Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (Spanish)Breadcrumb SeparatorAuditores internos: Más que la policía de ciberseguridad

Auditores internos: Más que la policía de ciberseguridad​

La semana pasada, la nueva guía anunciada por la Comisión de Bolsa y Valores de EE. UU (SEC) está elevando el nivel, de cómo las empresas que cotizan en bolsa, informan del manejo de uno de los principales desafíos que enfrenta cada organización: la ciberseguridad.

La nueva guía de riesgos cibernéticos, una evolución de la orientación publicada por el regulador en 2011, aumenta los requisitos de información de varias maneras, desde divulgaciones sobre la participación de la junta en la supervisión de riesgos cibernéticos hasta procedimientos internos de informes más efectivos para determinar cuándo los problemas cibernéticos aumentan el nivel de materialidad y, por lo tanto, debe informarse públicamente. Las nuevas directrices, inevitablemente, crearán nuevos desafíos de cumplimiento y, con eso, la necesidad adicional de auditoría interna para proporcionar seguridad en esos esfuerzos de cumplimiento.

Las nuevas reglas de EE. UU., junto con la próxima fecha límite para cumplir con las estrictas directrices de la Unión Europea sobre protección de datos, son ejemplos de alto perfil donde la auditoría interna puede proporcionar una garantía importante en la tecnología de la información (TI).

Pero es importante, de hecho, crucial, que las organizaciones comprendan que la gestión de los riesgos cibernéticos y la protección de datos, son solo una parte del panorama general del gobierno de TI y que la auditoría interna puede y debe desempeñar un papel más importante que simplemente actuar como la policía de ciberseguridad.

Una Guía de Auditoría de Tecnología Global (GTAG, por sus siglas en inglés) del IIA, recientemente publicada, brinda orientación e información sobre el enfoque de auditoría interna para el gobierno de TI. El resumen ejecutivo de GTAG capta los beneficios de un sólido gobierno de TI y describe cómo un gobierno de TI adecuado puede ayudar a las organizaciones a alcanzar sus objetivos.

Del resumen ejecutivo de GTAG:

"La gobernanza eficaz de TI contribuye a controlar la eficiencia y efectividad, y permite que la inversión de la organización en TI logre beneficios, tanto financieros como no financieros. A menudo, cuando los controles están mal diseñados o deficientes, una causa raíz es un gobierno de TI débil o ineficaz".

El buen gobierno de TI ayuda a las organizaciones a enfrentar los desafíos de TI, como la creciente complejidad de los entornos de TI, el uso creciente de datos para tomar decisiones comerciales y, como se discutió previamente, el creciente número de leyes y regulaciones asociadas con la amenaza de ataques cibernéticos.

Al igual que con todos los asuntos de gobernabilidad, la auditoría interna se encuentra en una posición única para brindar a la gerencia y al Consejo una evaluación clara de la efectividad y eficiencia de los procesos y estructuras que conforman el gobierno de TI.

El GTAG proporciona información valiosa sobre cómo las responsabilidades de las múltiples estructuras de gobierno dentro de la organización pueden superponerse. Por ejemplo, el gobierno corporativo supervisa los procesos de conformidad y participa en el cumplimiento y el gobierno empresarial supervisa los procesos de rendimiento.

La clave es que la auditoría interna examine - y ayude a la gerencia y al consejo directivo - la interacción entre las tres estructuras de gobierno y no vea el gobierno de TI como algo separado y aparte. Un mensaje clave del GTAG lo define bien:

"La alineación de los objetivos de la organización y la TI es más sobre la gobernanza y menos sobre la tecnología. La gobernabilidad asegura que las alternativas se evalúan, la ejecución se dirige adecuadamente y se monitorean el riesgo y el desempeño."

El GTAG proporciona a los auditores internos las herramientas y técnicas para crear programas de trabajo y realizar compromisos relacionados con el gobierno de TI. Estos incluyen una descripción paso a paso de la planificación del compromiso, desde la comprensión del contexto y el propósito del trabajo hasta la presentación de los resultados. Además, cinco apéndices proporcionan normas y directrices IIA relacionadas, un glosario de términos clave, un cuestionario de muestra de controles internos, una matriz de riesgos y controles, y una lista de recursos adicionales.

Es importante enfatizar que contar con un programa de auditoría de gobierno de TI bien desarrollado ayudará a integrar a TI en la estrategia general de gobernanza y eliminará el misterio de las TI, lo que, a menudo, contribuye a los deficientes controles de TI. También ayudará a las organizaciones a posicionarse para responder de manera rápida y eficiente a los cambios en las reglamentaciones o los riesgos relacionados con TI.

La lucha actual para cumplir con las próximas normas de la Unión Europea sobre protección de datos sugiere que no hay suficientes organizaciones que adopten un enfoque integral del gobierno de TI. De hecho, esos problemas se reflejaron claramente en una encuesta de agosto de DocsCorp, informada en The Current State of GDPR Readiness. La encuesta encontró que el 43 por ciento de los encuestados de Europa y el Reino Unido identificaron sanciones financieras por incumplimiento como su mayor preocupación con las nuevas reglas. En Canadá y Estados Unidos, la encuesta encontró que el 73 por ciento de los encuestados aún no se había comenzado a preparar para las nuevas reglas y el 54 por ciento desconocía el plazo de cumplimiento del 25 de mayo.

Animo a cada director ejecutivo de auditoría a que descargue y revise el nuevo GTAG y debata el gobierno de TI con sus gerentes y juntas directivas. Proporcionar una evaluación precisa e imparcial de cómo funciona la TI dentro de la organización, es otro ejemplo de donde la auditoría interna puede agregar valor y ayudar a las organizaciones a alcanzar sus objetivos.

Declaración

Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.​