Evaluación del riesgo de Evasión Fiscal.
Con la publicación en abril de 2015 de la norma UNE – ISO 19600, Sistemas de gestión de compliance (Directrices), se proporciona orientación para implementar, evaluar, mantener o mejorar continuamente un sistema de gestión de compliance. Como se ha comentado en el capítulo anterior, el compliance debe abarcar a toda la organización y las personas con cierta responsabilidad dentro de la misma deben tener una implicación máxima.
El cumplimiento normativo es uno de los problemas a los que una empresa se enfrenta, especialmente cuando adquieren una dimensión relevante y desarrollan su actividad en diversos países.
Como especifica la norma UNE-ISO 19600, para un sistema de gestión de compliance eficaz es especialmente relevante que el órgano de gobierno y la alta dirección se involucren activamente y supervisen continuamente, asegurando que los empleados comprenden plenamente la política y los procedimientos de la organización para el desarrollo de las obligaciones de compliance.
El compromiso de la dirección y la responsabilidad a todos los niveles es un aspecto nuclear del sistema de gestión del compliance. La alta dirección debería demostrar compromiso y liderazgo en relación al sistema de gestión, entre otras cuestiones, dirigiendo y apoyando a las personas, comunicando los roles pertinentes dentro de la organización, dotando los recursos necesarios, y, en definitiva, asegurando que se desarrollan e implementan los procedimientos o procesos para alcanzar los objetivos y los resultados previstos, promoviendo la mejora continua del sistema. Por otra parte, la organización, dentro de su papel fundamental para la gestión de compliance, debe considerar un amplio número de aspectos internos y externos que pueden afectar a los resultados de su sistema de gestión de compliance, tales como el contexto regulatorio, la situación económica, los procedimientos o las políticas internas. Asimismo, la organización debe determinar los límites y la aplicabilidad del sistema de gestión de compliance para establecer su alcance, debe identificar las obligaciones de compliance y las implicaciones que éstas tienen. A su vez, deberían disponer de procesos que identifiquen modificaciones en la legislación para asegurar un cumplimiento continuo
y evaluar el impacto de los cambios identificados. Hay que destacar que la apreciación de riesgos de compliance constituye la base para la implementación del sistema de gestión de compliance y para una correcta planificación de recursos y procesos. Por ello, la organización debe identificar, analizar y evaluar los riesgos de compliance.
Debería identificar aquellas situaciones en las que se pueden producir incumplimientos de compliance relacionados con su actividad, productos o aspectos relevantes de sus operaciones, así como sus posibles causas y sus consecuencias asociadas.
Debería analizar los riesgos de compliance, considerando las causas, la probabilidad de que ocurran y la gravedad de las consecuencias en caso de que se produzcan. Por último, debería evaluar los riesgos, comparando el nivel de riesgo de compliance identificado con el que la organización puede aceptar, determinando los controles necesarios y su posible extensión.
Por otra parte, la política de compliance especifica los principios generales y el compromiso de actuación de una organización para lograr compliance, así como indica el nivel de desempeño y responsabilidad que se requiere, siempre acorde con las actividades de la organización.
Dentro de la política de compliance, el órgano de gobierno y la alta dirección, preferiblemente tras consultar con los empleados, debe establecer la política adecuada al propósito de la organización y en concordancia con los valores y estrategia de la misma, que proporcione un marco de referencia para establecer los objetivos, que incluya el compromiso de cumplir los requisitos aplicables y que incluya la mejora continua del sistema de gestión de compliance. Asimismo, esta política de compliance debe, entre otras cuestiones, comunicarse de forma clara dentro de la organización, incluso estar escrita en un lenguaje sencillo, con el objetivo de que todos los empleados puedan entender con facilidad los principios.
Por otro lado, la función de compliance19, trabajando conjuntamente con la dirección, debería ser responsable de diversas actuaciones relevantes en el sistema de gestión de compliance. Entre estas actuaciones, se podrían destacar tales como identificar las obligaciones de compliance, proporcionar u organizar apoyo formativo continuo a los empleados, poner en marcha, desarrollar e implementar sistemas para gestionar la información, establecer indicadores de desempeño de compliance, identificar riesgos y gestionar aquellos relacionados con terceras partes (proveedores, distribuidores, consultores, contratistas…) o asegurar que el sistema se revisa adecuadamente.
De la misma forma, resulta evidente que la planificación del sistema de gestión de compliance es muy relevante, puesto que se debe asegurar que el sistema logre los objetivos previstos, prevenga o reduzca los efectos indeseados y logre una mejora continua. Los objetivos de compliance deberían ser coherentes con la política de la organización, medibles, objeto de seguimiento y actualizables, siempre que ello sea posible. En este sentido, la organización debería determinar qué se va a hacer, los recursos requeridos, quién será el responsable, cuándo finalizaría y cómo evaluar los resultados.
En cuanto al apoyo, la organización debería proporcionar los recursos humanos y financieros necesarios para todas las acciones a implementar dentro del sistema de gestión de compliance. La alta dirección y todos los niveles deben asegurarse de que la asignación de recursos permite que se logren los objetivos del sistema de gestión de compliance.
Otra cuestión relevante dentro del apoyo es la competencia y formación. El órgano de gobierno, la dirección y todos los empleados deben ser capaces de cumplir las obligaciones de compliance de manera eficaz, siendo competentes en su rol profesional relacionado con la cultura del compliance..
Otro aspecto de relevancia es la comunicación, tanto interna como externa. En el caso de la interna, la organización debe asegurarse que el mensaje de compliance se recibe y se comprende por parte de los empleados. En el caso de la externa, se debe adoptar un enfoque práctico de comunicación dirigido a todas las partes interesadas que apoye el entendimiento y la aceptación del compromiso de compliance.
Por otra parte, la organización necesita controles eficaces para asegurar que se cumplen las obligaciones de compliance y los mecanismos de prevención, detección y corrección de incumplimientos. A su vez, se deben determinar los métodos de seguimiento, medición, análisis y evaluación, con el objetivo de asegurar que los resultados obtenidos son válidos, así como cuándo se deben llevar a cabo estas cuestiones.
El seguimiento de compliance es “el proceso de recoger información con el objetivo de evaluar la eficacia del sistema de gestión de compliance y el desempeño de compliance de la organización”. En el caso del sistema de gestión de compliance consiste en la evaluación de la eficacia de la formación, de la validez de los controles, de la asignación de las responsabilidades o de la gestión de los fallos de compliance identificados. En el caso del desempeño de compliance de la organización, se evalúa el estado de la cultura de compliance en la organización, los posibles incumplimientos o incidentes sin efectos adversos, aquellos casos en los que no se cumplen las obligaciones de compliance o aquellos en los que no se alcanzan los objetivos propuestos. Para este seguimiento resulta muy relevante encontrar procedimientos para buscar y recibir opiniones de su desempeño, como buzones de sugerencias y opinión en el caso de los empleados, gestión de reclamaciones en el caso de los clientes o registros de control de actividad o procesos. Asimismo, para recoger la información se deben buscar las herramientas adecuadas según el tamaño o la complejidad de la organización. Una vez recogida la información, se debe analizar y evaluar críticamente para identificar el origen y tomar las acciones adecuadas. Con ello, se deben corregir los problemas recurrentes, ya que pueden conllevar mayores riesgos de incumplimiento. En el caso de los indicadores, es importante que sean medibles y que permitan saber si se han logrado los objetivos propuestos y cuantificar el desempeño de compliance.
El órgano de gobierno, la dirección y la función de compliance deberían asegurarse de estar continuamente informados sobre el desempeño del sistema de gestión de compliance de la organización. Para ello, se deben realizar informes internos cuya periodicidad debe ser la adecuada en función de las circunstancias y que deberían incorporarse en los informes realizados normalmente en la organización. Sin embargo, es recomendable fomentar el informe inmediato de cuestiones materialmente significativas que surjan fuera de los periodos previstos para el informe periódico. Paralelamente, se deben asegurar de que la información escala a los niveles superiores y, para ello, es importante la existencia de un proceso claro y puntual de información a niveles superiores. A su vez, la organización debería implementar auditorías internas a intervalos planificados, con la finalidad de proporcionar información acerca de si el sistema de gestión de compliance cumple con los requisitos propios de la organización y con los requisitos de la norma internacional, así como si se implementa y mantiene de forma eficaz. Resulta evidente que los programas de auditoría se deben desarrollar objetiva e imparcialmente, así como que ha de asegurarse que los resultados de las auditorias correspondientes llegan a la dirección pertinente. Con todas estas cuestiones la organización debería mejorar continuamente la eficacia e idoneidad del sistema de gestión de compliance, logrando que toda información recogida, analizada y evaluada se pueda utilizar como una oportunidad de mejora.
Implementación del compliance tributario en las empresas.
Resulta razonable pensar que una organización que esté familiarizada con la cultura de compliance y con la UNE-ISO 19600 de Sistemas de gestión de compliance le resultará más sencillo aplicar las diversas cuestiones que se establecen en la UNE 19602 de Sistemas de Gestión de compliance tributario, donde se incluyen los requisitos y directrices para adoptar, implementar, mantener y mejorar continuamente políticas de compliance tributario. Como se ha comentado, esta norma permite a las empresas, con independencia de su volumen de negocio o su tamaño, disponer de una norma unificada y reconocida por la Administración tributaria para poder gestionar los riesgos y contingencias fiscales que surjan en el desarrollo de su actividad. En este sentido, esta norma puede dar lugar a que en el corto plazo exista una importante diferencia entre aquellas organizaciones que implementen un compliance tributario y aquellas en las que no, no solamente por relación con la administración o por seguridad jurídica, sino por una cuestión no menos relevante como es la reputación. Según la directora de Programas de Normalización y Grupos de Interés de UNE, las empresas tendrán “una vía más para generar confianza de cara a la administración”.
La noma UNE 19602 ha contado con la participación de un grupo de expertos formado por representantes de grandes empresas, universidades, administraciones públicas, asociaciones profesionales o despachos, como Garrigues o PwC, entre otros. La AEAT ha seguido de cerca su desarrollo y evolución, si bien no ha intervenido directamente en su creación. Su implantación supone un reto, ya que requiere un conocimiento experto en la materia y una gran experiencia, así como disponer de profesionales especialistas en materia penal y fiscal. Continuando con la norma UNE 19602, tiene diversos aspectos en común con la anterior
norma, comenzando por el papel fundamental de la organización y la implicación del órgano de gobierno y de la alta dirección respecto del sistema de compliance tributario. En este sentido, según la norma UNE 19602 de Sistemas de gestión de compliance tributario, la organización debe determinar los factores relevantes que pueden afectar a la capacidad para lograr los objetivos de su sistema de gestión, tanto internos como externos.
Entre ellos se podrían incluir el tamaño y estructura de la organización, la ubicación y sector en el que opera, la naturaleza o complejidad de sus actividades y operaciones, las entidades sobre las que ejerce control23, los miembros y socios, las obligaciones y compromisos legales o el marco legal tributario, tanto nacional como internacional. En el mismo sentido, el sistema de gestión de compliance tributario debe contener medidas para evaluar el riesgo de incumplimiento tributario, así como detectarlo, prevenirlo, gestionarlo y mitigarlo tan pronto como sea posible. Este sistema debe ser razonable y proporcionado, debiendo determinar su alcance y objetivo.
Política interna en la organización con respecto al compliance tributario.
Como se puede intuir, la organización y su implicación respecto al compliance tributario es clave en su implementación. Por ello el órgano de gobierno debe demostrar compromiso y liderazgo en relación al sistema de gestión de compliance tributario. En este sentido, debe establecer que las actuaciones de sus miembros sean conformes en todo momento al ordenamiento jurídico y a las normas de naturaleza tributaria, asegurar que la política de compliance tributario se encuentre alineada con la estrategia de la organización, implementar y mejorar continuamente el sistema de gestión de compliance tributario, examinando periódicamente su eficacia, requerir que se dote de los recursos financieros, materiales y humanos suficientes para el funcionamiento eficaz del sistema o establecer un órgano de compliance tributario. Por otra parte, el órgano de gobierno debe aprobar una política de compliance tributario que, entre otras cuestiones, exija el cumplimiento de la legislación tributaria aplicable a la organización, prohíba que se cometan infracciones tributarias conscientemente,
minimice la exposición a los riesgos tributarios de forma eficiente, establezca canales de comunicación de incumplimientos o sospechas, o exponga las consecuencias de no cumplir los propios requisitos de la política de compliance tributario. Del mismo modo, según la UNE 19602, la alta dirección debe también demostrar liderazgo y compromiso con respecto al sistema de gestión de compliance tributario. Por ello, debe garantizar que el sistema se implemente de forma adecuada, que se incorporan a los procesos y procedimientos las exigencias derivadas de la aplicación del sistema y que se destinan los recursos suficientes para su ejecución eficaz. También debe cumplir y hacer cumplir la política de compliance tributario, promover la mejora continua en la prevención de infracciones o garantizar que no existan represalias por comunicar incumplimientos de requisitos o por no querer participar en actuaciones que supongan un incumplimiento de la política de compliance tributario. Asimismo, entre su responsabilidad se encuentra la de velar por que se asignan y comunican las funciones pertinentes a todos los niveles organizativos, así como dirigir y apoyar al personal de la organización.
Finalmente, los responsables de los niveles correspondientes deben asegurar que en sus departamentos se cumplen los requisitos del sistema de gestión de compliance tributario y los miembros de la organización son responsables de comprender y aplicar estos requisitos en lo que les corresponda dentro de la organización.
Órgano de compliance tributario y planificación.
Una de las novedades importantes que refleja esta norma respecto de la de Sistemas de gestión de compliance es el órgano de compliance tributario. Este órgano es aquel en el que se confía la responsabilidad de supervisar el funcionamiento y eficacia del sistema de gestión de compliance tributario, dotándolo de poderes autónomos de iniciativa y control, así como de los recursos suficientes y la independencia adecuada. A su vez, debe tener acceso directo e inmediato al órgano de gobierno y debe ocupar una posición en la organización que le acredite para solicitar y recibir colaboración de los demás órganos de la misma.
Entre las acciones más concretas a desarrollar por este órgano se encuentra la de proporcionar apoyo formativo continuo a los correspondientes miembros de la
organización, la inclusión de las responsabilidades de compliance tributario en los procesos y en las descripciones de los puestos de trabajo, la puesta en marcha de un sistema de información y documentación de compliance tributario, establecer indicadores de desempeño de compliance tributario, identificar y gestionar riesgos tributarios o revisar periódica y de manera planificada el sistema de gestión de compliance tributario. Según la UNE 19602, cuando se asignen las responsabilidades correspondientes, se debe asegurar que el órgano no tiene conflictos de intereses y que ha demostrado integridad y compromiso, habilidad de comunicación eficaz o capacidad de influencia para que sus directrices tengan aceptación. En cuanto a la planificación, la organización debe determinar los riesgos tributarios y las oportunidades que es necesario abordar, con la finalidad de asegurar que el sistema de gestión de compliance tributario puede lograr sus objetivos, de prevenir o reducir los efectos no deseados y de lograr la mejora continua, evaluando la eficacia de las acciones propias del sistema. Asimismo, se deben generar evidencias de cumplimiento cuando se realicen las revisiones y controles correspondientes, teniendo en cuenta que puede ser necesario su presentación en futuros procedimientos administrativos o judiciales que afecten a la organización.
