El ejercicio de la Auditoría Interna en el uso empresarial de las TIC

TICsLa evolución de la sociedad obliga a todos los campos a seguir el ritmo. Por eso la auditoría debe aprovechar al máximo el uso de las TIC (Tecnologías de la Información y la Comunicación). El Marco para la Práctica Profesional Internacional emitió para el 2017 varias normas, recomendaciones y responsabilidades relacionadas con TIC que van dirigidas a los auditores internos, entre ellas están el numeral 1220 – Cuidado Profesional Debido (1220.A2) que señala como los Auditores Internos deben hacer uso de la tecnología para optimizar procesos como el análisis de datos, o el numeral 2110 – Gobernabilidad (2110.A2) donde se considera qué tan pertinentes son las tecnologías que se están usando en la empresa auditada respecto a los objetivos y estrategias de la misma.

Redacción INCP a partir del artículo publicado en Auditool

Para mayor información, puede revisar el artículo titulado “El ejercicio de la Auditoría Interna en el uso empresarial de las TIC” de la fuente Auditool. 

El ejercicio de la Auditoría Interna en el uso empresarial de las TIC

Teniendo en cuenta que la sociedad moderna exige nuevos retos para la sociedad y así para los profesionales, no hay que desconocer la necesidad de incorporar nuevas competencias y capacidades al ejercicio de la auditoría interna. El entorno corporativo no desconoce dichos cambios y más bien, se sirve de ellos para incrementar su potencial económico. Uno de los elementos que más han impactado en la sociedad, es el uso de TIC (Tecnologías de la Información y la Comunicación). Así mismo, las TIC se han ido adaptando a la necesidad de las empresas y han diseñado un sin número de herramientas que faciliten los procesos de interacción entre la empresa y sus clientes, socios y empleados.

Actualmente, muchas herramientas tecnológicas permiten agilizar trámites que antes solo se podían cumplir de manera personal. Sin embargo, todas estas innovaciones han dado lugar a un proceso de acoplamiento que involucra a todos los profesionales de una empresa. Así, la labor de un Auditor Interno ha ido trascendiendo para atender a cada uno de las problemáticas que involucran el uso de las TIC en la empresa. Esto quiere decir que el perfil de un Auditor Interno es más amplio, pues los profesionales deben reconocer cada una de las herramientas TIC que puedan contribuir al mejoramiento de la funcionalidad de la empresa. Adicional a esto, también debe hacer un diagnóstico de aquellas herramientas que ya se emplean, para reconocer las ventajas y los riesgos que pueden representar tanto para los empleados, como para los socios y clientes.

Conscientes de estas nuevas demandas concernientes a la formación profesional de los Auditores Internos y de la necesidad de abordar los riesgos actuales y emergentes de las TIC, el International Professional Practices Framework (IPPF) en español conocido como el Marco para la Práctica Profesional Internacional, emite para el 2017 una serie de normas, recomendaciones y responsabilidades que deben asumir los Auditores Internos: La primera de ella, enumerada como 1210 – Competencia (1210.A3) en ella, se considera necesario el conocimiento acerca de las TIC y de las técnicas con las que cuenta la Auditoría para prever y abordar los riesgos que estas generan. Sin embargo, los Auditores Internos ahora pueden especializarse para ejercer un control específico en TIC. De esta manera, no todos los Auditores podrían contar con ese conocimiento detallado si ese no es su campo de acción. Por otro lado está el numeral 1220 – Cuidado Profesional Debido (1220.A2) en el que se estipula que los Auditores Internos deben hacer uso de la tecnología para optimizar procesos como el análisis de datos. Respecto al numeral 2110 – Gobernabilidad (2110.A2) se considera qué tan pertinentes son las tecnologías que se están usando en la empresa auditada respecto a los objetivos y estrategias de la misma.

Además, Arif Zaman (2017) plantea las áreas de mayor riesgo de las tecnologías emergentes para las empresas. La primera de ellas es la seguridad cibernética, es decir, la seguridad y privacidad de los datos propios de la empresa como de sus clientes. Esta problemática parece ir en aumento, debido a que los ataques y los cibercriminales son cada vez más y además contrarresta con la falta de profesionales en seguridad que prevean y atiendan dichos casos. El auditor interno tiene la responsabilidad de atender estos casos a través de análisis de vulnerabilidad de la red de internet, pruebas de invasión de la red, revisión de la arquitectura de la red y así mismo efectuar simulacros de ataques para corroborar la efectividad del plan de gestión de crisis cibernética.

Por otro lado están los medios de comunicación social y más específicamente las redes sociales, que tienen la función de estrechar la comunicación entre los clientes y la empresa. Sin embargo, estos sitios representan un peligro, ya que también pueden ser usados para dañar la imagen de la empresa, con una mala intención de la competencia o clientes insatisfechos o empleados, que motivados por malos sentimientos, difunden información errónea que afecta la imagen de la empresa. Para este caso, el Auditor Interno tiene la responsabilidad de presentar una evaluación de los controles que se tienen sobre las redes sociales, es decir, todas las políticas y procedimientos que dan lugar a esta herramienta, además de un control constante de la información que se encuentra disponible en la red de la empresa.

Ahora bien, también se considera la informática móvil que ha permitido una mayor accesibilidad a los recursos de las empresas a través de recursos como las aplicaciones móviles. El riesgo que representan estas herramientas está en que manejan información confidencial para la empresa así como para los usuarios. Por tal motivo, el auditor debe conocer la información de acceso y el tipo de transacciones que se pueden realizar a través de estas aplicaciones. También la forma de almacenamiento y su encriptamiento, incluso deberá considerar los objetos móviles que han sido hurtados para evitar situaciones de fraude.

Ahora bien, se encuentran los sistemas de almacenamiento de la información en internet o almacenamiento en la nube, conocido en inglés como Cloud Computing. La información que se almacena allí está expuesta a riesgos como la manipulación indebida de la misma, o ciberataques en general. Para esto, el Auditor debe acompañar el proceso de protección que se le aplique a dicha herramienta, evaluando el trabajo de los proveedores de red y de acondicionamiento. De esta manera, estará garantizando un uso adecuado de dicha herramienta y no se pondrá en riesgo la información de carácter confidencial que se almacene en ella.

Finalmente, se tiene entonces que estas áreas que pueden representar un riesgo para la seguridad de la empresa, deben ser tenidas en cuenta en el ejercicio de auditoría interna que se realice. No se trata entonces de estigmatizar el uso de las TIC, especialmente del internet, pero sí de reconocer sus posibles fallas y hacer un uso responsable de ellas, para evitar inconvenientes con ciberataques o mal manejo de las herramientas que brinda la empresa. Esta resulta ser una tarea que abarca tanto a administradores como a empleados y clientes, y por lo tanto debe considerar jornadas de capacitación, que les permita conocer más acerca de los beneficios de las TIC como de sus desventajas. La profesión del auditor interno le exige un ejercicio de revisión meticuloso de los posibles riesgos a los que está expuesta una organización, por lo tanto es inevitable que deba involucrarse con las herramientas que proporciona la tecnología para optimizar el funcionamiento de las empresas. Además de esto, deberá anticiparse a los cambios y a las nuevas herramientas TIC, para preparar a la empresa para que sea capaz de adaptarse satisfactoriamente a su funcionamiento.

Fuente: Auditool

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *