Cómo la Auditoría Interna puede ayudar a mitigar los riesgos asociados con las Redes Sociales en su Empresa.

Uno de los objetivos últimos de la función de Auditoría Interna podríamos decir que es garantizar el cumplimiento de los objetivos estratégicos que se haya definido la compañía de forma eficiente, es decir, si nuestra compañía como fin último estableció que su objetivo es ganar dinero, nosotros somos uno de los actores que ayudará al cumplimiento del mismo de forma eficiente.  En este ejemplo, nuestra compañía podría que su objetivo estratégico es ganar dinero. En este caso a través que Auditoría Interna defina un marco de control interno que permita llevar a su más mínima expresión el riesgo de fraude, estaremos ayudando a la gerencia a maximizar este objetivo

Siguiendo con esta línea argumental, podemos decir que últimamente la mayoría de las empresas se han sumergido en el universo de las redes sociales, ya sea por convencimiento, por necesidad o simplemente para seguir una tendencia.

Muchas de estas empresas, han decidido participar en las mismas sin tener una estrategia y planificación apropiada que contemple mínimamente quien será la cara visible ante la red, que se comunicará, como se supervisará esa comunicación etc., por consiguiente, hemos visto como muchas veces las compañías han visto comprometida su reputación debido a una mala comunicación o postura ante las redes sociales.  En resumen, podemos decir que el riesgo en la reputación es uno de los factores más relevantes que se debe tener en cuenta al momento de definir una estrategia de participación en las redes sociales.  Este riesgo reputacional puede afectar y comprometer seriamente los objetivos y estrategias que la compañía se haya definido, y en este caso Auditoría Interna puede aportar todo su background y experiencia para evitarlo.

Que debemos tener en cuenta en un Plan de Auditoría de Redes Sociales

Al momento que el departamento de Auditoría se decida a realizar una Auditoría sobre Redes Sociales, debemos tener en cuenta que uno de los secretos del éxito de la misma es comprender que es lo que estamos auditando, esto significa conocer las diversas plataformas en donde la empresa está presente.  Actualmente tenemos una variedad de plataformas, cada una con un fin en particular.  Nuestra empresa puede estar participando de:

- Blogs (como bloggers)

- Microblogs (como Twitter)

- Sitios de intercambio de video e imágenes (como Flickr y YouTube)

- Sitios de Redes Sociales (Facebook y Google+)

- Sitios de Redes profesionales (como Linkedin)

- Etc.

Esta variedad de plataformas y finalidades hacen que el auditor como primer paso deba conocer estos sitios, como funcionan, que información guardan, etc.

Si tenemos en cuenta el programa de auditoría y aseguramiento de medios sociales de la ISACA una auditoría de redes sociales debería tener 4 pilares:

• Estrategia y Gobierno: Esto implica relevar y analizar las políticas y gestión de riesgo asociadas a las redes sociales,
• Personas: Un componente más que importante es la capacitación de las personas que tendrán a cargo la gestión de las redes sociales así como su concientización, básicamente de los riesgo que implica una inadecuada administración,
• Procesos: La forma en que la compañía ha diseñado los procesos que soporten su participación en las redes sociales, uno de estos aspectos es la propia política de gestión y construcción de marca,
• Tecnología: Implica todas las políticas de acceso a los sitios sociales así como los software de monitoreo y vigilancia que la compañía haya establecido.

Quien tiene a cargo la comunicación ante las redes sociales, quien supervisa esas comunicaciones y mide el impacto y hasta la definición de un comité de crisis ante problemas de reputación es otro de los aspectos que el Auditor Interno deberá tener en cuenta, un ejemplo de riesgo de reputación asociado con las redes sociales es el caso de Starbucks Argentina (para ver detalles: http://www.ieco.clarin.com/empresas/Starbucks-disculpas-Facebook-nacionales-servir_0_737926359.html)

La revista NetworkWorld de España enumera 5 riesgos claves de las redes sociales:

Aplicaciones Móviles: Desde nuestros dispositivos móviles (así como corporativos) podemos tener acceso a todas las redes sociales, pero también a un universo de sitios de donde descargar aplicaciones, muchas de ellas no chequeadas.  Recientemente Google tuvo que eliminar de su Android Market más de 60 aplicaciones  que contenían software malicioso (ya sea diseñados para revelar información de terceros, para replicar en otros dispositivos, hasta para hacerse pasar por el propietario del dispositivo),

Ingeniería Social: A raíz de la utilización de las redes sociales, las personas cada vez más comparten información personal, esta información puede muchas veces incluir detalles sobre un nuevo proyecto de la empresa, despidos inminentes, etc.

