El auditor de tecnologías de la información para mitigar los riesgos en las empresas

Ante este escenario, muchas organizaciones seguramente se han cuestionado si el personal de primera línea (el área de tecnología de información), el de segunda línea (seguridad de información) o, finalmente, el de tercera línea (compuesto por el área de auditoría interna) se encuentran preparados para identificar y mitigar los riesgos tecnológicos a medida que la organización se transforma y evoluciona.

No obstante, no todas las empresas tienen las mismas áreas para combatir los riesgos. Casi todas disponen de personal encargado de la tecnología de información (TI), solo algunas poseen un área de seguridad de información; y un grupo aún más reducido cuenta con un área de auditoría interna que dispone de personal capacitado en TI.

Frente a este contexto, ¿por qué es importante contar con un auditor de TI? Existen tres motivos principales por los que es recomendable incluir esta función en las organizaciones:

I. Su nivel de experiencia técnica le permite participar en comités especializados como el de TI, seguridad de información y ciberseguridad; para brindar una mirada de riesgos y controles sobre los proyectos que la organización esté desarrollando o ante cualquier incidente que pudiera presentarse. Si bien su papel es independiente, este tiene un perfil de acompañamiento a las áreas para que tomen en cuenta los aspectos de control necesarios de manera temprana en sus proyectos.

II. Es un cargo independiente que reporta directamente al comité de auditoría o directorio, lo que le permite orientar sus pruebas de auditoría hacia la tecnología que soporta los puntos de dolor de la organización. Asimismo, proporciona una mirada fresca al directorio sobre cómo operan las áreas de TI y Seguridad de Información.

III. A diferencia de un auditor externo o un regulador, el auditor interno de TI abarca dentro de su revisión aspectos operativos, regulatorios y con impacto directo en los estados financieros. Asimismo, su participación no solo se centra en la revisión de sistemas, sino que también participa activamente en las revisiones de procesos, identificando y revisando controles automáticos, interfaces entre los sistemas, accesos sensitivos y segregación de funciones a nivel de perfiles de negocio y reportes clave que utilizan las áreas para la toma de decisiones o ejecución de algún control como parte de su operación.

Por lo expuesto, podemos concluir que a medida que las organizaciones adoptan nuevas tecnologías, también es necesario que el personal de auditoría interna posea el conocimiento para identificar los riesgos asociados, de manera que puedan ser mitigados oportunamente.

Si bien el costo de incluir en la planilla un puesto nuevo como el de auditor interno de TI puede ser alto, existen alternativas como el contratar este servicio especializado como un co-sourcing de auditoría interna de TI, el cual reportaría directamente al auditor interno de la compañía o un outsourcing de auditoría interna, que reporte al directorio.

Fuente: Jurídica (El Peruano)