Iván Rodríguez
Con
base en entrevistas y encuestas efectuadas por Gartner a más de 200 directores
ejecutivos de auditoría de su red de organizaciones clientes, (https://www.gartner.com/en) Malcolm Murray, Rafael Go y Leslee McKnight de dicha compañía analizan
11 riesgos clave, conectados por cuatro temas principales de riesgo, que pueden
ayudar a los equipos de auditoría a identificar más eficazmente los riesgos para
su organización y su impacto en la función de auditoría y sus partes
interesadas.
Tema 1: La importancia estratégica de los datos
De
acuerdo con los autores, un número creciente de organizaciones están utilizando
los datos como base para su estrategia comercial y para mejorar la experiencia
del cliente. Los datos también son críticos para la implementación de
tecnologías transformativas como la automatización de procesos robóticos (RPA)
y la inteligencia artificial (AI). Si bien el aprovechamiento de los datos
puede ser una fuente de ventaja competitiva, el big data conlleva grandes
riesgos en términos de calidad de los datos, protección y uso responsable. Los
siguientes riesgos forman un gran componente de los siguientes temas:
• Gobernabilidad de datos [1]:
En
muchas ocasiones, los datos organizacionales poseen errores, por lo que las
decisiones de negocios a menudo se toman con datos de baja calidad. Para
reducir la toma de decisiones equivocada y aumentar la eficiencia en el uso de
datos en toda la organización, la gobernabilidad de los datos es primordial,
sin embargo, la mayoría de las organizaciones carecen de marcos de
gobernabilidad de datos o enfrentan desafíos de implementación que obstaculizan
gravemente su capacidad para desbloquear el potencial del big data.
• Privacidad de datos
Con
el aumento de las nuevas, la privacidad de los datos es una de las principales
preocupaciones de las organizaciones en general. Las amenazas a la seguridad
continúan creciendo, debido al aumento de las violaciones de datos, lo que
expone a las organizaciones a multas y sanciones reglamentarias, así como a una
posible pérdida de clientes debido a la falta de confianza en las capacidades
de protección de datos de las organizaciones.
• Ética e Integridad
A
medida que las organizaciones se apresuran a implementar nuevas tecnologías, la
consideración del sesgo y la ética en las iniciativas digitales a menudo queda
atrás. Sin embargo, tanto los reguladores como los consumidores están empezando
a exigir a las organizaciones una mayor responsabilidad por la ética y la
integridad, lo que obliga a repensar si deben y cómo deben aprovechar las
capacidades digitales.
La
auditoría puede ayudar a la organización a hacer frente a los riesgos
relacionados con los datos al participar en los comités de trabajo pertinentes
para proporcionar información a medida que se construyen los marcos de
gobernanza y se llevan a cabo proyectos de aseguramiento sobre el uso, el
acceso, la clasificación y la capacitación de los datos.
Tema 2: Vulnerabilidades de TI
La
creciente complejidad de las infraestructuras tecnológicas de las
organizaciones y el mayor uso de las nuevas tecnologías, como los chatbots y el
Internet de las cosas (IoT), amplían los puntos de acceso a la organización.
Muchas de estas tecnologías no se controlan o son lentas para ajustarse y
actualizarse. El uso creciente por parte de actores de amenazas de herramientas
avanzadas como la inteligencia artificial - IA aumenta los puntos de ataque
potenciales y la frecuencia de los ataques. La confianza en los sistemas de TI
también los hace más susceptibles a las interrupciones y el tiempo de
inactividad, que la mayoría de las organizaciones experimentaron al menos una
vez en el último año. Dichas interrupciones pueden paralizar la productividad,
reducir los ingresos y dañar la marca de la organización. Para proteger las
ventajas que ofrece la tecnología, las organizaciones deben superar las
siguientes áreas de riesgo:
• Preparación para la Ciberseguridad
Los
ataques cibernéticos son una realidad para casi todas las organizaciones y
generan pérdidas financieras significativas, daños a la reputación y posibles
problemas de cumplimiento. A medida que los actores de amenazas continúan
multiplicándose y las nuevas tecnologías amplían la superficie de ataque de la
organización, la preparación para la seguridad cibernética es fundamental.
• Computación en la nube
Al
buscar ahorros en costos y eficiencias, cada vez más organizaciones transfieren
cantidades significativas de datos y procesos a la nube, incluida información
sensible y de gran valor. Con una visibilidad limitada de las actividades de
los proveedores de la nube y una multitud de aplicaciones de la nube que se
utilizan en toda la organización, la computación en la nube plantea riesgos importantes,
como la pérdida de datos, las interrupciones del servicio y el acceso
inadecuado a los datos.
Hay
varias actividades que los departamentos de auditoría pueden realizar para
garantizar las vulnerabilidades de TI, incluida la evaluación del cifrado, la
administración de parches y proveedores y la verificación de los controles de
TI, como las políticas de cuentas de usuarios privilegiados y las
configuraciones de seguridad de las aplicaciones en la nube.
Tema 3: Costo y presiones de crecimiento.
Las
organizaciones enfrentan desafíos crecientes a sus modelos de negocios por
parte de competidores disruptivos. En consecuencia, las organizaciones están
emprendiendo rápidamente más proyectos de transformación digital, expandiéndose
a nuevos sectores y mercados y rediseñando estrategias comerciales para
mantener el ritmo. Sin embargo, al buscar la eficiencia de costos y adoptar
nuevas estrategias de crecimiento, las organizaciones deben tener cuidado de no
debilitar el ambiente de control o de desestimar la gobernabilidad y la
supervisión. Además, las organizaciones deben asegurarse de contar con la
fuerza laboral necesaria para cumplir con los objetivos y estrategias
comerciales cambiantes. La dependencia de estas nuevas estrategias comerciales
puede manifestarse en los siguientes riesgos:
• Terceros
A
medida que las organizaciones buscan mantener la competitividad y la relevancia
en el mercado digital, están expandiendo su dependencia de terceros. La
interconexión de estas relaciones, a medida que más empresas persiguen modelos
de negocios de ecosistemas y los terceros aumentan su confianza en los socios,
amplifica la exposición al riesgo operacional y regulatorio.
• Transformación de negocios digitales
Las
organizaciones están experimentando una transformación empresarial digital
significativa. Estas grandes empresas a menudo se ejecutan rápidamente, creando
un riesgo significativo. Estos riesgos incluyen la reducción de la gobernanza y
la supervisión, así como las consecuencias no deseadas del aumento del fraude y
el posible desperdicio de recursos.
• Planificación estratégica de la fuerza laboral
La
rápida adopción de tecnologías emergentes y la automatización crean
incertidumbre en la determinación de las necesidades de talento para lograr los
objetivos comerciales. De manera similar, el uso más amplio del análisis de
datos y las crecientes amenazas de ciberseguridad aumentan la demanda de más
talento técnico, lo que puede ser difícil de encontrar y reclutar. Combinados,
estos factores hacen que la planificación estratégica de la fuerza laboral a
largo plazo sea extremadamente difícil.
Para
estos riesgos, la auditoría debe realizar proyectos de aseguramiento centrados
en los contratos de proveedores y proveedores, mejorar la gestión de los
proyectos digitales y de automatización, realizar evaluaciones de habilidades y
alinear la frecuencia y el alcance de las actualizaciones con los supuestos
estratégicos.
Tema 4: Horizontes de planificación acortados
La
incertidumbre y la volatilidad han sido características predominantes de 2018 y
es probable que también lo sean para 2019. El número de interrupciones que
amenazan las operaciones comerciales continúa creciendo, mientras que muchas
cuestiones importantes de política siguen sin resolverse.
La
inestabilidad en todo el mundo podría precipitar el declive económico y
aumentar la fragmentación regulatoria. El creciente escrutinio tanto de los
reguladores como del público ha obligado a las organizaciones a considerar la
rendición de cuentas por sus acciones y repensar ciertas prácticas. Todos estos
factores pueden dificultar que las organizaciones anticipen lo que debe
incluirse en los ejercicios de planificación de escenarios, así como el
desarrollo de estrategias a largo plazo en un entorno aparentemente
impredecible. De esto emergen los siguientes riesgos:
• Incertidumbre regulatoria
El
volumen y la complejidad de las regulaciones que las organizaciones deben
cumplir están aumentando. Un mayor control regulatorio en áreas establecidas,
combinado con la incertidumbre regulatoria en áreas nuevas, como la economía
digital, dificulta que las organizaciones formen estrategias a largo plazo y
cumplan con los requisitos de cumplimiento.
• Resiliencia operacional
El
número y la escala de los factores internos y externos que pueden interrumpir
las operaciones comerciales aumentan cada vez más; sin embargo, muchas organizaciones
no están preparadas para mantener operaciones comerciales críticas en caso de
una interrupción. Las condiciones económicas cambiantes y la conciencia
limitada sobre el riesgo pueden desafiar la resiliencia operativa, erosionar el
valor comercial y la competitividad, ya que las organizaciones no pueden
adaptarse y responder a las condiciones cambiantes.
• Comercio y aranceles
El
sistema de comercio mundial enfrenta el nivel más alto de incertidumbre en
décadas, y las tarifas impuestas e inminentes amenazan a las organizaciones,
las cadenas de suministro y las estrategias de crecimiento. Si bien la
volatilidad actual en el entorno geopolítico aumenta la incertidumbre sobre el
comercio y los aranceles, muchas organizaciones ya han comenzado a sentir las
consecuencias de las restricciones comerciales.
La
auditoría puede ayudar a la organización a mitigar estos riesgos mediante la
revisión de la frecuencia y las inclusiones en la planificación de escenarios,
evaluando la conciencia de riesgo y la tolerancia de la organización y
evaluando los mecanismos de la organización para monitorear el cambio en el
entorno regulatorio y económico.
El desafío de la auditoría interna
A
lo largo de 2019, será fundamental para las organizaciones gestionar estos 11
riesgos. Para ello, la auditoría debe proporcionar garantías sobre riesgos
perennes y nuevos, cada vez más dinámicos, que requieren la función de adaptar
su enfoque mientras mantiene su objetividad e independencia.
[1]
Tomado de https://www.corporatecomplianceinsights.com/why-2019-could-be-a-challenging-year-for-internal-audit/
[2]
Se entiende por Gobernabilidad de Datos al ejercicio —acciones- del proceso de
toma de decisiones y de autoridad en materias referidas a los datos. Tomado de: https://msaffirio.wordpress.com/2017/01/11/gobernabilidad-de-datos/
¿Te ha
gustado la información? ¡Compártela con otro auditor interno!
Excelente, gracias por compartir!!!
ResponderEliminar