Páginas de Redes Sociales: Algunas veces, los hackers van directos a la fuente, inyectando código malicioso en las páginas de redes sociales, incluyendo anuncios internos y aplicaciones de terceros. En Twitter, los acortadores de URL pueden utilizarse para llevar a los usuarios a páginas web maliciosas que pueden extraer información personal o corporativa si accedemos a ellos con el equipo del trabajo.

Los empleados: Los empleados más responsables tienen muchas veces lapsos de juicios, cometen errores o se compartan emocionalmente. Una cosa es lidiar con un comentario indiscreto en la oficina y otra distinta si el comentario se realiza en una cuenta de la red social.

Falta de una política de medios sociales: Esta política debería tener en consideración alguno de estos aspectos:

- En que canales de medios sociales participa la organización,

- Qué cuentas están activas en los medios sociales y quienes las mantiene,

- Qué empleados tiene autorización para comunicar algo en nombre de la organización,

- Qué procesos deben aplicarse para vigilar la comunicación entre los empleados y clientes o el público,

- Qué capacitación se ofrece en relación con los medios sociales y la política de la organización,

- Qué consecuencias tiene el incumplimiento de la política.

- Existencia de un comité de crisis o plan de contingencia ante un incidente que afecte la reputación.

Hacia un programa de Auditoría Exitoso

En resumen como hemos dicho en este artículo, Auditoría Interna puede participar de forma exitosa en la realización de una Auditoría de Redes Sociales pese a la complejidad de la misma, para esto los aspectos fundamentales que se deberán tener en cuenta al momento de encarar la misma es entender el uso que la compañía está haciendo de las redes sociales así como tener un gran entendimiento sobre las plataformas utilizadas.

Noticia por: 

Javier Fernando Klus

Licenciado en Administración de Empresas – MBA - CIA

Buenos Aires – Argentina

Fuente de la noticia:

Auditool - Red de Conocimentos en Auditoría y Control Interno

9 Grandes Errores Departamentos Auditoría Interna Pequeños.

Creo firmemente que la mayoría de los departamentos de auditoría interna de Latinoamérica son pequeños, es por esa razón que los errores presentados por Joel F. Kramer en su conferencia “Biggest Mistakes Small Shops Makes” serán de gran utilidad para todos lo lectores de este Blog: 

1. Actuar como un departamento grande

Uso de muchos manuales y formularios.

Organización departamental muy estructurada.

Demasiadas revisiones.

Mucho tiempo invertido en reuniones.

Demasiado tiempo en la redacción del informe.

2. Contratar las personas equivocadas

Muy orientadas en los cuartos de final.

Sin capacidad de tomar la iniciativa.

Muy enfocadas en el cumplimiento.

Conocimientos demasiado especializados.

3. Auditorias muy largas

Falta de flexibilidad.

Se necesita desarrollar filosofía continuar parar.

Auditorias más cortas/informes más cortos.

Desarrollar enfoque de auditoría basado en riesgos.

4. No se mercadean de forma efectiva

Uso solamente de un informe anual.

No realizar presentaciones para unidades de negocio.

No Usar Red/Boletines/Folletos – Controles suaves.

Los informes no venden el trabajo realizado.

No participar en reuniones

5. No realizar un network efectivo a través de

Grupos internos.

Grupos industriales.

Institutos o capítulos del IIA.

Participar en conferencias y simposios

Organizaciones locales.

6. Invertir demasiado tiempo en el ERM

Reinventar la rueda.

No usar una firma especializada.

No usar grupos para creación de red conocimientos.

Falta de flexibilidad.

Asumir que el enfoque basado en riesgo no aplica a departamentos pequeños

7. Uso inapropiado tecnología

Crear muchos formatos e reportes.

Realizar flujogramas muy extensos.

Prohibir el uso de la red.

Si estrategia definida de paquetes de recuperación.

Uso demasiadas plantillas.

8. Fallar en el contacto con alta dirección

No motivar al Comité de Auditoría.

Emisión de reportes para el Comité de Auditoría en el tiempo erróneo.

Actuar como un hongo.

Darle demasiad información.

Darle información errada.

9. Pensar que para tener una práctica de clase mundial se debe ser grande

Establecer metas realizables para agregar valor.

