Priorizando las auditorías a realizar.

En el blog anterior, establecimos que el Auditor de Sistemas debe de realizar una investigación para conocer la empresa y la forma en la que las Tecnologías de la Información están soportando los objetivos del negocio. Es una investigación exhaustiva, que permita identificar todos los elementos auditables en la organización y generar una lista de elementos auditables que incluimos en una lista que denominaremos Universo de Auditoría.

Para tratar esa lista, el Auditor de Sistemas debe establecer criterios que le permitan establecer un orden que le indique qué se auditará primero y que se auditará después. Realmente, estamos hablando de que se incluirá en un Plan de Trabajo de la Auditoría de Sistemas, para un horizonte de planificación que normalmente será de un año. Posiblemente para cubrir un Universo de Auditoría de manera completa, se requiere un esfuerzo en horas auditor, que expanda varios años. Esto hace muy importante, que los elementos auditables de la lista del Universo de Auditoría se categoricen para auditar primero los temas de mayor relevancia para la organización, permitiendo al Auditor de Sistemas aportar recomendaciones de manera oportuna.

El primer criterio utilizado es el riesgo. El riesgo se refiere a prever o inferir la ocurrencia de eventos que puedan causar el impacto de que una organización pueda fallar en sus objetivos de negocio. Por contrapartida, el trabajo de soporte de la función de TI contribuye a mitigar estos riesgos, a través la ejecución de acciones que eviten que los eventos de riesgo ocurran o que limiten o mitiguen el efecto causado. Por esta razón, las actividades que desarrolla la función de TI tienden a verse como “controles” que mitigan riesgos en una organización. Si ponemos un ejemplo para clarificar estos conceptos, pensemos en el evento de riesgo que se podría dar cuando se daña un dispositivo que almacena información importante para la organización. El riesgo real, es que el negocio no pueda operar al ritmo esperado por no contar con la información almacenada en el activo informático en cuestión. Esto podría traer un impacto económico, como el retraso o la pérdida de ingresos, o un impacto reputacional, por no poder proporcionar el nivel de servicio esperado por el cliente. La Gerencia de TI, ante este riesgo, puede haber dispuesto varios controles o actividades para mitigarlo. Uno podría ser la ejecución de respaldos frecuentes que permitan contar con un medio de recuperación en casos de falla.

Aunque existen muchas técnicas para realizar una Evaluación de Riesgos, es importante seleccionar una que no demande demasiado esfuerzo de realización, que permita priorizar de manera efectiva, de tal manera que el Auditor de Sistemas pueda obtener una clasificación en un tiempo razonable. Aun así, dependiendo del tamaño de la organización y sus operaciones, este análisis requerirá de un esfuerzo de semanas o quizá meses, pero que resulta importante para lograr efectividad en el trabajo posterior del Auditor de Sistemas.  Si la empresa ha madurado la función de Gestión de Riesgos y cuenta con una evaluación organizacional de riesgos muy sólida, esto facilita las cosas. Porque como Auditores de Sistemas, podemos confiar en el trabajo de otros profesionales para cumplir con nuestra función. También es conveniente notar, que el Auditor de Sistemas debe de utilizar su criterio profesional con toda la información que analiza, por lo que, si al analizar una evaluación de riesgos organizacional, existen valoraciones que no considere correctas, el Auditor de Sistemas deberá de realizar sus correcciones para contar con una evaluación de riesgos que satisfaga sus propios criterios. También el Auditor de Sistemas tendrá que relacionar cada elemento del Universo de Auditoría con los riesgos que mitiga. Esto es lo que permite la categorización de los elementos, asignando mayor prioridad a los que mitigan riesgos más críticos y dejando después a los que ataquen riesgos medios o bajos.

Si no existe una Evaluación de Riesgos organizacional, el Auditor de Sistemas deberá realizar su propia valoración de los riesgos existentes y ubicar la importancia que tiene cada elemento del Universo de Auditoría para prevenir, detectar o mitigar los riesgos. En todo caso, se determinará cuáles elementos de la lista resultan más importantes de auditar de acuerdo con los riesgos que ayudan a mitigar, comenzando con los de mayor riesgo.

Un segundo criterio utilizado por el Auditor de Sistemas son los requerimientos regulatorios. Si la organización está sometida a requerimientos de ley que especifican que las Tecnologías de la Información cumplan con ciertos requerimientos, o incluso sean específicas con respecto al trabajo del Auditor de Sistemas, estos pasan a tener una alta prioridad en la lista de elementos auditables. No cumplir con regulaciones de Ley trae impactos directos a la organización y estos deben de ser gestionados y resueltos oportunamente. A veces, dichas regulaciones implican la emisión de informes en momentos específicos, lo que da una pauta del momento en que tienen que ser realizados los trabajos de auditoría para cumplir con el requerimiento legal.

Finalmente, el Auditor de Sistemas deberá de utilizar sus conocimientos de la organización, para determinar la existencia de requerimientos que tienen que priorizarse para lograr efectividad y oportunidad. Aquí entra en juego, los requerimientos específicos de la contraparte directa del Auditor de Sistemas, iniciando por el Gerente de Auditoría, pero que también pueden ser peticiones específicas del Comité de Auditoría, la Junta Directiva o la Alta Administración. Por ejemplo, si la organización realizará inversiones en Tecnologías de la Información, el acompañamiento oportuno durante los proyectos podría ser prioritario. Si se determina que Auditorías previas, internas o externas, de sistemas o de otra índole, reportaron hallazgos relacionados con las Tecnologías de la Información, la revisión del cumplimiento y superación de los hallazgos se vuelve también otro criterio de priorización.

Siguiendo los criterios mencionados, el Auditor de Sistemas estará en capacidad de priorizar la lista de elementos auditables y establecer las prioridades claras sobre las auditorías que realizará. Es normal que un Universo de Auditoría se cubra de forma completa en dos o más años. También es normal, que existan elementos que no se auditen nunca. Lo importante es que el Auditor de Sistemas aportará valor a la organización, proporcionando recomendaciones relevantes, en los momentos que se necesitan.

Si gustan pueden comentar sobre otros criterios que han utilizado en su experiencia profesional para categorizar los elementos auditables de una organización.