Riesgo Reputacional

Retomando el tema que tiempo atrás trate sobre Bases Generales: Riesgos; vamos a recordar la definición de lo que es un riesgo:

Contingencia o proximidad de un daño

Es decir, es aquello que va a afectar de alguna forma el estado normal de las operaciones ya sea de la compañía o institución pública.

Por otro lado analicemos: ¿cuál es el concepto de reputación?

“Opinión o consideración en que se tiene a alguien o algo”

“Prestigio o estima en que son tenidos alguien o algo”  (Fuente: RAE.es).

Cuando hablamos de ese algo nos referiremos a  compañías o instituciones (en adelante compañías) que representamos.

Ahora bien, cuando hablamos de un riesgo Reputacional debemos de pensar en aquella posibilidad/probabilidad  que un evento X llegue a afectar o dañar la imagen de la compañía.

Un reconocido autor e inversionista en una de sus ponencias una vez comento:

“Tomamos 20 años en construir la reputación, y tan solo 5 minutos para destruirla” Warren Buffet.

Es entonces cuando debemos de profundizar en la importancia del Riesgo Reputacional, partiendo de la pregunta ¿Qué es la reputación corporativa?:

Partiendo de la anterior afirmación, podríamos decir entonces que la reputación corporativa es aquella que se ha venido trabajando a lo largo del tiempo, en donde la visión que se tenía sobre el negocio se materializa de la mano de la misión, siendo los clientes o grupos de interés (stakeholders) internos o externos los que ayudan a construirla.

Podemos pensar que la reputación va de la mano de tres factores claves: la imagen de la compañía, la comunicación y por último los stakeholders.

Stakeholders: se refiere a los grupos de interés para una compañía. El término Stakeholder lo describió R. Edward Freeman en su libro “Strategic Management: A Stakeholder Approach”, publicado en 1984 y lo definió como todas aquellas personas o entidades que pueden afectar o son afectados por las actividades de una empresa

Los stakeholders pueden ser tanto externos como internos, ya que los colaboradores son los abanderados de las compañías y como tales son los primeros promotores de estas.

Los tres factores claves que ya fueron definidos podemos ir evaluándolos desde diferentes áreas, por ejemplo si pensamos en Recursos Humanos (departamento de gestión y desarrollo humano en algunas instituciones) va a ser el encargado del Clima Organizacional, las encuestas de satisfacción y mediciones de conductas;  por otro lado toda compañía debe de tener un área o persona encargada de la ética en cuyo caso deben de trabajar los códigos de conductas, políticas verdes, reportes de sostenibilidad entre otros aspectos (de no existir un comité de ética debemos de buscar quienes son los encargados de estos aspectos). También,  cuando hablamos de reputación (stakeholders externos) debemos de considerar monitorear las redes sociales, páginas webs de interacción social y los canales virtuales de interacción de la empresa.

¿Entonces de quien es la responsabilidad de vigilar que no se materialice este riesgo?

El riesgo Reputacional viene a ser responsabilidad de varios actores dentro de las organizaciones, todos los que día a día vigilan que los procesos sean ejecutados de buena forma. Para administrar el riesgo Reputacional es esencial conocer las expectativas de los stakeholders, de igual forma darle seguimiento a los cambios que pueden surgir de dichas expectativas.

Volviendo al concepto de los stakeholders, existe una técnica de evaluación y monitoreo de estos agentes, se le conoce como el Mapa de stakeholders, mismo que va a contener la información de los grupos relevantes de afectación Reputacional para la compañía. Este mapa debe de contener las siguientes características:

  • Nombres
  • Priorización
  • Dimensiones de la reputación
  • Canales de contacto
  • Motivadores
  • Capacidad de oportunidad

De la web adjunto los siguientes dos ejemplo:

Fuente: https://calidadparapymes.com/definiendo-las-partes-interesadas-en-iso-90012015/

Fuente: http://compartiendoexperienciauniversitaria.blogspot.com/2011/11/quienes-son-los-stakeholders-de-una.html

Labor de la Auditoría en el tema del Riesgo Reputacional:

Como auditores somos parte fundamental de las organizaciones, formando parte de los escuchas que tienen las organizaciones, nos toca evaluar las gestiones necesarias que se llevan a cabo para prevenir la materialización de este riesgo; cómo se logra esto:

Primero se debe de tener claro los elementos internos de la organización: estrategia, perfil financiero, vulnerabilidades, posicionamiento y competitividad, competencias del personal, regulaciones en general; todo esto visto desde un punto de vista informativo por medio de las opiniones, documentos, entrevistas e incluso estudios ya realizados.

Segundo análisis de resultados con respecto a los stakeholders, con el fin de cuantificar sus expectativas; con la ayuda de una serie de técnicas para lograr un análisis horizontal donde se identifican y descomponen las amenazas así como sus expectativas buscando determinar factores de riesgo Reputacional.

Tercero y quizás el más importante: una medición de la gestión proactiva del riesgo Reputacional, donde anticipan las amenazas que afecten la estrategia y las oportunidades de mejora, se da el análisis de las tendencias que pueden derivar en amenazas u oportunidades, y por ultimo ver la acción y conducta corporativa sobre el riesgo Reputacional que aseguren la ejecución exitosa de la estrategia.

Otro aspecto que probablemente, no compete directamente a la auditoria pero si deben de estar monitoreando de forma periódica son los KRRI: identificadores claves de riesgo Reputacional. Que en razón de tiempo son los elementos que nos ayudan a mejorar la gestión del riesgo y evaluación por parte de las auditorías.

Conclusiones:

Como auditores tenemos la labor primordial de hacer evaluaciones constantes de riesgos en toda su gama de conceptos que van a ir surgiendo a lo largo del tiempo caso ejemplo es el riesgo Reputacional, debemos valorar que las organizaciones puedan responder de forma adecuada a las amenazas que surgen en el día a día, esto como bien dice la teoría bajo una gestión continua del riesgo que esté integrada a un sistema específico de valoración con apoyo de un marco normatico.

Auditoría de Sistemas 25-2-2011

Allá en el 2011 presentaba yo este documento como parte de un trabajo que se me pidio:

Auditoria de Sistemas

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, LOS DATOS, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes

Objetivos de la auditoria de sistemas:

  1. Participación en el desarrollo de nuevos sistemas:
  • evaluation de controles
  • cumplimiento de la metodología.
  1. Evaluación de la seguridad en el área informática.
  2. Evaluación de suficiencia en los planes de contingencia.
  • respaldos, preveer qué va a pasar si se presentan fallas.
  1. Opinión de la utilización de los recursos informáticos.
  • resguardo y protección de activos.
  1. Control de modificación a las aplicaciones existentes.
  • fraudes
  • control a las modificaciones de los programas.
  1. Participación en la negociación de contratos con los proveedores.
  2. Revisión de la utilización del sistema operativo y los programas
  • control sobre la utilización de los sistemas operativos
  • programas utilitarios.

 

  1. Auditoría de la base de datos.
  • estructura sobre la cual se desarrollan las aplicaciones…
  1. Auditoría de la red de teleprocesos.
  2. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.

  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informático son:

  • Observación
  • Realización de cuestionarios
  • Entrevistas a auditados y no auditados
  • Muestreo estadístico
  • Flujogramas
  • Listas de chequeo
  • Mapas conceptuales

 

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S.

  1. La información es un recurso clave en la empresa para:
  • Planear el futuro, controlar el presente y evaluar el pasado.
  1. Las operaciones de la empresa dependen cada vez más de la sistematización.
  2. Los riesgos tienden a aumentar, debido a:
  • Pérdida de información
  • Pérdida de activos.
  • Pérdida de servicios/ventas.
  1. La sistematización representa un costo significativo para
  • la empresa en cuanto a: hardware, software y personal.
  1. Los problemas se identifican sólo al final.
  2. El permanente avance tecnológico.

 

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

  1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.
  2. Entendimiento del efecto de los sistemas en la organización.
  3. Entendimiento de los objetivos de la auditoría.
  4. Conocimiento de los recursos de computación de la empresa.
  5. Conocimiento de los proyectos de sistemas.

RIESGOS ASOCIADOS AL AREA DE TI:

Hardware
– Descuido o falta de protección: Condiciones inapropiadas, mal
manejo, no observancia de las normas.
– Destrucción.

Software:
– uso o acceso,
– copia,
– modificación,
– destrucción,
– hurto,
– errores u omisiones.

Archivos:
– Usos o acceso,
– copia, modificación, destrucción, hurto.

Organización:
– Inadecuada: no funcional, sin división de funciones.
– Falta de seguridad,
– Falta de políticas y planes.

Personal:
– Deshonesto, incompetente y descontento.

Usuarios:
– Enmascaramiento, falta de autorización, falta de conocimiento de su función.

 

¿Que tanto hemos avanzado o cambiado desde un punto de vista conceptual?

 

Protección de datos

Si bien la mayor parte de las legislaciones iberoamericanas regulan el derecho de las personas a la protección sobre sus datos, en el marco del llamado habeas data, como garantía constitucional, cada vez son más los Estados que cuentan con normas específicas en materia de protección de datos, adecuando sus leyes, decretos y otra normativa para una mejor salvaguarda de este derecho fundamental, así como su tutela judicial efectiva.

La protección de la privacidad debe ser entendida como un derecho fundamental, tal y como reconoce Naciones Unidas en el marco de la protección de la libertad individual, la libertad de expresión, la intimidad y la dignidad personal. A mayor abundamiento, el Consejo de Europa lo define como un derecho humano fundamental, mismo sentido en que es tratado en la Declaración Universal de Derechos Humanos y el Pacto Internacional de las Naciones Unidas sobre los Derechos Civiles y Políticos, donde se define la privacidad como un derecho, afirmándose que “nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación”…

Daniel López Carballo, Director del observatorio Iberoamericano de Protección de Datos / España, Fuente: http://es.calameo.com/read/002682399c9e17199b3dd

(El subrayado no es del original)

Hablar de la protección de datos hoy en día puede implicar una serie de conceptos que terminan complementando el tema de tal forma que la complejidad del mismo llega a ser significativa, como bien podemos ver en el texto introductorio tenemos si bien una serie de productos globales desde el punto de vista de las TI, de igual forma ahora tenemos normas locales.

La protección de los datos es un tema estrictamente relacionado con el insumo más importante de la compañía o institución en la cual estamos trabajando, hablamos de la INFORMACIÓN.

La información es sin duda uno de los insumos más importantes de las organizaciones, la protección de la misma implica una serie de buenas prácticas y políticas que a nivel general podemos encontrar dentro de COBIT y su universo, específicamente dentro del capítulo: Business Model for Information Security (BMIS).

Dentro de las características del Modelo de Negocio para la Seguridad de la Información (BMIS) que encontramos dentro del Cobit 5, podemos mencionar 3:

  • Nos presenta un enfoque integral y orientado al negocio para la gestión de la seguridad de la información dentro de la organización.
  • Establece una línea de parámetros bajo un lenguaje común para referirse a la protección de la información
  • Por ultimo describe de forma detallada el modelo de negocio para gestionar la seguridad de la información, en donde se invita a utilizar una perspectiva sistémica

Como podemos ver en un marco global tenemos el Cobit 5 como punto de partida, con mucha información que se puede aprovechar para el tema de la protección de datos, por otro lado cuando damos el siguiente paso y pensamos en una normativa, regulación o ley local no podemos dejar por fuera la: “Ley de protección de datos, 8968”.

Si bien es cierto la Ley 8968 “Protección de la Persona frente al tratamiento de su datos personales” viene a ser un marco regulatorio para garantizar la seguridad de los datos de las personas que son utilizados por las diferentes organizaciones, podemos tomarlo como punto de partida para establecer un entorno de seguridad dentro de la empresa o institución, es decir, partiendo de los derechos con los que cuentan los individuos relacionados a sus datos sensibles, como instituciones debemos de garantizar la protección y buen manejo de los mismos.

Desde la auditoria de TI:

Como auditores de TI tenemos dos responsabilidades muy grandes con respecto a este tema:

  • Debemos de procurar que la ley, normativa se vea aplicada de buena forma. Es decir, tenemos principios que nos invitan a evaluar que las organizaciones estén trabajando por hacer valer la ley, buscando que esas buenas practicas que manejan vayan de la mano de los reglamentos establecidos, recordemos que el valor de la información es indeterminable una vez que se ve expuesta o perdida.
  • Debemos de garantizar la privacidad de la información con la cual nosotros trabajamos. Para nuestro caso como funcionarios que trabajamos con la recopilación de información para respaldar los hallazgos es de suma importancia la seguridad, actualidad, veracidad y exactitud de la misma (Articulo 6. – Principios de calidad de información, Ley 8968, )

 

Cierre RVV:

Como vemos la  protección de datos implica una gran responsabilidad hacia el individuo principalmente, además que una serie de elementos que derivan del tema como lo son: Confidencialidad, Riesgos, Seguridad, Control Interno, tomando un rumbo incluso más técnico debemos de tomar en cuenta el anonimato y la Ciberseguridad.

Nuestra responsabilidad como auditores recae en la búsqueda de que se valide y rectifique este derecho que tienen los individuos y que las organizaciones debemos de garantizarlo, más aún para el caso de nuestro país donde tenemos una ley de por medio.