ISACA Journal
Volume 4, 2,018 

Translated Articles 

Herramientas: Usar herramientas de auditoría para apoyar objetivos 

Robin Lyons, CISA, CIA 

Las organizaciones que buscan la excelencia tienden a mantener un enfoque claro en sus objetivos estratégicos. Los auditores de Sistemas de Información (SI) que deseen agregar valor a sus organizaciones—y seguramente sean todos ellos—deberían hacer lo mismo.

Hay dos fases del proceso de auditoría donde los auditores de (SI) pueden apoyarse en herramientas para hacer que su trabajo se alinee y respalde los objetivos estratégicos de la organización.

Fase de planificación: Estar alerta a los cambios organizacionales

La fase de planificación de la auditoría de (SI) debe considerar tanto los objetivos de la organización como los puntos específicos de compromiso.1 Los puntos específicos de compromisos se relacionan con sistemas, aplicaciones o procesos que apoyan los procesos existentes de la organización, así como también las nuevas iniciativas.

Para determinar si se deben evaluar estos aspectos, los auditores de (SI) evalúan el posible aumento del riesgo o la introducción de un nuevo riesgo para la organización. La piedra angular de la planificación de auditoría es considerar los tópicos basados en riesgos, pero el verdadero valor es agregado cuando los auditores de (SI) están alerta a las iniciativas estratégicas, entonces la planificación de auditoría asegura el alineamiento continuo de los esfuerzos de la función de auditoría de (SI) con los objetivos estratégicos de la organización.

En la mayoría de los casos, la participación directa de los auditores de (SI) en el progreso organizacional hacia los objetivos estratégicos, significa que es una evaluación fuera del alcance de una auditoría planificada. La creación de un proyecto específico en torno a la nueva iniciativa de la organización, se basa en las habilidades que los auditores rutinariamente usan; sin embargo, el enfoque del entregable es diferente. A diferencia de una auditoría, donde un informe señala el final de un esfuerzo, la participación en una iniciativa estratégica requiere que los auditores de (SI) evalúen e informen de manera repetida. Dada la naturaleza continua de este trabajo, una herramienta de apoyo puede ser útil.

El seguimiento informal del proyecto puede ser realizado a través de herramientas fácilmente disponibles tales como Microsoft Word y/o Excel, y ese nivel de seguimiento puede ser adecuado, dependiendo de la organización. Sin embargo, dado que los proyectos estratégicos generalmente tienen una mayor visibilidad dentro de la organización, los auditores de (SI) deben explorar herramientas que respalden mejor la centralización de los datos e informes del proyecto. Un ejemplo de tal herramienta es código abierto Eramba (www.eramba.org).

Además de los módulos que documentan la estructura organizacional, los activos y los controles, Eramba ofrece varios módulos que pueden ser usados para rastrear los esfuerzos de iniciativas estratégicas de los auditores de (SI). Por ejemplo, en el módulo de gestión de riesgos de Eramba, hay un componente de análisis de impacto al negocio que respalda la documentación de los ingresos asociados con cada riesgo del proyecto. Más allá de simplemente identificar un riesgo (durante la planificación de la auditoría) para monitorear y reportar información personalizada y específica sobre ese riesgo, los auditores de (SI) pueden agregar valor a la organización.

Recomendaciones y fase de remediación—Comprensión e Innovación

Habiendo identificado áreas de preocupación durante el trabajo de campo, los auditores de (SI) pueden proceder a realizar recomendaciones y seguimiento del progreso hacia resolución (remediación), siendo consciente de mantener la independencia. La Información de “ISACA Technology Assurance Framework™ (ITAF™)” señala que mientras la gerencia mantenga la responsabilidad de la supervisión y los resultados de los servicios, la independencia del auditor de (SI) no debe verse afectada.2 A pesar de la necesidad de mantener la independencia, la fase de recomendación y remediación es la oportunidad de la función de auditoría de (SI) de reforzar su función asesora/consultiva de confianza para la organización.

Interactuando con la mayoría, si no todos, los grupos en todos los lugares de la organización, los auditores de (SI) se encuentran en la posición única de tener una visión integral de las personas de la organización, así como de sus procesos (tecnológicos y no tecnológicos). Esta información puede y debe aprovecharse para hacer recomendaciones innovadoras de auditoría. “Innovador” es la palabra clave; las recomendaciones deben ser progresivas y mirar hacia el futuro, incluso cuando aborden las deficiencias que ocurrieron producto de prácticas pasadas. Por ejemplo, hace unos años, cuando los empleados comenzaron a usar dispositivos personales en el trabajo y se puso en marcha un enfoque apropiado de “traer-su-propio-dispositivo” (En inglés: BYOD—bring your own device), algunos auditores de (SI) recomendaron que sus organizaciones diseñen y desplieguen políticas para prohibir BYOD. Una recomendación más innovadora examinó la forma en que los empleados usan los dispositivos móviles y determinó cómo la función de auditoría de (SI) podría colaborar con la organización para abordar las inquietudes relacionadas con la seguridad de los dispositivos mientras soportan los estilos de trabajo de los empleados.

Mientras la innovación depende fuertemente en la cultura y mentalidad, puede ayudarse junto con la herramienta apropiada. Por ejemplo, una herramienta de seguimiento de excepciones puede apoyar la capacidad de la función de auditoría de (SI) para gastar recursos y tiempo más eficientemente, lo que permite enfocarse en la elaboración de recomendaciones innovadoras.

MantisBT (www.mantisbt.org) puede servir esa necesidad permitiendo a los usuarios documentar las siguientes características para cada recomendación de auditoría—categoría, gravedad, estado y resumen—el cual, a su vez, pueden informar a los auditores de (SI) sobre cómo cada característica puede afectar los objetivos estratégicos de la organización. Si la iniciativa estratégica es basada en procesos, la categoría de gestión de excepciones puede estar basada en el proceso. Si, por otro lado, el objetivo estratégico es impulsado por unidades de negocio, la categoría de gestión de excepciones puede ser la unidad de negocio. Agrupar recomendaciones de esta manera tiene varios beneficios, como permitir que la función de auditoría de (SI) identifique tendencias significativas, como patrones relacionados con restricciones de recursos o instancias repetidas de subutilización de tecnología. Después de identificar la tendencia, los auditores de (SI) pueden hacer recomendaciones y rastrearlas, pero el resultado de mayor valor agregado es la capacidad de informar cómo estos patrones de toda la empresa pueden reflejar desafíos o barreras que afectarán el logro de los objetivos estratégicos. Esto demuestra la profunda comprensión de los auditores de (SI) sobre la organización y sus metas.

Conclusión

Los auditores de (SI) tienen la oportunidad y obligación de utilizar las fases de auditoría para agregar valor a sus organizaciones aprovechando la información de auditoría para avanzar en el logro de los objetivos estratégicos.

Notas finales

1 ISACA, Information Technology Assurance Framework (ITAF), USA, 2003, www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Audit-and-Assurance/Pages/ObjectivesScopeandAuthorityofITAudit.aspx
2 Ibid.

Robin Lyons, CISA, CIA
Es un gerente de investigación técnica en el departamento de Conocimiento e Investigación de ISACA. En esa función, contribuye con el liderazgo de pensamiento al generar ideas y resultados relevantes para los integrantes de ISACA. Se asocia con Learning Solutions como experta en materia de auditoría y proyectos relacionados con CSX. También escribe programas de auditoría, narraciones y blogs, así como también lidera proyectos cuando alguna de estas funciones es co-financiada con recursos externos. Antes de unirse a ISACA, Lyons fue una experta en la materia de la Industria de tarjetas de pago (PCI) para una corporación Fortune 200, y fue directora de auditoría interna de una institución de educación superior.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.