Aunque las compañías más preparadas tienen todo tipo de casos contemplados en sus auditorías, hay situaciones que pueden ser demasiado inmediatas o complejas: la seguridad cibernética está en constante desarrollo, al igual que las legislaciones que aplican sobre esta, es importante estar al día; la adaptación del COSO 2013 es algo que no todas las empresas han hecho; debemos tener un ojo especial sobre los terceros de nuestra empresa, incluso para ayudarlos a mejorar; la información en la nube está en la tendencia ahora, es bueno siempre saber qué se comparte; la tecnología móvil se traduce en transportar información o datos que pueden ser clave, hay que cuidarlos.

Redacción INCP a partir del artículo publicado en Auditool 

Para mayor información, puede revisar el artículo titulado “Riesgos que deben estar en el radar de auditoría ¡ahora!” de la fuente Auditool. 

Riesgos que deben estar en el radar de auditoría ¡ahora!

En términos generales, creo que los auditores internos hacen un buen trabajo al evaluar los riesgos y al desarrollar los planes de auditoría basados en el riesgo. Sin embargo, siempre existe el peligro de que riesgos desconocidos sean pasados por alto o que los riesgos que emergen rápidamente vuelvan obsoleto incluso el mejor y más elaborado plan de auditoría. Si típicamente solo se llevan a cabo evaluaciones de riesgo una o dos veces al año, puede que en estas no se incluyan varios riesgos que estallen de repente en el radar de la gestión o del Comité de la empresa.

Estas son algunas de las áreas de riesgo que se deben tener en cuenta:

1. Marcos de seguridad cibernética.

Sé que ustedes lo han escuchado antes: la seguridad cibernética es un gran motivo de preocupación, situándose cerca de la parte superior de casi todas las listas de riesgos del negocio en la última década. Sin embargo, los niveles de riesgo son más altos que nunca este año y debido a los peligros que incrementan rápidamente, muchos creen que el Marco de Seguridad cibernética y otros marcos similares del Instituto Nacional de Estándares y Tecnología pronto se convertirán en estándares para todas las empresas.

El Pronóstico de Ciberseguridad de Kroll, señala: “a medida que nuevas leyes evolucionan reflejando las directrices del NIST y se parecen más a la directiva privada de la UE, algunas empresas estadounidenses se encontrarán mal preparadas para responder eficazmente a las regulaciones”. Incluso donde los requisitos reglamentarios no están cambiando, existe una presión para actuar de conformidad con estos. Según Kroll, las organizaciones que no sigan esta misma acción pueden ser objeto de demandas por parte de los accionistas y enfrentar otros problemas legales.

Los comités de auditoría entienden que los sistemas de seguridad cibernética pueden fallar en cualquier lugar y en cualquier momento. Pero, si su empresa aún no ha adoptado un marco de seguridad cibernética estricto y riguroso, no se sorprenda si un día cercano su Comité le pregunta por qué auditoría interna nunca lo recomendó. Se trata simplemente de un paso lógico.

2. COSO 2013.

Incluso si COSO está presente en su organización, el equipo de gestión todavía podría encontrarse poco preparado para los cambios provocados por COSO 2013. La diferencia principal entre la “vieja COSO” y la “nueva COSO” radica en la ampliación del alcance y en la aplicabilidad del marco. Su equipo de gestión podría estar teniendo problemas para comprender plenamente los nuevos requisitos o las aclaraciones importantes.

Si realmente creemos en trabajar en conjunto con la dirección, hay que asegurarse de que la transición a COSO 2013 sea transparente. Todos sabemos que los controles son responsabilidad de la dirección; pero en muchas organizaciones esta se basa en los consejos de auditoría interna sobre COSO. Por lo tanto, es mejor abordar la situación que descubrir más tarde que la dirección no se preparó adecuadamente.

En la encuesta del Pulso de la Profesión, el Centro Ejecutivo de Auditoría del IIA señaló que el 45% de los encuestados tenía la responsabilidad general de evaluar e informar a control interno y el 42% proyectaron que tendrían la responsabilidad general de la transición/adopción del marco de referencia COSO 2013. Además, el 38% indicó que tendrían la responsabilidad general de la gestión de proyectos para la transición de su organización hacia el Marco de Control Interno integrado de COSO 2013.

3. Riesgos de terceros.

Los auditores internos deben ocuparse por los riesgos de los terceros. Los días en que los proveedores o socios de una empresa eran empresas muy conocidas y de confianza en la misma calle o pueblo son ahora un recuerdo lejano.

Para aquellos en industrias altamente reguladas, los riesgos de terceros están en lo alto de las listas de tareas pendientes. Esto ocurre porque los reguladores están intensificando su enfoque en estos riesgos. Además, varios otros grupos reguladores esperan que las organizaciones identifiquen proactivamente los posibles retos de terceros. Su organización probablemente esté obligada a verificar no sólo si los proveedores comerciales cumplen la normativa, sino también si los proveedores y los socios cuentan con sistemas eficaces y sólidamente implementados de gestión de riesgos, y de notificación de incidentes.

No estar bajo un microscopio de regulación no significa que los riesgos de terceros de la empresa sean menores. Los reguladores simplemente no se pueden estar señalando los riesgos.

Muchos auditores creen que abordar las auditorías de terceros es prohibitivo porque requiere mucho tiempo. En realidad, incluso una auditoría de alcance limitado puede ser sorprendentemente eficaz. Una breve revisión de los procedimientos de contratación puede establecer rápidamente si la evaluación del riesgo adecuada y la debida diligencia se realizan rutinariamente en la selección de terceros, si las cláusulas de derecho a la auditoría y otras precauciones importantes están incorporadas en los modelos de contrato estándar, si se lleva a cabo un seguimiento continuo y si el Consejo se mantiene informado acerca de los riesgos significativos de terceros.

Tenga en cuenta que la administración no puede “lavarse las manos” de los riesgos simplemente transfiriendo la responsabilidad fuera de la empresa. Por lo tanto, si usted no ha evaluado esta área recientemente, es probable que valga la pena invertirle tiempo ahora.

4. Computación en la nube.

Anteriormente mencioné los crecientes peligros de seguridad cibernética y de los riesgos de terceros; pero, la computación en la nube merece una atención especial, ya que implica estos dos riesgos y otros más. En la computación en la nube, los datos se almacenan y procesan a través de Internet bajo el control de terceros. Estos proveedores externos se enfrentan a una presión constante para proporcionar acceso instantáneo a los datos y para construir capacidades sólidas de complementos.

Por desgracia, proporcionar nuevas características, transparencia y accesibilidad instantánea puede entrar en conflicto con el desarrollo de una nube de gran seguridad.

5. Tecnología móvil.

De todos los riesgos en esta lista, la tecnología móvil puede ser el de más rápida evolución. Aunque la comodidad que ofrece el teléfono móvil es grande, los riesgos pueden ser sorprendentemente altos. Tenemos la tendencia a considerar dispositivos móviles solo los teléfonos inteligentes; pero, en realidad transportamos datos de muchas otras maneras, en muchos tipos de dispositivos y cada uno crea un conjunto de desafíos que normalmente no se encuentran en los sistemas de tecnología tradicional.

Los teléfonos inteligentes y otros dispositivos de mano son susceptibles al robo de datos porque se basan en redes inalámbricas. Pero eso no es todo; los auriculares inalámbricos, micrófonos y otros dispositivos que no almacenan ni procesan información pueden traer riesgos también. Incluso los dispositivos infrarrojos simples, tales como el teclado del ordenador o el ratón inalámbrico pueden ser explotados.

Fuente: Auditool