Automatización de Controles

Home / Posts Tagged "Automatización de Controles"

Tag: Automatización de Controles

El Nuevo Director de Auditoría

Liderazgo en organizaciones inteligentes frente al riesgo

Las demandas normativas mundiales y la recuperación de la crisis financiera global crearon nuevas presiones para los directores de auditoría (CAE) y la profesión de auditoría interna. Hoy en día, los CAE deben tomar una difícil decisión: seguir siendo auditores tradicionales centrados en ejecutar el plan de auditoría o evolucionar en su rol, particularmente en el área de gestión de riesgos, para ser un socio comercial estratégico de la alta gerencia.

 

TENDENCIAS CLAVES QUE CAMBIAN LA PROFESIÓN DE AUDITORÍA

  1. Presiones normativas más estrictas

Los organismos reguladores se han hecho más estrictos a partir de la recesión global de 2007-2008. Esto fue resultado, en gran parte, de que las empresas de servicios financieros tuvieran habilidades de gestión de riesgos insuficientes. Por ese motivo, ahora se espera que los equipos ejecutivos y las juntas demuestren habilidades de gestión de riesgos mucho más desarrolladas.

  1. Atención al riesgo tradicional frente al estratégico

Con todas estas presiones normativas, se podría decir que las empresas se excedieron en los esfuerzos de eliminar toda posibilidad de tener problemas de cumplimiento, financieros u operativos. Tan así, que los mismos riesgos se gestionaban varias veces. Es posible que este enfoque haya funcionado para riesgos tradicionales, pero no necesariamente para riesgos estratégicos. Hoy, el enfoque general en gestión de riesgos en negocios internacionales se inclina hacia los riesgos estratégicos.

  1. Liderazgo experto en tecnología y con conciencia sobre la auditoría

Los nuevos líderes empresariales competentes en tecnología y con conciencia sobre las auditorías usarán todas las herramientas a disposición para encontrar los riesgos más rápido y cumplir con sus expectativas.

Para abordar estas demandas con éxito, se requiere una combinación de liderazgo, procesos y herramientas, como automatización, estudios analíticos y auditoría continua, para brindar más eficiencia y eficacia.

 

MISMO ROL, NUEVAS OPORTUNIDADES

La automatización de la auditoría brinda un beneficio adicional, que es particularmente valioso ante el panorama de una economía altamente volátil: la sostenibilidad. Al almacenar prácticas, conocimiento y datos en un sistema de fácil acceso e intuitivo en lugar de hacerlo únicamente en el cerebro de un individuo, las funciones de auditoría interna se posicionan mejor para administrar los tipos de cambios significativos que se dan con más frecuencia hoy en día

La posibilidad de que los riesgos actuales que hoy confrontan a los CAE con la función de auditoría interna generen recompensas o pérdidas el día de mañana depende, en gran medida, de qué tan efectivas (y sostenibles) sean sus respuestas a las presiones actuales.

Nuevo e-book

Tendencias claves que cambian la profesión de auditoría.

Descargar
  • pmn
  • 19 octubre, 2022
  • More

Los siete peligros de las auditorías basadas en documentos

Cómo comprender los efectos destructivos de los datos oscuros en las organizaciones.

El uso de documentos generados por procesadores de texto y hojas de cálculo como forma primaria de capturar y documentar procedimientos, resultados y evidencias de auditorías se está convirtiendo rápidamente en un anacronismo oxidado —y peligroso—. En el escenario digital actual, este enfoque obstaculiza de varias maneras a las organizaciones.

El problema es que la información queda atrapada dentro de los documentos electrónicos y las hojas de cálculo, donde efectivamente se transforma en “datos oscuros”: imposibles de buscar, referenciar, analizar, exportar, reportar o acceder en dispositivos móviles.

¿Qué son los datos oscuros?

Gartner define los datos oscuros como “los activos de información que las organizaciones recopilan, procesan y almacenan durante sus actividades empresariales normales, pero que generalmente no logran aprovechar para otros fines (por ejemplo, estudios analíticos, relaciones comerciales y monetización directa). Como la materia oscura en física, los datos oscuros suelen abarcar la mayor parte del universo de activos de información de la organización. Por eso, las organizaciones suelen conservar los datos oscuros únicamente a los fines del cumplimiento.

Siete peligros de las auditorías basadas en documentos

Los problemas claves creados por el enfoque basado en documentos para la gestión de las auditorías incluyen:

01 ) Los datos oscuros quedan atrapados dentro de los documentos o las hojas de cálculo.

02 ) Los documentos no protegen la integridad de los datos.

03 ) Por su naturaleza, la información dentro de documentos y hojas de cálculo no puede mantener sus relaciones con otra información.

04 ) Propagar las auditorías es difícil y exige mucho trabajo manual.

05 ) Exportar y archivar fuera del software es imposible.

