“Vemos algunas tendencias positivas en nuestros resultados, notablemente en el número de directores de auditoría de TI designados y su asistencia regular a las reuniones del comité de auditoría. Sin embargo, también vemos brechas importantes que deben cerrarse, incluyendo la frecuencia con la que se realizan las evaluaciones de los riesgos de la auditoría de TI” agregó.
Principales Desafíos Tecnológicos
En la encuesta, los entrevistados dieron sus opiniones sobre los principales desafíos tecnológicos que enfrentan las organizaciones de hoy. Estos desafíos sirven como un trasfondo para la mayoría de los hallazgos del estudio. Los diez principales desafíos de TI son:
1. Seguridad de TI y privacidad/ciberseguridad
2. Desafíos de recursos/personal/habilidades
3. Tecnología emergente y cambios de la infraestructura: transformación, innovación, disrupción
4. Cumplimiento regulatorio
5. Presupuestos y control de costos
6. Gobierno de TI y gestión de riesgos
7. Big data y analítica
8. Riesgos de los proveedores, terceros y outsourcing
9. Cómputo en la nube/virtualización
10. Unir a TI y al negocio
“Las compañías no pueden ignorar los riesgos importantes de seguridad y privacidad que enfrentan su negocio actualmente”, señaló Brand. “De acuerdo con los resultados de la encuesta, más organizaciones están reconociendo la naturaleza de misión crítica de la auditoría interna de TI para combatir estos riesgos, pero muchas empresas simplemente no están institucionalizando los procesos necesarios para apoyar esta función”.
Estableciendo el Soporte de Toda la Organización para la Auditoría de TI
De acuerdo con la encuesta, más de la mitad de las compañías públicas más grandes que participaron en la encuesta tienen un Director de Auditoría de TI designado o una posición equivalente dentro de sus organizaciones, y 48 por ciento reportó que estos individuos asisten con regularidad a las reuniones del comité de auditoría – un número que se ha duplicado en los últimos tres años. Además, los participantes indicaron que sus comités de auditoría han aumentado su participación en el proceso de evaluación de los riesgos de TI, con 20 por ciento que reporta una participación importante en comparación con el 14 por ciento de 2013.
“Más recursos y una mayor atención a la auditoría de TI es una señal positiva de que las compañías de todos los tamaños alrededor del mundo están reconociendo los beneficios importantes de esta función crítica”, afirmó Robert E. Stroud, CGEIT, CRISC, presidente internacional de ISACA y vicepresidente de estrategia e innovación de CA Technologies. “Aunque las organizaciones tienen diferentes objetivos y operan en diferentes mercados, hay muchos problemas y riesgos comunes, como el fraude, los incidentes de ciberseguridad, el aumento de costos, el éxito/fracaso de los proyectos, los problemas de outsourcing y los requerimientos regulatorios que pueden resolverse con la gestión efectiva de la auditoría de TI”.
Pequeños Avances en las Evaluaciones de los Riesgos de la Auditoría de TI
La encuesta de ISACA/Protiviti revela un repunte modesto en el número de organizaciones que actualizan su evaluación de los riesgos de la auditoría de TI de forma continua. Sin embargo, este número sigue siendo bajo – cerca de 15 por ciento – incluso para las compañías más grandes.
“La mayoría de estas organizaciones están actualizando sus evaluaciones de riesgos de auditoría de TI sólo una vez al año”, añadió Brand. “Las compañías líderes están abordando este proyecto una vez al trimestre, y aunque esperábamos que más compañías siguieran sus pasos, no ha sido el caso. Considere que están surgiendo constantemente nuevos riesgos de TI. La forma más sencilla de anticipar y contrarrestar estos riesgos es a través de una actualización formal de la evaluación de los riesgos de la auditoría de TI”.
Resultados Adicionales
Otros hallazgos de la investigación que destacan incluyen:
· A escala global, los entrevistados citaron a COBIT como el marco de la industria más aceptado sobre el cual se basa la evaluación de riesgos de auditoría de TI, seguido por COSO, ISO y SOGP. En la práctica, las organizaciones pueden utilizar una combinación de estos marcos para completar sus evaluaciones del riesgo.
· En todas las regiones y tamaños de las organizaciones, la falta de recursos se coloca como la principal razón de por qué las compañías están utilizando recursos externos para aumentar sus habilidades de auditoría de TI –y de hecho, los porcentajes son muy consistentes–. Estos hallazgos también están en línea con los principales desafíos tecnológicos mencionados anteriormente.
“Aprovechar las habilidades adecuadas y a los especialistas en auditoría de TI es imperativo para asegurar un enfoque realmente basado en el riesgo que sea relevante para los desafíos de TI que enfrentan hoy las organizaciones”, dijo Brand. “La falta de habilidades necesarias a menudo predispone las funciones de auditoría internas para enfocarse en las áreas tradicionales donde tienen la capacidad de funcionar, en lugar de las áreas más críticas que agregan valor”.
Marisol Mendoza, 55.2881.0231 marisolm@keepengaged.mx
Kristen Kessinger, 001.847.660.5512, news@isaca.org
