Falta una pieza para completar el puzzle.
Las tecnologías de la Información son ya parte integral e indispensable de los procesos de negocio de la empresa, proporcionando una mayor fiabilidad transaccional, y en caso de estar adecuadamente implantados, contribuyendo a mejorar considerablemente el control interno.
Todavía existen organizaciones que realizan auditorías internas de los distintos procesos operativos, financieros y de negocio sin tener en cuenta el funcionamiento de los sistemas informáticos que generan, procesan y almacenan información que impactan posteriormente en sus objetivos de gestión, registros contables, etc. Las auditorías internas de sistemas se realizan aparte. Con este enfoque tradicional, se suele generar al menos una opinión parcial e incluso sesgada sobre la auditoria de estos procesos, ya que no se ha considerado un enfoque integral de auditoría interna.
Por ello, es primordial trabajar con un enfoque de auditoría interna integral, donde la auditoría interna de TI forme parte de los equipos de auditoría interna con el objetivo de mejorar la eficiencia y eficacia de las auditorias, revisando el control interno de los sistemas que soportan los procesos críticos verificando su adecuado funcionamiento, la fiabilidad e integridad de la información, a través de diversas pruebas de auditoria que permitan, por ejemplo:
Verificar configuraciones técnicas de los sistemas: este es el momento de verificar la configuración técnica de una aplicación utilizada por ejemplo dentro del proceso de despacho de pedidos. Ninguna revisión de ITGC, y de hecho probablemente ningún ITGC sobre el SCIIF vea aspectos desde configuración de contraseña, la configuración de las trazas de seguridad u operativas, o hasta el funcionamiento de controles automáticos dentro de la aplicación.
Análisis asignación de perfiles de usuarios en las aplicaciones, control de accesos y la segregación de funciones: Con la integración de los sistemas de información y gestión empresarial, la falta de control sobre quien puede acceder a qué información y a qué transacciones constituye uno de los grandes riesgos empresariales de hoy en día. Si estas auditando el proceso de compras, ¿Puede una persona con accesos a una aplicación para realizar pedidos y, anularlos, generar también notas de crédito en el ERP?
Revisión del funcionamiento de las interfases entre los sistemas: ayuda a responder preguntas como las siguientes:
¿Cuáles son las interfaces claves dentro del proceso de generación, procesamiento, entrega y facturación de pedidos? ¿se capturan la totalidad de los pedidos realizados?;
¿Los pedidos entregados a los clientes, son facturados en su totalidad?;
¿Quedan pedidos entregados sin facturar? ¿y sin contabilizar? ¿Puedes realizar una auditoria sin revisar estas interfaces?
Cumplimiento de políticas de resguardo y de seguridad de la información: ¿Que ocurre si un desperfecto técnico, un hackeo u otra incidencia borra los pedidos realizados durante un día? ¿Existen resguardo de esa información? ¿Se realizan pruebas de restore sobre esos datos? ¿Y sobre la aplicación?
Configuración de controles automáticos: ¿La configuración de los controles automáticos, se encuentran alineados con las reglas de negocio? ¿Quiénes son los responsables de modificar cualquier cambio a las reglas de negocio en los sistemas?
Todas las respuestas a estas preguntas surgen en el marco de una auditoria integrada. Son preguntas que no se realizan en un ITGC genérico, ni tampoco en el típico ITGC que los Auditores Externos suelen realizar a los efectos de la auditoria de los Estados Financieros. Menos aún, en una auditoría de procesos tradicional. Sin un enfoque integrado es altamente probable que estos planteamientos se vean colateralmente o solo si se encuentra algún indicio de error o fraude en los procesos de negocio.
Análisis de datos: Así mismo, auditar un proceso, sin analizar los datos y transacciones en profundidad, hoy en día debería considerarse una mala praxis, ya que las herramientas y análisis de datos están al alcance de cualquier departamento de auditoría interna y sus auditores. Conocido como data analytics, o análisis de datos, las técnicas de auditoría asistidas por computador (CAAT´s (Computer Audit Assisted Techniques) deben formar parte del enfoque de auditoria integral, y son de suma importancia para el auditor de TI (y de procesos y financieros) cuando realiza una auditoría.
