Gestión de crisis: una estructura para hacer frente a las crisis durante las auditorías.

Los auditores que no han experimentado conflictos y crisis de una forma u otra a lo largo de su carrera son bastante raros.Esta semana analizamos cómo la profesión aborda con éxito las situaciones de crisis para obtener un resultado positivo.

Gestión de crisis por auditores internos

La gestión de crisis proporciona la estructura, el liderazgo, la toma de decisiones y las comunicaciones para apoyar a la organización en la gestión de una situación de crisis. Abarca la continuidad del negocio, la recuperación ante desastres, la respuesta a incidentes cibernéticos y la planificación y ejecución de la respuesta a las crisis del mercado financiero.

La mayoría de las organizaciones importantes cuentan con planes básicos de continuidad del negocio y planes de recuperación ante desastres, particularmente para TI, cadenas de suministro e instalaciones.

Por lo general, la Auditoría interna revisará esos planes de forma rotativa, brindará garantías sobre el cumplimiento relacionado y realizará revisiones posteriores al evento. Sin embargo, el enfoque en la gestión de continuidad se ha ampliado para incluir cualquier evento que pueda dañar irreparablemente las finanzas, las operaciones, las capacidades cibernéticas, la reputación u otros activos esenciales.

Un plan de gestión de crisis proporciona un marco y planes de contingencia para altos ejecutivos en caso de necesidad.

La responsabilidad de la gestión de crisis recae en los líderes principales, lo que significa que la Auditoría Interna es la fuente lógica y quizás la única fuente de seguridad y asesoramiento.

Considerar: Una organización necesita un programa de gestión de crisis que abarque la gobernanza, los procesos y los riesgos. La gobernanza organiza la propiedad del programa y los roles y responsabilidades de seguridad, legal, informática, auditoría interna y otras funciones. Se necesitan procesos para abordar la respuesta a la crisis, la toma de decisiones, la recuperación, las comunicaciones y los planes de contingencia. Se deben identificar los riesgos para permitir la planificación de escenarios y el desarrollo de capacidades de respuesta a través de la capacitación y las simulaciones. Procure garantizar y asesorar en cada una de esas áreas, y anticipar eventos y promulgar las mejores prácticas.

Considere si los líderes pueden responder las preguntas:

  • ¿Para qué estás preparado?
  • ¿Qué tan preparado estás?

Asegúrese de que las simulaciones se realicen y usen regularmente para desarrollar y probar planes generales, así como libros de jugadas para eventos específicos.

Vaya más allá de la orientación reguladora y las listas de verificación y audite no solo la existencia de planes, sino también su efectividad probable.

Además, tenga en cuenta los problemas específicos de la industria y la evolución de las reglamentaciones, como los requisitos de presentación de informes GDPR de la UE para las infracciones.

Es posible que la Auditoría interna necesite mejorar o aprovechar fuentes externas para agregar valor en esta área, pero hacerlo puede salvar a toda la empresa.

Leave a Comment!