¿Qué son los riesgos emergentes y quiénes deben responsabilizarse de ellos?
- Seguridad Inteligente
Los riesgos emergentes pueden ser riesgos nuevos e imprevistos cuyo potencial de daño o pérdida no se conoce por completo. ¿Quién debe ocuparse de ellos y cómo debe hacerlo?
Los riesgos emergentes son aquellos riesgos que una organización aún no ha reconocido o aquellos que se sabe que existen, pero que no se comprenden bien. Citando a Donald Rumsfeld, exsecretario de Defensa de EE.UU., "Se sabe lo que se sabe".
Hay incógnitas conocidas. Es decir, hay cosas que sabemos que no sabemos. Pero también hay incógnitas desconocidas. Hay cosas que no sabemos que no sabemos. Un programa de seguridad que no aborde los desafíos potenciales creados por la existencia y el desarrollo de riesgos emergentes no cumplirá su objetivo de proteger y generar oportunidades para la organización.
Los riesgos emergentes son “riesgos recientemente desarrollados o cambiantes que generalmente se caracterizan por una gran incertidumbre”. Esta incertidumbre se deriva en parte de la falta de datos históricos que los caracterizan, pero también de cambios científico-tecnológicos, sociopolíticos o regulatorios que pueden crear discontinuidades en su evolución.
Evaluar los riesgos emergentes es más difícil que los riesgos previamente identificados, en general porque hay menos datos históricos. Pero ¿quién debería estar alerta y atento a los riesgos emergentes que podría afectar el logro de los objetivos de la empresa?
No es responsabilidad de la auditoría interna identificar, evaluar o responder al riesgo. Es una responsabilidad de gestión. La auditoría interna debe:
- Proporcionar seguridad sobre la capacidad de la administración para comprender y abordar lo que podría suceder en el camino hacia el logro de los objetivos de la empresa.
- Brindar consejos e ideas adicionales que ayudarán a los interesados a comprender la situación actual y tomar las medidas que correspondan.
- Actuar como evangelistas en toda la organización para la gestión de riesgos (o la capacidad de tomar decisiones informadas e inteligentes, que es una expresión más avanzada y un desafío más difícil).
- Brindar seguridad, asesoramiento e información sobre los controles internos en los que se basa para gestionar los riesgos para los objetivos de la empresa.
Por tanto, debemos ser ágiles en su planificación y ejecución para que puedan cambiar su enfoque como un cambio de 'riesgos'.
Si la auditoría interna ve un riesgo nuevo o creciente que parece haber pasado inadvertido para la dirección, hay que descubrir por qué: mejorar su proceso, enseñar a buscar nuevos o cambiantes riesgos.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.