06 ) Las dependencias causan conflictos entre las versiones del software y dificultan las actualizaciones.

07 ) Cargas de TI.

No es usted, es la tecnología de auditoría.

Comprender la evidencia digital de auditoría = comprender la necesidad de cambio.

Desde un punto de vista de la metodología fundamental de auditoría, la documentación crítica de auditoría cae dentro de dos grandes categorías:

01 Análisis y conceptos primarios de la auditoría: Incluye la información que representa el pensamiento original del auditor y que formará parte del reporte de auditoría; por ejemplo, sus análisis y comentarios sobre los procedimientos llevados a cabo, por qué se hicieron, los resultados, conclusiones, etc.

02 Evidencia de respaldo de la auditoría: Los elementos adquiridos durante la auditoría que evidencian directamente qué llevó al auditor a sus conclusiones.

¿Por qué cambiar? Beneficios claves de la auditoría interna.

Invertir en la gestión de los cambios de corto plazo necesarios para que la organización pase de las auditorías basadas principalmente en documentos al software de gestión de auditoría aporta beneficios claves:

  • Mejora de la productividad del trabajo de campo de auditoría.
  • Mayor uniformidad de enfoques y calidad entre auditorías.
  • Mayor calidad de la información de auditoría.
  • Fácil ampliación del alcance de la información de auditoría.
  • Mayor rapidez de entrega de la información.
  • Mayor capacidad de presentación de reportes de alto impacto.
  • Mayor facilidad de propagación de las auditorías de forma menos “invasiva”.
  • Mejora general de la automatización de la auditoría.

Esta misma transición también libera la carga administrativa y de TI de la organización.

 

Nuevo e-book

Cómo aumenta la tecnología el valor de la auditoría.

Descargar
  • pmn
  • 16 agosto, 2022
  • More

Tome el control de los controles, cualquiera sea su complejidad

La puesta en práctica de un marco de control efectivo.

A medida que aumenta la prevalencia de las violaciones de ciberseguridad, los fraudes y los factores de riesgo de terceros, y los requisitos de cumplimiento se vuelven más exigentes, es importante que las instituciones financieras cuenten con un rol de liderazgo dedicado a crear políticas para mantener controles férreos sobre todos los factores de riesgo operacional y hacerlas cumplir.

Entonces, como director de riesgos, ¿cuáles son los primeros pasos que debe dar para dominar la complejidad del panorama de controles?

Considere las siguientes como sus prioridades iniciales:

DEFINA UN MARCO DE CONTROL INTEGRAL MÍNIMO

Primero, fíjese en sus objetivos organizacionales generales y diseñe un sistema de controles que se ajuste. Si tiene 10.000 ubicaciones en el mundo, es posible que encuentre variaciones regionales en la forma de operar de sus ubicaciones; por eso, en lugar de preocuparse por pequeñeces, piense primero en los asuntos operacionales que realmente afectan la seguridad o el cumplimiento de sus sucursales y básese en ellos. El proceso incluirá:

  • Identificar los requisitos normativos y de cumplimiento de su sector y determinar cómo deben influir en sus procesos operacionales.
  • Determinar el apetito de riesgo de su empresa; ¿qué nivel de riesgo está dispuesto a asumir para cada factor de riesgo en relación con el nivel de la inversión necesaria?
  • Desarrollar un proceso de identificación de gestión de riesgos que incluya un inventario de riesgos, cuadros de mando de evaluación de riesgos y una metodología de medición de riesgos.
  • Establecer programas de capacitación y protocolos para abordar los asuntos de cumplimiento y gestión de riesgos en todos los departamentos.
  • Desarrollar una cadena interna de mando y selección de personal para las principales contrataciones.

CREAR UN SISTEMA PARA AUTOMATIZACIÓN

Cuando haya desarrollado los controles y disparadores de riesgo necesarios en su proceso, es importante desarrollar la pila de tecnología adecuada para ayudar a gestionar y monitorear sus factores de riesgo. Céntrese en pasar de procesos manuales a automatizados, comience con iniciativas pequeñas antes de implementar procesos automatizados en toda la empresa. Su software debe permitir un uso intuitivo y ofrecer oportunidades de aportar datos en tiempo real para el análisis de riesgos.

ASOCIE EXPERIENCIA HUMANA CON APRENDIZAJE AUTOMÁTICO

Una vez que cuente con un sistema de automatización para ayudar al seguimiento de los controles, puede aprovechar al máximo un sistema que asocia el aprendizaje automático con el análisis especializado de expertos en la materia. Mediante la asociación de tecnología con analistas humanos para corroborar datos y profundizar en los potenciales problemas, puede estar seguro de que sus especialistas dedican su tiempo a los análisis estratégicos en los que son expertos, en lugar de realizar simples tareas repetitivas. Las enormes cantidades de datos y su disponibilidad inmediata —junto a nuevas tecnologías, nuevos modelos de negocios y cadenas de valor— están transformando la forma en la que las organizaciones sirven a sus clientes, interactúan con terceros y funcionan internamente. El departamento de riesgo operacional debe mantenerse al día con este entorno dinámico, incluido el cambiante panorama de riesgos.

