Los riesgos que deberán vigilar las empresas europeas en 2018
Institutos de auditores internos de siete países europeos identifican ocho áreas principales
El Reglamento General de Protección de Datos (RGPD) europeo entró en vigor el 25 de mayo de 2016, pero la misma norma establecía que su cumplimiento solo sería obligatorio después de un periodo transitorio de dos años. Transcurrido ese tiempo –será de obligado cumplimiento el próximo mayo–, solo el 31% de los tomadores de decisiones en las compañías creen que sus organizaciones cumplirían con el reglamento si se aplicara hoy y de ellas, solo el 2% lo harían completamente, según Veritas.
La privacidad de datos es una de las ocho áreas principales identificadas en el estudio Risk in Focus. Hot Topics for Internal Audit 2018 de los institutos de auditores internos de España, Francia, Italia, Holanda, Suiza, Reino Unido e Irlanda y sobre las que las empresas europeas tendrán que poner el foco en 2018, junto con la ciberseguridad, la avalancha regulatoria, la innovación, la incertidumbre política, la contratación de terceros, la cultura corporativa y la transición generacional.
El informe se ha elaborado en base a entrevistas a los directores de auditoría interna de un amplio rango de empresas europeas de los principales sectores.
La ciberseguridad el área más identificada de riesgo en todos los países y sectores en el informe ‘Risk in Focus. Hot Topics for Internal Audit 2018’
La ciberseguridad es el área más identificada de riesgo en todos los países y sectores, que exige un seguimiento para que no erosione la operativa de las empresas. El 62% de las compañías cree que los ciberriesgos causarán una disrupción en los próximos tres años y, sin embargo, el 74% tiene bajo o nulo riesgo de madurez cibernética, según PwC.
“Las empresas tienen que prepararse para minimizar los impactos en el negocio si el riesgo de ciberseguridad se materializa y, además, saber cómo actuar para volver a operar en el mercado con el mínimo impacto posible en el negocio”, señala Luis Hernández, responsable de contenido técnico del Instituto de Auditores Internos de España (IAI). En su opinión, “el nivel de madurez de las organizaciones aún requiere atención en este sentido por parte de consejos de administración, alta dirección y comités de riesgos”. Por eso, apela a la ayuda de auditoría interna, porque “gracias a su visión transversal, deben tener una visión amplia de la respuesta de la organización a la amenaza cibernética, a la calidad de su gobierno de la ciberseguridad y a la gestión de riesgos”.
Hernández llama la atención sobre el hecho de que el riesgo de ciberseguridad es transversal a todas las áreas y sistemas de la empresa, entre ellas la protección de datos, “que se puede ver comprometida por un ciberataque. Esto afecta a los protocolos de respuesta de las compañías y por tanto a su sistema de control”. En cualquier caso, asegura que “en la mayoría de las compañías los controles de estos riesgos ya estaban diseñados con la anterior ley, y en la actualidad están en proceso de evaluación para cumplir con la normativa que entra en vigor en mayo”.
La complejidad regulatoria debido a los cambios frecuentes y la falta de margen de maniobra para adaptarse preocupa especialmente a sectores como el financiero o el de seguros. Como ejemplo, actualmente, el 90% de los inversores institucionales en Europa corre el riesgo de no cumplir con la normativa Mifid 2, según una encuesta de PwC.
Digitalización
Hay un conjunto de nuevos riesgos relacionados con la transformación económica debido a la innovación, con la digitalización que reemplaza cada vez más al mundo físico. El 51% de los ejecutivos cree que la automatización será el mayor disruptor comercial en 25 años, según Thomson Reuters; y un tercio de ellos cree que su modelo de negocio se verá afectado en los próximos cinco. En 2018, los sectores en los que más impactará la digitalización serán, según los ejecutivos sénior de cada uno, los de media (72%), telecomunicaciones (64%), servicios financieros (61%), retail (57%) y tecnología (57%), seguidos del asegurador (53%).
El 74,1% de las multinacionales se ha enfrentado al menos a un incidente relacionado con terceros en los últimos años, según Deloitte, y solo llevan a cabo procesos de due diligence en el 62% de sus proveedores, distribuidores y relaciones con terceros. De ahí que el riesgo de la contratación de terceros haya vuelto a la palestra, en parte porque las compañías siguen buscando la rentabilidad del outsourcing y migran cada vez más sus operaciones a los servicios alojados en la nube.
La cultura corporativa se posiciona como uno de los aspectos clave para la buena marcha de las organizaciones. A la pobre cultura corporativa se achacan muchos de los incidentes que han puesto en peligro la reputación de las compañías, especialmente en los sectores financiero y energético.
Otro de los aspectos identificados en el documento es la transición generacional en las organizaciones que exigirá nuevas políticas de recursos humanos con la incorporación de los mileniales.
Finalmente, el informe también considera la incertidumbre política, que ha sido más mencionada como área de riesgo en Reino Unido a consecuencia del brexit.
Evolución de la auditoría interna
-El informe Risk on Focus. Hot Topics for Internal Audit 2018 identifica un reto adicional: la evolución de la auditoría interna para afrontar los nuevos riesgos y cumplir así con su función de aseguramiento y de protección del valor de las organizaciones y de mano derecha de las comisiones de auditoría. En este sentido cobrarán especial importancia las técnicas de auditoría agile, la aportación de valor, la especialización en ciberseguridad/TI, el data analytics y la cultura corporativa.
-“El auditor interno supervisa, entre otros, la gestión y el gobierno de los riesgos, y el cumplimiento normativo en las organizaciones. Es decir, identifica la probabilidad e impacto de los riesgos, evalúa la eficacia de los controles existentes y comunica los resultados a la alta dirección y al consejo de administración para que tomen acciones”, explica Luis Hernández, responsable de contenido técnico del IAI.
-Así, en el caso del riesgo de cumplimiento con el Reglamento General de Protección de Datos, “auditoría interna evalúa los riesgos sobre la probabilidad de que la organización no cumpla; empleando técnicas de gap análisis para supervisar los controles existentes e identificar áreas clave que requieren mejoras; y como experto en control interno, asesora sobre la implementación de nuevos controles y procesos”, concreta Hernández.