29 de septiembre de 2022
Boletín de investigación

Programa de auditoría interna para la evaluación del programa ASG/sostenibilidad

Comisión
T. Sector Empresa Auditoría Interna

Autores
C.P. Roberto Abad Sánchez

1. Presentación

La Auditoría Interna (AI) se esfuerza por ser una función de primer nivel que impulsa constantemente el valor de una empresa. Debido a lo anterior y dado que los programas de ASG (Ambientales, Sociales, Gobierno) tienen que adoptarse por la mayoría de las empresas hoy en día, proporcionamos un programa de auditoría interna para poder conocer el grado de avance y el modelo de madurez en los seis elementos de control de estas iniciativas.

Los resultados de la evaluación están destinados a identificar áreas de oportunidad para mejorar la alineación con la visión estratégica de la organización en general y ayudar a garantizar que la AI considere adecuadamente las prácticas líderes en ASG.

2. Introducción

Actualmente, el trabajo de auditoría interna para el tema de ASG está siendo muy requerido para las empresas en general, y particularmente para aquellas que están en los mercados financieros estas normativas internacionales de sistemas de gestión facilitarán que se cumpla con los requisitos en materia de sostenibilidad y que se encuentra implementado de manera efectiva, alineado con los objetivos del negocio.

Gestionando de manera efectiva un programa de auditorías internas, la organización cuenta con una herramienta de mejora muy poderosa para lograr el mayor desempeño y la eficiencia en el uso de los recursos.

3. Desarrollo

Programa de trabajo de auditoría de sostenibilidad/ASG

Las páginas siguientes describen un programa auditoría interna de ASG que se centra en la evaluación de los siguientes temas:

Marco normativo. Para determinar el marco utilizado de ASG para la presentación de informes y su alineación con la estrategia, los objetivos y los KPI de la organización. Si es necesario, la evaluación puede ayudar a facilitar la identificación y selección del marco de información correspondiente que tenga sentido para la organización (por ejemplo, basado en la industria, la competencia, la estrategia y los objetivos perseguidos). Además, esta evaluación valida los informes públicos relacionados con los informes de sostenibilidad y ASG, incluida la evaluación de los indicadores clave de desempeño (ICD o KPI) correspondientes.
Gestión de datos. Es necesario revisar la clasificación de los datos ASG dentro de las definiciones de la organización y evaluar el tratamiento de la gestión de datos aplicable a lo largo de su ciclo de vida, incluida la captura, el mantenimiento, el uso, la publicación, el archivo y la depuración de datos.
Validación de datos. Se requiere profundizar en el proceso de validación de informes de la organización mediante la revisión de un informe de sostenibilidad o ASG seleccionado, así como vincular las métricas informadas con los datos de origen correspondientes para validar la integridad y precisión de los informes.
Controles internos. Centrándose en la identificación y validación de los controles internos operativos y financieros de apoyo de la organización que respalda las áreas de medio ambiente, capital social, capital humano, modelo de negocio e innovación, liderazgo y gobernanza, como se describe en la guía actual de SASB, GRI o marcos similares.
Estudio de mercado. Con el objeto de proporcionar datos comparativos con sus pares, líderes de la industria y perspectivas de analistas. Este programa ofrece múltiples marcos de ASG como base de comparación, que se puede adaptar a la industria de la empresa.
Modelo de madurez de capacidad (MMC).Esta evaluación se centra en la revisión del estado actual de estas iniciativas y las capacidades ASG del estado futuro deseado y la comparación con el Modelo de Madurez de Capacidad (MMC), incluidos los seis elementos de la infraestructura de control en lo que respecta a un programa ASG o de sostenibilidad dentro de la empresa. El resultado de este programa será una evaluación de los elementos mencionados, así como los planes de acción y el cronograma para que se logre el estado futuro deseado y un informe que resuma esta información destinada a la alta dirección y/o al consejo.

De acuerdo con la investigación previa del trabajo a realizar, se deberá determinar el estimado del tiempo necesario para realizar la auditoría y poder ejecutar el programa de trabajo que a continuación se presenta.

1. Marco normativo

1.1 Descripción general del marco ASG

Se debe utilizar un marco de información ASG para identificar, priorizar y explicar las divulgaciones clave de informes de sostenibilidad de la empresa y las métricas de datos asociadas. No existe un marco o una orientación única que describa los requisitos para los informes de sostenibilidad. Las organizaciones deben determinar qué temas, factores, métricas y divulgaciones de ASG son los más significativos e impactantes para sus partes interesadas. Se puede seleccionar un marco único o múltiples marcos (enfoque híbrido) que mejor se alineen con la estrategia de la empresa y los objetivos de divulgación.

La selección de un marco ASG para la presentación de informes depende de las necesidades de presentación de informes de la organización, la disponibilidad y confiabilidad de la información, así como de la audiencia de las partes interesadas. Existe una variedad de marcos de informes de ASG que cubren una variedad de áreas de la industria, audiencias, temas y requisitos de divulgación. Los marcos de sostenibilidad comunes y la orientación que utilizan las organizaciones en la presentación de informes, entre otros, incluyen lo siguiente:

Proyecto de divulgación de carbono (CDP)
Métricas de capitalismo de las partes interesadas del Foro Económico Mundial (WEF)
Iniciativa de objetivos basados en la ciencia (SBTi)
Junta de Normas de Divulgación Climática (CDSB)
Ref. de sostenibilidad Dow Jones (DJSI)
Iniciativa de Informes Globales (GRI)
Junta de Normas de Contabilidad de Sostenibilidad (SASB)
Grupo de trabajo sobre divulgaciones financieras relacionadas con el clima (TCFD)
Objetivos de Desarrollo Sostenible de la ONU (ONU ODS)

1.2 Programa de trabajo

1.2.1 Grupo de proyecto

1.2.2 Línea de tiempo del proyecto

1.2.3 Objetivos

Determinar el marco ASG actual que se utiliza en los informes.
Si es necesario, facilitar la identificación y selección del marco de presentación de informes que tenga sentido para la organización.
Evaluar la alineación del marco de presentación de informes con la estrategia y los objetivos de la organización.
Validar que los KPI y las entradas de datos utilizados en los informes de ASG estén funcionando y documentados.
Identificar áreas de mejora para fortalecer la alineación del marco ASG de la organización con las métricas y los KPI de la organización.

1.2.4 Pasos de la auditoría

2. Gestión de datos

2.1 Descripción general de la gestión de datos

El gobierno de datos es la planeación, supervisión y control de la gestión de datos y el uso de recursos relacionados con éstos. Los controles del gobierno de datos cubren su ciclo de vida completo desde su creación inicial hasta su lectura, actualización y eventual eliminación. Muchas organizaciones estructuran programas de gobierno de datos para ayudar a administrar su protección, retención, uso adecuado y administración como un activo comercial. Estos programas pueden tener políticas o procedimientos para describir los controles internos sobre estos datos en función de una prioridad o nivel de seguridad asignado.

El objetivo de esta auditoría es revisar las capacidades de gestión de datos de la empresa, con especial énfasis en los datos de ASG y sostenibilidad a lo largo de su ciclo de vida (https://www.bloomberg.com/professional/blog/7-phases-of-a-data-life-cycle/), incluidas las siguientes fases:

Captura de datos: El acto de crear valores de datos que aún no existen y nunca han existido dentro de la empresa. Esto puede ser mediante la adquisición de datos de una organización de terceros o mediante la entrada de datos.
Mantenimiento de datos: El procesamiento de los datos a través de tareas como movimiento, integración, limpieza, enriquecimiento y priorización.
Uso o publicación de datos: La aplicación de datos como información a las tareas que la empresa necesita para ejecutar y administrar por sí misma, así como el envío de datos a una ubicación fuera de la empresa.
Archivo de datos: La copia de datos en un entorno en el que se almacenan en caso de que nuevamente sean necesarios en un entorno de producción activo y la eliminación de estos datos de todos los entornos de producción activos.
Purga de datos: La eliminación de cada copia de un elemento de datos de la empresa.

2.2 Programa de trabajo

2.2.1 Grupo de proyecto

2.2.2 Línea de tiempo del proyecto

2.2.3 Objetivos

Determinar el enfoque actual de gestión de datos ASG del cliente a lo largo de su ciclo de vida, en función de las políticas organizativas y las clasificaciones existentes.
Evaluar el diseño y la eficacia operativa de los controles relacionados con la gestión de datos y crear planes de acción de remediación, según sea necesario.
Documentar el resultado de la evaluación en un informe para la dirección y/o el comité de auditoría.

2.2.4 Pasos de la auditoría

3. Validación de datos

3.1 Descripción general de la validación de datos

El enfoque de este plan de trabajo es profundizar en el proceso de validación de informes para la organización, revisando un informe de sostenibilidad o ASG seleccionado y vinculando las métricas informadas con los datos de origen correspondientes para validar la integridad y precisión de los informes.

3.2 Controles internos correspondientes

Para evaluar la precisión e integridad de los datos que alimentan las métricas informadas de ASG, la efectividad de los siguientes controles internos potenciales se puede evaluar mediante la observación y la repetición:

Validación y conciliación: Se definen los roles y las responsabilidades para la reconciliación, la granularidad para la reconciliación de datos y un proceso para revisar los resultados de la reconciliación. Las fuentes de datos o informes que se utilizarán para la conciliación son identificadas por las partes interesadas clave.
Gestión de materialidad y resolución: Se definen los umbrales de materialidad para las variaciones permitidas en las conciliaciones. Se revisan las variaciones de conciliación y se obtienen las aprobaciones de la gerencia correspondientes para cualquier diferencia importante.
Informes de controles informáticos del usuario final: Existen procesos para gestionar el control de versiones de los conjuntos de datos del usuario final. Los cambios de cálculo y fórmula están documentados.

Para obtener más información sobre estos controles, consulte el programa de trabajo de controles internos de ASG.

3.3 Programa de trabajo

3.3.1 Grupo de proyecto

3.3.2 Línea de tiempo del proyecto

3.3.3 Objetivos

Identificar los datos de origen de la organización relacionados con las métricas dentro de los informes de sostenibilidad y ASG y definir los sistemas relacionados para cada métrica.
Evaluar si se han realizado ajustes manuales, consolidación u otros cambios y verificar la precisión de estos cambios.
Evaluar si todas las variaciones de los datos de origen se encuentran dentro de un umbral de materialidad establecido y si recibieron la aprobación de los miembros de la administración correspondientes.

3.3.4 Pasos de la auditoría

4. Controles internos

4.1 Descripción general de los controles internos

Un marco de control interno de ASG organiza y categoriza los controles internos de ASG/sostenibilidad de una organización, que son prácticas y procedimientos establecidos para crear valor comercial y minimizar el riesgo. El marco cubre los controles generales sobre los informes ASG en el lado del proceso empresarial y los controles generales sobre los datos y sistemas ASG en el lado de la TI. Al evaluar el marco de control interno de ASG, los procesos y el sistema relacionados deben evaluarse primero, al identificar y documentar los riesgos y controles asociados.

4.2 Descripción general de los controles generales de TI (ITGC)

Se deben evaluar los ITGC que se ocupan de la seguridad, la gestión de cambios, la identificación de errores y el riesgo de terceros de los datos ASG. Estos controles generales se dividen en las siguientes categorías:

Gestionar la seguridad: El objetivo de la gestión de acceso y seguridad es supervisar y gestionar -de forma eficaz- los procesos de seguridad que protegen el entorno de una organización (lógico y físico). Se deben establecer procesos y controles de seguridad para proteger de manera efectiva la confidencialidad, disponibilidad e integridad de la información de la organización y para protegerse contra el acceso no autorizado, mayores riesgos de seguridad o posibles fraudes.
Gestionar cambio: El objetivo de la gestión de cambios es supervisar y gestionar los cambios en el entorno de producción de una organización. El impacto y el efecto de los cambios en los procesos comerciales existentes requieren una revisión y aprobación adecuadas por parte del personal correspondiente. Deben existir controles adecuados de gestión de cambios para proteger de cambios no autorizados y de cambios con resultados no deseados.
Gestionar operaciones (interfaces y terceros): El objetivo de la gestión de operaciones es implementar procedimientos para permitir el procesamiento continuo a pesar de condiciones adversas y abordar los errores de procesamiento operativo. Deben existir controles de operaciones adecuados para identificar, registrar, resolver o investigar errores e incidentes de procesamiento de datos. Se deben establecer controles adicionales para gestionar el riesgo de terceros, según corresponda.

4.3 Programa de trabajo

4.3.1 Grupo de proyecto

4.3.2 Línea de tiempo del proyecto

4.3.3 Objetivos

Determinar el proceso actual de ASG, las políticas y los controles internos de la organización.
Evaluar el diseño y la efectividad operativa de los controles internos y crear planes de acción de remediación, según sea necesario.
Identificar áreas de mejora para fortalecer el entorno de control interno ASG de la organización.
Documentar el resultado de la evaluación en un informe para la dirección y/o el comité de auditoría.

4.3.4 Pasos de la auditoría

Estudio de mercado

Programa de trabajo

5.4.1 Grupo de proyecto

5.4.2 Línea de tiempo

5.4.3 Objetivos

Determinar la comparación de las estrategias administrativas, operacionales, metodologías utilizadas, informes y KPI entre lo que la organización está realizando y lo que se está haciendo en el mercado. Es recomendable contar con al menos tres referencias para que la comparación sea de utilidad.

5.4.4 Pasos de la auditoría

6. Modelo de madurez de capacidad (MMC) de ASG

Programa de trabajo

6.4.2 Línea de tiempo del proyecto

6.4.3 Objetivos

Determinar las capacidades actuales de ASG mediante el Modelo de Madurez de Capacidades (MMC).
Establecer las futuras capacidades ASG deseadas utilizando el MMC.
Fijar planes de acción o cronogramas para lograr el estado futuro.
Documentar los objetivos anteriores en un informe para la dirección y/o el comité de auditoría.

6.4.4 Pasos de la auditoría

Fundamentos del programa y metodología del Modelo de Madurez de Capacidad (MMC) en los procesos de ASG

El modelo de madurez de capacidad (MMC) es un marco que describe un camino de mejora desde un proceso inmaduro ad hoc hasta un proceso maduro y disciplinado centrado en la mejora continua. El MMC define el estado de un proceso utilizando un lenguaje común que se basa en el Modelo de Madurez de Capacidad del Carnegie Mellon Software Engineering Institute.

Al establecer un programa ASG exitoso, se deben considerar los siguientes seis elementos de infraestructura con las actividades y/o entregables correspondientes:

El modelo de madurez de capacidad (MMC) es el marco metodológico utilizado para ayudar a las organizaciones a medir la evaluación de las capacidades actuales frente a su estado deseado. Se puede utilizar como diagnóstico en su proceso de evaluación para mejorar la presentación de informes a los propietarios del proceso y para resumir y comunicar los resultados a la dirección ejecutiva. El MMC medioambiental, social y de gobernanza (ASG/sostenibilidad) le ayuda a proporcionar un estándar con el que comparar su programa y crear un lenguaje coherente para evaluar sus actividades de ASG.

Modelo de madurez

Al combinar dichos elementos matricialmente, nos reflejan la situación que guarda algún proceso o actividad de la organización y nos da una perspectiva de las áreas en las que se tiene que lograr una mejora importante o en las que ya se ha logrado tener un nivel de gestión bastante aceptable.

Significa que en esta etapa de madurez se encuentra el elemento de control.

De igual manera, nos proporciona el nivel de mitigación de riesgos que existe en cada uno de los elementos de control.

4. Conclusiones

El modelo mostrado indica las características en las que el equipo de auditoría interna debe trabajar para poder hacer una evaluación del estatus de los avances para la implementación de la estrategia ASG, determinando el estado actual de las iniciativas y el estado deseado, así como el plan de acción para llegar a este último.

Texto de investigación editado por el Colegio de Contadores Públicos de México, A.C. con el objeto investigar y analizar temas de actualidad relacionados con la contaduría pública y los negocios como una aportación técnica y objetiva para los lectores. El contenido de este material es responsabilidad exclusiva de sus autores y no refleja la opinión o postura del Colegio de Contadores Públicos de México, A.C. sobre los temas abordados en él. Se prohíbe la reproducción total o parcial del material contenido en esta publicación sin autorización previa de los autores y el Colegio de Contadores Públicos de México, A.C.