Buscar
  • Oscar Martinez

COSO, Riesgos de Negocio y Seguridad Cibernética ¿cómo se relacionan?


Antes que el robo de información fuera una situación común, el riesgo cibernético estaba solamente a cargo del departamento de TI o Sistemas. Hoy día estos riesgos son una preocupación del Consejo de Administración, el cual exige extremar las medidas para establecer todos los controles necesarios para mitigar los riesgos en las organizaciones. Esto ha hecho que se plantee de qué manera los riesgos cibernéticos puede afectar a la organización y si estos pueden amenazar el logro de las estrategias.

La complejidad de los riesgos ha cambiado, y por esta razón la forma de actuar ante estos debe responder a un mundo de negocios que evoluciona cada día, por lo cual es importante analizar los riesgos de esta naturaleza desde una perspectiva de diseño de estrategias alineadas con los objetivos y desempeño del negocio. Actualmente ya no solo es una cuestión cuya responsabilidad deba circunscribirse a los departamentos de TI, sino que la Alta Dirección de la empresa debe de estar implicada en su gestión eficiente con un compromiso continuo. Si bien es cierto que los controles que mitigan los riesgos de seguridad cibernética obedecen a un marco de normas como la ISO 27032, la ISO 27014 o el conjunto ISO 27000 que proveen buenas prácticas sobre ciberseguridad, es de vital importancia que las organizaciones obtengan una adecuada comprensión de los riesgos y amenazas existentes y su potencial impacto en el desempeño del negocio lo cual facilitará la implantación de las medidas adecuadas a la realidad de cada organización para afrontar este reto. Una constante preocupación para los negocios que tratan de usar los avances en tecnología para impulsar eficiencia y crecimiento es mantener los controles apropiados de la Tecnología de la Información (TI).

Mediante una evaluación detallada de los potenciales riesgos cibernéticos se pueden replantear o establecer nuevos objetivos del negocio alineados con dichos riesgos, basados en el conocimiento de los diferentes actores que participan directamente en estas operaciones mediante tres líneas de defensa las cuales son:

La primera línea de defensa: la Alta dirección o el consejo de Administración quien es la propietaria de los riesgos y de su tratamiento en primera instancia, cuya principal responsabilidad es la toma de decisiones en cuanto al riesgo con base a su cuantificación cualitativa y cuantitativa.

La segunda línea de defensa está compuesta por Seguridad de Sistemas, Cumplimiento Normativo de TI, Asesoría Jurídica, quienes en su conjunto tienen la tarea de desarrollar e implementar las políticas generales para facilitar el desarrollo e implantación del marco general de riesgos y controles, logrando el entendimiento de la tecnología implicada, incluyendo:

- La infraestructura y componentes de Tecnología de la Información.

- Las áreas de computación de usuario final de laptops, aparatos móviles y hojas de cálculo.

- Aplicaciones de TI subcontratadas en la nube y otros proveedores de servicios externos.

- Cómo se administra la función de la tecnología en toda la entidad.

La tercera línea de defensa, recae sobre Auditoría Interna, cuya labor es proporcionar una revisión y evaluación independiente sobre la eficacia de las líneas de defensa anteriores. Así como entendimiento de la entidad, su entorno y evaluación del riesgo de representación errónea de importancia relativa:

  • Investigación con el personal.

  • Procedimientos analíticos.

  • Observación de procesos (es decir, inspecciones).

  • Inspección de documentos y documentación.

Esta alineación de los riesgos con los objetivos del negocio para establecer estrategias no solo para mitigar sino para prevenir el riesgo se puede lograr mediante la administración de riesgos del negocio (Enterprise Risk Management, ERM por sus siglas en inglés) la cual cubre desde la estrategia hasta la ejecución, apoyándose del Control Interno en puntos críticos. Los dos están interconectados, pero no son intercambiables. Ambos se complementan agregando valor a la otra.

El ERM ayuda en el desarrollo del objetivo, siendo este la base para el desarrollo de controles, mientras que el Control Interno hace al ERM más efectivo cuando las actividades de control están presentes sobre las respuestas al riesgo y otros procesos de ERM.

COSO-ERM es una herramienta para la identificación, evaluación y gestión del riesgo, le da importancia a los eventos previo a que se materializarse el riesgo.

La novedad que introduce COSO II-ERM es la ampliación de componentes de COSO I de cinco a ocho:

1. Ambiente de control

2. Establecimiento de objetivos

3. Identificación de eventos

4. Evaluación de Riesgos

5. Respuesta a los riesgos

6. Actividades de control

7. Información y comunicación

8. Supervisión

COSO (2017) proporciona una comprensión más amplia y clara de lo que significa la gestión del riesgo y su función en la implementación de estrategias.

Permite establecer objetivos de rendimiento basados en la alineación entre el rendimiento y la gestión del riesgo. Provee las pautas relacionadas con la dirección y la supervisión aplicables para cualquier empresa. Proporciona un panorama del contexto globalizado de la economía y la necesidad de adaptación a ésta. Aporta nuevas perspectivas para entender y analizar el riesgo como una manera más efectiva de adaptarse a la complejidad del mundo de los negocios. Responde a las expectativas de la dirección y los interesados en ampliar su entendimiento sobre la gestión de riesgos. Es compatible con la evolución y el uso de las TIC, así como su aplicabilidad en el manejo de datos y en la toma de decisiones. Establece definiciones y principios que deben tenerse presentes en todos los niveles de gestión del riesgo y así poder establecer estrategias más adecuadas a la organización.

Tomando como punto de partida esta herramienta se puede tener una mejor perspectiva de los riesgos que amenazan a las tecnologías de la información de las compañías los cuales son muy diversos, algunos ya conocidos y otros emergentes que llegarán con las nuevas tecnología.

Si bien es cierto que no se puede hacer una provisión y que los riesgos en cuanto a seguridad cibernética son difíciles de cuantificar, se deben tomar en cuenta otros factores como los impactos a la reputación de la organización que puede ocasionar que uno de estos riesgos se materialice, por lo tanto se debe estar atento y aprender de las tendencias en cuanto a las nuevas tecnologías, por consiguiente es importante que las estrategias y objetivos se formulen no basándose en el riesgo y no en el costo, ya que incluso en empresas medianas o pequeñas un problema tecnológico imprevisto y mal gestionado puede tener consecuencias desastrosas para el negocio.

Por lo tanto las primeras dos líneas de defensa mencionadas anteriormente así como la actividad de Auditoría Interna deben evaluar y contribuir a la mejora de los procesos asegurándose que el Consejo de Administración supervise el riesgo de ciberseguridad, incluir en el Plan Anual de Auditoría dicho riesgo y presupuestando los recursos necesarios para realizar los trabajos de auditoría correspondientes y por último lograr una cooperación entre las diversas áreas que manejan riesgos cibernéticos para el mantenimiento de controles efectivos.

¿ Requieres asesoría en la implementación de controles internos en tu empresa en base a COSO de acuerdo a las exigencias de la Ley Sarbanes Oxley ? Acércate con nosotros, en resumen al implementar COSO en las compañías se obtienen las siguientes ventajas:

  • Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.

  • Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. toma de decisiones más segura, facilitando la asignación del capital.

  • Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.

  • Permite dar soporte a las actividades de planificación estratégica y control interno.

  • Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo.

  • Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.

DUDAS? COMENTARIOS? Acércate y hablemos : ) y recuerda que en B2B _ TU NEGOCIO. NUESTRAS IDEAS. RESULTADOS

Tania Landeros es contadora pública, fue auditor de PwC durante 9 años. Trabajo en AT&T en el área de finanzas y actualmente es colaboradora de nuestro despacho y especialista en el tema aquí presentado, DUDAS? COMENTARIOS ? HABLEMOS ...... Y RECUERDA Tu Negocio. Nuestras Ideas. RESULTADOS


152 vistas

Todos los derechos reservados / El logo y lema son propiedad de Audit&Advisor B2B, S.C. ©  

  • Instagram Social Icon
  • Twitter Social Icon
  • Facebook Social Icon
  • Google+ Social Icon