Serie: Riesgos y Ciberresiliencia (Parte 3 de 5)

En la entrega anterior, definimos al "Auditor de Valor" como el antídoto necesario contra la "Miopía del Riesgo". Vimos que para cerrar la brecha entre la urgencia de la ciberseguridad hoy y la amenaza climática de mañana, necesitamos un profesional que mire hacia el futuro.

Pero terminamos con una pregunta incómoda: ¿Cómo auditamos lo que parece inauditable?

Durante décadas, la información financiera ha vivido en fortalezas de seguridad: los sistemas ERP (como SAP u Oracle). Nadie puede entrar, cambiar una cifra de ventas y salir sin dejar rastro. Hay controles, segregación de funciones y logs de auditoría.

La información de sostenibilidad (ESG), lamentablemente, a menudo vive en "el salvaje oeste": hojas de cálculo dispersas en las laptops de varios gerentes, correos electrónicos con facturas de energía adjuntas y cálculos manuales de huella de carbono hechos una vez al año con prisa.

Este caos es el caldo de cultivo perfecto para el Greenwashing no intencional. Una fórmula rota en Excel puede llevar a una empresa a reportar falsamente al mercado que ha cumplido sus metas climáticas.

Aquí es donde entra la "columna vertebral" que necesitamos: el marco COSO ICSR.

No reinventemos la rueda: Usémosla mejor

En 2023, el Comité de Organizaciones Patrocinadoras (COSO) lanzó una guía histórica: "Achieving Effective Internal Control Over Sustainability Reporting (ICSR)".

El mensaje central es un alivio para los auditores: No necesitas aprender un idioma nuevo. Los mismos 5 componentes y 17 principios que hemos usado desde 2013 para asegurar los reportes financieros (ICFR) funcionan perfectamente para los reportes de sostenibilidad (ICSR).

El desafío no es el marco, es la aplicación. Veamos cómo traducir COSO al mundo ESG para construir integridad en los datos.

1. Entorno de Control: la cultura comienza arriba

En finanzas, el tono de la gerencia sobre la ética es vital. En ESG, es existencial.

¿La Junta Directiva entiende realmente los riesgos climáticos o solo firma el reporte de sostenibilidad porque "hay que hacerlo"?

Para el Auditor de Valor, auditar el entorno de control significa verificar si existe competencia técnica en la alta dirección para combatir la miopía del corto plazo. ¿Hay alguien en el Comité de Auditoría que sepa distinguir entre Scope 1, Scope 2 y Scope 3? Si la respuesta es no, el entorno de control es débil, sin importar cuántas políticas escritas existan.

2. Evaluación de Riesgos: venciendo la paradoja con doble materialidad

Aquí conectamos directamente con la paradoja discutida en el Artículo 1. La evaluación de riesgos bajo COSO ICSR nos obliga a mirar más allá de los riesgos inmediatos (como la ciberseguridad) para integrar la doble materialidad:

1. Materialidad Financiera (Outside-In): Cómo el cambio climático impacta nuestras finanzas (ej. sequías afectando la cadena de suministro).
2. Materialidad de Impacto (Inside-Out): Cómo nuestra empresa impacta al mundo (ej. emisiones de carbono).

Aplicar COSO aquí significa preguntar: ¿Hemos identificado los riesgos de fraude en el reporte ESG?

Ejemplo práctico: Si los bonos de los ejecutivos están atados a reducir emisiones a corto plazo, existe un incentivo perverso para manipular los datos. El auditor debe identificar este riesgo específico y buscar controles mitigantes.

3. Actividades de Control: adiós al Excel manual

Este es el punto más doloroso. Muchas empresas calculan sus emisiones copiando datos de facturas PDF a un Excel maestro. El error humano es casi inevitable.

Aplicar el principio de "Actividades de Control" implica:

• Segregación de Funciones: La persona que calcula el indicador de diversidad no puede ser la misma que valida y autoriza su publicación.
• Controles de TI: Si usamos una hoja de cálculo, ¿está protegida con contraseña? ¿Tiene control de versiones? ¿Están las celdas de fórmulas bloqueadas?
• Validaciones Automáticas: Implementar sistemas que alerten si el consumo de agua de una planta varía más del 10% mes a mes (veremos más sobre tecnología en el próximo artículo).

4. Información y Comunicación: la trazabilidad del dato

En una auditoría financiera, si veo un gasto, puedo rastrearlo hasta la factura y la orden de compra (audit trail). En sostenibilidad, a menudo llegamos a un callejón sin salida.

El principio de Información y Comunicación exige Data Lineage (linaje de datos). El auditor debe poder responder: "Este dato de 500 toneladas de CO2, ¿de dónde salió exactamente? ¿Quién lo generó? ¿Cuándo se transformó?". Si la respuesta es "pregúntale a Juan, que tiene el archivo en su escritorio", tenemos una deficiencia material de control interno.

5. Monitoreo: auditoría continua

Finalmente, el monitoreo. No podemos esperar al final del año para revisar si los datos de enero eran correctos.

El monitoreo efectivo en ESG implica revisiones periódicas e, idealmente, auditoría continua. Si esperamos a diciembre para descubrir que la metodología de cálculo de emisiones cambió en febrero, el daño ya está hecho y el reporte anual estará viciado.

El valor de la confianza

Aplicar COSO ICSR no es burocracia; es blindaje.

Cuando una organización aplica estos controles, transforma sus datos ESG de "historias de marketing" a "información de grado inversor". Esto reduce el costo de capital (los bancos prestan más barato a empresas verdes confiables) y protege a los directores de litigios.

Pero incluso con el mejor marco teórico (COSO) y la mejor mentalidad (Auditor de Valor), nos enfrentamos a un problema práctico: el volumen.

¿Cómo aplicamos estos controles a miles de empleados para auditar la equidad social? ¿Cómo revisamos millones de transacciones para detectar proveedores no sostenibles?

La respuesta no es humana, es tecnológica.En la próxima entrega, "Tecnología y Datos: Auditando la Dimensión Social", dejaremos la teoría de control para entrar en el laboratorio de datos. Veremos cómo usar analítica avanzada para auditar la "S" (Social) de ESG y por qué la tecnología es el único camino para escalar la confianza.