Dentro de la planificación, tal y como señala la UNE 19602, la organización debe desarrollar un proceso de evaluación que comprenda la identificación, el análisis y la valoración de los riesgos tributarios. Identificar los riesgos tributarios relacionando sus requisitos de compliance con sus actividades, productos, operaciones o servicios, con el objetivo de detectar aquellas situaciones que puedan llevar a incumplimiento. Analizar los riesgos tributarios, considerandos las causas y la probabilidad de que ocurran, así como su la gravedad de sus consecuencias. Valorar, según los criterios establecidos, el nivel de riesgo tributario, considerando sus objetivos de compliance tributario. Toda esta evaluación señalada ha de revisarse de manera regular en caso de que se produzcan cambios significativos en la organización, cambios en requisitos de compliance tributario o incumplimientos, o en caso de modificaciones relevantes de la normativa aplicable. En este mismo sentido, la organización debe marcar los objetivos de compliance tributario para los niveles y funciones pertinentes, siendo coherentes con la política de compliance tributario y con la evaluación de riesgos tributarios. Estos objetivos deben establecer qué se pretende hacer y quién será el responsable, los recursos requeridos y la evaluación de resultados. Además, deben ser medibles, ser objeto de seguimiento o actualizarse según corresponda.
Por otra parte, parece razonable que sin diversos elementos de apoyo no es posible articular eficazmente el sistema de gestión de compliance tributario. La cultura de compliance, la dotación de recursos necesarios, la competencia de los miembros de la organización, la formación e información o la comunicación interna y externa, son cuestiones fundamentales en este sentido.
La organización debe medir la cultura de compliance comprobando el compromiso existente por parte del órgano de gobierno en la política de compliance tributario, en los logros conseguidos en materia de prevención, detección, gestión y mitigación de los riesgos tributarios en todos los niveles, en la comunicación de las preocupaciones del personal de la organización respecto del compliance tributario y en la colaboración y respeto hacia el órgano de compliance tributario.
A su vez, la organización debe proporcionar los recursos humanos, financieros y tecnológicos necesarios, o en su caso, asesoramiento externo, para el sistema de gestión de compliance tributario. En el caso de los recursos humanos, la organización debe tomar ciertas medidas respecto de las personas que ocupan puestos especialmente expuestos a riesgos tributarios. Entre ellas, se debe realizar un procedimiento de diligencia debida26 con los candidatos a empleados antes de que sean contratados o promocionados dentro de la organización, con la finalidad de verificar que es la persona apropiada para el puesto y que está perfectamente capacitada para comprender y cumplir la política de compliance tributario. También es importante revisar los objetivos y primas por rendimiento, con el objetivo de asegurar que existen incentivos adecuados para que no se asuman riesgos tributarios o conductas inapropiadas. A su vez, este personal especialmente expuesto debe recibir la formación continua adecuada por parte de la organización, especialmente sobre la política de compliance tributario, los procedimientos asociados al sistema de gestión, el riesgo tributario, cómo detectarlo y el perjuicio que debe suponer o como reportar sus dudas sobre el compliance tributario.
Control y seguimiento del compliance tributario.
