Comité de auditoría: ¿qué debe hacer frente a los riesgos de las tecnologías de información?
KPMG recomienda que dentro de la estructura de un comité de auditoría debe haber, por lo menos, una persona que tenga conocimientos sólidos en tecnologías de la información, para orientar a la empresa sobre los controles que se deben implementar, puntos para mejorar y riesgos a afrontar.
Fecha de publicación:
27 de diciembre de 2018
Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.
KPMG recomienda que dentro de la estructura de un comité de auditoría debe haber, por lo menos, una persona que tenga conocimientos sólidos en tecnologías de la información, para orientar a la empresa sobre los controles que se deben implementar, puntos para mejorar y riesgos a afrontar.
“En los comités de auditoría debería existir por lo menos una persona con conocimientos fuertes en TI, que actúe como apoyo en la toma de decisiones sobre el costo – beneficio de los controles a implementar”Tweet This
Los riesgos de las tecnologías de la información –TI– encabezan la lista de los temas a los cuales el comité de auditoría debe dedicar más tiempo. Así lo asegura KPMG en su publicación Juntas Directivas Eficientes. Lo anterior está vinculado directamente con la implantación cada día más creciente de TI como: Cloud Computing, Blockchain, IoT (Internet de las cosas), robotización de procesos, entre otras.
En los comités de auditoría debería existir por lo menos una persona con conocimientos fuertes en TI, que actúe como apoyo en la toma de decisiones sobre el costo – beneficio de los controles a implementar. Los conocimientos sobre riesgos de TI y tecnologías emergentes permiten, según KPMG:
Tener una opinión actualizada de los riesgos de TI.
Conocer y sugerir cuáles controles de TI implementar.
Realizar sugerencias sobre puntos de posibles mejoras.
Velar por la existencia de sistemas de monitoreo y reporte de eventos importantes.
Factores de riesgo que se deben vigilar
Los siguientes son factores de riesgo que a nivel de comité de auditoría se deben entender y vigilar:
Dependencia de los sistemas de TI. Mientras más dependiente sea una organización de los recursos de TI, mayor es la posible pérdida financiera, sea directa o de reputación. «Esta categoría está determinada por el grado de automatización, la cantidad y complejidad de los componentes tecnológicos de los procesos misionales soportados por TI», afirma KPMG.
Dependencia del personal de TI. En esta categoría de riesgo de la compañía se enmarca lo relacionado con las posibles pérdidas debido a la rotación o ausencia de personal altamente competente en temas de TI.
Dependencia de terceros. Son los riesgos vinculados a las pérdidas por causa de la dependencia de terceros, como outsourcing, co-sourcing, proveedores y contratistas. Esta categoría depende del nivel de participación de dichos terceros.
Confiabilidad de TI. Los riesgos pueden materializarse a partir del procesamiento inadecuado o incoherente de la información del negocio. «Esto ocasiona que deban realizarse procesos de rectificación de la información, ya que el resultado del procesamiento es poco confiable», explica el informe de KPMG.
Enfoque de negocio de las funciones de TI y los procesos. Existe el riesgo de que las necesidades del negocio y de los usuarios no sean suplidas por TI o que la tecnología de información disponible no se integre apropiadamente con el enfoque del negocio, la estrategia y los planes futuros. El enfoque del negocio está determinado por los procesos de negocio, satisfacción del usuario y la conciencia gerencial.
Activos de información. La propia naturaleza de los datos y la información (los “activos de información”), mantenida por la empresa, puede resultar en una pérdida (piratería o robo), y está determinada por el tipo de datos, perfil de público y la motivación para el fraude.
Cambios en TI. Riesgo de pérdidas debido al grado de cambio en el entorno de TI. Las áreas evaluadas incluyen el grado y la complejidad de los cambios.
Entorno legislativo y regulatorio.«Existe el riesgo de que la falta de cumplimiento de la legislación relativa a la elaboración, almacenamiento y uso de la información conduzca a una pérdida financiera o de reputación de la Organización. Esto podría suceder a través de la censura por una autoridad reguladora, las multas o escándalos públicos», describe KPMG en su informe.