Por: CP Felipe Alberto Pérez Hernández. Colaborador de Auditool

Este artículo está basado en el informe Risk in Focus Latinoamérica, aquí se exponen los resultados de una gran encuesta efectuada entre 956 Directores Ejecutivos de Auditoría (DEA) de Latinoamérica y el Caribe acerca de los principales riesgos que llaman su atención. Con esto en mente, es necesario mencionar que el riesgo en ciberseguridad es el que más preocupa en la región.

La ciberseguridad se refiere a la probabilidad de ocurrencia de incidentes que tienen el potencial de causar daños o pérdidas que involucren las redes, sistemas informáticos y aplicaciones, así mismo pueden llegar a ser devastadoras para las empresas, sus empleados y clientes.

Ahora, debemos preocuparnos por este riesgo cibernético porque se trata del más importante para las organizaciones de la región. Veamos las principales razones por las que tanto la auditoría interna como externa deben estar alerta ante este riesgo:

  • Impacto financiero: los delincuentes cibernéticos suelen exigir grandes cantidades de dinero por la información sustraída y secuestrada, lo que puede generar graves repercusiones financieras. Asimismo, este riesgo puede ocasionar interrupción del negocio, incluso sanciones económicas por incumplimiento de regulaciones, estas sanciones pueden ser un impacto relevante en los estados financieros.

  • Reputación y confianza: la confianza es un activo intangible crítico. Un ataque cibernético puede destruir, en minutos, la reputación que la organización ha construido durante años.

  • Continuidad en el negocio: los ataques cibernéticos pueden paralizar las operaciones críticas, lo que afecta la capacidad de una empresa para funcionar y pone en peligro su existencia misma.

  • Responsabilidades legales y de cumplimiento: pese al mejoramiento de las regulaciones de protección de datos y seguridad cibernética en América Latina, no todos los países de la región cuentan con legislaciones robustas. Lo anterior no es un impedimento para que las empresas adviertan que las regulaciones están evolucionando rápidamente para incluir estrictas medidas en materia de protección de datos.

  • Cadena de suministro: no solo debemos preocuparnos por nuestra propia seguridad cibernética, sino también por la de nuestros proveedores y socios. Un eslabón débil puede comprometer a toda la red.

Pasemos a las acciones y mejores prácticas que deben emprender e impulsar los auditores internos[1]:

  • La auditoría interna está invirtiendo en impulsar el conocimiento y la actualización en tecnologías disruptivas como la Inteligencia Artificial (IA). Aspectos como mantener o bloquear el acceso a la IA son parte de los cuestionamientos éticos que se deben resolver sin perjuicio de brindar capacitación adecuada a las personas en estas tecnologías.

  • Es clave para los auditores internos construir relaciones con las líneas de negocio que están introduciendo nuevas tecnologías para que puedan dar asesoramiento sobre riesgos y controles antes de la implementación.

  • Mantener contacto cercano con la gerencia de primera línea para ayudar a identificar posibles puntos débiles. En este sentido, se deben asignar esfuerzos de investigación enfocados donde se detecte el riesgo más alto y, si el riesgo no se está gestionando, debemos llevarlo a los líderes para establecer planes de acción.

  • Estandarizar el conocimiento en las diferentes regiones del negocio. Teniendo en cuenta la desigualdad en madurez digital que presentan las empresas, situación más visible en países con menos recursos, conviene estandarizar el conocimiento en las diferentes regiones del negocio. Compartir experiencias y problemas identificados estrecha las relaciones y fortalece las defensas frente a los riesgos.

 Al oído de los auditores financieros externos

A continuación, presentamos cómo pueden verse afectados los estados financieros de su empresa auditada:

  1. Activos intangibles y goodwill: un ataque cibernético puede comprometer los activos intangibles, como la propiedad intelectual o los datos de clientes. Esto puede resultar en la disminución del valor goodwill, especialmente si la confianza del cliente se ve afectada negativamente. En consecuencia, se podrían requerir ajustes en la valoración de activos intangibles y, posiblemente, la necesidad de reconocer su deterioro.

