Diseño de salvaguardas ante riesgos cibernéticos

Responde conferencista: Roberto Valencia.

¿Cómo diseñar un plan de salvaguardas ante los riesgos cibernéticos según el COSO?

_{Pregunta resuelta 5 de octubre de 2022}

El Dr. Roberto Valencia, especialista en auditoría, explica que el auditor implementa salvaguardas ante posibles asuntos que atentan contra su independencia o contra la ética del auditor. Por su parte, las empresas implementan salvaguardas y controles para mitigar los riesgos que puedan atentar contra el cumplimiento de sus objetivos.

Dando respuesta al interrogante planteado, el conferencista expresa que los controles para mitigar los riesgos de auditoría y de negocios están a cargo de la administración. Por su parte, las salvaguardas que deben implementar los auditores no van dirigidas a los riesgos cibernéticos o los riesgos de auditoría, sino a lo que atente contra su independencia, por lo que estos no tienen la responsabilidad de implementar controles al interior de la organización; sin embargo, si se visualiza desde la perspectiva de los componentes del COSO, existe en cada uno de estos componentes una forma de blindar este tipo de riesgos cibernéticos de la siguiente manera:

Ambiente de control: crear una cultura organizacional.

• Asignación presupuestal.
• Capacitaciones al personal.
• Contar con área de riesgos.

Evaluación de riesgo: enfoque de riesgo.

• Apoyo de expertos.
• Comité de riesgos.
• Identificación de riesgos inherentes.

Actividades de control: diseño apropiado (costo/beneficio).

• Actualizaciones.
• Niveles de aprobación.
• Periodicidad.
• Efectividad.

Información y comunicación: documentar e informar.

• Campañas de información.
• Intranet.
• Folletos.
• Planes de motivación.

Monitoreo: actualización permanente.

• Benchmarking.
• Casuística.
• Comunicación de experiencias.