Asimismo, resulta evidente también que la comunicación, tanto interna como externa, es muy importante para la eficacia del sistema de gestión de compliance, debiendo saber claramente el contenido de la comunicación, cuándo, a quién y cómo comunicar. La organización debe facilitar canales de comunicación para que, tanto los miembros como terceros, puedan comunicar indicios o sospechas de incumplimientos. Del mismo modo, se ha de garantizar la confidencialidad de las personas que utilizan los canales, proteger a aquellos que realizan comunicaciones o facilitar el asesoramiento a aquellas personas que tengan dudas sobre el sistema de gestión de compliance. Sin embargo, la organización debe tratar esa información comunicada, asegurando la investigación de todas las comunicaciones recibidas, actuando adecuada y proporcionalmente y garantizando que el órgano de compliance tributario esté informado del estado y resultados. Por otra parte, la UNE 19602 también hace cierto hincapié en la información documentada que se determina para la eficacia del sistema de gestión de compliance tributario. Esta información documentada requiere cierto control, con el objetivo de que se encuentre disponible para su uso, que esté protegida, así como bien almacenada y preservada. En cuanto al control operacional, según la norma, la organización debe supervisar las modificaciones que se van produciendo en sus procesos o procedimientos, así como analizar las consecuencias de dichos cambios. Además, la organización ha de contemplar los procesos externalizados en su sistema de gestión de compliance tributario, evaluando los riesgos tributarios en esas actividades. En cuanto al control de los recursos financieros, la organización debe disponer de controles en todos los procesos de gestión de estos recursos, como circuitos de aprobación para su gestión, gestión de riesgos o auditorías financieras. Respecto a los controles no financieros que se deben implementar, se deben establecer controles sobre compras, operaciones o comercialización, con el objetivo de evitar, detectar o gestionar riesgos tributarios tan pronto como sea posible. Estos controles también son importantes en las entidades controladas por la organización o en aquellas que no están controladas, pero tienen algún tipo de vinculación. En el primer caso, se debe garantizar que se adopte el sistema de gestión de compliance de la organización y, en el segundo caso, se debe evaluar si los controles establecidos por esas organizaciones son suficientes, siempre y cuando se encuentre expuesta y pueda repercutir en la organización. Respecto a las relaciones contractuales, según la UNE 19602, se deben requerir cláusulas orientadas a reducir el riesgo tributario, en aquellos casos que sea preciso, para evitar una posible derivación de responsabilidad tributaria por obligaciones del tercero. Tras tener definidos los controles pertinentes, la organización debe establecer un plan de seguimiento donde determine a qué es necesario realizar seguimiento y qué se debe medir para conocer la eficacia del sistema de gestión de compliance tributario, así como si se alcanzan los objetivos propuestos, quién debe realizar ese seguimiento, los métodos, cuándo se debe llevar a cabo o a quién facilitar la información que se obtenga. Asimismo, la organización debe seleccionar el método más adecuado de recogida de información que la misma considere relevante, así como establecer y mantener actualizados los procedimientos para recabar opiniones sobre el desempeño de su sistema de gestión de compliance tributario. Por otro lado, una parte también relevante son los indicadores que debe desarrollar la organización y que ayuden a medir el cumplimiento de los objetivos propuestos. Entre los indicadores de actividad se puede incluir el porcentaje de personal al que se haya impartido formación eficazmente, el nivel de utilización de los mecanismos de comunicación o el número de acciones correctivas implementadas. En el caso de indicadores predictivos de riesgo se puede incluir la medición de la pérdida potencial en caso de incumplimiento de ingresos o seguridad, o la tendencia de la organización a que se incumplan determinadas cuestiones. Por último, entre los indicadores sobre la eficacia, se pueden incluir problemas o incumplimientos identificados y comunicados, especificando según su tipo, área, frecuencia o cantidad de tiempo utilizado para informar, o las consecuencias derivadas de estos incumplimientos. Con todo ello, el órgano de compliance tributario, así como el órgano de gobierno y la alta dirección deben asegurarse de estar correctamente informados sobre el desempeño del sistema de gestión de compliance tributario. Para ello, se realizaran informes de compliance tributario que tendrán una periodicidad determinada y se referirán a diversos aspectos relacionados con los riesgos tributarios, sobre información requerida por cualquier administración tributaria o contactos y relaciones con las administraciones, sobre la eficacia del sistema de compliance tributario o resultados de auditorías y seguimiento realizado. A su vez, el órgano de compliance tributario debe evaluar el sistema de gestión periódicamente para asegurarse que esta eficazmente implementado. Entre las últimas cuestiones se especifica en la UNE 19602 que la organización debe llevar a cabo auditorías30, con el objetivo de obtener información acerca de si el sistema de gestión de compliance tributario se implementa y mantiene eficazmente y si es conforme con los requisitos establecidos. En este sentido, se debe definir el alcance y los criterios de la auditoría, planificar o implementar uno o varios programas de auditoria, seleccionar los auditores para asegurar imparcialidad y objetividad, así como informar al órgano de gobierno y la alta dirección de los resultados obtenidos. En este sentido, para asegurar la objetividad, la organización debe asegurarse que se lleve a cabo por entidad independiente, por una persona de la organización específicamente designada para ello o por el órgano de compliance tributario. Resulta evidente que, en caso de realizarse por alguien de la organización o por el órgano de compliance tributario, debe asegurarse que no se audita la propia área de trabajo. Tras la realización de los informes y las auditorías correspondientes, el órgano de compliance lo remite a la alta dirección, que debe realizar una revisión del sistema, donde considere el estado de las acciones, grado de cumplimiento de los objetivos de compliance tributario, posibles cambios en los factores internos o externos, oportunidades de mejora, adecuación de procedimientos o de los recursos asignados al compliance tributario. A su vez, el órgano de gobierno debe examinar el sistema de gestión de compliance tributario, con base a la información proporcionada tanto por el órgano de compliance tributario, como por la alta dirección. Por último, la mejora continua es imprescindible, por ello, la organización debe ser transparente y diligente y adoptar las medidas oportunas para que las situaciones que se puedan corregir se rectifiquen, así como si se requieren actuaciones adicionales. Toda la información recogida y evaluada debe servir para identificar oportunidades de mejora del sistema de compliance tributario.
Evaluación del riesgo de Ciber-delitos.
El riesgo se define en términos de tiempo, cuando algo o alguien está expuesto a un peligro, daño o pérdida. La condición de riesgo puede cambiar en función de las acciones realizadas por al menos dos actores: el atacante, que obtiene y utiliza la capacidad de causar daño; y el objetivo pretendido, que puede tomar precauciones para resistir o frustrar el peligro pretendido por el atacante. Todos los días crece nuestra dependencia digital, pero la comprensión de los riesgos asociados con esa dependencia sigue siendo incipiente. Aún así, el riesgo cibernético está aumentando porque no solo está disponible y es asequible, sino que se está utilizando el mercado de software y herramientas maliciosas, servicios ilícitos y datos sensibles (no públicos). Por ejemplo, se puede comprar software malicioso por un dólar y se puede lanzar un ataque distribuido de denegación de servicio, por menos de mil dólares. Ataques sofisticados de ransomware (secuestro de archivos a cambio de un rescate) están disponibles por doscientos dólares y servicios maliciosos de correo electrónico no deseado se consiguen por aproximadamente cuatrocientos dólares2. Incluso las armas más sofisticadas de los servicios de inteligencia de los gobiernos están fácilmente disponibles para descarga3. Cualquiera que tenga la intención de utilizar y lograr la realización de ataques y causar daños puede acceder a estas capacidades. Como muestran los eventos en 2017, gobiernos, empresas y personas fueron perjudicadas por algunos de los ataques cibernéticos de mayor perfil hasta la fecha. En mayo de 2017, el secuestro de archivos a cambio de un rescate tuvo como blanco específico las fallas en los sistemas operativos de Microsoft Windows y esto afectó a millones de computadoras en 150 países en todos los sectores comerciales. Este ataque global, un secuestro de archivos muy sencillo llamado WannaCry, detuvo operaciones de fabricación, sistemas de transporte y sistemas de telecomunicaciones. Según la Oficina Nacional de Auditoría en el Reino Unido, WannaCry afectó al menos 81 de las 236 entidades del Servicio Nacional de Salud inglés, volviendo inoperable el equipo médico y afectando de manera importante la salud y la seguridad pública.
La motivación para implementar tecnologías nuevas y emergentes para impulsar el desarrollo económico, reducir los costos, mejorar el servicio al cliente y estimular la innovación es más fuerte que nunca. A medida que crecen las amenazas de ciberseguridad, las Juntas Corporativas pueden ser proactivas en materia de ciberseguridad y dedicarse a realizar evaluaciones de riesgos y mantener un diálogo regular con la alta administración en toda la organización. Si no se abordan estas vulnerabilidades, los ciberdelincuentes pueden chantajear a las organizaciones con amenazas de divulgar información sobre sus vulnerabilidades, riesgos y secretos competitivos. Para las organizaciones, hay muchos otros beneficios de implementar medidas de ciberseguridad más robustas que la simple protección contra ataques. Estos incluyen:
•Ventaja competitiva sobre compañías que tienen una seguridad menos sólida;
•Mejora de la eficacia en función de los costos, mediante protocolos eficaces de gestión de riesgos;
•Preservación de la reputación de la empresa;
•Contribución para mantener la integridad de la infraestructura general y proteger la confianza de los consumidores y de las partes interesadas internas;
•Demostración directa de la responsabilidad corporativa hacia todas las partes interesadas potencialmente afectadas, más allá de los clientes: empleados, accionistas, proveedores y la comunidad.
Una de las características determinantes de estos ataques es que pueden penetrar en prácticamente todos los sistemas de defensa perimetral de una empresa, como los cortafuegos o los sistemas de detección de intrusos. Se calculan meticulosamente estos ataques para asaltar a un objetivo específico, y los intrusos buscan múltiples vías para explotar las vulnerabilidades en todas las capas de seguridad hasta lograr sus objetivos. La realidad es que si un atacante sofisticado tiene en la mira los sistemas de una compañía, casi con seguridad los violará. Esto no significa que la seguridad sea un imposible, solo significa que la ciberseguridad debe ser más que simplemente la seguridad perimetral basada en TI. Dado que los ataques se han vuelto más sofisticados, las defensas deben volverse más sofisticadas. No es responsabilidad de la junta convertirse en expertos en TI, pero la junta debe saber qué preguntas hacerles a los departamentos de TI. Además, las juntas deben ejercer el liderazgo y el compromiso necesarios, supervisando de forma proactiva y responsabilizando a la gerencia y al grupo de la alta gerencia responsable, de lograr que la protección de la organización contra el ciberataque sea una prioridad. No solo deben ser protegidos los sistemas de TI. Los empleados, subcontratistas y trabajadores, ya sea que estén descontentos o simplemente mal entrenados, presentan una exposición al menos tan grande para las compañías como los ataques desde el exterior. Esto evidencia la necesidad de contar con un programa de seguridad sólido y adaptable, igualmente equilibrado para enfrentar las amenazas informáticas internas y externas. La gerencia debe asegurarle a la junta que los sistemas de TI están recibiendo una protección básica y que todo el ecosistema cibernético está protegido. Las organizaciones no podrán lidiar con amenazas avanzadas si no están en capacidad de detener ataques de gama baja. Y deben hacerlo de manera continua y persistente, porque la amenaza cibernética nunca desaparecerá.
Los cinco principios para la supervisión efectiva del riesgo cibernético detallados en este manual se presentan en una forma relativamente generalizada para alentar la discusión y la reflexión de las juntas directivas. Naturalmente, los directores adaptarán estas recomendaciones en función de las características únicas de su organización, incluyendo el tamaño, la etapa del ciclo de vida, la estrategia, los planes de negocios, el sector industrial, la huella geográfica, la cultura, los vínculos con las empresas familiares y las inquietudes de las partes interesadas mayoritarias, etc.
PRINCIPIO 1. Las juntas deben comprender y abordar la ciberseguridad como un problema de gestión de riesgos en toda la empresa, no solo como un problema de TI. Los riesgos cibernéticos deben evaluarse de la misma manera en que una organización evalúa la seguridad física de sus activos humanos y físicos y los riesgos asociados con su posible compromiso. En otras palabras, la ciberseguridad es un problema de gestión de riesgos en toda la empresa que debe abordarse desde una perspectiva estratégica, económica, interdepartamental e interdivisional29. No es solo un problema de TI (o de tecnología), sino también de procesos de negocios, personas, datos o información, y valor.
PRINCIPIO 2. Los directores deben entender las implicaciones legales de los riesgos cibernéticos según se relacionan con las circunstancias específicas de su empresa. El panorama legal y regulatorio con respecto a la ciberseguridad, incluidos los requerimientos de divulgación, la privacidad y la protección de datos, el intercambio de información, la protección de la infraestructura y más, es complejo y está en constante evolución. Las juntas deben estar al tanto de las cuestiones de responsabilidad actuales que enfrentan sus organizaciones y, potencialmente, los directores y dueños de empresas familiares y accionistas mayoritarios uno a uno. Por ejemplo, los ataques de alto perfil pueden generar demandas, incluidas demandas colectivas de accionistas y clientes, y podrían llevar a acciones de cumplimiento normativo. Los reclamantes también podrían alegar que la junta directiva de la organización descuidó su deber fiduciario al no tomar las medidas suficientes para confirmar la idoneidad de las protecciones de la empresa contra las violaciones de datos y sus consecuencias. Las exposiciones pueden variar considerablemente según el sector de la organización y las ubicaciones operativas. Independientemente de los méritos legales o el resultado final de cualquier impugnación, el daño a la reputación de una empresa por una violación cibernética puede ser grave y duradero. No solo es importante que la junta tome los siguientes pasos, sino que es igualmente importante que documente su diligencia debida. Las juntas deben considerar cómo:
• Mantener registros de las discusiones sobre la ciberseguridad y los riesgos cibernéticos;
• Mantenerse informadas sobre los requisitos específicos de la industria, la región y el sector que se aplican a la organización, incluidas las leyes y los requisitos que podrían establecerse a nivel regional, estatal y local;
• Analizar los riesgos en evolución en relación con la resiliencia empresarial y los planes de respuesta;
• Determinar de antemano qué revelar después de un ataque cibernético.
La cultura de una empresa tiende a fluir desde arriba hacia abajo y, por lo tanto, las juntas deben adoptar un enfoque dinámico hacia la ciberseguridad, responsabilizando directamente a la gerencia, para mostrarles a los empleados que el riesgo cibernético siempre debe ser un asunto importante. Luego, se deben implementar estructuras de gobierno efectivas para apuntalar esa cultura y garantizar que la compañía esté enfocada adecuadamente en la gestión de estos riesgos. También es recomendable que los directores participen en simulaciones de violaciones cibernéticas para lograr exposición a los procedimientos de respuesta de la compañía en el caso de ocurrencia de un incidente grave, para mitigar su impacto potencial y para practicar un escenario potencial que requiera que la junta directiva tome una importante decisión.
PRINCIPIO 3. Las juntas deben tener un acceso adecuado a la experiencia en ciberseguridad y se le debe proporcionar un tiempo regular y adecuado a las discusiones sobre la gestión de riesgos cibernéticos en las agendas de las reuniones de la junta. Las actas de la junta deben reflejar las ocasiones en que la ciberseguridad estuvo en la agenda de las reuniones de toda la junta y/o de los comités clave de la junta, así como también cuando los asuntos cibernéticos se entrelazaron en temas comerciales específicos ante la junta, como la capacitación de empleados o las alianzas estratégicas. Las discusiones en estas reuniones pueden incluir actualizaciones sobre riesgos específicos y estrategias de mitigación, así como informes sobre el programa general de ciberseguridad de la compañía y la integración de la tecnología con la estrategia, las políticas y las actividades comerciales de la organización. Con el crecimiento de la amenaza cibernética, la responsabilidad (y las expectativas) de los miembros de la junta directiva ha aumentado. Los directores deben hacer más que simplemente comprender que existen amenazas y recibir informes de la gerencia. Deben emplear los mismos principios de indagación y desafío constructivo que son características estándar de las discusiones de la junta directiva sobre la estrategia y el desempeño de la empresa. Los comités de nominación y gobernanza deben sopesar muchos factores para cubrir las vacantes de la junta, incluida la necesidad de contar con experticia en la industria, conocimiento financiero, experiencia global, los deseos de la familia propietaria y los interesados mayoritarios, y otras habilidades deseadas, según las necesidades y circunstancias estratégicas de la empresa. En América Latina, a menudo, los propietarios de empresas familiares y los accionistas mayoritarios tienen una influencia clara en la toma de decisiones y la membresía de la junta corporativa y, por lo tanto, desempeñan un papel importante en la resolución de agregar experiencia cibernética a la junta. Ya sea que elijan agregar o no a un miembro de la junta con experiencia específica en el ámbito cibernético, las juntas pueden aprovechar otras formas de aportar perspectivas informadas sobre asuntos de ciberseguridad a la sala de juntas, incluyendo:
• Programar sesiones informativas profundas o exámenes con expertos externos independientes y objetivos que validen si el programa de ciberseguridad cumple con los objetivos previstos.
• Aprovechar a los asesores independientes existentes de la junta, como auditores externos y asesores externos, que cuentan con una perspectiva de múltiples clientes y de toda la industria sobre las tendencias de riesgo cibernético;
• Participar en programas relevantes de formación de directores, ya sea que se ofrezcan internamente o externamente.
• Brindar oportunidades para que los directores compartan sus aprendizajes de programas externos sobre ciberseguridad con otros miembros de la junta
• Crear oportunidades de formación sobre ciberseguridad para los miembros de la junta, las familias propietarias de la empresa y/o las partes interesadas mayoritarias que tienen gran influencia en las decisiones de la junta.
PRINCIPIO 4. Los directores de la junta deben establecer la expectativa de que la gerencia establecerá un marco de gestión de riesgo cibernético para toda la empresa con personal y presupuesto adecuados.
Creación de un enfoque general para la gestión del riesgo cibernético.
Una organización debe comenzar con una evaluación de su perfil único de riesgo y entorno de amenaza. Quizás el mayor riesgo para una organización moderna es operar bajo un mecanismo de evaluación de riesgos mal construido. La capacidad de una organización para implementar un marco de ciberseguridad efectivo comienza con una comprensión clara del entorno de riesgo, su particular apetito de riesgo y la disponibilidad de recursos necesarios para mitigar los riesgos cibernéticos potenciales. Realmente comienza con un sistema de gestión de riesgo empresarial (ERM, por sus siglas en inglés) relevante, debidamente desarrollado y en operación, en el que se recopilan, evalúan, priorizan, mitigan e informan adecuadamente los principales riesgos estratégicos de la empresa y otros riesgos.
Marco de controles técnicos para la gestión de riesgos.
Es esencial que la gerencia pueda articularle claramente a la junta directiva la existencia e implementación de un marco técnico serio y coherente para administrar y asegurar los datos de las organizaciones. En Estados Unidos, el Marco de Ciberseguridad del NIST se usa para establecer un conjunto de estándares, metodologías, procedimientos y procesos que alinean las políticas, los negocios y los problemas tecnológicos para abordar los riesgos cibernéticos. El marco NIST busca proporcionar un lenguaje común para ser usado por la alta gerencia corporativa dentro de la organización en el desarrollo de un enfoque empresarial para la gestión del riesgo cibernético.
Un marco de gestión para la ciberseguridad.
Los directores también deben establecer la expectativa de que la gerencia tenga en cuenta si las estructuras corporativas tradicionales, que a menudo aíslan varios departamentos, son apropiadas para un sistema mucho más integrado y consistente con la era digital. Al menos con respecto a la ciberseguridad, las organizaciones líderes en todo el mundo están adoptando marcos de gestión que crean un equipo de gestión de riesgo cibernético para toda la empresa, no dominado por TI sino bajo la supervisión de un ejecutivo con una perspectiva amplia de la empresa, como un Director de Operaciones, Director Financiero o un Director de Riesgo. El equipo de gestión de riesgos cibernéticos también debe operar con un presupuesto separado y adecuado para evaluar y gestionar el riesgo cibernético.
PRINCIPIO 5. La discusión de la junta directiva sobre el riesgo cibernético debe incluir la identificación de qué riesgos evitar, cuáles aceptar y cuáles mitigar o transferir a través de un seguro, así como planes específicos asociados con cada abordaje.
La ciberseguridad total es un objetivo poco realista. La ciberseguridad es un proceso continuo, no un estado final, y la seguridad no es igual que cumplimiento. Los equipos de administración deben determinar dónde creen, en un espectro de riesgo, que pueden optimizarse las operaciones y los controles de la empresa. En otras palabras, cuál es el apetito de riesgo cibernético de la organización (y que no sea cero, porque no es realista). Al igual que con otras áreas de riesgo, la tolerancia al riesgo cibernético de una organización debe ser coherente con su estrategia y objetivos comerciales. Cuando una organización analiza su riesgo cibernético, debe hacerlo como parte de su evaluación general de riesgos, ubicando adecuadamente a los cibernéticos en el contexto de otros riesgos.