Auditoría Básica de SI: Elementos de una Estrategia de Auditoría de SI/TI, Parte 1

La palabra “estrategia” significa, a menudo, diferentes cosas para las personas. Para esta columna, sería bueno recordar la historia de aquella persona que para llegar a un pueblo específico, decide caminar por las colinas sin un sistema de posicionamiento global (GPS). Aun cuando la persona se pierde, todavía puede ver el pueblo a la distancia. Luego se encuentra con un pastor, y le pregunta: “¿Cómo puedo llegar a la aldea?”, “Bueno”, le responde el Pastor, “Yo no comenzaría por aquí”.

Este artículo se refiere a una estrategia de SI/TI como el conjunto de medidas que permitirán al director ejecutivo de auditoría (DEA) y a los auditores de SI/ TI definir su punto de partida, identificar el estado de su destino, y determinar los procesos y recursos que los conducirán hasta allá. La figura 1 proporciona una visión general.

Mientras que la figura ilustra la secuencia de eventos que se necesitan que ocurran en la práctica, esta discusión sigue el camino inverso, empezando por el público. Las razones para esto son que la alta dirección y el comité de auditoría definen-por separado y de forma independiente- si la estrategia de auditoría es aprobada y ratificada o no. Ellos también aprueban los recursos que son necesarios para implementarla. El dictamen conforme del gerente de TI (CIO)—el objeto de la auditoría—ayudaría en la implementación de la estrategia, pero si esto no ocurre, sería deseable entender exactamente por qué no. La función de los auditores externos puede, o no, ser relevante dependiendo de la naturaleza de la organización y el rol que juegan estos auditores.

Sin las aprobaciones pertinentes la estrategia propuesta no es más que una lista de deseos.

Los Entregables de la Estrategia de Auditoría de SI/TI

El DEA al proponer una estrategia, sin duda, está consciente de que los SI/ TI son sólo una parte, muy importante por cierto, del universo total de auditorías de la organización. Por lo tanto, la estrategia propuesta debería reflejar cómo los sistemas de información, las tecnologías y la gestión de datos encajan con el enfoque global de la auditoria basada en riesgo.

Prioridades de la Auditoria
Estas varían de una organización a otra, por ejemplo, dependerá del sector en que se encuentra la organización, privado o público, si cotiza en la bolsa de valores o es una sociedad anónima cerrada, y del marco regulatorio en el que opera.También son factores a considerar el cumplimiento de las normas y reglamentos internos.

Algunas otras consideraciones incluyen:

• Las actividades y procesos de negocio (operativos, financieros, legales, reputacionales, etc.) que tienen un potencial impacto crítico en el negocio
• El rol de los SI/TI en el soporte a estas actividades y procesos de negocios, indicando cuales han sido recientemente auditados
• Las recomendaciones que no han sido implementadas y aquellas que se han implementado, pero que puede ser necesario auditar nuevamente

Normas de Auditoría, Marcos y Directrices
De vez en cuando se actualizan o revisan directrices y marcos de estándares de auditorías relevantes, y el DEA debería asegurar que se adopta la versión más reciente e indicar los pasos de transición necesarios para pasar de la versión más antigua a la nueva. Por ejemplo, la Gestión de Riesgo Empresarial del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO)—este Marco Integrado fue revisado en mayo de 2013 y, de manera similar, COBIT 5 y sus documentos relacionados han reemplazado a COBIT 4.1, Risk IT y Val IT. La transición de una versión a otra no es una tarea trivial; exige un esfuerzo y aprendizaje considerable.

Frecuentemente los auditores internos consideran al Instituto de Auditores Internos (IIA) como la fuente de jure (u oficial) de las normas y los diferencian de aquellos que son utilizados para TI y seguridad. Los auditores de SI/TI tienen varias opciones para adoptar normas de facto, marcos y directrices que están disponibles desde varias fuentes, como ISACA¹ y el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST). La estrategia debería indicar cómo estas guías de orientación se complementan entre sí y, en particular, la selección de mapas propuestos contra el marco de gestión de riesgo empresarial (ERM) adoptado por la empresa.

Herramientas
En particular, las herramientas y técnicas de auditoría asistidas por computador (CAAT’s)² son cada vez más populares, especialmente aquellas que apoyan varias funciones tales como:

• La monitorización continua/auditoría continua que permite a los auditores supervisar la actividad del usuario, los controles de las aplicaciones y las transacciones del negocio
• Análisis y pruebas de datos
• Gestión de papeles de trabajo (una base de datos centralizada con todos los documentos de las auditorías pasadas y las recientes). Algunos pueden debatir si esto se trata de un CAAT o no. Estos productos también están disponibles para apoyar la estandarización de formatos, aumentando la consistencia (y potencialmente la calidad) de la documentación de auditoría.

