La Auditoría Interna es una función que sin dejar de ser parte de la empresa, es independiente de la administración y cuenta con libertad de actuación para analizar y diagnosticar las situaciones del día a día de la empresa.
Esa “sana distancia” de los auditores respecto de la operación, les permite vigilar que la empresa actúe de acuerdo a los lineamientos que ella misma diseñó e implementó, además de identificar si dichos lineamientos siguen siendo vigentes y fortalecen el funcionamiento de los sistemas internos, sin afectar su capacidad de generar más valor en el mejor tiempo posible.
Cada empresa requiere una área o función de auditoría de acuerdo a su tamaño, nivel de madurez institucional, necesidades de los dueños, órganos de gobierno y equipo directivo; sin embargo, existen algunos elementos metodológicos que no deben faltar para que cumpla con su objetivo, por ejemplo: Que sea basada en riesgos.
¿Cómo te fue con el cierre y presentación de resultados del 1er Trimestre? ¿El informe de auditoría interna te aportó valor? ¿Avanzaste en tu plan para fortalecer el control interno?
El uso consciente y recurrente del Mapa de Riesgos te permite gestionar mejor los riesgos de negocio y de tecnologías # de información. Es un componente clave de tu Modelo de Gestión de Riesgos, ERM.
El Mapa de riesgos se genera a partir de las metas y objetivos de negocio… ¿Cuáles son las amenazas o barreras para el cumplimiento de éstas?, ¿cuáles son mis riesgos?
Asegúrate de que la Auditoría Interna y los esfuerzos deTransformación de procesos estén alineados al Mapa de Riesgos.
Mapa de Riesgos como elemento clave en la planeación estratégica
Tener visibilidad sobre los riesgos y su nivel de criticidad dejó de ser un tema que sólo se atiende en el Consejo o Comité de Auditoría para incorporarse como una poderosa herramienta de gestión a todos los niveles de la organización. En años recientes, la identificación y valoración de los riesgos se ha convertido en parte fundamental de los ejercicios de planeación estratégica en las empresas.
¿Qué tan probable es que tus riesgos se materialicen? y si se materializaran ¿qué tanto impactarían a la empresa? ¿Los criterios para valorar o calificar el grado de probabilidad e impacto consideran todos los aspectos de la empresa o sólo los financieros? ¿En qué área, proceso o subproceso están alojados los riesgos? ¿Qué controles existen hoy en la compañía para mitigarlos? ¿A qué meta u objetivo específico está relacionado cada riesgo?
Beneficios
● Permite tener visibilidad de manera práctica sobre los riesgos que la compañía enfrenta para el cumplimiento de sus metas y objetivos. ● Provee a la Dirección y al Consejo de una visión más integral en la priorización de los proyectos e inversiones ● Al realizar el ejercicio con el equipo Directivo y Gerencial, ayuda tanto en homologar y reforzar conceptos de gestión de riesgos, como en el sentido de pertenencia sobre éstos ● Es la base para planear y priorizar los esfuerzos de fortalecimiento de controles y mejora de procesos, así como para generar el plan de auditoría interna
Los ataques a grandes empresas (Colonial Pipe, JBS Foods) en USA han generado preocupación para que el gobierno decida motivar a las empresas a tomar el “ransomware” de una forma más seria.
En México los ataques que se conocen, mayoritariamente son los que reportan autoridades del sector financiero y se desconoce el nivel de penetración que ha habido en empresas privadas
Lo anterior deriva en que las medidas preventivas/correctivas deben ser centro de preocupación de la Dirección de las empresas
Analizar sí un ataque de este tipo puede afectar la consecución de los objetivos de negocio ya sea por materialización de riesgos financieros, operativos o reputacionales
¿Qué tan preocupados deberían estar la C-Suite y los Comités?
Los esquemas de trabajo remoto continuarán en la época post pandemia – Una parte importante de los clientes que adoptaron la experiencia de compra electrónica se volverán permanentes.- Los ataques a los servicios de seguridad se han incrementado y seguirá la tendencia – ¿Cómo prevenir? ¿Cómo reaccionar? ¿Qué rol están tomando la Alta Dirección, el Consejo y los Comités?
Digital crime by an anonymous hacker
Ciberseguridad: En el centro de las preocupaciones en los Comités
Incremento de los servicios digitales debido al teletrabajo, teleducación, videollamadas y comercio electrónico • 40% de los nuevos cliente de comercio electrónico se volverán permanentes. • 60% de las empresas de Latinoamérica han sufrido un ataque. • En promedio las empresas tardan 170 días en descubrir la intrusión. • 30% de incremento de búsquedas asociadas a ubicar compañías con esquemas de teletrabajo y plataformas vulnerables. • Es casi imposible saber la cantidad de ciudadanos que han sufrido ciberespionaje en sus redes domésticas.
La respuesta menos costosa y efectiva requiere una estrategia con tres elementos:
Preventivo/Contención • Priorizar la información crítica y una estrategia alineada. • Identificar riesgos • Establecer controles para mitigarlos a un nivel aceptable
Detección y reacción • Detección temprana • Recursos proporcionales
