Por: CP Iván Rodríguez. Colaborador de Auditool
La auditoría y la nube
La tecnología está cambiando de manera permanente y las empresas necesitan ajustarse a los nuevos cambios para mantenerse en el mercado y ser más competitivas. La auditoría no es ajena a esta realidad. Una de las recientes innovaciones en el procesamiento y almacenamiento de datos, es el uso de la nube. Y aunque esta tecnología ya cuenta con una amplia difusión, aún hay mitos y creencias erradas sobre su uso, lo que ha limitado aprovechar todo su potencial. Es importante para los auditores conocer los alcances y limitaciones de su trabajo al emplear este recurso y así obtener los mejores beneficios. A continuación, algunas consideraciones que deben tenerse en cuenta al emplear la nube en la labor de auditoría:
Seguridad en la nube:
En general, la seguridad en la nube es bastante robusta. Los datos de los clientes se suelen almacenar en servidores remotos y cifrados con medidas de seguridad redundantes y actualizadas. La recuperación de la información se hace mediante algunos protocolos para que solo las personas autorizadas para acceder a ellos. Las compañías obtienen apropiadas características de seguridad con una carga de TI reducida, ya que el mantenimiento del sistema, la solución de problemas y las actualizaciones son ejecutadas por el proveedor. La información en la nube suele estar más segura que en los computadores portátiles de los auditores, quienes corren riesgos si su equipo de cómputo se extravía o es robado y los datos confidenciales allí almacenados caen en manos equivocadas.
Sin embargo, esto no significa que la seguridad esté garantizada en la nube. La seguridad en la nube es una responsabilidad compartida entre el proveedor y el consumidor. No se debe asumir que los proveedores de la nube no son seguros, pero tampoco deben asumir que lo son. A medida que los niveles de seguridad de los proveedores de la nube varían, hay que evaluar las seguridades propias y las capacidades del proveedor, procurando mantener estándares razonables.
Costos:
Para algunas compañías el uso de la nube es una solución con costos razonables y puede ser más económica que las soluciones tradicionales en las propias instalaciones. Un buen servicio en la nube facilita la ejecución de auditorías confiables y de alta calidad, pues reduce tiempos de operación que normalmente se pierden en procesos ineficientes, tales como ciertos desplazamientos y dificultad de almacenamiento de información. Hay ahorros en la actualización de los sistemas locales, adquisición de equipos y aplicativos, pues esto lo hace el proveedor del servicio.
No obstante, no hay que asumir que habrá ahorros de dinero a menos que se haya hecho el arduo trabajo de analizar honestamente la situación particular de la firma o del auditor. Hay que estudiar caso por caso. Hay que asegurarse que la decisión de usar la nube no tenga expectativas de ahorro de costos poco realistas que no se cumplen. Hay que recordar que las decisiones empresariales, incluidas las relativas a la nube, tienen que ver en última instancia con el dinero. Incluso si la agilidad es el objetivo final, el costo sigue siendo una preocupación.
Complejidad:
Trabajar en la nube puede simplificar ciertas tareas operativas y lograr eficiencias. Al tener toda la documentación en un solo sitio, los aplicativos disponibles y poder trabajar de manera remota, se evitan complicaciones logísticas que antes eran necesarias. No se requiere de profundos conocimientos informáticos ni de habilidades especiales para trabajar en la nube, por lo que el tema de complejidad no parece incrementarse al trabajar en la nube. Es posible entonces simplificar los flujos de trabajo, hacer análisis profundos de una manera más rápida. Normalmente, y a diferencia de las soluciones locales, los datos solo deben ingresarse una vez y rellenan automáticamente todos los campos apropiados en los documentos de trabajo. Las carpetas, los archivos, los procedimientos y los documentos de trabajo se pueden transportar automáticamente y trabajar simultáneamente.
Cumplimiento normativo
Actualmente es posible ejecutar gran cantidad de pruebas de auditoría de manera remota, cumpliendo las disposiciones normativas profesionales. Desde inventarios físicos, pasando por el diseño, la implementación y las pruebas de los controles internos hasta la gestión del riesgo de fraude se pueden realizar de forma remota, ética y eficiente. Con las oficinas cerradas por causa de la pandemia y otros factores, puede ser mucho más difícil acceder a los libros y registros de los clientes, especialmente para los clientes que principalmente mantienen registros en papel. Las copias y los escaneos son aceptables, pero los auditores deben protegerse contra el fraude y verificar la autenticidad con procedimientos de auditoría adicionales para garantizar que los registros sean completos y auténticos. Aplicativos en la nube cuentan con medidas de control para evaluar de manera segura y confiable información confidencial.
Uso indiscriminado:
Si bien la nube es ideal para algunos casos de uso, como cargas de trabajo altamente variables o impredecibles, no todas las aplicaciones y cargas de trabajo son aptas para la nube. A menos que se puedan lograr ahorros de costos claros y eficiencias, no siempre es necesario mover una aplicación a la nube, por lo que hay que evaluar soluciones que no estén en la nube cuando sea apropiado.
Estrategia:
Es necesario que la firma cuente con una estrategia para usar la nube, que debe basarse en objetivos comerciales sólidos y expectativas realistas. No es simplemente una decisión autoritaria del CEO o de la junta. Hay que identificar los beneficios potenciales de la nube y pensarla como un medio y no como un fin. La computación en la nube es variada y una estrategia en la nube tiene que basarse en esta realidad. Los servicios en la nube son amplios y abarcan múltiples niveles, modelos, alcance y aplicaciones.
Hay diferentes niveles para la elaboración de estrategias. La primera es una estrategia de negocios a largo plazo, que proviene del CEO o la junta directiva y está destinada a que todos entiendan la misión de la organización. El siguiente nivel son los planes estratégicos. Son más a mediano plazo. La estrategia de la nube encaja aquí. También hay planes operativos tales como un plan de adopción de la nube, un plan de implementación de la nube o un plan de migración a la nube. Estos planes operativos a menudo se conocen erróneamente como la estrategia de la nube. La estrategia en la nube debe ser la base de los planes de implementación. La estrategia de la nube debe ser integral, explícitamente establecida y separada de los planes de implementación.
Usar o no la nube
En ocasiones se emplea el término nube de manera inapropiada. Esto puede ser accidental y el resultado de una confusión legítima. Pero las firmas y proveedores de TI llaman a muchas cosas nube como parte de sus esfuerzos para obtener fondos, realizar ventas y satisfacer las demandas y estrategias de nube mal definidas. Esto da lugar al mito de que un producto o servicio de TI debe ser en la nube para ser bueno. Otros temas de tecnología, tales como la automatización y la virtualización, también son necesarios y hay que prestarles atención. La nube no lo es todo.
Si un auditor tiene un apropiado entendimiento del tema de la nube, será más fácil que emplee este recurso en su trabajo, de manera que logre eficiencia y ahorro en costos, en beneficio propio y de los clientes.
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia