Por: CP Iván Rodríguez. Colaborador de Auditool
Actualmente y en casi cualquier entorno empresarial, el volumen de datos que se genera, almacena y procesa, está aumentando drásticamente, lo cual, trae consigo diferentes riesgos, y, por tanto mayor atención y enfoque por parte de los auditores. La confidencialidad, la privacidad, la gobernanza de datos[1] y los riesgos tecnológicos asociados a los datos hoy día se encuentran entre los principales riesgos para las organizaciones. Frente a este panorama, la auditoría puede adoptar el concepto de que cada auditoría que realiza es en gran medida una auditoría de datos. Si no se estudian los datos como una parte de los proyectos y compromisos, es tanto una oportunidad perdida, como un área de riesgo potencial pasada por alto. Algunas inquietudes para reflexionar al respecto son las siguientes:
- ¿Qué datos se utilizan para apoyar las actividades empresariales?
- ¿Qué datos se crean, procesan, transmiten y almacenan?
- ¿En qué sistemas se almacenan los datos y cómo se protegen?
- ¿Cómo se utilizan los datos para elaborar informes?
- ¿Es suficiente la calidad, la disponibilidad y la accesibilidad de los datos?
Las organizaciones deberían contar entonces con una apropiada gobernanza de datos para el manejo de su información y la auditoría debe evaluar si dicha gobernanza o gestión es apropiada para los propósitos empresariales.
Para el efecto es importante examinar lo siguiente:
Compromiso de la empresa con los datos:
Las iniciativas de gobernanza de datos requieren de un presupuesto acorde con el tamaño y circunstancias propias de la empresa, así como de mecanismos de coordinación. Debe haber claridad acerca del acceso o supervisión de datos, sistemas, aplicaciones y bases de datos que pueden estar en diferentes sitios, y/o, bajo diferentes normas. También debe haber claridad acerca de la propiedad de los datos y las responsabilidades de administración al respecto.
Información de terceros y socios comerciales
Los socios comerciales y otros terceros, deben comprender el alcance de las iniciativas en torno a la gobernanza de los datos y permitir el ejercicio de las labores de auditoría, en particular en sus labores de asesoramiento. Adicionalmente, es importante que comprendan el enfoque de riesgo, controles y la experiencia en procesos que se requieren para el manejo de datos.
Identificar los puntos más débiles en la gobernanza de datos.
La alta administración, con el concurso de la auditoría puede determinar la necesidad de mejorar la gobernanza de los datos en actividades específicas, tales como las nuevas implementaciones del sistema o una nueva relación con un proveedor. En las implementaciones de nuevos sistemas, las directivas y procesos de gobierno de datos deben gestionar cómo se realiza el seguimiento de los metadatos, cómo se garantiza la calidad de los datos, cómo se administran la conversión y migración de datos, entre otras acciones. Las consideraciones asociadas con la incorporación de nuevos proveedores incluyen: ¿Los proveedores requerirán acceso a cuáles datos? ¿Qué datos procesarán en nombre de la organización? ¿Cuáles son sus prácticas de gobernanza de datos? Cada una de estas consideraciones debe ser atendida debidamente.
Visión amplia de la auditoría
Por su parte, la auditoría debe tener una mentalidad que vaya más allá de las listas de verificación y un enfoque de controles. Es importante que la auditoría tenga conocimiento de los mecanismos de generación de informes, monitoreo y toma de decisiones de la organización. De esta manera pueden ayudar a los equipos de proyectos de gobierno de datos a priorizar las actividades de mejora potenciales. El carácter amplio y polifacético de la gobernanza de los datos requerirá una auditoría que aplique juicios, análisis basados en el riesgo y las oportunidades. Los auditores deben tener en cuenta que los activos de datos no solo requieren protección, sino, que producen valor a la organización y en ese sentido deben ser tenidos en cuenta en los análisis de apetito de riesgo.
Aunque hay muchas otras medidas que las áreas de auditoría interna relacionadas con la gobernanza de los datos tendrán que considerar, un paso importante es superar la renuencia a asumir dicho esfuerzo y compromiso. Las iniciativas de gobernanza de datos pueden ofrecer los beneficios duales de reforzar el valor organizacional y promover el papel de la auditoría como contribuyente estratégico a la empresa. En ese sentido, los auditores deben fortalecer sus conocimientos y habilidades en big data, inteligencia empresarial y análisis de datos para mantener el ritmo de los enfoques basados en datos de sus partes interesadas, al tiempo que realizan auditorías más eficientes que proporcionen información y resultados más relevantes.
[1] La gobernanza de datos es un concepto de gestión de datos relacionado con la capacidad de una organización para garantizar que existe una alta calidad en los datos durante todo su ciclo de vida y que se implementan controles a los datos que respaldan los objetivos comerciales
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia