Las organizaciones inevitablemente necesitan trabajar con proveedores externos y eso supone un riesgo importante dentro del programa antisoborno. De hecho, la cadena de suministro se extiende a áreas críticas como el tratamiento de la información, la contabilidad, las comunicaciones y la consultoría legal, entre otras, aumentando el riesgo en proveedores.
Las auditorías basadas en riesgos son un desafío para los auditores internos y para los organismos de certificación especializados. Ambos deben dejar de usar técnicas tradicionales de gestión de riesgos e imponer métodos creativos e innovadores a sus clientes si desean demostrar el cumplimiento del requisito estándar.
El riesgo al que está expuesta la reputación de la organización se encuentra en los primeros lugares de la lista de preocupaciones de la alta dirección. Y actualmente son la corrupción y el soborno los dos fenómenos que potencialmente tienen el mayor poder de afectar negativamente en la misma, por lo que es preciso tratarlos de manera específica.
El riesgo sobre la reputación de la organización derivado de actos corruptos es un riesgo multiplicador que se sobrepone o se une a otros riesgos sociales y de gobernanza. Por ello, cuando esta reputación se daña de esa manera se termina por erosionar la capacidad operativa en todos los niveles y la supervivencia de la organización se pone en juego.
No hay nada mejor para detectar el soborno que promover la denuncia en las organizaciones. Alentar la denuncia ha demostrado efectividad en la tarea de construir una cultura anticorrupción y antisoborno que implique a los empleados en la identificación y reducción de riesgos.
Sin embargo, no basta con habilitar un canal de denuncias, requiere enviar mensajes continuos a los empleados que ofrezcan confianza y en los que se enfatice sobre la política que la alta dirección quiere comunicar en relación con comportamientos éticos, códigos de conducta y lucha contra la corrupción.
Uno de los principales desafíos del liderazgo en cuanto a la ciberseguridad es el equilibrio que se debe alcanzar con medidas proactivas en cuanto a la seguridad, con una reacción instintiva a corto plazo ante los eventos. A menudo sabemos que existen consideraciones tácticas que pueden desviar la atención a la hora de abordar cuestiones estratégicas a largo plazo. La pandemia generada por el COVID-19, se ha generado un restablecimiento por completo.
En muchos casos, la pandemia que estamos viviendo nos ha generado dificultades a nivel de empresa, ya que la economía se ha parado por un tiempo y esto es algo que no teníamos en nuestros planes. Si hubiéramos podido prever esta situación, seguramente nos hubiéramos podido preparar de mejor forma, ya que no solo se trata de mitigar los riesgos, sino que también es muy importante poder tomar las decisiones necesarias en el momento oportuno.
A la hora de integrar las áreas de Gobierno, Riesgos y Cumplimiento hay una serie de cuestiones de gran importancia a considerar.
Para cualquier organización que apueste por la excelencia, las auditorías internas basadas en riesgos son una de las pruebas a las que tienen que enfrentarse para poder, por decirlo de alguna manera, evaluarse.
La gestión de riesgos se emplea para tener un tratamiento ordenado de la incertidumbre relacionada con las amenazas a las que se tiene cierta exposición. Para ello se desarrollan una serie de actividades como es identificar, analizar y evaluar el riesgo para, posteriormente, tratarlo como corresponda.
Un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas de seguridad de la información para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.