  2. Activos fijos y tecnológicos: los sistemas de TI dañados o comprometidos pueden requerir reparaciones costosas o reemplazos, lo que podría resultar en un aumento en los gastos de capital o en gastos extraordinarios que deben reflejarse adecuadamente en los estados financieros.

  3. Pasivos contingentes: las brechas de seguridad pueden generar violaciones de datos que les pueden acarrear a las organizaciones costos legales, compensaciones a clientes y multas regulatorias. Estos eventos deben evaluarse y, si es probable y se pueden estimar razonablemente, deben registrarse como pasivos contingentes.

  4. Continuidad del negocio: la continuidad del negocio puede verse comprometida, por lo que este hecho debe presentarse y revelarse adecuadamente en los estados financieros.

  5. Revelaciones en las notas a los estados financieros: es imperativo que las empresas revelen los efectos significativos de los riesgos cibernéticos y los incidentes de seguridad que puedan afectar las evaluaciones y decisiones de los usuarios de los estados financieros.

Ahora, es momento de considerar estas recomendaciones generales para los auditores externos:

  • Evaluación de riesgos: realizar una evaluación de riesgos cibernéticos detallada como parte del proceso de auditoría. Esto incluye entender el entorno de TI de la empresa y las medidas de seguridad implementadas.

  • Revisión de incidentes y respuesta: los auditores deben revisar la respuesta de la empresa a los incidentes cibernéticos, asegurándose de que las estimaciones de pérdidas y las provisiones para pasivos contingentes reflejen la realidad y cumplan con el marco de información financiera aplicable.

  • Pruebas sustantivas: realizar pruebas sustantivas en áreas afectadas por riesgos cibernéticos, como la recuperabilidad de los activos intangibles y la valuación de los activos contingentes.

  • Revisión de la continuidad del negocio y planes de recuperación: verificar si la empresa tiene planes de continuidad del negocio y de recuperación de desastres, y cómo estos se han implementado en respuesta a los incidentes.

  • Revelaciones en las notas a los estados financieros: asegurar que las notas reflejen claramente la naturaleza de los riesgos cibernéticos, sean adecuadas y completas, expliquen con suficiencia la naturaleza, el impacto financiero estimado, incluyendo cualquier estimación de pérdida o contingencia.

Auditores y demás partes interesadas, recuerden, el riesgo cibernético no es solo un problema de TI, se trata de un riesgo empresarial que requiere una comprensión integral y una gestión efectiva en todos los niveles de la organización.

Finalmente, es preciso hacer un llamado para que los países de la región armonicen sus legislaciones, “(…) sin duda, la armonización de los marcos normativos/regulatorios de la región en materia de protección de datos y ciberseguridad podría crear importantes beneficios económicos y sociales que incrementen la confianza de los inversionistas extranjeros y nacionales y promuevan la innovación y la diversificación económica”[2].

 

[1] Tomado y adaptado de: https://iaia.org.ar/wp-content/uploads/2023/09/latin-america-risk-in-focus-2024-hot-topics_spanish.pdf

[2] R. M. Díaz y G. Núñez, “Ciberataques a la logística y la infraestructura crítica en América Latina y el Caribe”, Documentos de Proyectos(LC/TS.2023/93), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2023.


FelipePerez 777v2

CP Felipe Alberto Pérez Hernández. Colaborador de Auditool
 
Contador Público U. Central con especialización en Ciencias Tributarias. Su experiencia profesional de más de 25 años va desde una gran multinacional, pasando por una firma de auditoría, hasta llegar al sector petrolero en el que ha trabajado para operadores y en auditorías externas. Desde hace varios años se desempeña como revisor fiscal en varias instituciones sin ánimo de lucro y como consultor empresarial independiente.
 



Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado