Uno de los objetivos últimos de la función de Auditoría Interna podríamos decir que es garantizar el cumplimiento de los objetivos estratégicos que se haya definido la compañía de forma eficiente, es decir, si nuestra compañía como fin último estableció que su objetivo es ganar dinero, nosotros somos uno de los actores que ayudará al cumplimiento del mismo de forma eficiente.  En este ejemplo, nuestra compañía podría que su objetivo estratégico es ganar dinero. En este caso a través que Auditoría Interna defina un marco de control interno que permita llevar a su más mínima expresión el riesgo de fraude, estaremos ayudando a la gerencia a maximizar este objetivo

Siguiendo con esta línea argumental, podemos decir que últimamente la mayoría de las empresas se han sumergido en el universo de las redes sociales, ya sea por convencimiento, por necesidad o simplemente para seguir una tendencia.

Muchas de estas empresas, han decidido participar en las mismas sin tener una estrategia y planificación apropiada que contemple mínimamente quien será la cara visible ante la red, que se comunicará, como se supervisará esa comunicación etc., por consiguiente, hemos visto como muchas veces las compañías han visto comprometida su reputación debido a una mala comunicación o postura ante las redes sociales.  En resumen, podemos decir que el riesgo en la reputación es uno de los factores más relevantes que se debe tener en cuenta al momento de definir una estrategia de participación en las redes sociales.  Este riesgo reputacional puede afectar y comprometer seriamente los objetivos y estrategias que la compañía se haya definido, y en este caso Auditoría Interna puede aportar todo su background y experiencia para evitarlo.

Que debemos tener en cuenta en un Plan de Auditoría de Redes Sociales

Al momento que el departamento de Auditoría se decida a realizar una Auditoría sobre Redes Sociales, debemos tener en cuenta que uno de los secretos del éxito de la misma es comprender que es lo que estamos auditando, esto significa conocer las diversas plataformas en donde la empresa está presente.  Actualmente tenemos una variedad de plataformas, cada una con un fin en particular.  Nuestra empresa puede estar participando de:

- Blogs (como bloggers)

- Microblogs (como Twitter)

- Sitios de intercambio de video e imágenes (como Flickr y YouTube)

- Sitios de Redes Sociales (Facebook y Google+)

- Sitios de Redes profesionales (como Linkedin)

- Etc.

Esta variedad de plataformas y finalidades hacen que el auditor como primer paso deba conocer estos sitios, como funcionan, que información guardan, etc.

Si tenemos en cuenta el programa de auditoría y aseguramiento de medios sociales de la ISACA una auditoría de redes sociales debería tener 4 pilares:

• Estrategia y Gobierno: Esto implica relevar y analizar las políticas y gestión de riesgo asociadas a las redes sociales,
• Personas: Un componente más que importante es la capacitación de las personas que tendrán a cargo la gestión de las redes sociales así como su concientización, básicamente de los riesgo que implica una inadecuada administración,
• Procesos: La forma en que la compañía ha diseñado los procesos que soporten su participación en las redes sociales, uno de estos aspectos es la propia política de gestión y construcción de marca,
• Tecnología: Implica todas las políticas de acceso a los sitios sociales así como los software de monitoreo y vigilancia que la compañía haya establecido.

Quien tiene a cargo la comunicación ante las redes sociales, quien supervisa esas comunicaciones y mide el impacto y hasta la definición de un comité de crisis ante problemas de reputación es otro de los aspectos que el Auditor Interno deberá tener en cuenta, un ejemplo de riesgo de reputación asociado con las redes sociales es el caso de Starbucks Argentina (para ver detalles: http://www.ieco.clarin.com/empresas/Starbucks-disculpas-Facebook-nacionales-servir_0_737926359.html)

La revista NetworkWorld de España enumera 5 riesgos claves de las redes sociales:

1. Aplicaciones Móviles: Desde nuestros dispositivos móviles (así como corporativos) podemos tener acceso a todas las redes sociales, pero también a un universo de sitios de donde descargar aplicaciones, muchas de ellas no chequeadas.  Recientemente Google tuvo que eliminar de su Android Market más de 60 aplicaciones  que contenían software malicioso (ya sea diseñados para revelar información de terceros, para replicar en otros dispositivos, hasta para hacerse pasar por el propietario del dispositivo),
2. Ingeniería Social: A raíz de la utilización de las redes sociales, las personas cada vez más comparten información personal, esta información puede muchas veces incluir detalles sobre un nuevo proyecto de la empresa, despidos inminentes, etc.
3. Páginas de Redes Sociales: Algunas veces, los hackers van directos a la fuente, inyectando código malicioso en las páginas de redes sociales, incluyendo anuncios internos y aplicaciones de terceros. En Twitter, los acortadores de URL pueden utilizarse para llevar a los usuarios a páginas web maliciosas que pueden extraer información personal o corporativa si accedemos a ellos con el equipo del trabajo.
4. Los empleados: Los empleados más responsables tienen muchas veces lapsos de juicios, cometen errores o se compartan emocionalmente. Una cosa es lidiar con un comentario indiscreto en la oficina y otra distinta si el comentario se realiza en una cuenta de la red social.
5. Falta de una política de medios sociales: Esta política debería tener en consideración alguno de estos aspectos:

- En que canales de medios sociales participa la organización,

- Qué cuentas están activas en los medios sociales y quienes las mantiene,

- Qué empleados tiene autorización para comunicar algo en nombre de la organización,

- Qué procesos deben aplicarse para vigilar la comunicación entre los empleados y clientes o el público,

- Qué capacitación se ofrece en relación con los medios sociales y la política de la organización,

- Qué consecuencias tiene el incumplimiento de la política.

- Existencia de un comité de crisis o plan de contingencia ante un incidente que afecte la reputación.

Hacia un programa de Auditoría Exitoso

En resumen como hemos dicho en este artículo, Auditoría Interna puede participar de forma exitosa en la realización de una Auditoría de Redes Sociales pese a la complejidad de la misma, para esto los aspectos fundamentales que se deberán tener en cuenta al momento de encarar la misma es entender el uso que la compañía está haciendo de las redes sociales así como tener un gran entendimiento sobre las plataformas utilizadas.

Tweet