La evolución de los sistemas de información ha hecho que éstos se vuelvan cada vez más un componente de relevancia, transformándose incluso en la columna vertebral de mucho de los procesos operativos de cualquier organización y generando la información necesaria no sólo para realizar las operaciones diarias sino también para la toma de decisiones (ya sea interna como por parte de terceros).
En este contexto, la función de Auditoría Interna tuvieron que adaptarse, dado que cualquier proceso o ciclo de negocios relevante está fuertemente impactado por los riesgos existentes en TI (Tecnologías de la Información), y el avance de las tecnologías origina la aparición de nuevos riesgos relacionados que es preciso ponderar.
Un ejemplo de alguno de estos nuevos riesgos son los siguientes:
Tercerización de la Función de IT
La evolución de la tecnología ocasionó que las empresas recurran cada vez más a la tercerización de las funciones de tecnología como una alternativa rentable y como contrapartida a la inversión necesaria para mantener una infraestructura de TI eficiente y que pueda acompañar la evolución tecnológica. Este proceso puede incluir tanto a personas, procesos, hardware y software.
Ahora bien, el tercerizar la función de TI no implica también tercerizar los riesgos asociados con dicha función.
Un entorno tercerizado implica para la alta dirección, y específicamente para la función de Auditoría Interna, el tener que analizar si las funciones delegadas corresponden a áreas de alto riesgo y de esta forma evaluar la posibilidad de realizar pruebas directas por parte de la compañía de las actividades de control interno tercerizadas.
Otra herramienta que dispone el auditor interno, en este sentido, es el análisis del Informe SAS 70 que el auditor externo genera. Este informe que surge de las Declaraciones sobre Normas de Auditoría (SAS en inglés) publicado por el Instituto Estadounidense de Contadores Públicos Certificados está destinado a los contadores que certifican que las actividades de controles tienen un diseño adecuado y que su funcionamiento es eficaz.
En este caso el auditor interno puede revisar dichos informes y de esta evaluar si puede confiar en el marco de control del proveedor.
Tecnologías Emergentes
La aparición, de forma casi exponencial, de nuevas tecnologías y modelos de negocios asociadas a ellas (el e-commerce es un ejemplo de ello), ocasiona también el surgimiento de nuevos riesgos asociados a estos avances.
Las empresas actuales están totalmente interconectadas entre sí. De forma similar, en muchos casos los empleados pueden acceder a funciones dentro de la organización desde sus casas, las cuales, hasta hace poco, sólo eran posibles estando dentro de las instalaciones de la compañía.
Asimismo, la aparición de Internet y de la conectividad inalámbrica también lleva consigo riesgos que los auditores internos deben tener en consideración, exigiendo competencias técnicas específicas para poder realizar un apropiado análisis.
Los Riesgos de Tecnología de Información más comunes
Los principales riesgos relacionados con la tecnología de la información no variaron con el tiempo, pero otros nuevos han aparecido como consecuencia de la propia evolución que la tecnología tiene.
En este sentido, la siguiente es una clasificación de riesgos más comunes dada por el Instituto de Auditores Internos (IIA), en su reunión de la Comisión de Tecnología de Tecnología Avanzada de diciembre de 2005:
1. Cumplimiento de regulaciones y legislación
2. Gestión de Amenazas / puntos vulnerables (SPAM, virus, troyanos, gusanos, etc.)
3. Privacidad (incluida la protección de identidad)
4. Supervisión/ auditoría/ aseguramiento continuos
5. Seguridad de las redes inalámbricas
6. Protección contra intrusiones (incluidos filtros de seguridad, supervisión, análisis, respuestas)
7. Tercerización de TI (fuera del país, inclusive)
8. Mediciones de seguridad empresarial (tableros de control, cuadro de mandos, análisis)
9. Gestión de Identidad
10. Adquisiciones y ventas, impactos en la gestión de sistemas
Por último, una herramienta útil que puede ser utilizada por la función de Auditoría Interna a la hora de poder evaluar controles claves de TI que puedan ser utilizados para evitar fallas que indirectamente podrían generar errores en los estados contables es la Guía para evaluación de TI (GAIT).
Dado que las GAIT se encuentran basadas en principios, se pueden aplicar a cualquier organización, más allá del tamaño y del tipo de industria:
En resumen, la función de Auditoría Interna tiene actualmente un nuevo desafío que es el de poder detectar y comprender los nuevos riesgos relacionados con la tecnología, así como tener la capacidad de contribuir al marco de control interno de tal forma de poder evitar el impacto de estos riesgos en las actividades operacionales y/o financieras de la compañía.
Javier Fernando Klus
Gerente de Consultoría de PricewaterhouseCoopers – Buenos Aires – Argentina
Licenciado en Administración de Empresas – MBA - CIA
Y luego Agregar a la pantalla de inicio.
Escribir un comentario