La norma SAP 1009 (Statement of Auditing Practice) plantea la importancia del uso de CAAT en auditorías en un entorno de sistemas de información por computador y describe los procedimientos de auditoría en que pueden ser usados:
Pruebas de detalles de transacciones y balances (recálculos de intereses, extracción de ventas por encima de cierto valor, etc.)
Procedimientos analíticos, como por ejemplo, identificación de inconsistencias, duplicados, exclusiones, datos faltantes en secuencias, comparativas entre periodos o fluctuaciones significativas y un largo etcétera.
Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones.
Pruebas de control en aplicaciones.
Recálculos.
En el desarrollo de la práctica de la auditoria o monitorización/revisión de compliance, lo más básico es el uso de Excel, pero habitualmente se utilizan herramientas específicas de auditoria para el tratamiento y análisis de datos masivos (como, por ejemplo: Arbutus, entre otras). Sus ventajas son múltiples, entre otras:
Lectura de datos de cualquier formato y origen (incluido pdf)
Volumen de datos ilimitado
Pruebas preconfiguradas
Lenguaje de comandos sencillo
Inviolabilidad de la pista o log de auditoría
Facilidad para duplicar y reutilizar pruebas
Facilidad para crecer hacia la monitorización continua
Este enfoque “integral” permite un mejor y más profundo entendimiento de los procesos y del funcionamiento del negocio, que con una visión holística proporciona un mayor aseguramiento en el trabajo de auditoría interna. De esta manera, el resultado de aplicar este enfoque será más profundo y permitirá seguramente detectar oportunidades de mejora de mayor valor agregado que en el enfoque tradicional, contribuyendo a mejorar el control interno de la compañía.
¿Qué te está impidiendo realizar auditorías integradas?
Soy/ son reticentes al cambio: Cambiar lo que se lleva haciendo toda la vida es a veces difícil, y quizás los resultados no son suficientemente inmediatos (por el proceso de aprendizaje) para justificar el esfuerzo. Además, requiere un cambio de enfoque, metodología y de planteamiento en todas las auditorías. Requerirá mayor coordinación con los departamentos de sistemas e infraestructura IT, algo que no es siempre fácil de conseguir.
No tengo los skills: La revisión de riesgos IT o auditar con técnicas de análisis de datos requiere capacidades y conocimientos que no siempre existen en los departamentos de auditoría.
No tengo las herramientas: Quizás el departamento de auditoría no tenga las herramientas adecuadas a su alcance, o no quiere acometer la inversión hasta que está seguro de que el nuevo enfoque integrado da los resultados que se espera
No tengo presupuesto: Tener especialistas de auditoria de riesgos tecnológicos a tiempo completo o de análisis de datos puede ser una opción para entidades de mayor tamaño, sin embargo para otros es un lujo que puede exceder el presupuesto.
Co-sourcing de auditoría interna como solución
El co-sourcing de auditoría interna se puede caracterizar como una colaboración empresarial uno a uno, y a largo plazo en la que los objetivos de aseguramiento y auditoría interna se alcanzan a través de los esfuerzos combinados de recursos internos y externos donde ambos tienen un interés mutuo en el resultado de la colaboración.
Bajo el concepto de Co-Sourcing, las organizaciones pueden acercarse a las auditorías integradas mediante:
Incorporación temporal de especialistas en auditoria y riesgo IT que colaboran con sus equipos de auditoría interna.
Incorporación temporal de especialistas en análisis de datos para el desarrollo de analíticas, que no solo puedan servir para auditorias puntuales, sino que también puedan ser utilizados en forma recurrente, y por qué no, avanzar hacia un esquema de auditoria y/o monitorización continua.
En Control Solutions 360 tenemos los profesionales experimentados con los skills y herramientas que necesitas para arrancar con los auditorias integrales cuando los necesitas.
Contáctanos y te contamos cómo podemos ayudar.
CONTÁCTANOS
Entradas recientes
Continuidad negocio
Planes de Continuidad de Negocio | 03 – Desarrollo del Plan de Continuidad – Equipos y Comités
Continuidad negocio