Javier Fernando Klus, MBA, CIA
Los Departamentos de Auditoría interna han comenzado a definir los lineamientos de cómo serán sus planes de Auditoría para el año 2022, un año que todavía parece que estará enmarcado dentro de la “nueva normalidad”. Las proyecciones que la pandemia para esta altura estaría en una curva descendente parecen no haber sido acertadas, las noticias de Europa y Sudáfrica marcan que todavía podemos estar esperando noticias no muy buenas sobre esta pandemia. Esto implica que los planes de las organizaciones de volver a tener toda su fuerza de trabajo de forma presencial pueden sufrir interrupciones momentáneas. Por otra parte, como en todo acontecimiento disruptivo se generan efectos colaterales de relevancia, en el caso de las organizaciones vemos como muchos empleados ya están exigiendo no como una posibilidad sino como un beneficio concreto el trabajo remoto.
Muchas empresas están y deberán seguir lidiando con su ADN cultural de pensar que el trabajo si no es presencial no es trabajo y un mercado laboral que se ha dado cuenta de los beneficios del trabajo remoto, que demostró que es posible y que no querrá perder lo ganado. No por nada en muchos países desarrollados se están hablando de “La Gran Renuncia” como un movimiento surgido de forma similar a lo que fue el “Baby Boomer” con posterioridad a la segunda guerra mundial (ver artículo https://www.bbc.com/mundo/noticias-57645362).
Estos son algunos aspectos del contexto que los auditores internos deberán tener en cuenta (¡¡y no nos olvidemos de la Ciberseguridad”!!) como elementos al momento de planificar su plan anual, el cual como en otros artículos dijimos ya no tenemos que llamarlo anual, pues este plan debe ser iterativo, adaptable y muy dinámico.
Tomando como base el documento emitido por el European Confederation of Institute of Internal Auditor (ECIIA), podemos establecer que los 5 riesgos más relevantes que las organizaciones actualmente o bien en el futuro esperan enfrentar son: (1) Ciberseguridad, (2) Cambios en leyes y regulaciones, (3) Disrupción Digital, (4) Capital Humano, desarrollo de talentos y diversidad y finalmente Continuidad de Negocios y respuesta ante desastres.
Como vemos no es nada diferente a lo determinado por los enfoque y encuestas de riesgo que se han venido emitiendo en estos últimos tiempos, lo que sí es importante destacar es que Ciberseguridad es un riesgo que se viene incrementando año tras año y que cada vez más está en la mente de los departamentos de Auditoría Interna, los cambios en las regulaciones es un riesgo que sigue presente en los departamentos pero en una importancia menor a otros años, la disrupción digital sigue siendo un riesgo, pero en la medida que vamos transitando por la misma y vamos comenzando a entender su impacto, la percepción del riesgo disminuye, los riesgos relacionados con Capital Humano siguen creciendo, en parte precisamente por los impactos de esta pandemia, y continuidad de negocio ha crecido y es natural dado que muchas empresas vivieron en carne propia lo que era no tener un BCP o BRP.
Un párrafo aparte es la consideración, por lo menos para los Departamentos de AI de países avanzados, de los riesgos relacionados con impacto climático y sustentabilidad, el cual ha crecido significativamente con respecto a años anteriores. Como hemos visto la sustentabilidad, el balance social y otros aspectos ha empezado a estar de forma relevante en las agendas de las empresas porque ha comenzado a ser un reclamo cada vez más fuerte de los gobiernos y de los propios consumidores. Como marca el estudio la percepción de este riesgo dentro de los Directores de Auditoría Interna se incrementó en un 41%.
Un dato interesante del análisis realizado es que los riesgos que han tenido una mayor tasa de variación positiva (es decir que ha aumentado su percepción como riesgo para los Directores de Auditoría) son los relacionados con Capital Humano y desarrollo de talento, Continuidad de Negocio, Cambio climático y sustentabilidad, cultura organizacional y Salud y Seguridad. Si excluimos en principio Cambios climáticos y sustentabilidad, podemos decir que el resto de los riesgos tiene una relación directa con la pandemia.
Otro dato interesante y que señala la brecha que puede existir entre la percepción del riesgo y el tiempo real destinado a dicho riesgo es el indicador de tiempo y esfuerzo destinado a los riesgos vs. priorización del riesgo. En este caso se puede observar que, de los 5 riesgos más relevantes, Ciberseguridad y cambios en regulaciones son riesgos para los cuales se les destina un tiempo y esfuerzo proporcional a la percepción que se tiene de ese riesgo. Continuidad de negocio es un riesgo para el cual se le destina mucho más tiempo y esfuerzo que la valoración real que tenemos de este riesgo (un aspecto para tener en cuenta) y finalmente la Disrupción Digital y cambio climático (que no está dentro del TOP 5 pero es un riesgo que ha crecido rápidamente) son riesgos para los cuales se les destina mucho menos tiempo y esfuerzo en proporción a la percepción que tenemos de él.
Esto sí implica un punto de atención para los departamentos de auditoría interna pues no se están destinando de forma apropiada los recursos para poder mitigar estos riesgos que proporcionalmente tiene un impacto elevado. Esto representa un desafío para los directores de Auditoría interna, pues ambos riesgos por una u otra razón no son muy predecibles o entendibles por parte de los Departamentos de Auditoría interna, o bien no se disponen de los recursos apropiados. Una u otra razón está generando una brecha importante en la cobertura de riesgos de la organización.
Como vemos, el Plan 2022 de los Departamentos de Auditoría interna tiene su complejidad (como siempre), los riesgos asociados de la pandemia no se han ido y su impacto se dejará notar por un tiempo más, Ciberseguridad es un ítem que tiene que estar siempre en la agenda del Departamento, disrupción digital también y vemos como cambio climático es un riesgo que empieza a tomar entidad, no es un riesgo común a ser abordado por los Departamentos de Auditoría Interna ni tampoco por las organizaciones en general, por lo tanto este riesgo requiere un abordaje conjunto de toda la organización.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
La auditoria de ciberseguridad de la información es un proceso de evaluación que evalúa las prácticas de seguridad establecidas de una organización. Es un proceso que determina la efectividad de los sistemas de defensa establecidos ante cualquier amenaza. La auditoría de seguridad de la información generalmente incluye análisis de vulnerabilidades, pruebas de penetración, evaluaciones de red y mucho más que ayudan a determinar vulnerabilidades y lagunas de seguridad en los sistemas de TI. La auditoría es una combinación de administración, hardware físico, aplicación de software y evaluación de la red. De esta manera, el proceso de evaluación puede ayudar a una empresa / organización a comprender su postura actual de seguridad.
ResponderEliminar