La jornada de enero de Los Lunes del Instituto de Auditores Internos nos presenta una nueva publicación de La Fábrica de Pensamiento: Auditoría Interna de la gestión operativa del Cloud. Un documento diseñado para abordar el desafío que representa el crecimiento de los servicios en la nube para los auditores internos, ofreciendo recomendaciones claras para revisar y gestionar los riesgos asociados a su implementación en las organizaciones.
Tal y como ha puesto de manifiesto Iván Casacuberta, gerente coordinador de Equipo de Auditoría de Ciberseguridad en CaixaBank y coordinador del equipo responsable de la elaboración del documento, “es casi seguro que la mayoría de las compañías adoptarán servicios Cloud en un futuro cercano, lo que hace fundamental que, como auditores internos, estemos preparados no solo para identificar y analizar los riesgos desde la perspectiva tradicional de aseguramiento, sino también para desempeñar un papel clave como asesores estratégicos”.
Durante su intervención, Casacuberta ha señalado que “si bien es cierto que los servicios en la nube ofrecen numerosas ventajas como la reducción de costes, la escalabilidad, la flexibilidad, la innovación o la optimización de los recursos, también implican riesgos que pueden afectar a aspectos como el cumplimiento normativo, la privacidad, la seguridad, la calidad o la continuidad de la compañía”. Auditoría Interna debe asegurar que sus empresas cuentan con los mecanismos necesarios para gestionar todos estos aspectos y supervisar el cumplimiento de los acuerdos de nivel de servicio establecidos con los proveedores.
Por su parte, Pau Serra, director de Auditoría de Transformación TI, Outsourcing y Resiliencia TI en Banco Sabadell -y también parte del equipo responsable de la elaboración de este documento-, ha profundizado en los desafíos, roles y tipos de auditoría que pueden llevarse a cabo. En cuanto a los retos, ha destacado la importancia de disponer de conocimiento especializado, subrayando que «a menudo es difícil encontrarlo internamente debido a la rápida evolución del entorno Cloud. Por ello, cuando este conocimiento no esté disponible dentro de la organización, será necesario buscarlo externamente”.
En referencia a los roles que puede desempeñar Auditoría Interna, Serra destaca que, además de su función de aseguramiento, “que implica revisar los entornos de control de los procesos organizativos que utilizan servicios en la nube, Auditoría Interna también puede y debe asumir el papel de asesor de confianza. Este rol complementario permite ofrecer opiniones y recomendaciones independientes en proyectos clave de la organización relacionados con el uso de la nube”.
Tipología de riesgos
Durante su intervención, los expertos también han hecho un repaso a los riesgos más significativos que quedan recogidos en el documento y para los que, por un lado, se detalla el objetivo de control que cubriría el riesgo y, por el otro, se ofrece una descripción de como auditarlo, tanto en la parte cuya responsabilidad recae en la compañía (CSC), como en la parte en la que la responsabilidad recae en el proveedor (CSP). Las tipologías de riesgos incluidos son: Riesgos de estrategia y Gobierno; de cumplimiento normativo, legal y regulatorio; operativos y de continuidad; así como de ciberseguridad.
Los expertos también han insistido en la importancia de que Auditoría Interna esté involucrada tanto en el proceso de transición a la nube como en la monitorización continua posterior y han finalizado su exposición con algunos casos prácticos y recomendaciones para la realización de Auditorías Internas eficaces y eficientes.
Ver video resumen
Acceder al documento
Ver sesión completa en AUDITORES INTERNOS TV
Inscribirme a la sesión