Las mejores instituciones ya no miran únicamente el riesgo financiero. Están configurando procesos integrales para implementar controles y mitigar riesgos operacionales de todo tipo, con protocolos agregados para monitorear qué tan bien se siguen los controles en los distintos departamentos. En lugar de depender de auditorías poco frecuentes para el seguimiento del éxito de sus esfuerzos, aprovechan el aprendizaje automático para obtener análisis en tiempo real del grado de cumplimiento de cada división con los puntos de referencia del proceso de los controles.

Nuevo e-book

La puesta en práctica de un marco de control efectivo.

Descargar
  • pmn
  • 18 mayo, 2022
  • More

¿Está preparado su equipo de auditoría interna para nuevos riesgos?

Los amplios impactos globales de COVID-19 crearon lo que podría decirse que es la mayor disrupción para la auditoría interna en la historia de la profesión. La pandemia aumentó los riesgos en prácticamente todas las facetas de las operaciones empresariales. Sin embargo, los auditores internos enfrentaron desafíos sin precedentes a través de acciones transformadoras y resiliencia, según la encuesta de Focus on the Future de 2022 a los líderes de auditoría.

No obstante, los auditores internos reconocen la necesidad de prepararse para el futuro aumentando los recursos y el talento para gestionar eficazmente los riesgos en el horizonte. La encuesta Focus on the Future 2022 revela las áreas críticas en las que los auditores dirigen sus esfuerzos desde 2022 hasta 2025.

2022 – 2025 Principales riesgos y esfuerzo de auditoría

La ciberseguridad / privacidad de los datos, sigue siendo la categoría de mayor riesgo para 2022, con más del 90% de los líderes de auditoría interna calificándola como de “alto riesgo”. Además, los líderes informan que los esfuerzos de su departamento finalmente se están poniendo al día con la importancia de la ciberseguridad.

Además, se proyecta que varias áreas de riesgo que se clasificaron como bajas para 2022 tendrán evaluaciones de riesgo más altas en 2025. Estas incluyen:

  • Condiciones económicas cambiantes.
  • Interrupción del negocio.
  • Diversidad, equidad e inclusión.
  • Sostenibilidad y cambio climático.
  • Efectividad de la supervisión de la administración por parte del directorio.
  • Implementaciones de inteligencia artificial.

Recursos y Talento

Una señal positiva para la auditoría interna es que los recursos aumentaron en 2021, y se espera que aumenten aún más para 2025. Aproximadamente la mitad de los encuestados esperan aumentos de personal y presupuesto durante los próximos 12 a 24 meses, mientras que solo unos pocos anticipan disminuciones.

Los conjuntos de habilidades donde las funciones de auditoría interna desean mejorar más las habilidades de su personal son el pensamiento analítico / crítico, la perspicacia comercial, la gestión de riesgos, las TI y la ciberseguridad.

Efectos del trabajo remoto en la auditoría interna

Más de la mitad de los líderes de auditoría interna dijeron que contrataron a trabajadores remotos debido a la pandemia, mientras que una cuarta parte vio a sus trabajadores “robados” por otras organizaciones.

Los equipos de auditoría interna también ampliaron significativamente su uso de la tecnología. Los auditores aumentaron el uso de plataformas de video para celebrar reuniones virtuales y confiaron más en la extracción de datos / análisis avanzado y el software de gestión de auditoría basado en la nube. Los departamentos de auditoría interna probablemente encontrarán beneficios a largo plazo de estas mejoras, incluso después de que la vida vuelva más a las normas anteriores a COVID.

Mantener la resiliencia de la auditoría interna en una era de volatilidad del riesgo

Los resultados de la encuesta Focus on the Future de 2022 ofrecen varias oportunidades importantes para que los líderes de auditoría interna optimicen su impacto:

  • Identifique y prepárese para los riesgos emergentes, como la sostenibilidad / cambio climático, las interrupciones del modelo de negocio, la inteligencia artificial y la diversidad / equidad / inclusión, ahora, no dentro de varios años.
  • Aborde de manera proactiva las brechas de habilidades en los departamentos de auditoría interna para garantizar que las personas adecuadas estén en el lugar para el futuro.
  • Aproveche lo aprendido durante el último año con respecto al trabajo remoto.
  • Amplíe el uso de tecnologías, incluido el software de análisis de datos y gestión de auditorías, donde sea que puedan mejorar más la eficiencia y la eficacia.
  • Construya y mantenga relaciones con las partes interesadas clave dentro de la organización, ya sea que regresen a una oficina central o trabajen de forma remota.

La pandemia de COVID-19 marcó el comienzo de una era de mayor volatilidad del riesgo, que requirió cambios importantes en la forma en que vivimos y trabajamos para enfrentar sus desafíos. Para seguir teniendo éxito en el futuro, la auditoría interna debe ser adaptable y capaz de adelantarse a los riesgos de manera temprana.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 6 diciembre, 2021
  • More

Su plataforma GRC: ¿en la nube o local?

Su solución GRC es la columna vertebral de sus equipos de cumplimiento y administración de riesgos, por lo que es crucial que su tecnología no experimente fallas de seguridad o interrupciones del servicio y pueda actualizarse fácilmente cuando sea necesario.

Al alojar su plataforma GRC, su organización tiene dos opciones: en la nube o en las instalaciones. Evaluaremos los pros y los contras de cada uno.

En las instalaciones

Cuando decide alojar su plataforma GRC en las instalaciones, eso significa que está utilizando servidores internos e infraestructura de TI para ejecutar el software.

  • Mantenimiento y almacenaje. Usted es totalmente responsable del tiempo de actividad del servidor, así como de las actualizaciones y la configuración de las aplicaciones. Necesitará tener técnicos especializados disponibles que comprendan cómo mantener los servidores y administrar las actualizaciones. También hay un límite en la cantidad de datos que puede contener cada servidor, así que esté preparado para agregar servidores adicionales cuando se requiera más almacenamiento. La implementación de soluciones locales también puede llevar más tiempo que las soluciones en la nube porque primero deberá completar la instalación en su servidor y luego en computadoras individuales.
  • Comprará una licencia de software en lugar de pagar una tarifa mensual por el uso, pero el costo de la licencia puede ser alto por adelantado y también será responsable del costo continuo del mantenimiento del servidor y el consumo de energía. Aunque las tarifas de licencia pueden eventualmente ser más bajas que pagar por un servicio mensual, podría llevar años alcanzar el punto de equilibrio, momento en el que puede descubrir que sus necesidades de software han cambiado.
  • Muchas organizaciones sienten que el software local es más seguro que el software basado en la nube, pero no siempre es así. Debido a que el software local depende de su personal para completar las actualizaciones, los parches de seguridad no se instalan automáticamente, lo que deja su software vulnerable a los piratas informáticos. En lugar de administradores especializados, las organizaciones que ejecutan software local a menudo tienen especialistas de TI responsables de las actualizaciones de software, lo que significa que estas herramientas son extremadamente vulnerables a los ataques.

Nube

Cuando se cambia a un entorno de nube, depende de los servidores del proveedor para alojar su aplicación y podrá acceder a ella desde cualquier dispositivo, sin importar dónde se encuentre.

  • Mantenimiento y almacenaje. Debido a que el proveedor tiene la responsabilidad de alojar su aplicación, la implementación puede ocurrir en cuestión de horas o días, sin necesidad de instalación física en dispositivos individuales. El proveedor también es responsable de administrar las actualizaciones, que deberían ocurrir automáticamente. Y debido a que su organización comparte el espacio del servidor con otros clientes, tiene el potencial de escalar hacia arriba o hacia abajo rápidamente según sus necesidades.
  • En lugar de comprar una licencia por adelantado, normalmente pagará por una solución, con su precio basado en el nivel de servicio que necesita y la cantidad de usuarios que tiene. No hay gastos de capital iniciales, y el precio generalmente se garantiza por un período de 12 meses. También puede realizar actualizaciones fácilmente y agregar servicios o usuarios adicionales sin tener que realizar actualizaciones manuales en la aplicación para hacerlo.
  • Si bien la seguridad de una herramienta GRC basada en la nube se reduce al software individual, muchos tienen estándares de seguridad más altos que las herramientas locales. Los parches de seguridad se instalan instantáneamente en todas las aplicaciones de sus usuarios, eliminando la necesidad de depender del personal interno para realizar actualizaciones. Para garantizar altos niveles de seguridad, elija una plataforma que encripte sus datos y tenga certificación gubernamental para demostrar su cumplimiento de seguridad. La plataforma HighBond de Galvanize, por ejemplo, recibió una Autorización de Agencia FedRAMP del Gobierno Federal de los EE. UU. En 2019, después de cumplir con los estrictos requisitos de cumplimiento de ciberseguridad exigidos por las agencias gubernamentales. Y este año, anunciamos una certificación adicional: la Autorización de Nivel 5 de Impacto del Departamento de Defensa.

Evaluando sus opciones

Si bien el software local puede ser necesario para ciertas empresas debido a los requisitos de cumplimiento, la gran mayoría de las organizaciones ahora tienen la libertad de migrar a la nube. Y como muchos proveedores de software basados ​​en la nube se han asegurado de que sus soluciones sean lo suficientemente seguras y estables para el uso empresarial y gubernamental, hemos visto que las tasas de adopción se dispararon: Gartner predice que el gasto en la nube pública en todo el mundo crecerá un 23% al termino del 2021.

