El CP Felipe Alberto Pérez Hernández, colaborador de Auditool elaboró el siguiente artículo, basado en el informe Risk in Focus Latinoamérica, en la que se analicen los resultados de una gran encuesta efectuada entre 956 Directores Ejecutivos de Auditoría (DEA) de Latinoamérica y el Caribe acerca de los principales riesgos que llaman su atención. Con esto en mente, es necesario mencionar que el riesgo en ciberseguridad es el que más preocupa en la región.
Teniendo en cuenta que la ciberseguridad se refiere a la probabilidad de ocurrencia de incidentes que tienen el potencial de causar daños o pérdidas que involucren las redes, sistemas informáticos y aplicaciones, el cual podría ser devastadoras para las empresas, sus empleados y clientes.
Ahora, debemos preocuparnos por este riesgo cibernético porque se trata del más importante para las organizaciones de la región.
ALERTA: RIESGO EN CIBERSEGURIDAD
A continuación, conoce las principales razones por las que tanto la auditoría interna como externa deben estar alerta ante este riesgo:
- Impacto financiero: los ciberdelincuentes suelen exigir grandes cantidades de dinero por la información secuestrada, lo que puede generar graves repercusiones financieras. Asimismo, este riesgo puede ocasionar interrupción del negocio, incluso sanciones económicas por incumplimiento de regulaciones, estas sanciones pueden ser un impacto relevante en los estados financieros.
- Reputación y confianza: Se debe reconocer que la confianza es un activo intangible crítico, por lo que, un ataque cibernético puede destruir, en minutos, la reputación que la organización ha construido durante años.
- Continuidad en el negocio: los ataques cibernéticos pueden paralizar las operaciones críticas, lo que afecta la capacidad de una empresa para funcionar y pone en peligro su existencia misma.
- Responsabilidades legales y de cumplimiento: pese al mejoramiento de las regulaciones de protección de datos y seguridad cibernética en América Latina, no todos los países de la región cuentan con legislaciones robustas. Lo anterior no es un impedimento para que las empresas adviertan que las regulaciones están evolucionando rápidamente para incluir estrictas medidas en materia de protección de datos.
- Cadena de suministro: no solo debemos preocuparnos por nuestra propia seguridad cibernética, sino también por la de nuestros proveedores y socios. Un eslabón débil puede comprometer a toda la red.
ACCIONAR DE LOS AUDITORES
A continuación, conoceremos las acciones y mejores prácticas que deben emprender e impulsar los auditores internos:
- La auditoría interna está invirtiendo en impulsar el conocimiento y la actualización en tecnologías disruptivas como la Inteligencia Artificial (IA).Aspectos como mantener o bloquear el acceso a la IA son parte de los cuestionamientos éticos que se deben resolver sin perjuicio de brindar capacitación adecuada a las personas en estas tecnologías.
- Es clave para los auditores internos construir relaciones con las líneas de negocio que están introduciendo nuevas tecnologías para que puedan dar asesoramiento sobre riesgos y controles antes de la implementación.
- Mantener contacto cercano con la gerencia de primera línea para ayudar a identificar posibles puntos débiles, también, se deben asignar esfuerzos de investigación enfocados donde se detecte el riesgo más alto y, si el riesgo no se está gestionando, debemos llevarlo a los líderes para establecer planes de acción.
- Estandarizar el conocimiento en las diferentes regiones del negocio. Teniendo en cuenta la desigualdad en madurez digital que presentan las empresas, situación más visible en países con menos recursos, conviene estandarizar el conocimiento en las diferentes regiones del negocio. Compartir experiencias y problemas identificados estrecha las relaciones y fortalece las defensas frente a los riesgos.
Atención a los auditores financieros externos
A continuación, presentamos cómo pueden verse afectados los estados financieros de su empresa auditada:
- Activos intangibles y goodwill: un ataque cibernético puede comprometer los activos intangibles, como la propiedad intelectual o los datos de clientes. Esto puede resultar en la disminución del valor goodwill, especialmente si la confianza del cliente se ve afectada negativamente. En consecuencia, se podrían requerir ajustes en la valoración de activos intangibles y, posiblemente, la necesidad de reconocer su deterioro.
- Activos fijos y tecnológicos: los sistemas de TI dañados o comprometidos pueden requerir reparaciones costosas o reemplazos, lo que podría resultar en un aumento en los gastos de capital o en gastos extraordinarios que deben reflejarse adecuadamente en los estados financieros.
- Pasivos contingentes: las brechas de seguridad pueden generar violaciones de datos que les pueden acarrear a las organizaciones costos legales, compensaciones a clientes y multas regulatorias. Estos eventos deben evaluarse y, si es probable y se pueden estimar razonablemente, deben registrarse como pasivos contingentes.
- Continuidad del negocio: la continuidad del negocio puede verse comprometida, por lo que este hecho debe presentarse y revelarse adecuadamente en los estados financieros.
- Revelaciones en las notas a los estados financieros: es imperativo que las empresas revelen los efectos significativos de los riesgos cibernéticos y los incidentes de seguridad que puedan afectar las evaluaciones y decisiones de los usuarios de los estados financieros.
Ahora, es momento de considerar estas recomendaciones generales para los auditores externos:
- Evaluación de riesgos: realizar una evaluación de riesgos cibernéticos detallada como parte del proceso de auditoría. Esto incluye entender el entorno de TI de la empresa y las medidas de seguridad implementadas.
- Revisión de incidentes y respuesta: los auditores deben revisar la respuesta de la empresa a los incidentes cibernéticos, asegurándose de que las estimaciones de pérdidas y las provisiones para pasivos contingentes reflejen la realidad y cumplan con el marco de información financiera aplicable.
- Pruebas sustantivas: realizar pruebas sustantivas en áreas afectadas por riesgos cibernéticos, como la recuperabilidad de los activos intangibles y la valuación de los activos contingentes.
- Revisión de la continuidad del negocio y planes de recuperación: verificar si la empresa tiene planes de continuidad del negocio y de recuperación de desastres, y cómo estos se han implementado en respuesta a los incidentes.
- Revelaciones en las notas a los estados financieros: asegurar que las notas reflejen claramente la naturaleza de los riesgos cibernéticos, sean adecuadas y completas, expliquen con suficiencia la naturaleza, el impacto financiero estimado, incluyendo cualquier estimación de pérdida o contingencia.
Es imperativo tener en cuenta que, el riesgo cibernético no es solo un problema de TI, sino que se trata de un riesgo empresarial que requiere una comprensión integral y una gestión efectiva en todos los niveles de la organización.
Finalmente, es preciso hacer un llamado para que los países de la región armonicen sus legislaciones, teniendo en cuenta los marcos normativos/regulatorios de la región en referencia a la protección de datos y ciberseguridad, ya que eso podría crear importantes beneficios económicos y sociales que incrementen la confianza de los inversionistas extranjeros y nacionales y promuevan la innovación y la diversificación económica.
Fuente: Auditool, Iaia y R. M. Díaz y G. Núñez.