El sector empresarial enfrenta un momento decisivo, por un lado el gobierno mexicano propone ajustes al Código Fiscal de la Federación para asegurar una mayor recaudación en 2026, mientras los ataques informáticos crecen a un ritmo acelerado sumado a auge de la Inteligencia Artificial. Es por ello que implementar una estrategia en gestión de riesgos se vuelven indispensable para la continuidad de negocio.
En este contexto llegó la primera edición del GRC Plus Summit en México que reunió a especialistas internacionales que alertaron sobre la urgencia de anticiparse a este entorno regulatorio y tecnológico.
La importancia de una estrategia GRC en la empresa
En entrevista con Antonio Quevedo, CEO de Global Suite Solutions, señaló que hace 25 años la gobernanza, el riesgo y el cumplimiento (GRC) apenas se discutían en las empresas, pero hoy, su ausencia puede significar sanciones económicas, penales o incluso la suspensión de operaciones.
“La normativa hay que verla como un aliado, ayuda a progresar a los entes reguladores y al gobierno y (…) pese que no todo el mundo va a llegar. Hay que anticiparse mucho para poder cumplir con las fechas que vienen”. Afirmó Quevedo ante el panorama de regulaciones que la administración pública busca consolidar el próximo año.
Tener un plan ante el riesgo de terceros y el ejemplo europeo
En México y Latinoamérica la regulación digital aún se encuentra en sus primeras fases en comparación con la Unión Europea, en donde se considera una sobrerregulación que las empresas deben cumplir al integrar nuevas tecnologías para la gestión financiera, logística y protección de datos personales.
Es por ello que, la experiencia en Europa ofrece una referencia para México. De acuerdo a Quevedo, uno de los problemas más comunes es la dependencia de proveedores que no cumplen con estándares adecuados:
“La mayor parte de los problemas que tienen las compañías no son solo por lo que ellas saben, sino por lo que el proveedor no hace bien. Aunque una empresa tenga sus normas, si un tercero no tiene filtros adecuados puede impactarla directamente”, advirtió.
Las estrategias deben incluir políticas claras de relación con proveedores, mecanismos de verificación y hasta esquemas de transferencia de riesgos, que contemplen sanciones económicas o de reputación en caso de incumplimiento.
De ahí la importancia de una estrategia de GRC, en donde la empresa debe debe analizar los riesgos internos y fuera de ellos. Un claro ejemplo es lo señalado en el artículo 52 fracción III del Código Fiscal de la Federación donde establece la obligación del contador en informar a la autoridad fiscal cuando derivado de una elaboración del dictamen conozca que el contribuyente llevó a cabo una conducta que pueda constituir la comisión de un delito.
Misma obligación que se respalda en el artículo 222 del Código Nacional de Procedimientos Penales donde enfatiza la obligación general de toda persona que le conste el hecho de un delito el denunciarlo al Ministerio Público, una situación de riesgo que a través de un esta estrategia GRC puede abordarse para anticipar las consecuencias y así crear un plan de respuesta que disminuya los efectos negativos a las empresas.
ÚNETE A IDC en nuestro canal de Whatsapp
El uso de la Inteligencia artificial como oportunidad
La adopción de inteligencia artificial en procesos internos ya muestra beneficios tangibles que puede ahorrar tiempos, al dirigir los esfuerzos de los trabajadores en tareas más complejas y de valor. Por esta razón, Antonio Quevedo señaló que en áreas de desarrollo y administración su compañía identificó mejoras de hasta 35%. Sin embargo, subrayó que no contar con una política de uso interno representa un riesgo significativo:
“La inteligencia artificial no es una opción. Si no la utilizas, te vas a quedar atrás. No va a quitar el trabajo, lo va a quitar una persona que sepa utilizarla”, enfatizó.
Esto implica que las empresas deben definir desde ahora qué herramientas de IA se pueden usar, qué datos pueden procesar y cuáles son los límites en su implementación.
¿Por qué es importante de fortalecer la ciberseguridad en las empresas?
Luis Zafra, Director del Centro de Operaciones de Seguridad en Onesec
Por su parte, Luis Zafra, Director del Centro de operaciones de Seguridad en ONESEC, indicó que el cibercrimen alcanzará un costo global de 10.5 billones de dólares en 2025, convirtiéndose en la tercera economía mundial en términos de impacto económico. Casos como el de SolarWinds en 2020, donde un software contaminado afectó a 18 mil clientes, muestran cómo una intrusión puede tardar meses en detectarse.
En Latinoamérica, el promedio para identificar una vulneración es de siete meses, frente a las dos semanas en países con mayores controles. Este rezago incrementa la exposición a espionaje, robo de propiedad intelectual y sanciones regulatorias.
Es por ello, que durante el evento, la experta en ciberseguridad corporativa Claudia Ortiz, recalcó que las áreas más cercanas a la seguridad de la información suelen ser aquellas que ya vivieron un ataque, lo que deja como desafío extender la conciencia a toda la organización para que tome acciones sin necesidad de experimentar previamente un ataque.
“La ciberseguridad no se debe enfocar al departamento de tecnología, sino involucrar a todos los integrantes de la empresa”, apuntó.
La recomendación general es revisar anualmente las políticas y protocolos de ciberseguridad, capacitar al personal y simular escenarios de ataque que incluya ejercicios donde se envíen de correos “maliciosos” a los trabajadores y detectar si el personal cae en estas acciones que ponen en riesgo a la empresa.
Gobernanza, Riesgo y Cumplimiento como factor de continuidad
La gestión de riesgos no solo busca evitar sanciones. También es un recurso para asegurar la operación en escenarios críticos, desde desastres naturales hasta crisis reputacionales. Empresas como Grupo México destacaron que la auditoría basada en riesgos debe incorporar dimensiones ambientales y sociales, además de las financieras y tecnológicas.
Asimismo, se advirtió que las compañías que gestionan sus áreas en silos están condenadas a perder eficiencia, ya que el aislamiento es una desventaja para hacer frente a situaciones que comprometen la operatividad de la empresa.
El consejo de administración debe tener claro los riesgos y valores que tiene la empresa, por lo que no se puede seguir elaborando informes dispersos y sin conexión en toda la estructura organizacional. Esto cuando se vive en un mundo donde la inteligencia artificial ya transforma los procesos en todas las áreas, lo que representa un beneficio o amenaza según las prácticas que se lleven a cabo.
Con el marco regulatorio en evolución y la presión de ciberataques cada vez más sofisticados, los especialistas coinciden que las empresas mexicanas no pueden esperar más tiempo en implementar estrategias de GRC, definir políticas de IA y robustecer la relación con sus proveedores, al seguir estos pasos lograrán una mayor resiliencia en situaciones de riesgo.