La pandemia de COVID-19 y el cambio a equipos más distribuidos ha demostrado los peligros de depender de herramientas e infraestructura locales. Al adoptar la transformación digital y crear una pila tecnológica segura de herramientas basadas en la nube, puede dormir tranquilo sabiendo que sus equipos tienen las herramientas para trabajar desde cualquier lugar, en cualquier momento, sin comprometer la seguridad de su organización.

Al elegir una herramienta GRC basada en la nube, debería proporcionar una plataforma integrada donde todo su equipo de gestión de riesgos pueda colaborar y compartir datos. También debe tener la capacidad de automatizar los flujos de trabajo de cumplimiento comunes y proporcionar imágenes y análisis en tiempo real para ayudarlo a medir sus niveles de riesgo para los indicadores clave de riesgo.

Pasar de una solución local a una basada en la nube puede ser un gran acto de fe, pero con el socio adecuado, verá muchos beneficios. La elección es clara: una solución GRC basada en la nube es el camino del futuro.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 30 noviembre, 2021
  • More

Estudio de caso de cliente: Just Eat Takeaway.com

 Just Eat, una de las empresas de delivery online mas importantes del mundo, selecciona HighBond de Galvanize para proporcionar la próxima generación de riesgo integrado.

 

Al experimentar un rápido crecimiento, la compañía identificó la necesidad de reemplazar sus sistemas de hojas de cálculo y software heredado con una plataforma de gestión de riesgos automatizada para simplificar los procesos y exponer y gestionar mejor los factores de riesgo críticos.

Descargar Estudio de Caso
  • pmn
  • 6 septiembre, 2021
  • More

Gestión documental inteligente

Con el paso del tiempo y el avance de la tecnología, los SGD o Sistemas de Gestión Documental, se han convertido en un factor clave dentro de las organizaciones. El aumento de la información generada por las empresas y el deterioro de los antiguos sistemas de almacenamiento ha obligado a crear un nuevo modelo para recopilar los documentos de forma ágil y ordenada.

¿QUÉ ES LA GESTIÓN DOCUMENTAL?

Organizar la información es uno de los factores determinantes del éxito empresarial. La gestión de documentos consiste en un conjunto de prácticas y procedimientos utilizados en la administración de archivos dentro de una organización con el objetivo de organizar, compartir y acelerar el flujo de trabajo de forma eficiente.

La transformación digital ha acelerado el proceso de digitalización de documentos en la mayoría de las empresas, pero todavía se siguen realizando determinadas acciones que ralentizan los procesos, disminuyen la productividad laboral y aumentan el tiempo de espera de los clientes. Entre los síntomas que demuestran que su organización necesita un sistema de gestión documental, encontramos los siguientes:

  • Uso excesivo de papel: facturas, tickets de gasto, nóminas, etc.
  • Gran cantidad de documentación duplicada.
  • Hojas de Excel con mucha información, donde se desconoce la última modificación del documento y su responsable.
  • Documentación descentralizada que genera la necesidad de obtener más copias.

FUNCIONES 

Un buen sistema de gestión documental cubre gran parte de las necesidades de la empresa y realiza el proceso de forma organizada y planificada. En definitiva, permite que un documento tenga capacidades extra para que pueda realizar acciones automáticas por sí mismo. Con una capacidad de almacenamiento ilimitada que permite:

 Capturar documentos sin importar la fuente.

 Integrarse con los diferentes sistemas existen.

 Eliminar la introducción manual de los datos y beneficiarse de repositorios de larga vida.

 Crear automáticamente y administrar copias de seguridad.

 Controlar la aprobación de los documentos, establecer plantillas base y especificar los datos que contiene cada archivo.

 Recibir alertas sobre cualquier incidencia.

 Crear diferentes vistas de la biblioteca para consultar rápida y fácilmente los documentos de diferentes formas. Para cada una de ellas, se puede determinar el número de columnas que se mostrarán y en qué orden, los documentos que deben aparecer, las agrupaciones, los totales, los estilos, etc.

 Integrar los procesos para que los documentos y archivos aparezcan automáticamente cuando sea necesario.

 Disfrutar de resultados de búsqueda instantáneos y encontrar rápidamente el archivo que se está buscando

Además, debe permitir gestionar todos los documentos (textos, imágenes, vídeos, etc.) de una organización de forma integrada y global, para contribuir a mejorar el rendimiento empresarial con grandes volúmenes de documentos. Por otro lado, incluir diferentes tipos de firmas digitales durante el flujo de trabajo que cumplan con los estándares del mercado.

BENEFICIOS DEL SISTEMA DE GESTIÓN DOCUMENTAL

Resumiendo, existen varias razones por las que empezar a utilizar esta funcionalidad en su organización:

1. Información centralizada en un solo lugar

2. Cumplimiento de las normativas de seguridad

3. Ahorro de costes 

4. Aumento de la productividad

5. Mayor estructuración de los datos

6. Trabajo en equipo y movilidad 

Como se puede comprobar, el sistema de gestión documental es una pieza clave que favorece el desarrollo empresarial. Teniendo en cuenta que las organizaciones generan a diario una gran cantidad de documentos.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 4 agosto, 2021
  • More

Cómo crear un sistema sólido de control interno

Con el fin evitar gravísimas fallas de los controles, estos son los cuatro pasos que debe seguir al crear su sistema de control interno.

1) Evalúe dónde se encuentra (planificar)

Para comprender y definir el estado actual del control interno, observe cómo se están logrando los objetivos de la empresa en Operaciones, Reportes y Cumplimiento. Las evaluaciones deben incluir el estado del entorno de control, la cultura corporativa en relación con los riesgos y controles (comenzando por arriba), las actividades de gestión y control de riesgos y las actividades de monitoreo. Los hallazgos le ayudarán a definir el grado de madurez de su compañía.

2) Asegúrese de tener lo necesario y comience (asignar recursos e implementar)

En esta etapa, es fundamental asegurarse de tener los recursos necesarios para desarrollar e implementar el plan. ¿Tiene el presupuesto? ¿La gente? ¿El tiempo? ¿La tecnología? Identificar y asegurar estos recursos puede ser muy trabajoso.

3) Acuerde a dónde desea llegar (comunicar y alinear)

Decida dónde debe utilizar el modelo de madurez como guía (informal/ad hoc, estándar, gestionado y monitoreado, optimizado). Esta decisión debe tomarla la alta gerencia; preferentemente, en consulta con los auditores. Los auditores siempre reportan el estado de los controles internos, por eso, son un excelente recurso y una guía para comenzar a crear un plan de acción.

4) Implementar y refinar el plan (revisar y probar)

Según lo que involucre su plan, la implementación puede llevar un tiempo. La revisión y pruebas deben realizarse de manera continua; este no es un tipo de programa que se pueda “instalar y olvidar”.

El futuro del control interno

¿Cómo es el futuro del control interno? Está siendo modelado por las amenazas y vulnerabilidades — y en última instancia, por los riesgos — que enfrentan las organizaciones. Por eso, es tan importante intentar predecir los riesgos e iniciar medidas de protección mediante controles.

La exposición a los riesgos está aumentando gracias a la nueva tecnología, Internet y la conectividad, la digitalización y las nuevas formas de trabajo. Con el aumento de la conectividad y la dependencia de Internet, la debilidad de los controles de la infraestructura puede paralizar organizaciones enteras.

Las tecnologías como el aprendizaje automático, la inteligencia artificial, la cadena de bloques, la conectividad global y las plataformas móviles han generado nuevas dependencias.

Trabajamos en un mundo nuevo y desafiante que incluye un uso casi total de dispositivos móviles, transacciones y operaciones bancarias en línea, teletrabajo, personal temporal contratado para cada proyecto, horarios flexibles y tercerización. Todos estos aspectos hacen que sea difícil exigir responsabilidad y todos requieren controles rigurosos y adecuados para mitigar el riesgo inherente.

Súmele la tendencia de facilitarnos las cosas cuando usamos la tecnología (único inicio de sesión, identificación del usuario en el sistema y sesiones siempre abiertas en las aplicaciones) y una pequeña brecha o falla en un sistema puede dar acceso al sistema completo. Un software maligno y autodidacta inyectado en un sistema causaría estragos. Ya hemos visto virus o bots que aprenden y cambian junto con los entornos en los que se introdujeron. Los controles también deben ser automatizados y autodidactas para observar, aprender y predecir los comportamientos de las potenciales amenazas.

Así, utilizando tecnologías de vanguardia, junto a las mejores prácticas y un enfoque estratégico, podrá iniciar el recorrido hacia su propia utopía de control interno.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 9 julio, 2021
  • More

5 consejos para la gestión del riesgo cibernético

La ciberseguridad es una de las principales preocupaciones de todas las áreas de una organización, desde la legal hasta la de recursos humanos, TI y las operaciones.

Una filtración de datos puede ser devastadora, no solo para su equipo técnico, sino para toda la empresa, y puede tener repercusiones  duraderas. Dependiendo de la gravedad de la infracción, es posible que deba cerrar las operaciones por completo durante un período de tiempo, lo que también puede provocar pérdidas de clientes e ingresos.

El daño a la reputación también es una preocupación clave: el 65% de las víctimas de una violación de datos han perdido la confianza en la organización que fue violada. Y las empresas que exponen inadvertidamente información personal pueden estar sujetas a demandas colectivas por valor de millones de dólares.

El cumplimiento de las regulaciones de la industria es un buen punto de partida para defender su organización. Pero ahora, depender solo del cumplimiento ya no es suficiente. No se trata de marcar una casilla, se trata de ser consciente de los riesgos nuevos y emergentes y de vigilarlos constantemente, administrar los riesgos existentes y hacer que ese proceso sea eficiente. Eso significa que es esencial adoptar un enfoque activo para monitorear y administrar su riesgo cibernético.

La pandemia de COVID-19 provocó una migración repentina y generalizada a un entorno de oficina distribuido con un tiempo mínimo para preparar o configurar nuevos protocolos de seguridad de red.

Este es un excelente ejemplo de un riesgo que podría identificarse desde el principio. Es posible que el riesgo no haya sido una pandemia, sino quizás uno de continuidad empresarial: si el lugar de trabajo se vuelve inaccesible por cualquier motivo, ¿existen los sistemas, las herramientas y los procesos adecuados para continuar? Si no es así, ¿cómo afectará eso a la organización? Este es un ejemplo de cómo adoptar un enfoque de ciberseguridad basado en el riesgo.

Para estar un paso por delante de los riesgos de ciberseguridad futuros, es importante adoptar un enfoque estratégico para evaluar los riesgos potenciales para su organización (incluidos escenarios internos, de terceros, basados ​​en infraestructura, etc.). Al identificar cada riesgo individual y crear planes para mitigarlos y remediarlos, estará bien preparado para recuperarse rápidamente en casi cualquier escenario.

Un enfoque de la ciberseguridad basado en el riesgo

Aquí hay cinco pasos para incorporar la gestión de riesgos en sus iniciativas de ciberseguridad:

  1. Utilice análisis y puntuación de riesgo

Haga un inventario de todos sus riesgos potenciales y asígneles una puntuación de riesgo alta, media o baja. Luego, defina qué nivel de riesgo está dispuesto a asumir y cuánto está dispuesto a invertir para mitigar los riesgos fuera de ese nivel. Utilice una plataforma de software con análisis de datos para aplicar y monitorear su puntuación de riesgo, y automatice las notificaciones cuando el riesgo tenga tendencias en una dirección no deseada.

  1. Crea un comité de riesgo cibernético

Identifique a los propietarios de riesgos en toda la organización. Por lo general, el Director de seguridad de la información desempeñará una función de liderazgo para gestionar el riesgo cibernético en su conjunto, con diferentes equipos y funciones laborales que desempeñan un papel en el seguimiento y la gestión de riesgos específicos. Por ejemplo, TI puede asumir la responsabilidad principal de administrar y monitorear la infraestructura y las redes, mientras que su equipo de seguridad puede tomar la iniciativa en la configuración de controles para acceder a los datos y monitorear las amenazas contra ellos. Agrupe a los líderes clave de cada departamento relevante para que formen parte de un comité de riesgo cibernético que informa a su junta directiva.

  1. Adopte un enfoque por fases

En lugar de intentar implementar varios cambios estratégicos importantes a la vez, adopte un enfoque por fases para la gestión de riesgos, en función de su presupuesto y recursos disponibles. Trabaje con el comité de gestión de riesgos para comprender el panorama de riesgos y siga su lista de prioridades para ayudarlo a crear una hoja de ruta estratégica.

  1. Ponga el foco en sus iniciativas de ciberseguridad

Una vez que haya desarrollado un plan integral de gestión de riesgos de ciberseguridad, eduque a toda su empresa sobre sus iniciativas. Empiece por hacer actualizaciones a sus políticas que reflejen cambios en los protocolos estándar y ejecute programas de capacitación departamentales para que cada equipo esté al tanto de lo que se les pedirá que hagan. Una vez que su empresa esté a bordo, puede correr la voz mostrando sus iniciativas de ciberseguridad a sus clientes y socios, proporcionando una ventaja competitiva.

  1. Identifique las herramientas de automatización adecuadas para ayudarlo a administrar el riesgo

La gestión del riesgo cibernético se beneficiará de la experiencia humana, pero para crear un programa sólido que siga de cerca su nivel de riesgo en tiempo real, será necesario confiar en las herramientas de análisis de datos y automatización. Al elegir una solución, concéntrese en encontrar una herramienta que sea intuitiva para los usuarios sin capacitación especializada, de modo que pueda utilizarse en todas las líneas de negocio. La herramienta debe utilizar fuentes de datos en tiempo real para analizar nuevas amenazas y compartir información de forma anónima a medida que ocurren incidentes. Debe proporcionar cifras de inversión versus impacto para ayudarlo a comprender su ROI en cada estrategia de mitigación.

