Experto Antifraude

Control Interno

El riesgo conectado - una estrategia empresarial clave

Detalles
Categoría de nivel principal o raíz: Blog
Control Interno

Por: CP Iván Rodríguez. Colaborador de Auditool. 

Actualmente la incertidumbre, la digitalización acelerada y las expectativas regulatorias en constante evolución han contribuido a crear un entorno empresarial desafiante para las organizaciones, las cuales deben gestionar riesgos de manera efectiva con recursos limitados. En un documento denominado "The Connected Risk Report[1]" de AuditBoard, se presenta una radiografía de cómo las empresas pueden cerrar la brecha entre las crecientes demandas de riesgo y su capacidad para responder. Publicado en un momento en que la resiliencia se ha convertido en un imperativo estratégico, allí se ntroduce el concepto de "riesgo conectado" (connected risk) como una solución integral para transformar la forma en que las organizaciones abordan las amenazas y aprovechan las oportunidades.

Pero ¿en qué consiste el concepto de riesgo conectado? En esencia, es un enfoque que busca integrar personas, datos, procesos y tecnología en una estrategia unificada que trascienda las agrupaciones departamentales tradicionales. Las organizaciones en ocasiones enfrentan lo que se denomina una "brecha de exposición al riesgo"; esto es, cuando las demandas de gestión de riesgos —desde ciberataques y cambios normativos hasta interrupciones en la cadena de suministro— superan los recursos disponibles, tales como personal, herramientas tecnológicas o tiempo. Como resultado, los líderes empresariales se encuentran en una posición vulnerable, tomando decisiones con información incompleta o fragmentada.

Un ejemplo ayuda a dar ilustración. Sea una empresa mediana que opera en el sector retail. Su equipo de auditoría interna podría estar abrumado por la necesidad de evaluar riesgos financieros, en tanto que el departamento de TI lucha por mitigar amenazas cibernéticas emergentes, y el área de cumplimiento intenta adaptarse a nuevas regulaciones de privacidad. Sin una visión unificada, cada equipo opera en su propio silo, duplicando esfuerzos o, peor aún, dejando lagunas críticas sin atender. De acuerdo con el informe antes mencionado, esta desconexión no solo aumenta la exposición al riesgo, sino que también limita la capacidad de la organización para responder de manera ágil y efectiva.

Por ello, para cerrar esta brecha, es útil el enfoque de riesgo conectado: una estrategia que alinea todas las funciones de gestión de riesgos en un marco cohesivo. Este modelo además de mejorar la visibilidad de los riesgos también permite a las organizaciones priorizar recursos y tomar decisiones basadas en una comprensión holística de su entorno.

El informe precitado no se limita a señalar problemas; ofrece un conjunto de recomendaciones prácticas y victorias rápidas (quick wins) que las organizaciones pueden implementar en diferentes áreas clave. A continuación, algunas sugerencias y ejemplos de su aplicación.

La auditoría interna es el pilar que valida la eficacia de los controles y procesos de una organización. Sin embargo, muchas veces opera de manera reactiva o desconectada de la estrategia global de riesgos. El informe propone tres acciones concretas:

  • Consolidar el seguimiento de hallazgos: En lugar de tener registros dispersos en hojas de cálculo o sistemas independientes, las empresas deberían centralizar la información sobre hallazgos de auditoría. Por ejemplo, una herramienta integrada podría rastrear desde problemas menores, como inconsistencias en inventarios, hasta riesgos mayores, como fallos en controles financieros.
  • Unificar el marco de control interno (RCM): Un Risk Control Matrix (RCM) estandarizado permite a los auditores mapear riesgos y controles de manera consistente, facilitando la identificación de áreas críticas. Una empresa de manufactura, por ejemplo, podría usar esto para vincular riesgos operativos con controles específicos en su cadena de producción.
  • Vincular los riesgos del ERM al plan de auditoría: La gestión de riesgos empresariales (ERM, por sus siglas en inglés) debería informar directamente el enfoque de auditoría, asegurando que las revisiones se centren en las amenazas más relevantes. Esto podría significar priorizar auditorías de ciberseguridad en una empresa tecnológica tras identificar un aumento en intentos de phishing.

En cuanto a la gestión de riesgos, la sugerencia es integración y alineación. En algunas organizaciones, existe el área de gestión de riesgos, que se constituye en el cerebro estratégico que evalúa y prioriza las amenazas organizacionales. Aquí, el informe destaca:

  • Integrar evaluaciones de riesgo en el ERM: Las evaluaciones aisladas dificultan una visión global. Una empresa financiera, por ejemplo, podría combinar evaluaciones de riesgo crediticio, operativo y regulatorio en un solo marco ERM para identificar interdependencias.
  • Alinear controles y cumplimiento con los riesgos empresariales: Los controles no deben ser estáticos; deben evolucionar con los riesgos. Si una nueva normativa afecta a un retailer, sus controles de cumplimiento deberían ajustarse automáticamente para reflejar esa prioridad.
  • Estandarizar los procesos de remediación: Un proceso uniforme asegura que los riesgos identificados se aborden de manera consistente. Por ejemplo, un protocolo estandarizado podría guiar la respuesta a una violación de datos, desde la contención hasta la comunicación con reguladores.

Para el tema de la seguridad de la información el consejo es visibilidad y acción. En un entorno donde las amenazas cibernéticas son omnipresentes, la seguridad de la información es una prioridad crítica. Las recomendaciones incluyen:

  • Crear un tablero (dashboard) de riesgos clave: Un panel visual permite a los líderes de TI monitorear amenazas en tiempo real. Una empresa de e-commerce podría usar esto para rastrear intentos de fraude o ataques DDoS (Distributed Denial of Service - es un tipo de ataque cibernético en el que se inunda un servidor).
  • Proponer iniciativas prioritarias de ciberseguridad: Basándose en los riesgos más apremiantes, se pueden lanzar proyectos específicos, como implementar la autenticación multifactor tras detectar accesos no autorizados.
  • Fomentar la rendición de cuentas: Asignar responsabilidades claras asegura que los riesgos de TI se mitiguen efectivamente. Por ejemplo, un gerente de TI podría ser responsable de actualizar parches de seguridad en un plazo definido.

Al integrar personas, procesos y tecnología, el enfoque de riesgo conectado contribuye a cerrar la brecha de exposición al riesgo y transforma la manera en que las empresas enfrentan el futuro: con agilidad, resiliencia y una visión estratégica. Toda vez que el mundo sigue cambiando, las organizaciones que adopten este modelo pueden estar un paso adelante, preparadas para prosperar en medio de la incertidumbre. 

[1] Ver: https://www.auditboard.com/resources/ebook/the-connected-risk-report-uniting-teams-and-insights-to-drive-organizational-resilience/ 

  

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá DC, Colombia.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado