Las ciberamenazas y la gobernanza de las TI, son las principales áreas de riesgo que los auditores internos deben abordar en sus planes de auditoría para 2023, según Gartner, Inc.
El informe Gartner 2023 Audit Plan Hot Spots Report identifica las 12 principales áreas de riesgo en las que se centran los directores ejecutivos de auditoría (CAE) para ayudarles a identificar los riesgos de sus organizaciones y planificar la cobertura de la auditoría para el próximo año.
«Las amenazas cibernéticas siguen siendo una preocupación constante para los CAE, pero los factores que impulsan este riesgo han evolucionado como resultado de los nuevos conflictos geopolíticos y la mayor posibilidad de ataques patrocinados por el Estado», dijo Leslee McKnight, vicepresidenta de la práctica Legal, Riesgo y Cumplimiento de Gartner. «Los planes de mitigación deben ser revisados para reflejar la evolución del riesgo y preparar a la organización para cumplir con los requisitos de divulgación cada vez más estrictos en caso de una brecha».
Los puntos conflictivos adyacentes, como garantizar una gobernanza de TI adecuada y la gestión de riesgos de terceros, contribuyen a una perspectiva desafiante para mitigar toda la gama de posibles ciberamenazas que enfrentan las organizaciones en 2023. Aunque la mayoría de los CAE indicaron que tenían previsto abordar la ciberseguridad en sus planes para el próximo año, sólo 42% de los encuestados expresaron un alto nivel de confianza en su capacidad para proporcionar una garantía adecuada en esta área.
El informe anual de Gartner se basa en una encuesta realizada a 112 CAE en agosto de 2022, en entrevistas estructuradas adicionales con CAE y líderes de Auditoría de TI, así como en datos y conocimientos generados a partir de la investigación multifuncional de Gartner a lo largo de 2022.
A continuación se enumeran las principales áreas de riesgo identificadas en este proceso:
Puntos calientes del Plan de Auditoría 2023
Ciberamenazas
Gobierno de TI
Gobierno de los datos
Gestión de riesgos de terceros
Resiliencia organizativa
Gobernanza medioambiental y social (ESG)
Cadena de suministro
Volatilidad macroeconómica
Gestión de la mano de obra
Presiones de costos
Cultura
Degradación del clima
Repensar la resistencia
Los riesgos de este año se han centrado en tres temas clave: la «renacionalización de los recursos» y la «triple presión» de los costos, los riesgos de la cadena de suministro y la escasez de mano de obra. El último tema, la necesidad de «repensar la resiliencia de la organización», es único como área de riesgo propia y distinta, y como impulsor de una multitud de otros riesgos.
La capacidad de resistir a las crisis y las interrupciones puede ser más crítica el año que viene, y muchas organizaciones siguen teniendo una visión limitada de la resiliencia, centrada sobre todo en la continuidad del negocio y la recuperación de desastres informáticos. Esta visión limitada de la resiliencia no tiene en cuenta los riesgos adicionales que afectan a la resiliencia, como el gran aumento de la volatilidad económica y los impactos de la degradación del clima.
«Repensar la resiliencia es un tema clave que subyace a un conjunto diverso de riesgos a los que se enfrentan las organizaciones en 2023, incluyendo la volatilidad económica, la degradación del clima y la gestión de riesgos de terceros», dijo McKnight. «En la actualidad, menos de un tercio de los líderes de auditoría tienen una gran confianza en la capacidad de su equipo para proporcionar garantía sobre el riesgo de resiliencia de la organización, y lo que es más preocupante, menos de la mitad planea cubrir la resiliencia de la organización en las actividades de auditoría en el próximo año.»
McKnight señaló además que el panorama de riesgos, cada vez más interconectado, aumenta las posibilidades de que se produzcan riesgos en cascada, en los que un riesgo hace que se manifiesten otros para una organización, un escenario contra el que pocas organizaciones están planificando activamente en la actualidad.
Fuente: Gartner.