Al alejarse de un enfoque de cumplimiento y crear un plan de ciberseguridad que se centre en el perfil de riesgo único de su empresa, estará en una posición sólida para detectar y responder de manera efectiva y eficiente a cualquier amenaza tan pronto como ocurra, en lugar de meses después.

Esto ayudará a su empresa a evitar los problemas operativos y el daño a la reputación causados ​​por infracciones importantes, y seguirá siendo competitivo en su industria a largo plazo. Al utilizar tecnología que lo ayuda no solo a evaluar los riesgos, sino también a analizar los costos asociados con su mitigación, puede ejecutar un programa de administración de riesgos rentable que obtenga resultados.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 25 junio, 2021
  • More

¿Qué es la gestión de riesgos digitales?

Históricamente, muchas organizaciones han ido a un ritmo lento en lo que respecta a la transformación digital. De hecho, Forrester informó que solo el 15% de las empresas se clasificarían como “conocedoras de la tecnología digital” antes del año pasado.

A raíz de la pandemia de COVID-19, las cosas han cambiado y Forrester predice que todas las empresas invertirán mucho en iniciativas tecnológicas, incluido un mayor gasto en soluciones de seguridad, riesgo, red, nube y movilidad. Dar prioridad a la transformación digital brinda a las organizaciones la capacidad de acelerar el crecimiento, mejorar la productividad y tener un mejor acceso a los datos.

¿Qué es la gestión de riesgos digitales?

La gestión de riesgos digitales se refiere a los procesos digitales para mejorar la evaluación y el seguimiento del riesgo, que pueden incluir riesgo de ciberseguridad, de terceros, operativo y muchos otros tipos de riesgo. Estos, pueden afectar el desempeño financiero, el funcionamiento o la reputación de la organización.

Una solución de gestión de riesgos digitales puede incluir el uso de automatización de procesos, automatización de decisiones, monitoreo digitalizado y sistemas de alerta temprana, y puede proporcionar análisis en profundidad para ayudar a su organización a monitorear mejor su estado de cumplimiento y nivel de amenaza actual para todos los factores de riesgo.

 

¿Por qué pasar de lo manual a lo digital?

Al digitalizar su proceso de gestión de riesgos, puede eliminar los silos y asegurarse de que sus equipos puedan comunicarse entre sí. La solución de gestión de riesgos digitales adecuada proporcionará una visibilidad clara de las amenazas actuales, así como las soluciones que puedan ser necesarias, acortando el tiempo necesario para responder a las amenazas. Y en lugar de enviar gerentes de cumplimiento para que realicen comprobaciones constantes en el sitio, puede confiar en la autoinformación digitalizada y las notificaciones automatizadas para muchos estándares de cumplimiento, lo que mejora la productividad en el lugar de trabajo y mejora el cumplimiento en toda la organización.

Una solución de gestión de riesgos digitales es una plataforma integrada que funciona a la perfección para equipos distribuidos, lo que les permite acceder a vistas personalizadas en función de sus necesidades únicas. También proporciona un panel de control completo que muestra el estado de cumplimiento, los niveles de riesgo y las acciones necesarias. Su equipo puede automatizar gran parte del trabajo de análisis de datos que se habría realizado manualmente en el pasado. Los empleados también pueden apropiarse de la autoevaluación de las evaluaciones de cumplimiento, liberando a los gerentes de cumplimiento de una pesada carga de informes y brindándoles la oportunidad de enfocarse en iniciativas estratégicas.

Una solución de gestión de riesgos digitales respaldada por inteligencia artificial ayuda a una organización a optimizar la eficiencia, obtener una mejor comprensión de los datos e identificar y remediar las amenazas más rápidamente.

Características clave de una solución de gestión de riesgos digital

  • Evaluación de riesgos automatizada: basados ​​en indicadores de riesgo monitoreados.
  • Priorización de riesgos: así como los impactos de cada riesgo, para priorizar sus planes de mitigación en consecuencia.
  • Informes de riesgos en tiempo real: Integración con fuentes de datos en tiempo real.
  • Integración a través de 3LoD: Las tres líneas de defensa tradicionalmente incluyen controles operativos (1LoD), gestión de riesgos y cumplimiento (2LoD) y garantía de riesgos (3LoD).
  • Intuitivo para todos los usuarios: Los miembros de su equipo deben poder configurar desencadenantes, responder a alertas y recopilar datos analíticos relevantes para una evaluación adicional.

 

En una era de incertidumbre, con las amenazas de ciberseguridad que avanzan día a día, implementar una solución de gestión de riesgos de primer nivel es fundamental para garantizar la sostenibilidad y el crecimiento de su organización. Al elegir una solución de gestión de riesgos digitales, estará bien preparado para aprovechar al máximo la tecnología y mantener a su organización protegida de cualquier amenaza.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 24 mayo, 2021
  • More