close
Share with your friends

Preparando el retorno de la Auditoría Interna, continuidad después de la crisis

Preparando el retorno de la Auditoría Interna

Las auditorías internas minimizan los riesgos inherentes, incluidos los riesgos de fraude.

Cortés, Martha

Socia Líder Audit

KPMG in Colombia

Contacto

Contenido relacionado

COVID-19 Retorno de la Auditoría Interna

Por: Hovana Capera, directora Auditoría KPMG en Colombia

Las auditorías internas minimizan los riesgos inherentes, incluidos los riesgos de fraude a los que se encuentran expuestas las compañías de los diferentes sectores económicos, y su enfoque también involucra la participación en la eficacia de los procesos, cuyo objetivo final es apoyar la gestión, optimización y rentabilidad del negocio.

Ante el escenario de crisis actual generado por el coronavirus (COVID-19), los objetivos planeados de manera recurrente han sufrido variaciones y como resultado de la evaluación de riesgos, se modificaron los planes de trabajo aprobados, incorporando y priorizando actividades de auditoría contingentes y urgentes bajo un escenario inusual, cuya duración y desenlace no puede ser estimado.

Los países a nivel global enfrentan una apertura controlada, donde las medidas de bioseguridad y cuidado del personal son esenciales, las áreas de auditoría interna podrían ser requeridas para continuar con el trabajo en casa; sin embargo, ¿podrán retomar los planes de trabajo relegados y mantener la calidad en el proceso?

Las siguientes son algunas de las principales acciones tomadas por los auditores durante la crisis y aquellas que pueden ser importantes para la continuidad de los cronogramas de trabajo, independientemente de las medidas que sean tomadas por el Gobierno y por las compañías para el retorno a la nueva normalidad:

 

Durante la crisis, aspectos clave de seguimiento Adicionales para el retorno

 

Plan de trabajo

Comunicación con el comité de auditoría, aumento en la interacción para la identificación conjunta de riesgos y aprobación de cambios. 

Entendimiento de la evaluación de riesgos o escenarios en el corto, mediano y largo plazo, definidos por la gerencia para afrontar la crisis.

Participación en comités de crisis, en dado caso que hayan sido definidos.

Cambio en la definición de comunicación interna y externa.

Flexibilización de horarios de trabajo y cambios en el monitoreo de las horas invertidas. Se fortalece el trabajo gestionado hacia el resultado.

Herramientas tecnológicas suficientes para el desarrollo de la auditoría con accesos remotos controlados para fuentes de información no manipulada y disponible para el auditor. 

Planes de trabajo dinámicos con escalas de priorización por riesgos, impacto y valor agregado, debido a que surgirán eventuales procedimientos que deberán ser atendidos, desplazando nuevamente las actividades del cronograma.

Lo anterior implica la evaluación de recursos humanos temporales, sustitutos o extras que permitan lograr el cumplimiento del objetivo general del plan de trabajo, apropiado para la compañía y que no descuide la mitigación de riesgos.

Ante el incremento de las reuniones virtuales, enfocar al equipo sobre los objetivos, procedimientos, asuntos claves y requerimientos. Temas que no menoscaben la impredecibilidad de la auditoría, podrán ser comunicados al auditado de manera previa para el logro de reuniones eficaces y el control de las horas.

Evaluación de las auditorías que pueden continuar de manera remota y aquellas en las que deberá existir interacción física, con la definición de protocolos de revisión y bioseguridad específica para los auditores. 

 

Procesos críticos y riesgo de fraude

Riesgo de fraude o error por inapropiada segregación de funciones debido a toma de vacaciones u otras circunstancias, seguimiento periódico de cambios efectuados y análisis de riesgos expuestos.

Ejecución de arqueos, control de recursos e inversiones a través de planes alternos, confirmaciones externas y análisis de datos. Las visitas sorpresivas deberán ser incorporadas una vez sea permitido.

Énfasis en el análisis y revisión de procesos de depuración de partidas conciliatorias y cuentas suspense o con partidas por identificar. Apropiada segregación de funciones, soportes y confiabilidad de éstos.

Administración de claves de portales transaccionales, seguridad en los archivos o bases de información bancaria recibida y remitida.

