La firma de servicios profesionales, BDO, considera que los Comités de Auditoría se encuentran en un momento de reflexión, planteándose qué necesita su organización para gestionar la crisis y la información necesaria para ello. El modelo planteado por esta firma se basa en tres etapas: reacción, resiliencia y ejecución. Parece ser que la mayoría de los Comités de Auditoría hoy se centran en las dos primeras fases, sin embargo, emergen nuevas áreas de riesgo que se deben revisar en aras de avanzar hacia una fase de recuperación.
La revisión de los nuevos riesgos debe realizarse sobre cuatro áreas clave: gestionar las emergencias (protocolos de trabajo a distancia), evaluar el impacto y entender los acontecimientos (escenarios económicos de incertidumbre), sostenibilidad financiera (asegurando la liquidez y el flujo de caja y mediando con las entidades financieras, clientes, proveedores y empleados), y resistencia en escenarios de tensión operativa (personas, suministro, infraestructuras y TI.
Los expertos de Risk Advisory de BDO destacan una serie de áreas de riesgo clave que los Comités de Auditoría deberían tener en cuenta a la hora de buscar garantías de seguridad frente a la crisis: ciberseguridad, fraude financiero, cumplimiento de la normativa (compliance), privacidad de los datos, rendimiento y presentación de informes, planificación de escenarios, enfoque de la auditoría interna, cadena de suministro y gestión de contratos y gestión del cambio.
Ciberseguridad
Tras cualquier acontecimiento importante de carácter mundial, los ciberdelincuentes aprovechan la oportunidad de obtener beneficio, y las campañas de phishing no se hicieron esperar tras la implantación del teletrabajo.
Hay una serie de acciones que pueden mejorar la ciber-resistencia, como sensibilizar a los empleados, habilitar la autenticación de dos factores para todos los accesos en remoto, recordar a los usuarios que solo deben utilizar los canales de comunicación aprobados por la empresa y que los dispositivos de trabajo no deben utilizarse para uso personal o redes sociales. También habría que asegurarse de que el antivirus esté actualizado en todos los ordenadores, propiciar herramientas para compartir archivos de forma segura y asegurarse de que los trabajadores conozcan la ruta para reportar cualquier incidente de ciberseguridad.
Fraude financiero
Como resultado del distanciamiento social y el aumento del trabajo a distancia, los controles y políticas habituales de los procesos pasan a un segundo plano. Los defraudadores aprovechan la reducción de personal y la inexperiencia de las nuevas contrataciones. El fraude con origen en las transacciones bancarias puede verse aumentado a medida que los infractores exploten al personal clave de las áreas de finanzas que se encuentra sobrecargado o no disponible.
Ahora es el momento de revisar los planes de continuidad y asegurarse de que tienen en cuenta la gestión del fraude, considerando las siguientes acciones: los controles deben ser mapeados y revisados para ponerlos a prueba frente al a situación actual cada vez que haya un cambio de personal, de procesos o de legislación; recordar a los empleados la necesidad de mantener un alto nivel de seguridad mientras trabajan desde casa; ser prudente a la hora de enviar correos electrónicos o llamar por teléfono, ya que las comunicaciones pueden estar pirateadas, y asegurarse de que los nuevos trabajadores reciban la información necesaria respecto a la aplicación de los controles y verificaciones.
Compliance regulatorio
Existe la posibilidad de que el regulador haya flexibilizado los requisitos de presentación de informes y los plazos por el contexto de pandemia, pero las expectativas y requisitos de cumplimento se mantienen. Por lo que los Comités de Auditoría deberán asegurarse de que las organizaciones están identificando las obligaciones de cumplimiento críticas para la organización, trazando los controles necesarios para garantizar el cumplimiento y los recursos necesarios para aplicarlos, evaluando qué controles podrían suprimirse temporalmente para enfocarse en los críticos o considerando si los empleados saben qué hacer en caso de violación de la normativa.
Además, los profesionales habrán asignado la responsabilidad de la divulgación o la actividad al regulador o al mercado, identificado los cambios en la normativa de su sector y cómo cumplirlos y están tratando a los clientes de manera justa, sobre todo a los más vulnerables, proporcionando un entorno de trabajo seguro y saludable y publicando información veraz y precisa.
