empezar a medir y monitorear métricas relacionadas con los multicitados impactos en las tres áreas. Esto significa que se tienen prácticas ambientales, sociales y de gobierno corporativo. Beneficios del ESG para los inversionistas Por medio de los factores ESG, las organizaciones revelan a inversionistas y grupos de interés la conciencia y compromiso de la empresa u organización con el medio ambiente, la sociedad y la economía, lo que amplía la visión, tanto a nivel estratégico como operativo. Adicionalmente, se detectan y prevén más riesgos que antes no se tenían considerados, lo cual ayuda a las organizaciones a ser más resilientes y a identificar oportunidades. Ciberseguridad ¿un tema del Consejo? Antes de la pandemia, EY llevó a cabo un estudio con 1,100 participantes respecto al tema de inversión en tecnología y ciberseguridad. Los resultados de esta indican que solamente 17% de las empresas había realizado o planeaba realizar inversiones importantes en temas de tecnología para disminuir riesgos, incluyendo cyber risk o ciberseguridad. Del mismo total, 50% tenía miedo de que hubiera disrupción operativa o ataques cibernéticos, o bien, se materializaran riesgos reputacionales: “me robaron la basededatos”, con un impacto negativo en la credibilidad de las empresas. De las estadísticas anteriores, resulta interesante analizar ¿por qué 50% tenía miedo, pero solamente 17% tomó algunas medidas al respecto? A la fecha, año y medio después del inicio de la pandemia, las empresas utilizan mucho más la tecnología que antes, sus colaboradores manejan medios de comunicación vía teleconferencia como Skype, Zoom, Teams, etc., y otras aplicaciones que permiten tener videollamadas y compartir información. Algunas utilizan estos aplicativos de videoconferencia sin una licencia corporativa y, por lo tanto, no tienen el blindaje necesario para poder transmitir o discutir información confidencial e incluso privilegiada, exponiéndose al robo de esta, al espionaje industrial y a ataques cibernéticos. Lo mismo sucede con la utilización del almacenamiento en la nube o sitios de transferencia de información; muchos empleados han estado transfiriendo información de diversa índole por medio de sitios de Internet y herramientas gratuitas, por ejemplo, DropBox. Algunas de estas herramientas incluyen en los términos y condiciones de uso que el contenido compartido puede llegar a ser propiedad de estas. Es por ello por lo que la materia de ciberseguridad se ha vuelto cada vez más importante, ya que muchas compañías han sido víctimas de ransomware (secuestro de datos), donde personas mal intencionadas, secuestran el servidor, partes de este o datos, y condicionan la devolución de este contra el pago de un rescate, llegando a representar sumas de dinero muy importantes. En algunos de estos casos estas empresas tuvieron que pagar, en otros contaban con una buena estrategia y, por lo tanto, tenían suficientes respaldos en servidores espejo y otras medidas de recuperación, lo cual les permitió afrontar esta situación, incluso dándose el lujo de borrar por completo el servidor y empezar desde cero otra vez; aun en el mejor escenario, la recuperación conlleva tiempo, esfuerzo y recursos. También podrían presentarse situaciones extremas, tal es el caso de una compañía que fue víctima de un ataque físico, en el cual un comando armado entró a robar a sus oficinas y buscando el DVR (grabador de las cámaras del circuito cerrado de televisión), llegaron al site, y así robaron diferentes componentes del servidor, incluyendo discos duros. Esta compañía tuvo que volver a comprar el hardware y no tenía respaldos ni un servidor espejo; entonces, tuvo que rehacer absolutamente todo, incluso hubo desarrollos de la empresa que se perdieron. Así de grave puede ser no tener una estrategia contra ciberataques, un Plan de Recuperación de Desastres (Disaster Recovery Plan) y un Plan de Continuidad del Negocio (Business Continuity Plan). Por ello, es de suma importancia que los Consejos de Administración y directivos relevantes de las entidades reflexionen sobre las siguientes preguntas: 1. ¿La Administración ha revisado y probado los dispositivos de seguridad asociados con las herramientas de videoconferencia? 2. ¿La Administración ha tenido contacto con proveedores técnicos para determinar si son necesarios pasos adicionales, para evaluar y proteger sus redes y servidores? El trabajo remoto y el incremento en las interacciones en línea se han convertido en la “nueva normalidad”, el Consejo de Administración debe de ser proactivo, teniendo un rol muy importante en la gestión de riesgos y en el fortalecimiento de la Cyber resiliencia de la entidad, siendo esta una nueva prioridad. Gobierno corporativo y la prevención de fraude La mayoría de las empresas piensan que los consejeros no tienen la sensibilidad de que la prevención de fraude es parte también de sus responsabilidades, se piensa que es un tema que se delega a un tercero, comúnmente cuando hay indicios o en el mejor de los casos a un grupo ejecutivo de prevención de fraude, ya que ellos son los expertos y técnicos que tienen que conocer con profundidad del tema, sin embargo, su adopción debe provenir desde el Consejo como un tema importante de la agenda, ya que es necesario que se cuente con las bases indispensables para formalizarlo. Entonces, ¿será responsabilidad de Finanzas o de Contabilidad? Realmente, la principal responsabilidad debe ser del Consejo; quien debe asegurarse que la entidad cuente con una estructura adecuada para gestionar el fraude, en la que exista claridad para los empleados acerca de los mecanismos de vigilancia y supervisión, de cero tolerancia, con los que cuenta la entidad para la prevención y detección de posibles desvíos de recursos. La primera palanca de control que debe existir es un Código de principios y valores de la entidad que reflejen la filosofía y ética de la entidad, la cual debe permearse a todos los miembros de la organización. La primera palanca de control que debe existir es un Código de principios y valores de la entidad que reflejen la filosofía y ética de la entidad DOSSIER 54 CONTADURÍA PÚBLICA 55
RkJQdWJsaXNoZXIy MTMwNTgyMg==