J.S. Held refuerza su experiencia en contabilidad forense e investigaciones financieras y expande su gama de servicios en Canadá con la adquisición de ADS Forensics
LEER MÁSA medida que las empresas se apoyan cada vez más en las computadoras y el almacenamiento digital de datos importantes, los ciberataques se han vuelto una amenaza potencial que toma mayor relevancia para estas organizaciones, especialmente ahora que las empresas han hecho la transición de sus fuerzas laborales para trabajar de forma remota. Hay muchos tipos de amenazas cibernéticas y la pandemia ha provocado un aumento de los ataques de ransomware. El ransomware es un malware diseñado específicamente para interrumpir, dañar u obtener acceso no autorizado a un sistema informático. El actor de amenazas emplea el cifrado para retener la información de la víctima a cambio de un rescate.
Los ataques de ransomware han afectado a organizaciones como los sistemas de escuelas públicas, las compañías de seguros, las agencias gubernamentales, las empresas informáticas, las instalaciones sanitarias, los fabricantes de alimentos y los proveedores de servicios públicos, por nombrar solo algunos. Ya ni las empresas que ayudan a recuperarse de los ataques de ransomware, como las compañías de seguros cibernéticos y los proveedores de almacenamiento/respaldo de datos, son seguras.
La interrupción del negocio (BI) ocurre cuando una empresa sufre una pérdida de ingresos como resultado directo de una falla del sistema. Los reclamos por interrupción del negocio no son algo nuevo, pero la BI de una póliza independiente de responsabilidad cibernética es un concepto en desarrollo. Históricamente, la cobertura de BI se ha proporcionado a través de pólizas de propiedad comercial. Una creciente cantidad de reclamos por interrupción del negocio se deben a ataques cibernéticos de ransomware. Pero las pólizas de seguro de responsabilidad cibernética difieren de una aseguradora a otra, por lo que es importante comprender la póliza y hacer preguntas cruciales.
Entonces, ¿qué hace que los reclamos por interrupción del negocio cibernéticos sean únicos?
La mayoría de los reclamos por interrupción del negocio tienen un período de espera. Las pólizas cibernéticas independientes difieren de los reclamos típicos de BI de propiedad, ya que los períodos de espera por interrupción de un negocio cibernético suelen ser inferiores a un día, entre 6 y 24 horas; en comparación con las 24 a 72 horas para pérdidas comerciales de BI. Es importante comprender en qué consiste el período de espera, ya que es la cantidad de tiempo que un asegurado debe esperar antes de que comience el cálculo de los ingresos comerciales. También es importante saber si las horas del período de espera se basan en horas de reloj o en horas laborales, ya que esto puede tener un impacto significativo en el análisis de la interrupción del negocio.
Además del período de espera, también es importante entender los límites de la póliza, ya que los pagos de rescate pueden incluirse como parte del límite de BI. Esto podría afectar la forma en que analiza el reclamo de BI (es decir, si su límite de BI es $1 millones, un reclamo por interrupción del negocio de $3 millones y pago de rescate de $700,000 que estaba cubierto y pago de acuerdo con la política de BI, es posible que no necesite analizar todos los aspectos del reclamo de BI, ya que el asegurado solo tiene $300,000 de cobertura de BI restante después del pago del rescate).
El período de restauración se refiere al período durante el cual se cubre la pérdida de ingresos. Los reclamos cibernéticos suelen tener un período de medición más corto. Muchos asegurados presentan un reclamo y no consideran si entra en su período de cobertura. Una de las principales dificultades a la hora de medir una pérdida por interrupción de un negocio cibernético está dada por el período de indemnización aplicable. En el caso de reclamos de propiedad, el período de indemnización suele basarse en el período de reparación. En el caso de un reclamo cibernético, la hora/fecha de inicio y finalización son más difíciles de determinar. Como contadores que analizan un reclamo por interrupción del negocio, debemos comprender no solo el aspecto financiero del negocio, sino también el aspecto técnico del evento. Consultamos a la aseguradora acerca del período de indemnización adecuado.
Un ejemplo sería un contrato perdido reclamado debido a un evento cibernético. Sería mucho más sencillo cuantificar un contrato perdido medido por su valor nominal; sin embargo, hay detalles a considerar, entre ellos:
El período de indemnización podría complicarse aún más si los sistemas de la empresa vuelven a estar en línea, pero el asegurado sigue sufriendo pérdidas por interrupción del negocio. También es común que se realicen ciertas actualizaciones o cambios del sistema después del evento. Sin embargo, esas actualizaciones pueden extender el tiempo necesario para reanudar las operaciones normales. Esa extensión de tiempo no puede considerarse parte del período de indemnización según las disposiciones de la póliza. Los contadores forenses se basarán en la evaluación técnica de lo que se completó después del evento y las indicaciones de la aseguradora en cuanto a cómo se ajusta cada detalle en las coberturas de la póliza.
Se deben tener en cuenta aquellos ingresos retrasados, o que aún podrían obtenerse una vez finalizadas las reparaciones. Por ejemplo, si un fabricante no pudo producir su producto durante dos días, tenía inventario disponible, la producción se recuperó una vez que su sistema volvió a estar en línea y no estaba a plena capacidad antes de la pérdida, es posible que no haya una pérdida por BI. Ahora bien, si el asegurado aumentó la producción y pagó horas extras a los empleados para compensar la producción durante las horas libres, en ese caso, probablemente estemos hablando de gastos adicionales y no de una pérdida de ingresos comerciales.
Los costos ahorrados (evitados) deben calcularse para determinar el ingreso neto perdido. Los costos ahorrados en un reclamo cibernético pueden diferir de un reclamo de propiedad. Hay ahorros, como ser los del costo de mercadería vendida, cargos de tarjeta de crédito y demás gastos de venta variables, que deberían ser los mismos en cualquier circunstancia de pérdida. Sin embargo, es posible que no se ahorre en gastos relacionados con la ubicación física, como el alquiler y los servicios públicos, ya que el asegurado por lo general permanece en su establecimiento físico mientras se restablecen sus capacidades de IT. Además, el asegurado en ocasiones recurre a personal de IT asalariado para realizar las reparaciones/restauraciones de IT necesarias. Con frecuencia, la decisión más importante que debe tomar el propietario de una empresa es decidir si continuará pagando a los empleados no productivos durante el período de interrupción o despedirá temporalmente al personal.
Un problema común se da cuando un asegurado utiliza a su personal asalariado para reconstruir/reparar sus sistemas y reclama estos costos como un gasto adicional. El personal asalariado se considera un gasto fijo y, por lo general, no se lo admite como gasto adicional, dado que la empresa no debió pagar salarios adicionales a causa del evento cibernético. Además, el asegurado puede utilizar personal interno por horas para trabajar en las reparaciones. Si la nómina se mantiene en niveles normales, podría haber una duplicación entre la nómina permitida en la evaluación técnica y la pérdida por interrupción del negocio. La nómina solo debe considerarse una vez. También es común que un asegurado reclame horas facturables perdidas por algún empleado que dedicó tiempo a la restauración del sistema de IT. Sin embargo, solo los empleados que normalmente eran facturables antes del ciberataque perderían potencialmente ingresos para el asegurado durante el tiempo de inactividad.
Es importante comunicar al principio del proceso de reclamos los posibles costos ahorrados o gastos adicionales y cómo afectan el análisis de BI. Además, considere si estos gastos se encuentran dentro del período de indemnización.
En un evento cibernético, es posible que un contador forense deba considerar una empresa completa en lugar de una sola ubicación o región. Mientras que algunas pérdidas cibernéticas pueden afectar solo a una ubicación, otras pueden afectar a múltiples ubicaciones, incluso a nivel mundial. Es importante evaluar cómo el ciberataque afectó las ventas, especialmente si la empresa genera ventas a través del comercio electrónico y las tiendas físicas. Es recomendable analizar ventas y gastos para detectar cualquier posible compensación.
Si hay varias ubicaciones afectadas a nivel mundial, es crucial trabajar con el asegurado y la aseguradora para determinar el impacto solo en las ubicaciones cubiertas, ya que puede haber múltiples pólizas de seguro involucradas y, quizás, no haya cobertura para algunas ubicaciones.
Los ciberataques son inevitables y la interrupción del negocio es uno de los principales impulsores de las pérdidas cibernéticas. Según Allianz Global Corporate & Specialty SE (11/19/20), las pérdidas por interrupción del negocio representaron el 60% de los reclamos de seguros cibernéticos en los últimos cinco años. Se debe contratar a un contador forense lo antes posible para ayudar a comunicarse con el asegurado y el equipo de ajustes para comprender los impactos del evento cibernético. El contador también asistirá en la administración de las estimaciones de lo necesario para cuantificar una pérdida por interrupción del negocio y en la identificación de posibles formas de mitigar la pérdida.
Agradecemos a Jessica Eldridge por brindar sus conocimientos y experiencia, que fueron de gran ayuda en esta investigación.
Jessica Eldridge es vicepresidenta en la práctica de Contabilidad Forense - Servicios de Seguros de J.S. Held. Tiene casi 20 años de experiencia en investigaciones y contabilidad forense midiendo los daños financieros relacionados con la interrupción de negocios, informática, gastos adicionales, acciones, riesgos del constructor, deshonestidad/fidelidad del empleado, lesiones personales, subrogación y servicios de apoyo en litigios. Jessica también tiene vasta experiencia en la administración de fondos de cargos comunes y la supervisión de reclamos por daños a la propiedad para proyectos grandes de construcción.
Puede comunicarse con Jessica enviando un correo electrónico a [email protected] o llamando al 1 857 219 5720.
Este documento evalúa la aplicación de análisis forenses digitales, los tipos de datos con lo que trabajan los expertos en análisis forenses digitales de datos, el proceso de investigación y algunos escenarios de ejemplo en donde se acude a los expertos en análisis forenses digitales para abordar los impactos de...
Si bien la modalidad cibernética se incorporó en algunas pólizas de responsabilidad general (GL) de la década de 1980, la primera póliza cibernética independiente fue suscrita en 1997 a través de AIG. Si bien la propuesta fue totalmente innovadora, por ser la primera en abordar la ciberseguridad...