RESUMEN DEL ARTÍCULO "RISK IN FOCUS 2022"

El gran impacto del COVID-19 en la actividad empresarial ha cambiado el

mapa de riesgos a los que se enfrentan las empresas europeas: emergen los
riesgos ligados a las personas como tendencia de fondo que, previsiblemente,
se afianzará en los próximos años y el riesgo ciber se convierte en un riesgo
permanente. Así lo recoge el último informe “Risk in Focus 2022: hot topics for
internal auditors”, realizado por 12 Institutos de Auditores Internos de Europa,
incluido el de España.

El informe analiza los principales riesgos a los que se enfrentan las compañías
en Europa y ha sido elaborado a partir de una encuesta a 738 directores de
auditoría interna y entrevistas en profundidad a 50 de ellos.

La ciberseguridad encabeza el ranking de riesgos prioritarios en las

empresas por cuarto año consecutivo, concentrando el 82% de las respuestas,
tres puntos más que en la edición anterior. Además, 4 de cada 10 directores de
auditoría interna encuestados lo apuntó como riesgo número 1. Para prevenir
ciberataques, según los encuestados, las empresas deben analizar
vulnerabilidades, reforzar protocolos y sistemas y concienciar sobre la
ciberseguridad a los empleados ya que, se advierte, las personas son el
eslabón más débil de la cadena de seguridad.

En las organizaciones con sistemas de ciberseguridad más avanzados la

atención se está centrando en la respuesta y procedimientos de recuperación
de información tras el ciberataque y en cómo hay que actuar tras un ataque
tipo ransomware (secuestro de información a cambio de un rescate). Las
compañías menos maduras están en una fase más temprana de evaluación de
riesgos y puesta en marcha de controles defensivos, evitando así que los
ataques se propaguen.

La ciberseguridad encabeza el ranking de riesgos prioritarios por cuarto año.

La ingente actividad regulatoria en los temas relacionados con sostenibilidad y
riesgos ASG (ambientales, sociales y de gobernanza, o ESG en inglés) hace
que cambio regulatorio y compliance mantenga, con el 46% de las respuestas,
la segunda posición en el mapa de riesgos. Se calcula que la normativa global
ASG ha crecido un 90% desde 2016 y se espera que siga siendo así.

En el tercer puesto se mantiene digitalización y tecnologías emergentes, con

un 45% de respuestas. La pandemia ha acelerado la transformación digital de
las empresas, que puede hacer que se pierda el control sobre elementos clave,
aumentando los riesgos de seguridad y privacidad de los datos.

Una novedad destacada de la nueva edición del informe Risk in Focus 2022 es
el mayor protagonismo de los riesgos que tienen que ver con las
personas: diversidad y gestión del talento pasa de la 5ª a la 4ª posición; cultura
corporativa sube tres puestos, pasando a ocupar el 10º lugar de la lista, y salud
y seguridad de los empleados pasa del puesto 14º al 12º. Estos datos
muestran la inquietud de las empresas europeas por el efecto del teletrabajo en
la plantilla, en la cohesión y en la rotación del personal, así como el impacto de
esta combinación de factores en la cultura corporativa y en el propio bienestar
y salud física y psíquica de los trabajadores.

El climático protagoniza la mayor escalada: hace dos años era el 13º y hoy es
el 8º. Para Sonsoles Rubio, presidenta del Instituto de Auditores Internos de
España (IAI), “la nueva edición del Risk in Focus 2022 marca un cambio de
tendencia muy significativo. Aunque las empresas siguen centradas en riesgos
ligados a la operativa y la actividad, los que se refieren a las personas y su
entorno adquieren mayor peso”.

Otro riesgo claramente al alza es el climático. Hace dos años aparecía en 13ª
posición (14% de las respuestas), la edición 2021 subía un puesto (con el 22%)
y en esta edición entra directamente en el top 10 de riesgos para las empresas,
ocupando el 8º puesto, con el 31% de los votos. Las previsiones a tres años
catapultan este riesgo al top 5. Ningún otro riesgo protagoniza una escalada de
este calibre.

¿Cuáles son las principales preocupaciones que identifica del estudio?.

- Cambio de tendencia significativo, las personas y su entorno cobran un

mayor peso.
- Ciberseguridad, un riesgo permanente.
- Riesgo Climático y Sostenibilidad tomarán cada vez mayor protagonismo
en la gestión integral de riesgos en los próximos años.
- Cumplimiento, toma fuerza por el tsunami regulatorio: la normativa ESG
se incrementa un 90% desde 2016.

¿Seleccione una preocupación que le parezca relevante y aplicable a su

organización?.

Ciberseguridad, un riesgo permanente: Esla herramienta ideal para

determinar cuál es el nivel de seguridad de tus sistemas e infraestructuras
tecnológicas. Consiste en realizar una serie de pruebas controladas con el fin
de determinar cuál es el estado en el que se encuentra la red e infraestructura
de tu empresa a nivel de seguridad informática.

No obstante, estas pruebas no son solo tratadas a nivel pentesting, sino

a todos los niveles de seguridad. De esta forma, cuando se identifica algún tipo
de vulnerabilidad crítica se reporta al instante sin esperar al informe final.
Incluso, si se encuentran vulnerabilidades críticas que puedan afectar a la
estabilidad, el proveedor de estos servicios se pone en contacto contigo para
evaluar si es conveniente explotarla, con el fin de determinar si se trata de un
falso positivo, o si, por el contrario, la vulnerabilidad existe.

¿Qué opina de las empresas que dicen no tener incidentes?.

“No me preocupa, hasta ahora nunca nos ha pasado nada…”. Éste es el

comentario de muchos.
En la actualidad los riesgos que corren las empresas crecen en la misma
medida que su exposición en la Red, pero no sólo están ligados a la conexión,
ni tienen que ver con ataques externos, sino que incluyen los que sufren a
través del eslabón más débil dentro de las empresas. Cada vez estamos más
ligados a los dispositivos, y estos a su vez se convierten en una grieta para la
seguridad de las corporaciones. Troyanos, keyloggers, rootkits, etc. se pueden
introducir a través de medios de almacenamiento portátil, dispositivos
móviles… y, de esta forma, desplegarse internamente y capturar información,
sin hacer el menor ruido. Más del 50% de los incidentes de seguridad en las
compañías son efectuados internamente: empleados, exempleados,
colaboradores, proveedores, socios, etc. En muchos casos no es necesaria
siquiera una sofisticada técnica, sino que basta con hacer uso de la ingeniería
social para tener “éxito”. La información en sí misma es un activo con mucho
valor.

Ocultar los incidentes en los que se ha involucrado el personal puede traer

serias consecuencias, pues aumenta el daño causado de manera general.
Incluso un evento que no se informa podría indicar que hay una brecha mucho
mayor y los equipos de seguridad necesitan identificar rápidamente las
amenazas que enfrentan para elegir las tácticas de mitigación adecuadas.

Sin embargo, el personal preferiría poner a las organizaciones en riesgo antes

que denunciar un problema porque temen el castigo o se avergüenzan de ser
responsables de un error. Algunas empresas han introducido normas estrictas
e imponen una mayor responsabilidad a los empleados, en lugar de alentarlos
a que simplemente estén alertas y cooperen. Esto significa que la
ciberprotección no se limita al ámbito tecnológico, sino también a la cultura y
formación de una organización. Ahí es donde la alta dirección y recursos
humanos necesitan participar.

¿Cómo la administración de riesgos se relaciona con el control interno?.

El control interno juega un papel fundamental en relación a la gestión de

riesgos operativos, ya que se establece para limitar y neutralizar los riesgos
que pueden afectar a una organización, a través de la investigación y análisis
de riesgos relevantes. Dadas las condiciones en las que las entidades se
desenvuelven suelen sufrir variaciones, por tanto, se necesitan mecanismos
para detectar y encarar el tratamiento de los riesgos asociados con el cambio.

Los controles internos son elementos clave de los marcos de gestión de

riesgos. Incluyen procesos para evaluar, mitigar y monitorear los riesgos. Las
organizaciones pueden incorporar controles internos a lo largo del ciclo del
programa y como parte de sus estructuras generales de gobernanza y sistemas
de presentación de informes.

Los sistemas de control interno se pueden caracterizar de la siguiente manera:

▪ Preventivo: medidas como políticas antidesvío para garantizar que la

ayuda llegue a sus beneficiarios previstos.
▪ Correctivo: medidas como controles internos para establecer si han
surgido riesgos relacionados con el antiterrorismo durante el ciclo del
programa.

▪ Directiva: medidas como políticas antiterroristas que brinden al personal

una orientación clara y establezcan líneas rojas en relación con los
riesgos antiterroristas.

▪ Detective: medidas de seguimiento, como controles puntuales para

revisar si el personal ha cumplido con los requisitos antiterroristas.