Existen muchos productos disponibles en el mercado, sin embargo no serán abordados en este artículo.

Al igual que en el caso de las normas y marcos de referencia, las herramientas (a menudo costosas) deben ser adquiridas, pero pueden ser de poco valor a menos que sus usuarios se manejen bien en la ejecución de las auditorías. Esto implica, por parte de los auditores de SI/TI, un compromiso de aprendizaje y un enfoque eficaz de entrenamiento.

Requerimientos de Personal
Esto parecería ser un tema sencillo de abordar (en teoría). El auditor de SI/TI es la persona adecuada, lo que implica que él/ella debe estar bien informada, cualificada y experimentada, y tener las habilidades blandas adecuadas.³ Los retos para el DEA y el auditor líder de SI/TI son identificar y justificar una estrategia que cubra:

• Cantidad de Auditores—Para determinar el número de auditores necesarios para hacer el trabajo, con el grado de calidad requerido en toda la parte crítica del negocio, requiere el análisis de la estrategia y los planes de auditoría asociados. Esto tiene consideraciones serias. Muchas empresas, que son demasiado pequeñas para tener una función ERM o un auditor interno, dependen de la intervención externa de su matriz, si forman parte de un gran conglomerado (por ejemplo, la oficina en el país de una multinacional ubicada en otro lugar), de auditores contratados por una compañía proveedora calificada, o de un auditor independiente. Otras empresas y el sector sin fines de lucro pueden ser incapaces de financiar con los recursos adecuados una función de auditoría. En este sentido, la externalización de esta actividad es considerada más rentable que reclutar y formar un equipo.
• Perfil del auditor—Esta parte de la estrategia debe tener en cuenta varias características de la disponibilidad de los auditores sin violar su derecho a la privacidad. Por ejemplo, puede ser pertinente tener en cuenta la edad de los auditores con el fin de evaluar con anticipación su jubilación futura, o su capacidad para cambiarse de un trabajo a otro (la rotación de personal es un buen indicador de riesgo). La edad también puede indicar su experiencia, la que puede ser especialmente relevante para ciertas auditorías. Esta evaluación puede apoyar la estrategia en la definición del rol de las certificaciones y la identificación de las brechas entre el conocimiento actual y el requerido para aplicar el cambio de marcos de trabajo y directrices. El análisis de las brechas también debería incluir la forma en cómo subsanar estas (por ejemplo, con formación profesional in-situ, cursos presenciales, entrenamiento on-line o capacitación en el lugar de trabajo).
• Plan Anual de Auditoría—Entidades o áreas que serán auditadas el próximo año, con el detalle suficiente del calendario y los recursos para permitir al auditado prepararse.
• Métricas—Para que la estrategia sea significativa para aquellos que deben aprobarla y ejecutarla con los recursos disponibles, se deberán describir las métricas de éxito⁴ que serán usadas para evaluar la estrategia, destacando los indicadores cuantificables que serán utilizados y reportados.

Conclusiones

Este artículo, que es el primero de una serie de dos partes, se concentra en lo que debería entregar una estrategia de auditoría y a quién. Esta es la parte fácil. Los desafíos planteados en la parte 2 de esta serie, son la definición y extensión del universo de auditoría de SI/TI que continuamente cambian y, el aseguramiento de que el foco permanezca en aquello que es crítico de manera que la auditoría realmente sea basada en riesgo.

Tal vez la parte más difícil es conseguir la cooperación total de aquellos que se espera proporcionen información (representado por las Entradas y los Proveedores de la figura 1). Son pocas las posibilidades de hacerse el tiempo para enfocarse en esto y puede haber elementos de la política organizacional que se tengan que vencer.

Notas Finales

¹ ISACA, “Standards, Guidelines, Tools and Techniques,” ISACA Journal, vol. 3, 2016, www.isaca.org/archives
² ISACA, Audit Tools and Techniques, www.isaca.org/archives
³ Gelbstein, E.; “The Soft Skill Challenge,” ISACA Journal, vol. 3, 2015, www.isaca.org/archives. Gelbstein, E.; “Is There Such a Thing as a Bad Auditor, Part 1 and 2,” ISACA Journal, vol. 1, 2016, www.isaca.org/archives
⁴ Gelbstein, E.; “Trust, but Verify,” ISACA Journal, vol 1, 2016, www.isaca.org/journal/archives