (C&E) para gestionar eficazmente los riesgos de cumplimiento.

A continuación se presenta la síntesis preparada por el IMAI a este relevante documento técnico.

Importancia de la Gestión de Riesgos de Cumplimiento

Los riesgos de cumplimiento son comunes y frecuentemente cruciales para el logro de los objetivos de una organización. Un programa de cumplimiento y ética eficaz ayuda a prevenir y detectar oportunamente el incumplimiento y otras irregularidades. Integrar estos programas con el marco COSO ERM crea una herramienta poderosa que mejora el desempeño y la gobernanza organizacional.

Definición de Riesgos de Cumplimiento

De acuerdo con COSO, el riesgo se define como la posibilidad de que ocurran eventos que afecten la consecución de la estrategia y los objetivos de la organización. Los riesgos de cumplimiento incluyen posibles violaciones de leyes, regulaciones, términos contractuales, normativas o políticas internas, que podrían resultar en responsabilidades financieras, sanciones civiles o penales, o efectos negativos para la organización y su personal.

Componentes del Marco COSO ERM

El marco COSO ERM comprende cinco componentes interrelacionados que son fundamentales para la gestión de riesgos de cumplimiento:

1. Gobernanza y Cultura:

• Supervisión del riesgo por parte del consejo.
• Establecimiento de estructuras operativas.
• Definición de la cultura deseada.
• Compromiso con los valores fundamentales.
• Atracción, desarrollo y retención de individuos capaces.

2. Estrategia y Establecimiento de Objetivos:

• Análisis del contexto empresarial.
• Definición del apetito de riesgo.
• Evaluación de estrategias alternativas.
• Formulación de objetivos de negocio.

3. Desempeño:

• Identificación del riesgo.
• Evaluación de la severidad del riesgo.
• Priorización de riesgos.
• Implementación de respuestas al riesgo.
• Desarrollo de una visión de portafolio

4. Revisión y Revisión:

• Evaluación de cambios sustanciales.
• Revisión del riesgo y desempeño.
• Búsqueda de mejoras en la gestión de riesgos empresariales.

5. Información, Comunicación y Reporte:

• Aprovechamiento de la información y la tecnología.
• Comunicación de la información sobre riesgos.
• Reporte sobre el riesgo, la cultura y el desempeño.

Aplicación del Marco COSO ERM a la Gestión de Riesgos de Cumplimiento

1. Gobernanza y Cultura para los Riesgos de Cumplimiento:

• Supervisión del Consejo: El consejo de administración es responsable de la supervisión del programa de cumplimiento y ética. La comunicación directa y regular entre el Director de Cumplimiento y el consejo es crucial.
• Establecimiento de Estructuras Operativas: La función de cumplimiento debe estar liderada por un director de cumplimiento con la autoridad y los recursos necesarios para gestionar eficazmente el programa.
• Definición de la Cultura Deseada: La cultura de la organización debe reflejar un compromiso con el cumplimiento y la ética, comunicada a través del código de conducta y otras políticas clave.
• Compromiso con los Valores Fundamentales: La organización debe demostrar su compromiso con los valores fundamentales y asegurarse de que todos los empleados entiendan y sigan estos principios.
• Atracción y Desarrollo de Individuos Capaces: Es esencial atraer, desarrollar y retener personal con la experiencia y las competencias necesarias para apoyar el programa de cumplimiento.

2. Estrategia y Establecimiento de Objetivos para los Riesgos de Cumplimiento:

• Análisis del Contexto Empresarial: Es fundamental entender el contexto en el que opera la organización para identificar y gestionar los riesgos de cumplimiento de manera efectiva.
• Definición del Apetito de Riesgo: El consejo y la alta dirección deben definir el nivel de riesgo que están dispuestos a aceptar en la búsqueda de sus objetivos de negocio.
• Evaluación de Estrategias Alternativas: La función de cumplimiento debe participar en las discusiones estratégicas para evaluar los riesgos de cumplimiento asociados con diferentes estrategias.
• Formulación de Objetivos de Negocio: Los objetivos de negocio deben tener en cuenta los riesgos de cumplimiento y asegurar que las metas de la organización no incentiven comportamientos no éticos o de incumplimiento.

3. Desempeño en la Gestión de Riesgos de Cumplimiento:

• Identificación del Riesgo: Utilizar procesos sistemáticos para identificar los riesgos de cumplimiento en toda la organización.
• Evaluación de la Severidad del Riesgo: Evaluar la probabilidad y el impacto de los riesgos de cumplimiento para priorizarlos adecuadamente.
• Priorización de Riesgos: Establecer un orden de prioridad para los riesgos de cumplimiento basándose en su evaluación de severidad.
• Implementación de Respuestas al Riesgo: Desarrollar e implementar controles para mitigar los riesgos de cumplimiento.
• Desarrollo de una Visión de Portafolio: Integrar la gestión de riesgos de cumplimiento con otros riesgos organizacionales para obtener una visión holística del riesgo.

4. Revisión y Revisión para los Riesgos de Cumplimiento:

• Evaluación de Cambios Sustanciales: Revisar y ajustar el programa de cumplimiento ante cambios significativos en el entorno de riesgos.
• Revisión del Riesgo y Desempeño: Realizar revisiones periódicas del desempeño del programa de cumplimiento y de la gestión de riesgos.
• Búsqueda de Mejoras: Identificar oportunidades para mejorar continuamente la gestión de riesgos de cumplimiento.

5. Información, Comunicación y Reporte:

• Aprovechamiento de la Información y la Tecnología: Utilizar la tecnología para mejorar la recopilación y análisis de datos sobre riesgos de cumplimiento.
• Comunicación de la Información sobre Riesgos: Establecer canales de comunicación eficaces para informar sobre riesgos de cumplimiento.
• Reporte sobre el Riesgo, la Cultura y el Desempeño: Mantener a la alta dirección y al consejo informados sobre el estado del programa de cumplimiento y los riesgos asociados.

Perspectivas IMAI

Integrar el marco COSO ERM en la gestión de riesgos de cumplimiento permite a las organizaciones abordar de manera efectiva los desafíos del cumplimiento y mejorar su capacidad para lograr sus objetivos estratégicos y operativos.

Un enfoque integral y coordinado en la gestión de riesgos no solo fortalece la gobernanza, sino que también promueve una cultura de cumplimiento y ética, asegurando la sostenibilidad a largo plazo de la organización.

Le animamos a conocer y estudiar la guía completa elaborada por COSO y obtener así toda la información, consejos, y el paso a paso para mejorar sus conocimientos, competencias y práctica profesional en este ámbito fundamental del aseguramiento y el control interno

El Rol de la Auditoría Interna en la Protección de Datos y de la Privacidad

En la era digital, prácticamente todas las organizaciones, ya sean corporativas o sin fines de lucro, se enfrentan a un entorno regulatorio cada vez más complejo y en constante cambio en lo que respecta a la protección de datos y la privacidad. Esta guía desarrollada por The IIA en asociación con Crowe, proporciona una visión integral sobre el modo en que la Auditoría Interna juega un papel crucial en el establecimiento de un marco resiliente para abordar estos desafíos.

A continuación se presenta la guía del IMAI a este documento técnico.

Crecimiento Histórico de los Problemas de Privacidad y Protección de Datos

Con el avance de la tecnología, la preocupación por la privacidad y la protección de datos ha crecido exponencialmente. En 1995, la experiencia de Internet se limitaba a modems de 28.8K, mientras que hoy en día el almacenamiento global de datos ha superado los 16 zettabytes y se espera que alcance los 163 ZB para 2025. Este aumento exponencial de datos ha planteado nuevas preguntas sobre la propiedad y el uso de la información personal.

Definición del Problema y los Términos

La "protección de datos" se refiere a las medidas técnicas y organizativas para salvaguardar los datos contra el acceso no autorizado. La "privacidad", por otro lado, es el derecho del individuo a controlar cómo se recopila y utiliza su información personal. Un concepto crucial es que la privacidad no puede existir sin seguridad, pero la seguridad puede existir sin privacidad, lo que resalta la necesidad de abordar ambos aspectos conjuntamente.

Regulación y Cumplimiento

Evolución del Entorno Regulatorio

Desde los años 70, varios países han implementado leyes para proteger la información personal. Ejemplos incluyen la Ley de Protección de Datos de la UE de 1995 y su sucesora, el Reglamento General de Protección de Datos (GDPR) de 2018, que establece estrictas normas sobre cómo las organizaciones deben manejar los datos personales de los ciudadanos de la UE.

Desarrollos Globales

Además de la GDPR, otras regiones están implementando regulaciones similares. Brasil, por ejemplo, adoptó una nueva Ley General de Protección de Datos en 2018, y en Asia, países como India y China están desarrollando sus propios marcos regulatorios.

Regímenes de Protección de Datos en EE.UU.

En Estados Unidos, aunque la regulación es más fragmentada, la Ley de Privacidad del Consumidor de California (CCPA) de 2018 ha establecido un nuevo estándar, similar en muchos aspectos a la GDPR. Sin embargo, las diferencias en la definición de "información personal" y las obligaciones de las organizaciones indican que no es una réplica exacta de la GDPR.

Riesgos Más Allá del Cumplimiento

Las organizaciones no solo enfrentan riesgos financieros y de cumplimiento, sino también riesgos reputacionales y operativos. Las violaciones de datos pueden dañar severamente la reputación de una organización y afectar su continuidad operativa.

Problemas de Protección de Datos para la Auditoría Interna

Perspectivas de los Auditores Internos

Encuestas recientes han destacado que la ciberseguridad y la protección de datos son las principales preocupaciones para los profesionales de la auditoría interna en Europa y EE.UU. Estos problemas no solo representan riesgos significativos, sino también oportunidades para que la auditoría interna añada valor a la organización.

Intersección entre la Auditoría Interna y la Protección de Datos

La auditoría interna debe ser resiliente y adaptable para abordar los riesgos de privacidad y protección de datos. Adoptar un enfoque proactivo puede ayudar a las organizaciones a anticipar y mitigar estos riesgos de manera más eficaz.

Los 10 Principios de Privacidad Generalmente Aceptados (GAPP, por sus siglas en inglés)

Estos principios, desarrollados por el AICPA, proporcionan un marco genérico sobre el cual las organizaciones pueden construir programas de privacidad y protección de datos robustos. Incluyen elementos como la gestión, la notificación, la elección y el consentimiento, la recolección, el uso, la retención y eliminación de datos, el acceso, la divulgación a terceros, la seguridad, la calidad, y el monitoreo y cumplimiento.

Implementación del Marco y Auditoría del Cumplimiento

Metodología de Implementación y Auditoría

Para implementar un programa de protección de datos, las organizaciones deben seguir varios pasos:

1. Identificar un marco de privacidad relevante.
2. Evaluar los riesgos relacionados con la privacidad de la organización.
3. Desarrollar un plan de auditoría basado en la evaluación de riesgos.
4. Ejecutar el plan de auditoría y comunicar los resultados.
5. Monitorear la implementación de las acciones correctivas.

Estudio de Caso: Aplicación del Marco de Privacidad

Un caso práctico destaca cómo una empresa combinó datos de ventas con otros datos relevantes para identificar y mitigar los riesgos de privacidad durante una adquisición. La auditoría interna jugó un papel crucial en este proceso, proporcionando un plan claro para abordar los elementos críticos y comunicando los riesgos y medidas correctivas a la junta directiva.

Perspectivas IMAI

A medida que el entorno regulatorio y tecnológico continúa evolucionando, las organizaciones y los departamentos de auditoría interna deben ser capaces de adaptarse rápidamente a los cambios en las expectativas de las partes interesadas. Este tipo de investigaciones son relevantes para evaluar el modo en que la profesión de Auditoría Interna está respondiendo a estos desafíos.

Este documento proporciona un marco y una metodología de implementación que pueden ayudar a los departamentos de auditoría interna a desarrollar y mejorar sus respuestas a los problemas críticos de privacidad y protección de datos.

Conozca la guía completa y acceda a toda la información, consejos, y el paso a paso para mejorar sus conocimientos, competencias y práctica profesional en este relevante ámbito de la Auditoría Interna.

Si aún no es parte de la membresía del IMAI (lo que le da acceso automático a los recursos exclusivos de The IIA y de nuestro Instituto durante un año completo), inscríbase hoy mismo.

Análisis de Datos: Perspectivas y Consideraciones Globales

Debido a un entorno global complejo, así como a las crecientes expectativas de las partes interesadas, los líderes de las organizaciones centran cada vez más su atención en el análisis de datos (Data Analytics) para monitorear los riesgos e impulsar decisiones estratégicas. Si bien la Auditoría Interna de manera inherente agrega valor a las organizaciones, ya que ofrece perspectivas y conocimientos especializados con visión de futuro, una estrategia de datos adecuada potenciar sus contribuciones.

Este documento de Perspectivas y Consideraciones Globales combina tres informes elaborados por The IIA sobre el creciente uso de Data Analytics en las organizaciones y el lugar que ocupa la Auditoría Interna en este ámbito. Con una comprensión adecuada de las necesidades y estrategias de datos de la organización, la Auditoría Interna puede presentar un plan de auditoría de análisis de datos que sea detallado, claro y que ilustre al Consejo un retorno tangible de la inversión. Los tres informes son:

PARTE 1: Alfabetización, gobernanza y gestión

PARTE 2: Recopilación, análisis y visualización de datos

PARTE 3: Desarrollo de una estrategia de análisis de datos resiliente

A continuación se presenta la síntesis elaborada por el IMAI a este importante informe técnico.

La Transformación de la Auditoría Interna a través de la Analítica de Datos

La auditoría interna ha sido, históricamente, una función esencial para garantizar la integridad operativa, el control de riesgos y el cumplimiento normativo en las organizaciones. Sin embargo, en la actualidad, el entorno empresarial está experimentando una transformación sin precedentes impulsada por la creciente digitalización y el uso de tecnologías avanzadas. En este contexto, la analítica de datos ha emergido como una herramienta crucial para fortalecer el rol de la auditoría interna. Este ensayo examina cómo la implementación de la analítica de datos está redefiniendo el panorama de la auditoría interna, basándose en el marco propuesto por el Instituto de Auditores Internos (IIA), que cubre aspectos clave como la alfabetización en datos, la gobernanza, la recolección y validación de datos, y el desarrollo de estrategias resilientes.

La alfabetización en datos: el primer paso hacia la transformación

En un mundo donde la información fluye a una velocidad sin precedentes, la capacidad de interpretar y manejar los datos se ha convertido en una competencia esencial para los auditores internos. La alfabetización en datos no se limita a la mera comprensión de qué son los datos, sino que también implica la habilidad para identificar qué conjuntos de datos son relevantes y cómo pueden utilizarse para generar valor dentro de una organización.

El documento técnico del IIA resalta que los datos pueden clasificarse de diversas formas: estructurados, no estructurados, big data, datos en tiempo real, datos oscuros, entre otros. Cada tipo de datos tiene sus características y complejidades. Por ejemplo, los datos estructurados son aquellos que siguen un formato específico, como tablas o bases de datos, mientras que los no estructurados incluyen fuentes de datos más caóticas, como las redes sociales o correos electrónicos. La correcta identificación de los datos más útiles es el primer paso en la construcción de un enfoque efectivo de auditoría.

Además, la alfabetización en datos también abarca la capacidad de analizar estos conjuntos de datos para identificar tendencias y patrones que podrían pasar desapercibidos a simple vista. Aquí es donde la analítica predictiva y la analítica prescriptiva juegan un papel fundamental. Mientras que la analítica predictiva utiliza datos históricos para predecir eventos futuros, la analítica prescriptiva ofrece recomendaciones basadas en esos escenarios, lo que permite a las organizaciones tomar decisiones informadas y proactivas.

Gobernanza de datos: el cimiento de la confianza organizacional

Si bien la alfabetización en datos es esencial, no puede existir de manera efectiva sin una sólida gobernanza de datos. La gobernanza implica definir reglas claras sobre cómo los datos son gestionados, protegidos y utilizados dentro de una organización. Un aspecto clave que destaca el IIA es que la gobernanza de datos debe alinearse con los objetivos estratégicos y normativos de la empresa, especialmente en un entorno donde las leyes de privacidad de datos se han vuelto más estrictas y complejas.

El Reglamento General de Protección de Datos (GDPR) de la Unión Europea es uno de los marcos regulatorios más influyentes en esta área, y ha establecido estándares globales para la protección de datos personales. Para las empresas que operan en múltiples jurisdicciones, el cumplimiento de regulaciones como el GDPR y otras leyes locales de protección de datos se ha convertido en un desafío considerable. A medida que más países adoptan sus propias regulaciones, las organizaciones deben establecer sistemas que aseguren que los datos se manejan de acuerdo con los requisitos legales de cada territorio.

La gestión del almacenamiento de datos es otro aspecto fundamental dentro de la gobernanza de datos. Ya no basta con simplemente almacenar información; es necesario entender dónde están los datos, quién tiene acceso a ellos y cómo se protegen contra posibles amenazas de seguridad. La colaboración entre los equipos de auditoría interna y los Oficiales Jefes de Datos (CDO) o los equipos de TI es esencial para garantizar que los sistemas de protección de datos estén alineados con las mejores prácticas de seguridad y las normativas internacionales.

Recopilación y validación de datos: los pilares de la integridad de la auditoría

Una vez que se ha establecido una estructura adecuada de gobernanza de datos, el siguiente paso es la recopilación y validación de la información. Aquí es donde las tecnologías avanzadas como la automatización robótica de procesos (RPA), la inteligencia artificial (IA) y las herramientas de visualización de datos pueden hacer una diferencia significativa en la forma en que los auditores recopilan y presentan la información.

Tradicionalmente, la auditoría interna implicaba la recopilación manual de datos, lo que no solo era ineficiente, sino que también aumentaba el riesgo de errores humanos. Con el avance de la automatización y la IA, los auditores ahora pueden acceder a grandes volúmenes de datos de manera rápida y precisa, lo que mejora la eficiencia operativa y permite un análisis más profundo y detallado. Un aspecto importante en este proceso es la validación de los datos. La validación asegura que la información utilizada sea precisa, completa y confiable, evitando así que las auditorías se basen en datos incorrectos o manipulados.

El uso de diagramas de flujo de datos es un ejemplo práctico de cómo los auditores pueden rastrear la trayectoria de los datos a lo largo de un sistema, identificar puntos críticos de riesgo y garantizar que la información utilizada para la toma de decisiones sea exacta. Esto es especialmente útil cuando los datos provienen de múltiples fuentes o sistemas, donde el riesgo de error es mayor.

Visualización de datos: contar historias a través de la información

En la auditoría interna, el valor de los datos no reside solo en la capacidad de recopilarlos, sino en la habilidad de contar historias con ellos. La visualización de datos convierte información compleja en gráficos y representaciones visuales que permiten a los auditores comunicar sus hallazgos de manera más efectiva a una variedad de audiencias, desde la alta dirección hasta los equipos operativos.

El uso de tableros de control interactivos, como los creados con herramientas como Power BI o Tableau, permite a los auditores mostrar el estado de los controles, identificar riesgos emergentes y proporcionar un panorama claro y comprensible de los resultados de las auditorías. Esto facilita no solo la toma de decisiones por parte de los ejecutivos, sino también la identificación de áreas de mejora y la implementación de medidas correctivas de manera oportuna.

Un aspecto clave de la visualización de datos es la capacidad de adaptar el mensaje a la audiencia. Un informe para el comité de auditoría puede ser mucho más conciso y centrarse en los hallazgos clave, mientras que una presentación para el equipo operativo puede incluir más detalles y un análisis más profundo. El arte de la narración con datos no solo mejora la comunicación de los resultados de la auditoría, sino que también ayuda a construir una relación de confianza entre los auditores y las partes interesadas.

Desarrollo de una estrategia resiliente de analítica de datos

La implementación exitosa de la analítica de datos en la auditoría interna no es un esfuerzo de una sola vez, sino que requiere una estrategia resiliente que permita a la organización adaptarse a los cambios tecnológicos y normativos a lo largo del tiempo. Esta estrategia debe estar alineada con los objetivos generales de la organización, pero también debe tener en cuenta las necesidades específicas del equipo de auditoría interna.

Un aspecto central de esta estrategia es la gestión del cambio dentro del equipo de auditoría. La resistencia al cambio es uno de los principales obstáculos que enfrentan las organizaciones al intentar adoptar nuevas tecnologías. Es fundamental que los líderes de auditoría gestionen esta resistencia promoviendo una cultura de innovación y destacando los beneficios tangibles que la analítica de datos puede ofrecer. Esto incluye la mejora en la detección de fraudes, el aumento de la eficiencia en los procesos de auditoría y la capacidad de realizar auditorías más complejas con el mismo equipo.

El desarrollo de capacidades dentro del equipo de auditoría también es crucial. A medida que las tecnologías avanzadas se vuelven más accesibles, es importante que los auditores adquieran las habilidades necesarias para utilizarlas de manera efectiva. Esto incluye desde la comprensión de herramientas de visualización de datos hasta el uso de modelos de aprendizaje automático y técnicas avanzadas de analítica.