Los roles críticos generalmente se encuentran identificados como parte de la gestión de control de las primeras líneas de defensa, lo que facilita la auditoría o monitoreo de las transacciones a través de generación de logs de sistemas.

Identificación de cambios en actividades clave de los flujos de procesos que requieren la modificación de los manuales de políticas, procedimientos, flujogramas y matrices de riesgos para la correspondiente aprobación, divulgación y control.

Entendimiento de la estrategia aplicada para clientes y proveedores críticos que representaron un cambio contractual, identificando las cláusulas e impactos, incorporación de derivados implícitos sujetos a valoración, saldos por cobrar no registrados y evaluados por deterioro, cuentas por pagar vencidas, incumplimientos.

Del buen uso de inversiones o incentivos para la reactivación, dependerá la recuperación empresarial, por lo tanto, la auditoría de gestión debe ser considerada para la valoración de riesgos y será fundamental la perspectiva del auditor desde una fase temprana.

Incremento en el uso de las herramientas tecnológicas para el análisis de exactitud de datos, controles y recolección de evidencia (análisis de data). Los procesos han sido modificados, principalmente las actividades relacionadas con componente y soporte manual, que bajo escenarios eficientes no retornarán, continuando con procesos y controles automáticos.   

 

Ciberseguridad y sistemas de la información

Monitoreo restricciones de acceso.

Vulnerabilidades de conexiones remotas.

Cambios en políticas de administración matrices de roles y perfiles.

Modificaciones en la seguridad de las contraseñas.

Monitoreo log de auditoría.

En general, la participación de la auditoría interna sobre la ciberseguridad y los sistemas continuará ejecutándose con mayor frecuencia.

En razón al retorno gradual o por fases, se alternarán los mecanismos de seguridad entre trabajo en casa y sitio laboral. 

Clientes, manejo de información

Segregación de funciones para actualización de información de clientes.

Controles de revisión o duales sobre pagos parciales o totales.

Controles y monitoreo para la administración de la información confidencial. 

Debido a la presión por cumplimiento de metas, se deberá fortalecer la auditoría de los requisitos para vinculación de nuevos clientes y su evaluación de riesgos.

El crecimiento será importante, pero bajo riesgos controlados. 

 

Sistemas de administración de riesgos

 

Seguimiento del establecimiento de límites como stop loss y take profit, liquidez, valor en riesgo, entre otros, y su ejecución para la gestión de riesgos.

Integridad de información relacionada con alivios otorgados o reestructuraciones de deuda aceptadas bajo políticas de emergencia, con apropiada documentación soporte y control dual de aprobación.

Identificación de medidas adoptadas para la continuidad en el reporte de riesgos operacionales, su medición y generación de planes de acción. 

Auditoría al cumplimiento de covenants e indicadores de riesgos de liquidez, medidas adoptadas para mantenimiento de niveles apropiados y contingentes.

Identificación y seguimiento de medidas adoptadas para corregir la generación de posible concentración de contrapartes, sectorial o de mercado que a largo plazo generan riesgos al negocio.

Auditoría sobre la eficacia de planes de acción tomados para mitigar eventos operativos que se repliquen en el futuro.

 

En conclusión, los escenarios de crisis aumentan el conocimiento y dinamizan o fortalecen los planes de auditoría, por lo tanto, es necesaria la incorporación, modelamiento y mantenimiento de tales habilidades y experiencias adquiridas en la contingencia. La innovación alcanzada contribuirá al mejoramiento de la productividad, gestión y al proceso de la auditoría. 

© 2020 KPMG International Cooperative (“KPMG International”), a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm. All rights reserved.

Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm.

Ninguna parte de esta publicación puede reproducirse sin la aprobación previa del Editor. Cualquier reproducción, divulgación o comercialización sin autorización del autor, será sancionada civil y penalmente como lo indica la Ley. La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y oportuna, no puede haber garantía de que dicha información sea correcta en la fecha que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas basado en dicha información sin la debida asesoría profesional después de un estudio detallado de la situación en particular. Esta publicación no está disponible para la venta, se distribuye como cortesía de KPMG en Colombia a sus clientes y otros amigos. Los derechos de autor sobre la presente obra son titularidad de 2018 KPMG S.A.S., KPMG Advisory, Tax & Legal S.A.S., y se hallan protegidos en los términos señalados por la Ley 23 de 1982.

Contáctenos