ISACA Journal
Volume 5, 2,018 

Translated Articles 

El aspecto practico: Fusiones y adquisiciones, ¿debería involucrarse la auditoría interna en la diligencia debida? 

Vasant Raval, DBA, CISA, ACMA, and Chandni Jalan, CISA, CITP, CPA 

Las corporaciones de hoy, especialmente las grandes, consideran que las adquisiciones son un medio crucial para lograr su estrategia. Dependiendo de la necesidad estratégica, esto puede incluir varios resultados deseados: avanzar su huella en la tecnología actual, disminuir la competencia al eliminar o socavar una nueva empresa prometedora que podría intensificar la competencia en el futuro, ampliar los horizontes del negocio de la compañía o simplemente alimentar más crecimiento cuando la empresa parece estancarse. Hay beneficios importantes de la adquisición que generalmente no están disponibles por ningún otro medio, como ponerse al día con el tiempo perdido en la construcción de una ventaja competitiva o aprovechar un talento invaluable que de otro modo sería inaccesible.

Las fusiones y adquisiciones corporativas (M&A) se consideran significativas, tanto desde el punto de vista estratégico como económico, en casi todos los sectores de la economía.1 Pero las oportunidades en las adquisiciones están enredadas con el riesgo que necesita ser identificado, evaluado y mitigado. No solo las adquisiciones hostiles, sino también las adquisiciones amistosas requieren mucho tiempo y son estresantes, y requieren un “ejército” de personas de la jerarquía administrativa e incluso consultores externos para llevar a cabo la diligencia debida y prepararse para el enfoque inicial. El tiempo y la duración pueden ser muy críticos para administrar. Para citar a los investigadores:

Las fusiones y adquisiciones (M&A)son un proceso complejo que involucra riesgos que van desde los asuntos financieros y legales hasta los desafíos de ventas y mercadeo y todo lo que se encuentre en el medio. A pesar de los beneficios bien establecidos de la expansión e integración de negocios impulsados estratégicamente a través de fusiones y adquisiciones (M&A), la organización consolidada se expone a una serie de factores de riesgo anticipados, desconocidos y no deseados..2

Sobre la base de un estudio de adquisiciones realizadas por compañías británicas tanto en el Reino Unido como en los Estados Unidos, se sugiere un papel más proactivo para la función de auditoría interna en la planificación de adquisiciones. Los investigadores observaron: “Las adquisiciones y las fusiones a menudo fallan porque no se presta suficiente atención a la realización de una auditoría organizativa del proveedor antes de firmar el acuerdo”.3 Un estudio internacional realizado más tarde descubrió que la participación real del auditor interno en la planificación estratégica y la planificación de adquisiciones específicas fue del 27 por ciento y el 14 por ciento, respectivamente.4

¿Tiene sentido involucrar a los auditores internos en la diligencia debida? Aquí hay un ejemplo. Una organización de Fortune 500 decide mejorar significativamente su ventaja estratégica al adquirir una empresa nueva de cinco años preparada para el éxito. Para ello, la empresa compradora paga una fortuna. En cuestión de meses, la organización encuentra que su adquisición fue una objeción engañosa del director ejecutivo (CEO) de la organización adquirida. Manejó los números financieros de su organización para que la imagen pareciera atractiva y atractiva para la adquisición. Dejando a un lado los sueños de salir adelante estratégicamente, la organización adquirente tuvo que registrar un cargo por deterioro material, sustancialmente, todos los costos de adquisición, en la adquisición. Los acuerdos de reventa falsos, las transacciones con fecha atrasada y las transacciones de ida y vuelta se utilizaron para inflar los números de contabilidad, y el adquirente creía que todo era real.

¿Podría haber ocurrido esto si la organización adquirente incluyó en su equipo de diligencia debida a sus auditores internos? Claramente, si el problema se detectó desde el principio, el comprador habría ahorrado una cantidad considerable de pena y dinero que vertió en este esfuerzo de adquisición. Cuando una organización adquirente entra en la fase de diligencia debida, la auditoría interna puede ayudar a gestionar el riesgo de adquisición. Aquí hay unos ejemplos:

  • Evaluar el entorno actual de riesgo y control. Los auditores internos pueden evaluar la composición de la estructura de control actual desde un punto de vista de riesgo. Por ejemplo, ¿hay un número desproporcionadamente alto de controles manuales en comparación con los controles automatizados? ¿Por qué? ¿Qué sucede si el entorno de control no es tan sólido como el del potencial comprador? Los auditores pueden evaluar qué impacto, si lo hay, puede tener esto en la diligencia debida y la decisión de licitación.
  • Revise los resultados de las auditorías internas y las auditorías externas para determinar los problemas actuales en la organización. Si la administración decide asumir el riesgo y no toma medidas para remediar una deficiencia dada, es importante que la organización adquirente comprenda el análisis de costo-beneficio realizado y qué otros controles de compensación a nivel de entidad están implementados que hicieron que la administración se sintiera cómoda con respecto a los errores materiales. sería detectado de manera oportuna.
  • Evalúe la competencia (conocimiento, habilidades, experiencia) y la independencia de los propietarios de procesos/control clave en toda la organización.

Una vez que se ha completado la adquisición, un auditor interno debe poder ayudar a asegurar que la integración de la organización adquirida en la organización adquirente sea efectiva y eficiente. Por ejemplo:

  • Los auditores internos pueden proporcionar seguridad de que el negocio adquirido está alineado con el entorno de control de la organización. ¿Cómo? Esto comienza con una hoja de ruta que establece la integración del sistema, la integración de personas y la integración de procesos, establece el marco de tiempo y describe cómo. Una hoja de ruta es clave, ya que cualquier adquisición requiere tiempo para integrarse, especialmente si se trata de una adquisición grande. Dependiendo de la línea de tiempo, el comprador debe asegurarse de que tenga fuertes controles a nivel de entidad que cubran también a la organización adquirida, por lo que cualquier riesgo que pueda llevar a una representación errónea de importancia se mitiga adecuadamente a través de esos controles a nivel de entidad ( hasta que la organización adquirida esté totalmente integrada).
  • La organización adquirida puede no estar completamente integrada por algunos años. ¿Cómo afecta esto a la evaluación? ¿De qué manera afectaría esto al cumplimiento de las regulaciones actuales (por ejemplo, la Ley Sarbanes-Oxley de los EE. UU.)?
  • Los auditores internos pueden garantizar que la organización adquirida no diluya el ambiente de control, lo que lleva a una debilidad material o una deficiencia significativa. La capacitación continua, la finalización oportuna del análisis de fluctuación mensual, las conciliaciones de balance y otros controles de alto nivel son relevantes aquí. La incorporación oportuna de las partes interesadas clave de la organización adquirida es fundamental para garantizar que entiendan la cultura de la empresa, el tono en la parte superior y su compromiso con las prácticas comerciales éticas y sólidas. Además, fomentar la comunicación abierta es fundamental, por lo que cualquier problema se discute y resuelve cuando se identifican en lugar de “mirar hacia otro lado”.

¿Qué aporta el auditor interno que otros en el equipo de diligencia pueden no tener?

  • Independencia/objetividad—Los auditores internos normalmente se encontrarían caminando por una línea fina. El ambiente de control es responsabilidad de la gerencia, por lo que los auditores deben determinar cuidadosamente los pasos que pueden tomar para asegurarse de que no afecten su independencia mientras que aún puedan ayudar a la organización en la evaluación de riesgos y, si la adquisición se materializa, en una transición sin problemas. Los auditores internos deben ser conscientes de su función como asesores y no asumir una función/responsabilidad de gestión, evitando así estar en una posición de auditoría de su propio trabajo más adelante. Por ejemplo, si se implementa un nuevo sistema, el equipo de auditoría interna puede intercambiar ideas con los dueños de los procesos/negocios para garantizar que se consideren los factores de riesgo clave y la unidad de negocios bajo consideración de adquisición diseña e implementa controles adecuados para mitigar el riesgo. La auditoría interna puede proporcionar recomendaciones sobre el diseño, pero no debe diseñar el control por sí mismo ya que es responsabilidad de la administración.
  • Nuevos sistemas y tecnologías en el objetivo de adquisición—Si la organización objetivo no tiene un buen mapa de TI del entorno actual, podría generar varios desafíos para el adquirente, especialmente si se trata de una línea de negocios que es única, complicada o en la que el comprador potencial no tiene mucha experiencia/pericia. A veces, esta es precisamente la razón por la cual la organización está buscando adquirir al innovador. Si bien los beneficios pueden ser casi seguros y bastante grandes, el riesgo concomitante debe gestionarse para aprovechar los beneficios. Los auditores internos pueden ayudar efectivamente a revisar y, si es necesario, revisar las políticas existentes de la organización para cubrir el riesgo y asegurar que se prepare un mapa de TI viable, que se extienda varios hitos más allá de la fecha de adquisición, y se realice y documente una revisión de la administración.
  • Gestión de riesgos de terceros en el objetivo de adquisición—El objetivo de adquisición puede tratarse con su propia red de terceros. Es necesario determinar si el riesgo de tener a bordo a terceros para proporcionar servicios o productos se identifica adecuadamente y se administra de manera sistemática. Si se materializa algún riesgo a nivel de la organización adquirida, los efectos en cascada del compromiso podrían engullir a la organización que busca la adquisición. Este es el caso de las herencias de vulnerabilidad.5 Por ejemplo, en la organización en proceso de adquisición, controles más débiles alrededor de terceros (por ejemplo, no tener un inventario adecuado de todos los terceros utilizados; no solicitar y/o revisar los informes de Controles de Organización de Servicios [SOC] 1, si corresponde; encontrar los contratos recientes y los contratos a plazo no están disponibles) podrían sin duda conducir a una exposición financiera en los casos en que existan cláusulas que sean vinculantes y se trasladen al posible adquirente.
  • Ahorro de costes y reestructuración organizativa—Estas son presiones típicas que emergen en la etapa posterior a la adquisición/integración. Los auditores internos pueden anticipar algunos de estos y responder más eficazmente si también participan en etapas anteriores del proceso de adquisición.