Perspectivas IMAI

En resumen, la analítica de datos no es solo una herramienta útil para la auditoría interna, sino que es una necesidad en el entorno empresarial moderno. Las organizaciones que adopten estas tecnologías estarán mejor posicionadas para gestionar riesgos, cumplir con regulaciones y tomar decisiones informadas que impulsen su éxito. Al mismo tiempo, los auditores internos que dominen estas habilidades se convertirán en socios estratégicos dentro de sus organizaciones, capaces de agregar valor más allá de la mera evaluación del cumplimiento.

La auditoría interna, tradicionalmente vista como una función de control, está evolucionando hacia un rol de liderazgo estratégico en la toma de decisiones. Aquellos auditores que puedan aprovechar el poder de los datos para anticipar problemas, identificar oportunidades y ofrecer recomendaciones basadas en un análisis riguroso estarán en la vanguardia de esta transformación. En un futuro impulsado por los datos, la capacidad de adaptarse y evolucionar con las herramientas tecnológicas definirá el éxito de la auditoría interna y de las organizaciones en su conjunto.

Conozca la guía completa y acceda a toda la información, consejos, y el paso a paso para mejorar sus conocimientos, competencias y práctica profesional en este relevante ámbito de la Auditoría Interna.

Si aún no es parte de la membresía del IMAI (lo que le da acceso automático a los recursos exclusivos de The IIA y de nuestro Instituto durante un año completo, entre muchos otros beneficios), inscríbase hoy mismo

Ciberseguridad: Perspectivas y Consideraciones Globales

La ciberseguridad representa una amenaza importante para las organizaciones de cualquier tamaño y sector. De hecho, una encuesta global reciente de líderes de auditoría interna realizada por The Internal Audit Foundation concluyó que se clasifica como el riesgo principal en todas las regiones del mundo. La auditoría interna es muy adecuada para desempeñar un papel clave en la gestión de los riesgos cibernéticos, pero debe contar con los recursos que necesita para cumplir esa función.

Aunque los profesionales de auditoría interna hacen avances para mejorar los servicios en esta área de riesgo en constante evolución, surgen nuevos desafíos. Esta serie de tres partes sobre ciberseguridad, patrocinada por AuditBoard, explora ámbitos fundamentales como:

• Dotación de personal y desarrollo para la próxima generación
• Inteligencia artificial: amiga y enemiga de la ciberseguridad
• Gestión de riesgos de terceros en materia de ciberseguridad

A continuación se presenta la síntesis elaborada por el IMAI a esta guía de The IIA.

La Ciberseguridad en la Auditoría Interna: Un Pilar Estratégico para la Gestión de Riesgos

En el contexto empresarial contemporáneo, donde la digitalización avanza rápidamente y los ciberataques se han convertido en una amenaza constante, la ciberseguridad ha emergido como uno de los mayores retos para las organizaciones. La creciente complejidad del entorno tecnológico y la sofisticación de los ataques cibernéticos han situado a la auditoría interna en una posición clave para garantizar la seguridad y la resiliencia de las empresas. El documento "Global Perspectives and Insights: Cybersecurity" del Instituto de Auditores Internos (IIA) ofrece una visión detallada sobre cómo los auditores internos pueden abordar los riesgos cibernéticos mediante la incorporación de estrategias avanzadas de gestión de riesgos, desarrollo de talento y adopción de tecnologías emergentes como la inteligencia artificial (IA). Este ensayo ampliado examina en profundidad estos temas, destacando la importancia de la auditoría interna en la salvaguardia de los activos digitales de las organizaciones.

El Auge de los Ciberataques: Una Realidad Ineludible

La ciberseguridad ya no es una preocupación exclusiva de los departamentos de TI; se ha convertido en una cuestión estratégica que afecta a todos los niveles de la organización. Los ataques cibernéticos no solo tienen el potencial de causar pérdidas financieras significativas, sino que también pueden dañar la reputación de una empresa, interrumpir las operaciones y comprometer la confianza de los clientes y socios comerciales. Ejemplos recientes, como el ataque de ransomware a una importante empresa de telecomunicaciones en Chile o la interrupción de servicios en la cadena de suministros de Ace Hardware, son recordatorios del alcance destructivo de estas amenazas.

Uno de los aspectos más preocupantes que menciona el documento es el impacto de los ataques de ransomware, los cuales han aumentado drásticamente en los últimos años. Este tipo de ataques bloquea el acceso a los sistemas de una organización hasta que se paga un rescate, lo que puede paralizar la operatividad y generar importantes pérdidas. Además, el simple hecho de sufrir un ataque cibernético implica costos adicionales en términos de investigaciones forenses, reparaciones de los sistemas afectados y la necesidad de cumplir con normativas que exigen la divulgación pública de incidentes de seguridad.

El Rol Estratégico de la Auditoría Interna en la Ciberseguridad

La auditoría interna ha evolucionado para convertirse en un socio estratégico en la gestión de riesgos cibernéticos. Lejos de ser una función de control tradicional, la auditoría interna ahora debe adoptar un enfoque proactivo y preventivo frente a los ciberataques. El documento del IIA subraya que los equipos de auditoría interna no solo deben evaluar los controles existentes, sino también anticipar posibles vulnerabilidades futuras y proporcionar recomendaciones que refuercen la postura de seguridad de la organización.

Para llevar a cabo esta labor de manera efectiva, los auditores internos deben adoptar un enfoque basado en riesgos, centrándose en las áreas más críticas de la organización. El documento destaca que, en América del Norte, el 78% de los líderes de auditoría interna considera que la ciberseguridad es un riesgo alto o muy alto. Esto implica que la auditoría interna debe dedicar una porción significativa de sus planes de auditoría a la evaluación de los riesgos cibernéticos, garantizando que se revisen continuamente las áreas de mayor vulnerabilidad, como los sistemas de TI, la protección de datos personales y las relaciones con terceros.

La Gestión del Talento: Un Desafío Clave

Uno de los principales desafíos que enfrentan las organizaciones en la lucha contra los ciberataques es la escasez de talento especializado en ciberseguridad. Los auditores internos necesitan un conjunto diverso de habilidades que les permita comprender tanto los aspectos técnicos de la ciberseguridad como las implicaciones comerciales de los riesgos relacionados. El documento destaca que, históricamente, los auditores de TI han tenido un fuerte enfoque en los aspectos técnicos, pero a menudo han carecido de la capacidad para conectar esos riesgos técnicos con los objetivos estratégicos de la organización.

El IIA sugiere que una estrategia efectiva para enfrentar este desafío es buscar una combinación de habilidades dentro de los equipos de auditoría interna. Esto puede implicar la contratación de profesionales con experiencia técnica en ciberseguridad, pero también la capacitación de los auditores internos para que adquieran una comprensión básica de las tecnologías emergentes, como la nube, la inteligencia artificial y el análisis de datos. Al integrar estas competencias en los equipos de auditoría, las organizaciones pueden estar mejor preparadas para anticipar y mitigar los riesgos cibernéticos.

Además, el documento menciona que algunas organizaciones han recurrido a la externalización de ciertos aspectos de la auditoría cibernética, contratando profesionales externos con experiencia específica en seguridad cibernética o tecnología de la información. Esta opción puede ser particularmente útil para proyectos específicos o auditorías más complejas, aunque también debe gestionarse con cuidado para garantizar que se mantenga la independencia y la integridad de la auditoría interna.

La Inteligencia Artificial: Un Aliado Poderoso con Riesgos Implícitos

La inteligencia artificial (IA) se ha convertido en una herramienta crucial tanto para los defensores como para los atacantes en el ámbito de la ciberseguridad. El documento del IIA destaca que la IA tiene el potencial de mejorar significativamente la detección de amenazas y el análisis de datos en tiempo real, permitiendo a las organizaciones identificar patrones sospechosos y responder rápidamente a los ciberataques. Herramientas avanzadas de detección de malware, por ejemplo, pueden bloquear amenazas como los correos electrónicos de phishing antes de que lleguen a los usuarios, reduciendo así el riesgo de error humano.

Sin embargo, la IA también plantea nuevos desafíos para la auditoría interna. Uno de los principales riesgos asociados con la IA es la sobreconfianza en los resultados automatizados. Si los auditores internos dependen exclusivamente de los resultados generados por sistemas de IA sin validar adecuadamente los datos, podrían ignorar riesgos importantes o pasar por alto anomalías. El documento destaca que los auditores deben seguir utilizando su juicio profesional al evaluar los informes generados por sistemas de IA, garantizando que se realicen las validaciones necesarias para evitar errores o sesgos.

Otro riesgo importante es el sesgo algorítmico, que ocurre cuando los sistemas de IA perpetúan o amplifican sesgos existentes en los datos con los que fueron entrenados. Esto puede tener implicaciones graves en diversas áreas, como la contratación de personal o la concesión de créditos, si los algoritmos discriminan a ciertos grupos demográficos. Los auditores internos deben estar atentos a la posibilidad de sesgos en los sistemas de IA y asegurarse de que las organizaciones implementen controles para mitigar estos riesgos.

Gestión del Riesgo de Terceros: Un Desafío en la Era Digital

En el entorno empresarial moderno, casi todas las organizaciones dependen de terceros para servicios esenciales. Esto incluye desde proveedores de servicios en la nube hasta socios comerciales que manejan datos sensibles. Sin embargo, esta dependencia también introduce nuevos riesgos cibernéticos, ya que cualquier debilidad en los sistemas de seguridad de un tercero puede comprometer la integridad de la organización.

El documento del IIA subraya la importancia de desarrollar un programa robusto de gestión de riesgos de terceros (TPRM), que incluya la evaluación y monitoreo continuo de los controles de seguridad de los proveedores. El IIA destaca que muchas organizaciones no realizan las evaluaciones adecuadas antes de compartir datos con terceros, lo que aumenta la probabilidad de incidentes de seguridad. Además, menciona que el 57% de las organizaciones encuestadas había experimentado incidentes de seguridad relacionados con terceros en los últimos 24 meses.

Uno de los desafíos más grandes en este ámbito es la falta de visibilidad en las cadenas de suministro digitales. Muchas organizaciones no cuentan con los recursos o las herramientas adecuadas para monitorear a todos sus socios comerciales, lo que dificulta la detección temprana de vulnerabilidades. El documento sugiere que los auditores internos pueden desempeñar un papel fundamental en la mejora de la gestión de riesgos de terceros, asesorando a la organización sobre la importancia de implementar controles y monitoreos regulares.

