Una empresa exitosa no debería inventar cada procedimiento, proceso o práctica operativa que necesite para lograr sus objetivos. La industria en todas sus ramas ya se ha encargado de la definición de las mejores prácticas, definiéndolas a través de normas o estándares que facilitan su adopción. Sin embargo, los auditores siempre identificamos situaciones que denotan la falta de utilización de estos marcos de referencia en una operación. En general las empresas tienen problemas para adoptar marcos de referencia que les ayuden a lograr sus objetivos de una manera más efectiva. Esto está ligado a la escasa vinculación que la educación universitaria brinda a los profesionales de todas las áreas, incluidas las áreas de Tecnologías de la Información y de Auditoría Interna, con procesos de adopción de estándares y a veces con el conocimiento de los mismos. Esta es definitivamente una oportunidad para que los Auditores de Sistemas aportemos valor a las organizaciones.

Cuando se trata de las Tecnologías de la Información, los Auditores de Sistemas nos enfrentamos en muchas ocasiones con personal que no ha estado expuesto al conocimiento de normas de gestión de TI o de la identificación de mejores prácticas en la industria que son necesarias, sino indispensables para el uso efectivo de la inversión en tecnologías que la organización ha realizado o para minimizar riesgos de seguridad, especialmente en el entorno actual en el que siempre existen amenazas acechando la oportunidad de explotar vulnerabilidades en la infraestructura de TI. Por otro lado, los Auditores de Sistemas, interesados en cumplir con los códigos de ética que nos indican que tenemos que hacer nuestro trabajo con profesionalismo, siempre estamos buscando la actualización de los últimos estándares y ofertas de la industria

En este contexto, un Auditor de Sistemas puede diseñar su plan incluyendo actividades de consultoría en la aplicación de normas, estándares y mejores prácticas. Esto tiene mucho sentido porque si se ha identificado un riesgo, porque no orientar el esfuerzo de mitigación que la organización puede seguir. El trabajo de consultoría puede seguir la siguiente ruta:

1. IDENTIFICACIÓN. Consiste en la identificación de principales riesgos que pueden ser cubiertos por la aplicación de una norma o estándar. Esta fase debería de aportar la información para priorizar la aplicación de normas. Es decir, la organización debe de realizarse un examen y definir sus prioridades en la implementación de estándares. Esto es importante porque no se puede empezar a implementar todos los estándares existentes, así que debe priorizarse que interesa más a la organización: gestión de TI, gobierno de TI, Seguridad de la Información, Gestión de riesgos, Calidad, etc.
2. El Auditor de Sistemas puede compartir su conocimiento con el personal de TI para dar a conocer al personal de la organización el contenido de las normas aplicables. Esto ayudaría nivelar el conocimiento sobre las normas y posibles rutas de acción que motivarían la adopción de un marco de referencia.
3. PRIORIZACIÓN DE ACCIONES. En esta fase, el Auditor de Sistemas debe facilitar un proceso para orientar un esfuerzo de decisión sobre las prioridades de implementación. Es importante establecer el rol de consultor, que implica el no decidir prioridades de implementación por los responsables de la gestión de TI, ni participar activamente en la implementación de las normas. El punto es colaborar en crear un Plan de Trabajo que posteriormente los responsables de la gestión de las TI pueden seguir.

Seguir este proceso ayudará a posicionar el valor de la Auditoría de Sistemas en la organización, especialmente si se cumple el plan de implementación de estándares y la organización materializa los beneficios.