MICAEL GESTO. Socio de Risk Advisory de Deloitte en España

Vivimos en una sociedad de constante cambio e incertidumbre. Los usuarios cada vez demandan mejores servicios (innovación), que sean ágiles y rápidos (inmediatez) y que permitan su uso desde cualquier lugar (movilidad).

Si particularizamos  en el ecosistema financiero, cada día aparecen nuevos actores y modelos de negocio que han acelerado la transformación digital e incrementando el uso de la tecnología por parte de las entidades.  La tecnología actúa como palanca y acelerador en los procesos de transformación digital, y su uso da lugar a un nuevo escenario de mayor exposición a riesgos que las compañías deben gestionar en su día a día.

El incremento del riesgo tecnológico y el incremento de los incidentes graves ha generado preocupación en el sector y en los organismos reguladores y supervisores durante los últimos años[1]

La Ley de resiliencia operativa digital (DORA)[2] es parte de un paquete normativo mucho más amplio que abarca múltiples campos de las finanzas digitales y que ha sido desarrollada por la Comisión Europea con el fin de reforzar la resiliencia del ecosistema financiero. El objetivo es robustecer las capacidades de las entidades para hacer frente ante un potencial ataque o cualquier evento que pueda derivar en una disrupción en los servicios prestados a los usuarios.

DORA constituye un conjunto de medidas uniformes que permiten establecer un marco de actuación común en todo el ecosistema financiero y su ámbito de aplicación se estructura en 5 grandes bloques:

• Gestión de los Riesgos TIC
• Gestión de incidentes TIC
• Testeo de la resiliencia operativa
• Gestión de riesgos de externalización
• Información e inteligencia sobre amenazas

Adicionalmente, la normativa incluye un régimen sancionador y

 mayores atribuciones a los supervisores, lo que supone un componente importante de riesgo regulatorio y potencial impacto financiero en caso de incumplimiento que también se debe considerar en el modelo de gestión de riesgos de las entidades.

Cumplir con DORA es un reto para las entidades y supone la involucración de muchas áreas dentro de la organización. Auditoría Interna, como actor ubicado en la tercera línea de defensa de la entidad, debe jugar un papel relevante ofreciendo una visión independiente del estado de cumplimiento de la norma por parte de la entidad y ofreciendo una visión independiente de la exposición a los riesgos en términos de resiliencia.

La mayor involucración de la alta dirección es un aspecto clave de la norma, por ello, es fundamental promover un cambio de cultura en la organización y ofrecer en tiempo y forma información clara y objetiva de la situación de la entidad para el proceso de toma de decisión considerando aquellos aspectos que impactan en la resiliencia de la entidad. Auditoría Interna reporta directamente a los principales órganos de gobierno de las entidades y deberá ayudarles a entender si los principales riesgos asociados están siendo gestionados adecuadamente por la organización, así como, levantar cualquier aspecto que pueda suponer un riesgo.

Si se profundiza en la norma, hay múltiples requisitos donde la función de Auditoría Interna podría tener un rol relevante. Se establece la necesidad de realizar auditorías periódicas TIC y revisiones siempre que se produzcan modificaciones significativas en la infraestructura tecnológica, así como, realizar una auditoría periódica del Marco de Control TIC por parte de un auditor con los skills y experiencia adecuados.

Uno de los elementos clave para poder conocer las capacidades de resiliencia de la entidad es el testing: probar y evolucionar nuestros procesos a medida que identificamos aspectos que no funcionan como se espera. DORA también refuerza los requerimientos de testing y exige que las entidades dispongan de planes de pruebas adaptados a cada entidad en función de su tamaño, negocio y perfil de riesgo. En la norma, se especifica que las pruebas deben realizase de forma independiente, por tanto, los nuevos requerimientos pueden impulsar y reforzar la función de Auditoría Interna.

Aunque DORA el pasado enero, actualmente, falta más de un año y medio para su aplicabilidad. Los dos años que el regulador ofrece a las entidades para su adaptación muestran la complejidad y el gran impacto que esta supone para las entidades. Es fundamental empezar a trabajar en identificar cuales son los potenciales gaps actualmente y desarrollar planes que permitan adaptarse y llegar a tiempo a enero de 2025.

[1] Deloitte. El estado de la ciberseguridad en España.
[2] Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero