Nadie duda en la actualidad de la importancia que la información tiene para las empresas. Más de 70% del valor de lo que cotiza en la bolsa de Nueva York representa activos intangibles que en buena parte están respaldados por información. De allí la relevancia que posee y la razón por la cual debe ser cuidada.
La auditoría interna apoya los objetivos de la organización a través de la revisión de la evaluación de riesgos. Pero el avance en materia de tecnologías de la información ha sido tal, que es difícil determinar cuáles son los peligros que traen asociados.
Para el auditor esto representa una dificultad. El profesional conoce los riesgos de las operaciones tradicionales de la empresa, y los puede evaluar con cierta precisión. Pero cuando se implementan nuevas tecnologías de la información, aparecen una serie de riesgos que no se pueden prever aún, que irán surgiendo con el correr del tiempo, y que se irán conociendo a través de la experiencia del impacto que tengan en la organización. ¿Pero cuál debe ser el rol del auditor interno frente a las TI o tecnologías de la información? La función tradicional del auditor se centra en los riesgos del negocio, mientras que a menudo los responsables de seguridad de tecnología se enfocan sobre aspectos más rígidos del área en la que se desenvuelven. Pero la esencia de su función determina que pierda de vista el negocio de la empresa.
Al mismo tiempo, se ha sido produciendo una evolución dentro del área de auditoría interna. Tradicionalmente siempre hubo una separación entre el auditor de sistemas y el auditor administrativo contable.
El primero realizaba todas las revisiones de procesos de tecnologías de la información, como desarrollo de sistemas, operaciones de hardware, etc., mientras que el segundo llevaba a cabo revisiones y controles sobre el negocio.
Nuevas habilidades
En la actualidad, con el avance de los sistemas administrativos basados en tecnologías de la información, el Instituto de Auditores Internos de la Argentina reconoce que los profesionales de auditoría deben, por un lado, contar con conocimientos sobre los procesos tecnológicos, y por otro, estar capacitados para utilizar y para revisar bases de datos, extrapolar información, entre otras funciones.
La evolución entonces ha sido de un trabajo aislado a uno hecho en equipo, y en la actualidad se tiende a la desaparición de las diferencias entre los auditores de de sistemas y los del área administrativo contable. Este último se sumerge directamente en los sistemas, bucea en las bases de datos, analiza temas de seguridad o controles de acceso, entre otros temas que antes quedaban reservados al área de sistemas.
Ante este escenario, para el auditor moderno los riesgos se irán planteando con el correr del tiempo. Hasta hace cinco años, por ejemplo, los temas de divulgación de datos personales no eran una preocupación de peso para las empresas, ya que tampoco existía en la comunidad una inquietud al respecto. A partir de problemas como robo de identidad y otros delitos derivados de la informática, estos peligros han cobrado relevancia y han dado paso a la creación de legislación. Así, por ejemplo, antes una empresa podía tranquilamente vender sus bases de datos o un mailing list, pero hoy en día existen restricciones en relación con el impacto sobre la imagen de la organización.
La realidad nos demuestra entonces que la eficacia y eficiencia de la evaluación de riesgos y de la auditoría interna en general estarán ligados a la capacidad de adaptación a los avances de TI.
No hay comentarios:
Publicar un comentario