Gestión de riesgos debe ser parte de los procesos de negocios

Compartir:

La operación del negocio debe monitorearse para medir la efectividad del control y mitigar riesgos

El Enterprise Risk Management (ERM) es un marco de mejores prácticas de riesgo aceptadas globalmente, emitido por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (The Committee of Sponsoring Organizations of the Treadway Commission – COSO).

Debido a que los riesgos se transforman constantemente, el comité consideró de suma importancia actualizar los lineamientos contenidos en la primera versión de este marco presentada en el año 2004, a fin de abordar de una forma innovadora y actual la manera cómo se hacen los negocios. Uno de los cambios más importantes es que se resalta la importancia de que la gestión de riesgos de la organización forme parte de los procesos del negocio.

Actualidad de las empresas

La tendencia hoy en día en las organizaciones es que las áreas de Tecnologías de la Información (TI) y de Seguridad de la Información (SI) se encuentren alineadas con la estrategia del negocio. Con el paso del tiempo se comprendió que debe existir una colaboración constante entre estos departamentos, para que así la seguridad de la información y la ciberseguridad sean diseñadas  para apoyar en el logro de los objetivos del negocio sin entorpecer las actividades operativas.

Por otro lado, al seguir esta nueva gestión, las áreas de negocio tendrán un mayor nivel de madurez en cuanto a la gestión de riesgos de ciberseguridad y de cumplimiento respecto a los controles necesarios para mitigar los riesgos.

COSO ERM 2017 y ciberseguridad, trabajando de la mano

La evolución de la tecnología, así como la creciente interconectividad entre los sistemas de una organización genera nuevos riesgos, especialmente riesgos de ciberseguridad, los cuales están en constante evolución y desarrollo.

Los ciberataques se componen de amenazas que explotan las vulnerabilidades de los sistemas de información de una forma tan sigilosa que pueden no ser detectados por un proceso tradicional de gestión de riesgos.

Para evitar lo anterior, la operación del negocio debe ser monitoreada constantemente con el objetivo de medir el nivel de efectividad de los controles establecidos y mitigar todos los posibles riesgos —dentro de un lapso de tiempo razonable y de esta forma establecer acciones de tratamiento adecuadas.

La primera línea de defensa (alta gerencia y unidades de negocio) deberá estar dispuesta a adaptar o redefinir la estrategia en caso de que se identifiquen riesgos que afecten el desempeño de la operación, o que incluso puedan impedir el logro de sus objetivos. La segunda línea de defensa (aquellos con funciones riesgo y cumplimiento) debe tener muy claro el proceso de gestión de riesgos, los conflictos existentes, su estatus y las acciones que se están tomando para mitigarlos, evitando así que estos ocasionen una afectación al negocio. Además debe existir una clara y efectiva comunicación con los dueños de la información, de los procesos y del control interno, a quienes se les deberá reportar sobre los riesgos y su estatus respecto a la estrategia del negocio.

Con estas medidas, los altos directivos de las empresas podrán tomar decisiones informadas acerca de las acciones que se deben realizar para mitigar los riesgos de ciberseguridad.

Gobierno y cultura del riesgo

Uno de los cinco componentes principales de COSO ERM 2017 es “Gobierno y Cultura”, el cual se enfoca en el establecimiento claro de responsabilidades para la estrategia de gestión de riesgos, así como el modelo operativo que se debe llevar a cabo para una exitosa rendición de cuentas.

Este se ha convertido en un tema sumamente importante cuando hablamos de riesgos de ciberseguridad, ya que los problemas más importantes en este rubro son la falta de definición de responsabilidades y de conocimiento sobre las amenazas a las que están expuestas las empresas.

Dicho de otra manera, el negocio no puede pensar solamente en cumplir con sus actividades operativas y hacer que crezca. La empresa debe acostumbrarse a identificar los riesgos que conlleva su operación diaria, con lo cual logrará un mejor desempeño operativo al mitigar los riesgos tan pronto como sea posible.

Al implementar un modelo de gestión de riesgos basado en el COSO ERM 2017, todos los actores dentro de las organizaciones contarán con información suficiente y adecuada para mejorar el desempeño operativo del negocio, brindándoles la seguridad y el crecimiento deseados.

Agregar un comentario: