Por: CP Iván Rodríguez. Colaborador de Auditool.
La Comisión de Valores y Bolsa de los Estados Unidos (SEC por sus siglas en inglés: Securities and Exchange Commission) emite orientaciones y directrices relacionadas con la ciberseguridad para ayudar a las empresas, registradas ante este organismo, a abordar las amenazas cibernéticas y garantizar la adecuada divulgación de incidentes relacionados, lo que se realiza normalmente mediante formularios previstos para tal efecto.
En ese sentido, la SEC ha hecho énfasis en la importancia de divulgar riesgos cibernéticos materiales en los informes de las empresas públicas, mediante la divulgación de información detallada sobre las amenazas cibernéticas y cómo podrían afectar a sus operaciones y resultados financieros. Así mismo, las empresas deben divulgar los incidentes cibernéticos materiales cuando estos se presenten, proporcionando directrices, de manera oportuna y precisa, que revelen la magnitud del incidente y las medidas correctivas y preventivas adoptadas.
Por otro lado, la SEC también considera, habitualmente, la evaluación y el mejoramiento de los controles internos relacionados con la ciberseguridad, lo cual incluye identificar vulnerabilidades, implementar políticas y procedimientos de seguridad y garantizar una supervisión efectiva. También se ha ocupado de la gobernanza de ciberseguridad, mediante la sugerencia de que las juntas directivas de las empresas tengan un papel activo en la supervisión de la ciberseguridad, la gestión de riesgos cibernéticos y la creación de comités de ciberseguridad para garantizar la participación de la alta dirección en la toma de decisiones relacionadas con este tema.
Ahora, el pasado 26 de julio de 2023, la SEC adoptó una regla que requiere la divulgación de incidentes materiales de ciberseguridad y la gestión, estrategia y gobernanza de estos riesgos por parte de las empresas públicas, incluidos los emisores privados extranjeros. Es importante que los auditores estén al tanto de esta nueva normatividad, pues podría impactar su trabajo. Esta regla aprobada requiere lo siguiente:
- La divulgación del Formulario 8-K[1] de incidentes materiales de ciberseguridad dentro de los cuatro días hábiles posteriores, una vez que la empresa haya determinado que el incidente de ciberseguridad es material.
- Nuevas divulgaciones anuales en el Formulario 10-K[2] con respecto a la gestión y estrategia de riesgos de ciberseguridad de la empresa, incluidos los procesos de la empresa para gestionar estas amenazas, indicando si los riesgos de las amenazas de ciberseguridad han afectado materialmente a la empresa.
- Nuevas divulgaciones anuales en el Formulario 10-K con respecto a la gobernanza de ciberseguridad de la compañía, considerando la supervisión por parte de la junta y la gerencia de la empresa.
Ahora, las divulgaciones anuales deben incluirse en los informes anuales de emisores privados extranjeros en el Formulario 20-F, mientras que la divulgación de incidentes materiales de ciberseguridad se presentará en el Formulario 6-K.
Asimismo, algunas aclaraciones sobre dichas normas de ciberseguridad fueron planteadas en el portal Corporate Compliance Insights en un reciente artículo del cual traduzco algunas partes con fines académicos y cuya adaptación se presenta a continuación:
Divulgaciones periódicas de la gestión de riesgos, la estrategia y la gobernanza de la ciberseguridad
Las empresas deberán divulgar información sobre la gestión, estrategia y gobierno de riesgos de ciberseguridad en un nuevo apartado del Formulario 10-K relativo a ciberseguridad. También, deben describir sus procesos para evaluar, identificar y gestionar los riesgos materiales de las amenazas de ciberseguridad de una manera tal que un inversor comprenda esos procesos.
Requisitos aplicables a los emisores privados extranjeros
Si bien los emisores privados extranjeros no están obligados a presentar informes actuales en el Formulario 8-K, en su lugar deben proporcionar cierta información en el Formulario 6-K sobre la información que estén obligados a hacer, bajo las leyes de su jurisdicción o de la bolsa de valores en que opere o que distribuya a sus tenedores de valores. Del mismo modo, deben hacer referencia a incidentes materiales de ciberseguridad, entre otras modificaciones previstas por la SEC.
Cronograma de cumplimiento
Las reglas adoptadas por la SEC cuentan con diferentes plazos para su entrada en vigor, y deben ser aplicadas por las compañías que deban proporcionar las divulgaciones requeridas, comenzando con los informes anuales para los años fiscales que terminan el 15 de diciembre de 2023 o después. Los plazos inician el 18 de diciembre de 2023 y se extienden hasta el 18 de diciembre de 2024, según se indique en los formularios respectivos.
Preparación para el cumplimiento de requisitos
De acuerdo con la nueva normatividad, las empresas deben evaluar y adaptar sus diferentes controles y procedimientos de divulgación, gestión y estructuras de gobierno en torno a la ciberseguridad, para lo cual los auditores pueden prestar su concurso, conocimiento y experiencia.
Entonces, es importante que las empresas, para un cabal cumplimiento normativo:
- Preparen las nuevas divulgaciones que deben incluirse en el informe anual de la compañía en relación con los procesos para la evaluación, identificación y gestión de riesgos materiales de amenazas de ciberseguridad. Debe incluirse, adicionalmente, la labor de supervisión por parte de la junta de la empresa y el papel que ha asumido la administración en la evaluación y gestión de los riesgos materiales de las amenazas de ciberseguridad.
- Se aseguren que las políticas y procedimientos de respuesta a los incidentes presentados permitan escalar los incidentes frente a la alta dirección o a un comité de divulgación, y que existen los controles apropiados y los procedimientos de divulgación para comprender el impacto que un incidente pueda tener en la organización.
- Tomen la decisión de divulgar los incidentes de manera oportuna, conforme con las reglas de la SEC. Esto requiere que se lleve a cabo una evaluación de materialidad para evitar demoras no justificadas después de haber advertido el incidente.
- Modifiquen o establezcan controles y procedimientos de divulgación de incidentes materiales de ciberseguridad, incluida la naturaleza, el alcance y el momento del incidente, así como el impacto del incidente en la empresa, considerando su condición financiera de la empresa y los resultados de las operaciones.
La adopción de estas medidas contribuirá a que las empresas puedan atender debidamente las nuevas normas de la SEC y que, con el apropiado concurso de los auditores, fortalezcan su control interno.
[1] Un Formulario 8-K es un informe de eventos importantes o cambios comerciales en una empresa que podrían ser importantes para los accionistas, y que es requerido por la SEC.
[2] El Formulario 10-K presenta una visión general de la situación comercial y financiera de la empresa e incluye estados financieros auditados y, también, es requerido por la SEC.
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.
Y luego Agregar a la pantalla de inicio.