Tecnologías emergentes: auditando sistemas en la nube
Presentación del documento de la Fábrica de Pensamiento: Auditoría Interna del proceso de inversión en tecnologías emergentes. Auditoría Interna debe estar preparada para proporcionar el aseguramiento necesario.
Durante la sesión de noviembre de Los Lunes del Instituto de Auditores Internos se presentó el último documento de La Fábrica del Pensamiento, Auditoría Interna del proceso de inversión en tecnologías emergentes.
La transformación digital es clave y marca la agenda empresarial. Por esta razón, Auditoría Interna debe estar preparada para los nuevos entornos tecnológicos y debe ser capaz de adaptarse a ellos, comprender los riesgos y proporcionar el aseguramiento necesario como Tercera Línea.
El nuevo documento fue presentado por Eva López de Sebastián (Viesgo), Juan Armendáriz (Allfunds Bank) y Rubén de Miguel (Mapfre), tres de los miembros de la Comisión Técnica que elaboró la publicación.
Tecnologías emergentes
La experta en Auditoría Digital en Viesgo, Eva López de Sebastián, definió el término ‘tecnología emergente’ como la ciencia que se aplica a la resolución de problemas concretos que -de forma disruptiva- modifica, transforma, innova y genera nuevas oportunidades en el uso de sistemas. La aplicación de esta ha permitido mejorar la eficiencia de los procesos, el desarrollo de nuevos productos y el acceso a nuevos mercados, todo ello sujeto a una constante evolución.
El papel del auditor interno debe estar alineado con la estrategia de la empresa para proporcionar a la Comisión de Auditoría y a la Alta Dirección información relevante para la toma de decisiones en el ciclo de vida las tecnologías emergentes -desde las fases de ciclo, hasta el momento de decisión y evolución-.
La nueva publicación no se centra en una única tecnología emergente, porque esto implicaría que, para el momento de su publicación, muy probablemente, se habría quedado obsoleta. Sin embargo, sí se mencionan algunas de las principales como Blockchain, Cloud, Inteligencia Artificial o 5G.
Inversiones y posicionamiento de Auditoría Interna
En la definición de la estrategia digital en los procesos de negocio es necesario que desde Auditoría Interna se evalúen si en los análisis previos a la inversión se han tenido en cuenta los siguientes fundamentos: alcance y contexto, atendiendo a cuestiones como quién liderará el proyecto o qué proveedor en la nube se utilizará; el impacto, con un dimensionamiento de los recursos humanos y técnicos necesarios y los costes tanto fijos como variables que puede implicar; consideraciones técnicas, analizando las consecuencias en los departamentos que vayan a verse implicados y definiendo cómo van a ser las comunicaciones, el cifrado de datos o las copias de seguridad; y las expectativas, donde será necesario comunicar con transparencia y de forma realista los beneficios esperados de la aplicación de esta nueva tecnología.
Auditoría Interna deberá revisar el modelo de gobierno en tecnologías emergentes, examinando cómo son los órganos de decisión, quiénes lo forman y, una vez ya tomadas las decisiones, cuáles son los órganos operativos o de control que van a seguir a las inversiones.
Además, el auditor interno deberá evaluar el impacto que va a tener la inversión, cómo va a ser el uso de esta tecnología en el proceso o el efecto que va a tener en la organización.
Cómo auditar los riesgos
Auditoría Interna debe comprender y evaluar los riesgos derivados de las inversiones en tecnologías emergentes. Para ello debe seguir el siguiente proceso: describir cuáles son los más comunes, cuáles son los objetivos para controlarlos, proponer cómo auditarlos y enumerar ejemplos que puedan servir como guía.
La taxonomía de riesgos definidos en el documento está relacionada con:
- La propia tecnología
- El proveedor
- La inversión, rentabilidad o liquidez de esta
- Cambios regulatorios y de cumplimiento
- Ciberseguridad
- Una posible carencia de competencias tecnológicas en la organización
- Gestión del cambio
Auditar sistemas en la nube
Según Juan Armendáriz, Head of Internal Audit de Allfunds Bank, para que la estrategia digital encaje en los procesos de negocio es necesario que, tras el análisis de viabilidad, se lleven a cabo una serie de pasos previos al desarrollo, estos irían desde la aprobación de la propuesta final realizada por el motor de la iniciativa, a la firma del contrato con el proveedor en la nube, sin olvidar, muy importante, la definición de niveles de acuerdo de servicio (SLAs) e indicadores de rendimiento (KPIs).
Durante el desarrollo, los aspectos a tener en cuenta incluyen la metodología de trabajo, la documentación técnica y funcional, el seguimiento de costes y la involucración con las áreas de negocio y tecnología.
Finalmente, Armendáriz incidió en la importancia de los controles internos y de seguridad de la información, entre los que se recogen: gestión de identidades y accesos, flujo de comunicación y resolución de incidencias, cifrado de datos, gestión de cambios y distribución de tareas o la revisión de los informes de auditoría facilitados por el propio proveedor en la nube.
La sesión finalizó con la intervención de Rubén de Miguel quien hizo un análisis de las características de los diferentes modelos de servicio Cloud, en función del nivel de implicación del proveedor y de la empresa. Este nivel de implicación, que puede ir desde servicios On-site, hasta Saas, pasando por IaaS y PaaS, implica diferentes riesgos.
De Miguel expuso los puntos clave en una auditoría Cloud, que pasan por la estrategia y modelo de gobierno; consumo y facturación; operación; y seguridad y privacidad.
Para Auditoría Interna, los nuevos entornos digitales, implican una necesidad de preparación previa que incluya formación -e incluso experimentación- y la utilización de herramientas nativas de auditoría.