Identificarse


 

 

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Por: CP Iván Rodríguez. Colaborador de Auditool  

A medida que los riesgos de ciberseguridad evolucionan, es necesario que el auditor continúe con la evaluación del efecto potencial que los incidentes de ciberseguridad puedan tener en los estados financieros. Un auditor de estados financieros, de acuerdo con las normas profesionales, debe obtener una comprensión de cómo la empresa utiliza las tecnologías de información y el impacto que dichas tecnologías tienen en los estados financieros. Esto incluye una comprensión del alcance de los controles automatizados de la empresa en relación con los informes financieros, los controles generales de TI que son importantes para el funcionamiento eficaz de los controles automatizados, y la fiabilidad de los datos e informes producidos por la empresa y utilizados en el proceso de elaboración de los informes financieros.

En desarrollo de una auditoría financiera, el auditor se centra en los controles de acceso y los cambios en los sistemas y datos, los controles de las operaciones informáticas y la fiabilidad de la información preparada por la empresa mediante sistemas y datos que podrían afectar los estados financieros y la eficacia del control interno sobre los informes financieros.

Es importante recordar que la plataforma de TI general de una empresa incluye sistemas y datos relacionados que abordan, no solo los procesos de informes financieros, sino también las necesidades operativas y de cumplimiento de toda la organización. En ese sentido, el panorama del riesgo de ciberseguridad ha evolucionado, y la frecuencia y complejidad de los ataques de ciberseguridad sigue cambiando. Por ejemplo, ha habido incidentes de ciberseguridad que han dado lugar al desembolso de fondos no autorizados, transferencias o pagos  que se originan a través del sistema de correo electrónico de la empresa. Tales incidentes pueden no ser necesariamente sofisticados en el uso de la tecnología; en cambio, se han adaptado para explotar las debilidades de las políticas y procedimientos de la empresa que son vulnerables al riesgo de ciberseguridad.

Normalmente, como parte de la evaluación y planificación de riesgos, los auditores financieros consideran ampliamente los riesgos de ciberseguridad que podrían tener un efecto importante en los estados financieros de la empresa y en la incapacidad de una organización para emitir estados financieros de manera oportuna debido a una violación de sus sistemas de informes financieros. Por ejemplo, los auditores pueden obtener una comprensión de las operaciones comerciales de la empresa que dan lugar al riesgo de ciberseguridad y, en la medida en que dichos riesgos se consideren importantes para los estados financieros de la empresa, ajustar su plan de auditoría en consecuencia para hacer frente a esos riesgos. Las áreas comunes que pueden tener exposición al riesgo de ciberseguridad incluyen procesos en los que se modifica la información relativa a inversiones y recursos. Además, se prueban ciertos controles técnicos en áreas de seguridad, gestión de cambios y operaciones para abordar el riesgo de ciberseguridad.

Si bien la ciberseguridad no se ha abordado de manera muy explícita en las normas de auditoría, no es menos cierto que los riesgos de ciberseguridad seguirán siendo un tema de evaluación por parte de los auditores y de discusión con la junta o el consejo de directores. La escala y complejidad del desafío de la ciberseguridad ha crecido exponencialmente. Como resultado, ha habido una marcada preocupación de las partes interesadas para obtener información relacionada. Por ejemplo, analistas e inversores necesitan información sobre las medidas de ciberseguridad de una empresa al tomar decisiones de inversión. Esta información puede ayudarles a comprender los riesgos de ciberseguridad que podrían amenazar el logro de los objetivos operativos, de informes, legales y regulatorios de la empresa, los cuales podrían impactar el valor de mercado de una empresa e incluso tener relación directa con la viabilidad de una empresa.

Para efectos de cumplir con sus responsabilidades de supervisión, las juntas o los consejos de administración necesitan información sobre el programa de ciberseguridad de la empresa y las amenazas de ciberseguridad. También quieren información que les ayude a evaluar la eficacia de la empresa en la gestión de riesgos de ciberseguridad.

La administración de la empresa puede necesitar información sobre cómo los socios comerciales, proveedores y otros terceros con los que hacen negocios gestionan sus riesgos de ciberseguridad. Esta información puede ayudar a la administración a comprender y evaluar los riesgos derivados de hacer negocios con dichos socios. Del mismo modo, los socios comerciales pueden necesitar información sobre el programa de ciberseguridad de la empresa para evaluar la relación comercial.

En este entorno, los auditores, en su papel de interés público, desempeñan un papel importante en el flujo de información comparable y fiable para la toma de decisiones, incluidas las divulgaciones sobre ciberseguridad. Los auditores, en cumplimiento de su función, pueden proporcionar servicios de asesoramiento o certificación sobre información de ciberseguridad preparada por la empresa o su sistema de control interno. Algunos de esos servicios pueden mejorar la confianza que las partes interesadas, incluidos los consejos de administración, los inversores y los socios comerciales.

Al igual que con otras evaluaciones, es importante recordar que empresas de la misma industria pueden enfrentar diferentes riesgos de ciberseguridad; por lo tanto, sus programas de gestión de riesgos de ciberseguridad pueden diferir bastante. No obstante, es válido contar con un marco o un conjunto de prácticas que puedan promover un nivel de seguridad para mitigar amenazas específicas de ciberseguridad y facilitar la búsqueda de respuestas.

 

CP Iván Rodríguez -

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá DC, Colombia


Regístrese para que pueda comentar este documento

Auditool.org

Es la Red Global de Conocimientos en Auditoría y Control Interno que le permite a los Auditores, tener acceso a metodologías de trabajo fundamentadas en buenas prácticas internacionales, entrenamiento en línea, listas de chequeo, modelos de papeles de trabajo, modelos de políticas, herramientas para la gestión de riesgos, entre otras. Permitiendo mejorar las prácticas de trabajo, ahorrando…
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.