Contratar las mejores personas.

Enfocar ERP.

Lograr que la gerencia tome responsabilidad y propiedad sobre los controles.

Tener visibilidad.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

Fuente de la noticia: Nahun Frett 

10 pasos para convertirse en un mejor Auditor 

Fuente de la noticia: Nahun Frett 

Palestra na Marinha do Brasil | A Nova era da Gestão de Riscos

Confiram a palestra do Francesco De Cicco - Diretor Executivo do QSP. Engenheiro, especialista em Risk Management. Ele possui mais de 100 artigos e livros publicados e é o editor de diversos manuais técnicos sobre a ISO 31000:2009, AS/NZS 4360:2004, OHSAS 18001:2007, OHSAS 18002:2008 e PAS 99:2006, entre outras publicações. Mais informações curriculares podem ser obtidas no endereço: http://bit.ly/carreiraFDC.

Palestra na Marinha do Brasil | A NOVA ERA DA GESTÃO DE RISCOS

  

Fonte: Slideshare

Obrigado Francesco por permitir a publicação dessa palestra aqui no Sou Ecológico.

Sistema de Gestão Ambiental - ISO 14001 e PDCA

O que é um SGA e o que é ISO 14001?

Um Sistema de Gestão Ambiental (SGA) é uma estrutura desenvolvida para que uma organização possa consistentemente controlar seus impactos significativos sobre o meio ambiente e melhorar continuamente as operações e negócios. A ISO 14001 é uma norma internacionalmente aceita que define os requisitos para estabelecer e operar um Sistema de Gestão Ambiental. A norma reconhece que organizações podem estar preocupadas tanto com a sua lucratividade quanto com a gestão de impactos ambientais.

A ISO 14001 integra estes dois motivos e provê uma metodologia altamente amigável para conseguir um Sistema de Gestão Ambiental efetivo. Na prática, o que a norma oferece é a gestão de uso e disposição de recursos. É reconhecida mundialmente como um meio de controlar custos, reduzir os riscos e melhorar o desempenho. Não é só uma norma “no papel” – ela requer um comprometimento de toda a organização. Se os benefícios ambientais e seus lucros aumentam, as partes interessadas verão os benefícios.

ISO 14001:1996. Suas perguntas respondidas.

Para obter um entendimento mais claro dos requisitos para se usar efetivamente um SGA e dos impactos que usar a ISO 14001 pode ter sobre uma organização, nós nos voltamos para Karen, uma Diretora de Negócios Corporativos de uma companhia de manufatura de médio porte, que foi recentemente auditada e certificada pela ISO 14001. Sua experiência com o processo de certificação o ajudará a compreender que muito de um SGA e da ISO 14001 trata de práticas de negócios simples e sólidas. Eles trazem benefícios tanto corporativos quanto financeiros, desde a melhoria dos relacionamentos com as partes interessadas até a obtenção de custos reduzidos através do uso responsável de materiais e práticas ambientalmente sensíveis sempre que possível.

O sistema que beneficia seus lucros bem como ao Meio Ambiente.

P: Karen, sua companhia já mantém um bom controle de seus requisitos legais e regulatórios. Que outros benefícios vocês obtiveram ao investir tempo e dinheiro em um Sistema de Gestão Ambiental baseado na ISO 14001?

R: Nós queríamos demonstrar nossa capacidade e atender às expectativas de nossas partes interessadas, bem como aumentar o lucro através de uma maior eficiência. Isto é simplesmente bom negócio. O fato de que nós podíamos reduzir o impacto ambiental e prevenir a poluição ao mesmo tempo foi um bônus importante.

P: Que benefícios você obteve?

R: Nós reduzimos significativamente os gastos de nossa empresa com materiais. Durante este processo, nós também reduzimos nossos custos de descarte de resíduos. Nós conseguimos reciclar energia de calor para reduzir nossas contas de energia. Nós ajustamos os processos de produção e como resultado nos tornamos mais eficientes, e reduzimos o risco de incidentes. Nossa última reunião com as partes interessadas foi bem já que eles reconheceram que nós estamos mais bem preparados para evitar multas e penalidades futuras por não cumprir a legislação ambiental. Mas você provavelmente encontraria uma mistura diferente de benefícios que seriam igualmente bem-vindos!

P: Que outros benefícios pode esperar uma organização?

R: Bem, comunicações internas e o moral podem melhorar – freqüentemente levando a soluções ambientais sólidas sugeridas pelos funcionários, os quais são, em última análise, os proprietários dos processos de negócio. Os custos de seguro podem ser reduzidos através da demonstração de uma melhor gestão do risco. A percepção pública da norma significa que você pode também ganhar vantagem competitiva, levando a oportunidades melhoradas de vendas. E a lista continua...

P: Até que ponto você implementou o sistema devido a pressões de colegas ou clientes?

R: Nós certamente recebemos pressão para demonstrar que somos uma organização ambientalmente sensível. Uma vez que nós obtivemos um melhor entendimento do SGA e seus objetivos, começou a fazer um pleno sentido de negócios. Estes benefícios simples de melhoria de negócio e a economia de custos fizeram o investimento de tempo e dinheiro valer a pena. Com esta compreensão, a pressão dos clientes tornou-se menos significativa como o agente impulsionador para implementar e usar um SGA.

A abordagem Planejar, Fazer, Checar, Agir

P: Nós todos queremos ser ambientalmente responsáveis e obter benefícios de negócio, mas em vez de ficar só falando a respeito, o que temos que fazer?

R: Existe uma metodologia prática a seguir – A abordagem de melhoria contínua Planejar-Fazer-Checar-Agir (PDCA) para gerenciar um sistema de processos. Esta é também a base da ISO 9001:2000 para Gestão da Qualidade, então muitas pessoas já estão familiarizadas com ela. A interpretação da ISO 14001 do modelo PDCA é demonstrada abaixo. A ISO 14001 também adiciona quatro pontos de enfoque para a Gestão Ambiental, um para cada elemento do modelo PDCA.

O PDCA e os quatro enfoques

P: Karen, você mencionou quatro enfoques. Eles são cláusulas dentro da norma?

R: Não, mas são igualmente importantes. São princípios fundamentais que o ajudarão a manter-se inteiramente dentro do espírito da norma. O primeiro é “comprometimento”, Expresso através da Política Ambiental e do Planejamento, e está relacionado a PLANEJAR no modelo PDCA. Tomar uma decisão de usar uma abordagem de sistema à gestão ambiental é um grande passo. Significa tornar-se pró-ativo em vez de reativo, definir e cumprir objetivos, e usar uma política ambiental, a qual guia toda a organização em temas ambientais. Este comprometimento deve vir da alta administração. Um sistema de gestão somente pode ser verdadeiramente efetivo se for apoiado pelo comprometimento total da alta administração, já que mudanças fundamentais na prática de negócios podem necessitar ser implementadas.

P: E o que vem em seguida?

R: Bem na etapa FAZER, expressada pela Implementação e Operação, o enfoque está na “Prevenção”. Nós precisamos liderar através do exemplo e, em particular, prevenir em vez de corrigir. Você descobrirá que quando não tiver mais que “apagar incêndios”, você economizará tempo e dinheiro. P: Então isto significa ser “proativo”, em vez de “reativo”. Isto parece como formas de bom senso para gerenciar um negócio. Qual é o terceiro enfoque?

R: Este é CHECAR, expresso através da Verificação e Ação Corretiva, o enfoque está em “Cuidado razoável e conformidade regulatória”. Esta é uma expansão da prática ambiental atual. Nós não somente temos que cumprir a legislação, nós necessitamos de um sistema que assegure que podemos identificar quando estamos em risco de não-conformidades ou quando já estamos não conformes, e que possa também demonstrar a decisão de encarar a situação.

P: Em outras palavras, você deve demonstrar sua boa intenção?

R: Muito mais que isso. Precisamos prover evidência de processos de sistema projetados para corrigir e prevenir futuros incidentes. O quarto enfoque é “melhoria contínua”, ou a Análise Crítica pela alta Administração levando à Melhoria Contínua, e está relacionado com AGIR. Nosso SGA é projetado para atingir melhoria contínua. Como conseqüência, a organização constantemente evolui, tornando-se melhor, mais forte, mais enxuta e mais eficiente.

NOTA DO AUTOR

Esta é apenas uma parte do assunto. Essas informações foram retiradas de um Guia Passo a Passo para o uso de um Sistema de Gestão Ambiental produzido pela BSI BRASIL. Estas mesmas informações podem ser obtidas em um arquivo do formato PDF. Caso tenha interesse em adquirir este Guia em PDF, deixe um recado abaixo com seu nome e e-mail que enviarei o mais breve possível. Muito obrigado pela leitura e visita ao Blog Sou Ecológico.