Se realizó un estudio exhaustivo del papel de la auditoría interna durante las fusiones y adquisiciones (M&A).6 Clasificó el proceso de M&A en cuatro etapas: desarrollo de estrategia, diligencia debida, integración posterior a la adquisición y auditoría posterior a la adquisición, y sugirió las mejores prácticas para la participación de los auditores internos en cada etapa. Por ejemplo, la etapa de desarrollo de la estrategia incluye la práctica de auditar el proceso utilizado para evaluar y gestionar el riesgo y ofrecer asesoramiento sobre sistemas y procesos que podrían reducir el riesgo de adquisición. En la etapa tres, integración posterior a la adquisición, la mejor práctica sería preparar una lista de verificación de las actividades necesarias para actualizar el valor esperado de la adquisición.

Tal vez porque este no es un ejercicio de rutina en auditoría interna y forense, el rol de los auditores en M&A no es una discusión común. Sin embargo, las habilidades que los auditores tienen y usan normalmente dentro de la organización son igualmente aplicables y, quizás, agreguen mucho más valor a los ejercicios no rutinarios, como las fusiones y adquisiciones (M&A). En todo caso, es probable que la recompensa sea mucho mayor y las oportunidades para mitigar el riesgo que golpea a la puerta realmente valgan la pena para el personal de auditoría. Después de todo, conocen bien a su organización y deberían poder saber si el riesgo de adquisición se puede gestionar de manera efectiva. La prevención aquí tiene un gran valor en comparación con la cura.

Notas finales

1 Khazanchi, D.; V. Arora; “Evaluating IT Integration Risk Prior to Mergers and Acquisitions,” ISACA Journal, vol. 1, 2016, https://www.isaca.org/archives
2 Ibid.
3 Lees, S.; “Auditing Mergers and Acquisitions—Caveat Emptor,” Managerial Auditing Journal, vol. 7, no. 4, 1992, https://www.emeraldinsight.com/doi/abs/10.1108/02686909210012806
4 Selim, G. M.; S. Sudarsanam; M. K. Lavine; Mergers, Acquisitions, and Divestitures: Control and Audit Best Practices, The Institute of Internal Auditors Research Foundation, USA, 2002
5 Raval, V.; S. Shah; “Third-Party Risk Management,” ISACA Journal, vol. 2, 2017, https://www.isaca.org/archives
6 Dounis, N.; “The Role of Internal Auditing During Mergers & Acquisitions: The European Union Experience,” The Institute of Internal Auditors Research Foundation, USA, January 2007

Vasant Raval, DBA, CISA, ACMA
Es profesor de contabilidad en la Universidad de Creighton (Omaha, Nebraska, EE. UU.). Coautor de dos libros sobre sistemas de información y seguridad, sus áreas de enseñanza e intereses de investigación incluyen la seguridad de la información y el gobierno corporativo. Se le puede contactar en vraval@creighton.edu.

Chandni Jalan, CISA, CITP, CPA
Puede ser contactado en Chandni05@gmail.com.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.