Perspectivas IMAI

En conclusión, el panorama de la ciberseguridad es cada vez más complejo y peligroso, y la función de la auditoría interna se ha convertido en un componente crítico para la protección de los activos digitales de las organizaciones. La integración de tecnologías emergentes como la inteligencia artificial, el desarrollo de talento especializado y la adopción de estrategias de gestión de riesgos más sólidas son esenciales para hacer frente a las crecientes amenazas cibernéticas.

Los auditores internos tienen la responsabilidad no solo de evaluar los controles existentes, sino también de anticipar los riesgos futuros y proporcionar orientación estratégica que permita a las organizaciones estar mejor preparadas para los desafíos del entorno digital. Al fomentar una cultura de ciberseguridad, colaborar con otros departamentos y utilizar tecnologías avanzadas, la auditoría interna puede convertirse en un socio invaluable en la gestión de riesgos cibernéticos y en la protección del éxito a largo plazo de las organizaciones.

Este enfoque proactivo, combinado con una constante actualización y aprendizaje sobre las nuevas amenazas y tecnologías, asegura que las organizaciones no solo puedan responder a los ciberataques, sino que también puedan prevenirlos de manera efectiva, construyendo así una fortaleza cibernética que salvaguarde su futuro en el dinámico mundo digital.

Conozca la guía completa y acceda a toda la información, consejos, y el paso a paso para mejorar sus conocimientos, competencias y práctica profesional en este relevante ámbito de la Auditoría Interna.

Si aún no es parte de la membresía del IMAI (lo que le da acceso automático a los recursos exclusivos de The IIA y de nuestro Instituto durante un año completo, entre muchos otros beneficios), inscríbase hoy mismo

Risk in Focus 2025 – América Latina

El informe "Risk in Focus 2025: Latinoamérica" constituye una fuente crítica para comprender los desafíos que enfrentan las organizaciones en términos de riesgos emergentes, ofreciendo una visión profunda sobre la evolución de estos riesgos y el papel central que los auditores internos desempeñan en su identificación, gestión y mitigación. Este documento se basa en una encuesta global con más de 3500 líderes de auditoría interna, de los cuales más de 600 pertenecen a América Latina, proporcionando una perspectiva única sobre las tendencias y dinámicas de riesgo en esta región. El análisis aborda de manera exhaustiva las amenazas principales, las prioridades estratégicas y las brechas entre los niveles de riesgo y las áreas de auditoría en las organizaciones.

Contexto General y Objetivos del Informe

El informe es el resultado de una colaboración global entre la Fundación Latinoamericana de Auditores Internos (FLAI), en la que participa activamente el IMAI, y la Internal Audit Foundationde The IIA, en conjunto con otros organismos regionales y corporativos. Su objetivo es ofrecer una guía detallada sobre los riesgos más apremiantes para los próximos años, proporcionando a los auditores internos un marco estratégico para anticiparse y responder a los riesgos emergentes de manera efectiva. Se utiliza una metodología basada en encuestas y entrevistas a líderes de auditoría interna, que permite identificar tanto las áreas de mayor preocupación como las prácticas innovadoras para abordar estos desafíos.

En un mundo cada vez más globalizado e interconectado, los riesgos son transversales y multidimensionales. No solo afectan la viabilidad económica de las organizaciones, sino también su reputación, continuidad operativa y capacidad de cumplir con las crecientes exigencias regulatorias y sociales. En este sentido, los auditores internos se enfrentan a la compleja tarea de ser no solo evaluadores, sino también asesores estratégicos capaces de identificar oportunidades en medio de las crisis.

Principales Áreas de Riesgo: Una Evolución Constante

Los resultados de la encuesta en América Latina revelan que los riesgos más apremiantes en la actualidad continúan siendo la ciberseguridad, la continuidad del negocio, el capital humano y los cambios regulatorios. Sin embargo, es importante destacar cómo ciertos riesgos emergentes, como el cambio climático y la disrupción digital, están ganando terreno rápidamente y se espera que tengan un impacto significativo en los próximos tres años.

Ciberseguridad: Un Riesgo Perpetuo

La ciberseguridad ha sido consistentemente identificada como el riesgo número uno tanto en la región de América Latina como a nivel global. El 74% de los encuestados en la región considera que la ciberseguridad es el riesgo principal al que se enfrenta su organización, un aumento considerable en comparación con años anteriores. Este crecimiento está estrechamente vinculado a la digitalización acelerada que la pandemia de COVID-19 aceleró, donde cada vez más empresas han adoptado tecnologías digitales para mantener su competitividad y operar de manera eficiente.

La ciberseguridad no solo implica el riesgo de ataques externos, sino también vulnerabilidades internas que pueden surgir de una falta de capacitación adecuada o de políticas de seguridad insuficientes. El creciente uso de inteligencia artificial (IA) y herramientas digitales presenta una paradoja: mientras que estas tecnologías ofrecen eficiencias operativas y competitividad, también crean nuevas superficies de ataque para los cibercriminales. Las organizaciones, y en particular los auditores internos, deben abordar este problema mediante la implementación de marcos de seguridad cibernética robustos, evaluaciones continuas y programas de capacitación integral para todos los niveles organizativos.

Disrupción Digital: Riesgos y Oportunidades

La disrupción digital es otro de los riesgos emergentes más relevantes, especialmente en el contexto de América Latina, una región donde la digitalización avanza a diferentes velocidades entre sectores e industrias. Aproximadamente el 37% de los encuestados considera que la disrupción digital es uno de los cinco principales riesgos en la actualidad, pero se espera que este porcentaje aumente significativamente en los próximos tres años, alcanzando el 56%.

Esta categoría de riesgo incluye no solo la adopción de nuevas tecnologías como la IA, sino también la transformación digital que está remodelando la forma en que las empresas operan. Sin embargo, esta disrupción trae consigo desafíos únicos para la región, como la falta de infraestructura tecnológica adecuada en algunas áreas y la escasez de talento digital capacitado. En sectores como la manufactura y los servicios financieros, la disrupción digital también plantea riesgos adicionales relacionados con el cumplimiento normativo y la ciberseguridad. La falta de regulaciones claras sobre el uso de la IA en ciertos sectores, junto con la competencia de empresas tecnológicas no reguladas, exacerba el riesgo para las empresas tradicionales.

Además, el costo de implementar estas nuevas tecnologías es una barrera significativa, especialmente para pequeñas y medianas empresas que no cuentan con los recursos suficientes para competir con grandes multinacionales que ya han integrado la IA y otras tecnologías disruptivas en sus operaciones. Los auditores internos deben ofrecer una doble función: por un lado, garantizar que las organizaciones adopten estas tecnologías de manera segura y, por otro, asesorar sobre cómo mitigar los riesgos asociados a su implementación.

Cambio Climático: Un Riesgo Global con Efectos Locales

El cambio climático se ha convertido en una prioridad para América Latina, una región que es particularmente vulnerable a los fenómenos meteorológicos extremos. El informe destaca que 13 de los 50 países más vulnerables a las crisis climáticas se encuentran en América Latina. Este hecho, junto con las pérdidas económicas que alcanzan los 20 mil millones de dólares anuales debido a eventos climáticos extremos, subraya la urgencia de integrar el cambio climático en las estrategias de auditoría interna.

En la actualidad, el cambio climático ocupa el noveno lugar en la lista de riesgos prioritarios para las organizaciones de América Latina, pero se prevé que suba al sexto lugar en los próximos tres años. Este ascenso refleja una creciente preocupación por los efectos financieros, operativos y reputacionales que los eventos climáticos extremos pueden tener sobre las organizaciones. No se trata solo de un riesgo medioambiental; sus implicaciones financieras, como los costos de los seguros y las interrupciones en la cadena de suministro, lo convierten en una amenaza sistémica para las empresas.

Los auditores internos juegan un papel clave en la evaluación de los planes de continuidad del negocio frente a desastres climáticos, así como en el aseguramiento de que las empresas cumplen con las regulaciones medioambientales que se están implementando cada vez más en la región. Además, deben ayudar a los consejos de administración a comprender las repercusiones a largo plazo del cambio climático y las oportunidades que surgen de la transición hacia economías más sostenibles, como la adopción de bonos ecológicos y otros instrumentos financieros vinculados a la sustentabilidad.

Análisis Sectorial: Diversidad de Riesgos

El informe "Risk in Focus 2025" también proporciona un análisis detallado de cómo varían los riesgos entre diferentes sectores de la economía latinoamericana. Por ejemplo, en el sector financiero, los principales riesgos son la disrupción digital y el fraude, mientras que en el sector público, el cambio climático se clasifica como uno de los riesgos más altos. En la educación, los riesgos relacionados con la cultura corporativa y la falta de capital humano son especialmente notables. Este análisis sectorial resalta la importancia de que los auditores internos adopten enfoques personalizados para la evaluación y gestión de riesgos, adaptando sus estrategias a las particularidades de cada sector.

Impulsores del Riesgo: Un Enfoque Integral

Los impulsores del riesgo identificados en el informe son elementos clave que moldean las prioridades de riesgo y auditoría dentro de las organizaciones. Estos incluyen factores de presión directa, como las reglamentaciones, las oportunidades comerciales y el impacto financiero, así como presiones indirectas, como la política, la opinión pública y las repercusiones sociales.

La interacción entre estos factores es compleja. Por ejemplo, una regulación ambiental emergente puede derivar de presiones políticas y cambios en la opinión pública. La comprensión de estos impulsos permite a los auditores internos anticiparse a los cambios regulatorios y sociales, asegurando que las organizaciones no solo cumplan con las normativas actuales, sino que también se preparen para futuras demandas del mercado y de la sociedad.

Perspectivas IMAI

El informe "Risk in Focus 2025: Latinoamérica" destaca la urgencia de que las organizaciones adopten un enfoque proactivo y adaptativo frente a los riesgos emergentes. La ciberseguridad, la disrupción digital y el cambio climático no son riesgos aislados, sino que interactúan entre sí, creando un panorama de riesgo complejo y dinámico que requiere una respuesta integral.

Los auditores internos deben fortalecer sus capacidades para enfrentar estos desafíos, no solo a través de la mejora continua de sus habilidades técnicas, sino también actuando como asesores estratégicos dentro de sus organizaciones. Esto implica no solo la identificación de riesgos, sino también la recomendación de soluciones prácticas y la promoción de una cultura organizacional que valore la gestión de riesgos como una función central para la resiliencia empresarial.

El papel del auditor interno está evolucionando. De ser visto como un evaluador técnico, ahora es visto como un socio estratégico que ayuda a guiar a las organizaciones a través de un panorama de riesgos en constante cambio. La clave del éxito radica en una auditoría interna ágil, que pueda adaptarse rápidamente a nuevos riesgos y que proporcione valor en términos de asesoramiento sobre estrategia, innovación y cumplimiento.

Le invitamos a conocer los datos completos de este relevante Informe.