Privacidad de datos
Como resultado de la pandemia, las organizaciones se han visto obligadas a cambiar la forma en que procesaban la información personal. La normativa sigue vigente, por lo que deben asegurarse de mantener su cumplimiento. En la actualidad, hay un número significativo de consideraciones a tener en cuenta con respecto a la privacidad de datos como resultado de la pandemia, entre los que se encuentran el tratamiento de la información de salud de los empleados. Es fundamental que las compañías cuenten con una base legal válida y justificada para cualquier dato personal que se englobe dentro de esta categoría.
También deben enfrentarse a los riesgos de privacidad que trae consigo la nueva realidad del teletrabajo, al aumentar el uso de los dispositivos personales. Un riesgo adicional que deben considerar los Comités de Auditoría es que la organización haya perdido de vista el cumplimiento de la ley de protección de datos mientras atienden otras cuestiones que se han materializado con la pandemia. Sin embargo, la gestión debe seguir siendo totalmente transparente y obviar este asunto no debe convertirse en una costumbre en el futuro.
Análisis y reportinh
La vigilancia, la medición y la presentación de informes sobre la salud financiera y operativa de la organización será crucial durante la crisis y a medida que se avanza hacia la fase de realización. Las actividades clave en este punto se centra en los ingresos, la liquidez y el flujo de caja; en los pedidos entrantes y salientes, facturas emitidas, pagos recibidos, productos enviados y efectivo cobrado; en el inventario recibido, lo que se puede vender y lo que no en el clima actual, las implicaciones de obsolescencia y el impacto en la situación financiera; en la falta de notificación a los interesados pertinentes de las violaciones de las directrices de inversión, y en otras actividades críticas para la organización.
Planificación de escenarios
Resulta vital contar con un plan claro para un potencial número de escenarios, de tal forma que ayude a la toma de decisiones. Los Comités de Auditoría deben estar preparados para desafiar a la administración en materia de la solidez del enfoque de la gestión en la planificación del escenario, la fiabilidad de los datos recopilados y la base de las hipótesis formuladas.
Enfoque de la auditoría interna
Hay una serie de desafíos con respecto a las funciones de auditoría interna que los Comités de Auditoría deben conocer, por ejemplo, que se les esté pidiendo adscribir personal a la empresa, desempeñar funciones de gestión y/o prestar servicios de consultoría y asesoramiento. También se han dejado de lado algunas funciones de auditoría interna sin consultar al comité o a su presidente. Los Comités de Auditoría deberían realizar un examen anual en los planes de auditoría interna para comprobar si siguen siendo aprobados y si han cambiado sus prioridades debido a la actual coyuntura.
Supply chain y gestión contractual
La Asociación Internacional de Contratación y Gestión Comercial (IACCM, por sus siglas en inglés) ha publicado recientemente un informe que revela que el 80 % de as empresas han experimentado una perturbación de moderada a grave en sus contratos con proveedores y en los desafíos relacionados con la entrega de lo acordado con sus clientes. esto ha dado lugar a un aumento de negociaciones de emergencia. En consecuencia, hay algunas acciones clave que los líderes de las organizaciones tienen que tener en cuenta a la hora de tomar decisiones, como identificar las principales obligaciones y exposiciones en las carteras de contratos de clientes y proveedores, vigilar de cerca el perfil de riesgo de la cadena de suministro y ajustar el enfoque de la gestión de contratos, por parte de la compra y del a venta.
Gestión del cambio
La administración necesita alejarse de la fase de respuesta a la crisis y trasladar esa atención a la planificación de cómo la organización va a reconsiderar lo que hace falta para adaptarse a la nueva realidad e implementar los cambios necesarios para seguir mejorando. Para poder cumplirlo, es importante plantearse los riesgos que se pueden presentar en los próximos 12-24 meses y considerar la mejor respuesta.
BDO ha identificado una serie de riesgos que considera que deberían ser tenidos en cuenta como parte de la evaluación de riesgos y oportunidades, para dar paso a la fijación de objetivos para los próximos 1-2 años y, a continuación, convertir los objetivos en un plan de cambio alcanzable. Las áreas a las que hace referencia son planificación financiera y gestión de costes, los clientes y la demanda, las personas y empleados, digitalización y tecnología, transacciones y adquisiciones, y la gestión de riesgos y seguridad.
Al crear una visión clara de la forma en que la organización debe adaptarse en el futuro y conjugarla con un plan de cambio bien desarrollado y ejecutado, estará preparada para gestionar los riesgos clave, adaptarse a los requisitos cambiantes y, por lo tanto, responder con éxito a los desafíos y oportunidades de la «nueva realidad».