Saltar al contenido

Los CPA tienen la fuerza necesaria para abordar el riesgo de la ciberseguridad

Un nuevo libro blanco del Centro para la Calidad de la Auditoría (CAQ) explica por qué los contadores públicos certificados (CPA) desempeñan un papel fundamental para ayudar a las organizaciones a abordar los crecientes desafíos que presenta la ciberseguridad.

«Los retos de la ciberseguridad son muy claros y exigen que todos los sectores de la economía desempeñen un papel», dijo la Directora Ejecutiva de la CAQ, Cindy Fornelli, en una declaración preparada. «La profesión de auditoria de empresas públicas hará su parte aprovechando sus fortalezas tradicionales e innovando de manera que pueda aumentar en gran medida la confianza en la información y las prácticas de ciberseguridad».

Los CPA tienen la fuerza necesaria para abordar el riesgo de la ciberseguridad
Los CPA tienen la fuerza necesaria para abordar el riesgo de la ciberseguridad

El libro blanco de la CAQ, The CPA’s Role in Addressing Cybersecurity Risk , señala tres puntos fuertes clave que las empresas de contadores públicos tienen al abordar los retos de la seguridad cibernética en beneficio de la alta dirección, las juntas directivas y otros interesados en los mercados de capital:

1. Valores y atributos básicos. Adhiriéndose a los valores fundamentales de independencia, objetividad y escepticismo, los contadores públicos certificados son considerados por la administración y los consejos como asesores de confianza que tienen una amplia comprensión de los negocios, que reciben una capacitación anual apropiada, que cumplen con un código de ética y que están sujetos a rigurosos exámenes externos de calidad.

2. Experiencia en evaluaciones independientes. Las empresas de auditoría tienen mucha experiencia en evaluaciones independientes, siendo el ejemplo más común las opiniones de los auditores de estados financieros sobre las auditorías de los estados financieros y el control interno de la información financiera (ICFR).

Además, muchas empresas grandes y medianas de contadores públicos han establecido prácticas de tecnología de la información sustanciales que prestan servicios de certificación y asesoramiento a las organizaciones sobre cuestiones relacionadas con la seguridad de la tecnología de la información y la eficacia de los controles de seguridad de esa tecnología.

3. Fortalezas multidisciplinarias. Las empresas de contabilidad pública de hoy en día emplean a personas con la designación de CPA y otras credenciales específicamente relacionadas con la tecnología de la información y la seguridad. Estos incluyen Profesionales Certificados en Seguridad de Sistemas de Información (CISSP), Auditores Certificados de Sistemas de Información (CISA) y Profesionales Certificados en Tecnología de la Información (CITP).

No hace mucho tiempo, la mayoría de las empresas relegaban todo lo «ciber» al departamento de informática. Pero a medida que se reconoce cada vez más que los riesgos de la ciberseguridad incluyen prácticas de personal, gestión de la cadena de suministro y decisiones operacionales, han evolucionado más enfoques empresariales para gestionar estos riesgos.

De hecho, la administración y las juntas tenían recursos limitados para diseñar un marco para la identificación de riesgos, la respuesta, el diseño y la aplicación de controles, la evaluación y la recuperación. Ahora existen varios, junto con normas, metodologías y procesos propuestos por los gobiernos federales y estatales, grupos industriales, organismos independientes y otras partes interesadas.

Veamos el ejemplo más común de una evaluación objetiva: las opiniones independientes del auditor de los estados financieros sobre las auditorías de los estados financieros y el ICFR.

La Ley Sarbanes-Oxley de 2002 (SOX) añadió un requisito aplicable a la mayoría de las empresas públicas, según el cual la dirección evalúa anualmente la eficacia de la ICFR de la empresa y comunica los resultados al público. Además, la SOX requiere que los comités de auditoría de la mayoría de las grandes empresas públicas contraten a un auditor independiente para auditar la efectividad del ICFR de la empresa.

Por lo tanto, es importante entender las consideraciones de seguridad cibernética para el auditor de los estados financieros en esos contextos, según el libro blanco. Aquí están los puntos clave:

  • Los controles de seguridad cibernética considerados parte de la ICFR sólo representarían un subconjunto de los controles de seguridad cibernética de la empresa.
  • Con la orientación actual, una empresa puede determinar si es necesario revelar los riesgos de seguridad cibernética en varios lugares a lo largo de su Formulario 10-K. Las responsabilidades del auditor de los estados financieros dependen de si la divulgación se incluye en los estados financieros auditados o en otro lugar del Formulario 10-K.
  • En el caso de los riesgos de seguridad cibernética incluidos en otras partes del Formulario 10-K, el auditor no está obligado a realizar procedimientos para corroborar esa información. En cambio, el auditor considera si la información o la forma de presentarla es materialmente incompatible con la información que figura en los estados financieros o con una inexactitud material de los hechos.

En este momento, el Instituto Americano de Contadores Públicos (AICPA) está ayudando a dirigir la mayor parte del proceso de elaboración de un nuevo marco voluntario de presentación de informes sobre la gestión de riesgos de seguridad cibernética.

El marco incluye:

  • Descripción de la dirección del programa de gestión de riesgos de seguridad cibernética de la organización.
  • La afirmación de la dirección a la presentación de su descripción y si los controles del programa de gestión de riesgos de seguridad cibernética fueron eficaces para lograr los objetivos de seguridad cibernética sobre la base de un conjunto adecuado de criterios de control.
  • La opinión de la CPA sobre la descripción de la administración y la eficacia de los controles para lograr los objetivos de seguridad cibernética de la organización.

El marco de presentación de informes sobre seguridad cibernética de la AICPA se basa en objetivos y es voluntario. Permite que los administradores y auditores tengan flexibilidad para elegir la referencia de cualquier descripción y criterios de control adecuados en la realización del examen.

Artículos relacionados:

Marco de presentación de informes sobre gestión de riesgos en materia de ciberseguridad presentado por la AICPA

La nueva guía de la AICPA profundiza en la presentación de informes de ciberseguridad