Desafíos tecnológicos en las auditorías de riesgos revela estudio de ISACA
La seguridad de TI, los desafíos de recursos y la disrupción tecnológica son los principales desafíos tecnológicos para las empresas, revela ISACA.
Si bien las organizaciones han logrado avanzar en establecer mejores prácticas para las auditorías de TI, muchas siguen esforzándose por estar al día con los riesgos globales de TI, de acuerdo con la cuarta Encuesta de Benchmarking de Auditoría de TI, realizado por ISACA y la firma de consultoría global Protiviti.Este informe anual examinó cómo las organizaciones están evaluando y mitigando los riesgos críticos para las empresas y la tecnología, y refleja las opiniones de más de 1,300 ejecutivos y profesionales de la auditoría de TI de todo el mundo.
“Las preocupaciones por la ciberseguridad, los disruptores de la industria y el cumplimiento regulatorio han movido a muchas organizaciones, y en particular a los comités de auditoría, a involucrarse más en la función de auditoría de TI”, dijo David Brand, director general de Protiviti y líder global de auditoría de TI de la firma.
“Vemos algunas tendencias positivas en nuestros resultados, notablemente en el número de directores de auditoría de TI designados y su asistencia regular a las reuniones del comité de auditoría. Sin embargo, también vemos brechas importantes que deben cerrarse, incluyendo la frecuencia con la que se realizan las evaluaciones de los riesgos de la auditoría de TI” agregó Brand.
La encuesta mostró que los principales desafíos tecnológicos que enfrentan las organizaciones de hoy son:
- Seguridad de TI y privacidad/ciberseguridad.
- Desafíos de recursos/personal/habilidades.
- Tecnología emergente y cambios de la infraestructura: transformación, innovación, disrupción.
- Cumplimiento regulatorio.
- Presupuestos y control de costos.
- Gobierno de TI y gestión de riesgos.
- Big data y analítica.
- Riesgos de los proveedores, terceros y outsourcing.
- Cómputo en la nube/virtualización.
- Unir a TI y al negocio.
“Las compañías no pueden ignorar los riesgos importantes de seguridad y privacidad que enfrentan su negocio actualmente”, señaló Brand. “De acuerdo con los resultados de la encuesta, más organizaciones están reconociendo la naturaleza de misión crítica de la auditoría interna de TI para combatir estos riesgos, pero muchas empresas simplemente no están institucionalizando los procesos necesarios para apoyar esta función”.
La encuesta también reveló que más de la mitad de las compañías públicas más grandes tienen un director de auditoría de TI designado, o una posición equivalente, dentro de sus organizaciones. Asimismo, 48% reportó que estos individuos asisten con regularidad a las reuniones del comité de auditoría, número que se ha duplicado en los últimos tres años.
Igualmente, los encuestados indicaron que los comités de auditoría han aumentado su participación en el proceso de evaluación de los riesgos de TI: 20% reporta una participación importante, en comparación con el 14% de 2013. Sin embargo, esto se contrasta con el hecho de que apenas 15% de las organizaciones actualizan su evaluación de los riesgos de la auditoría de TI de forma continua.
En cuanto a los estándares más utilizados para la evaluación de riesgos en la auditoría de TI, a escala global, los entrevistados citaron a COBIT como el marco de la industria más aceptado, seguido por COSO, ISO y SOGP. En la práctica,las organizaciones pueden utilizar una combinación de estos marcos para completar sus evaluaciones del riesgo. Finalmente, la falta de recursos se coloca como la principal razón de por qué las compañías están utilizando recursos externos para aumentar sus habilidades de auditoría de TI.
“Aprovechar las habilidades adecuadas y a los especialistas en auditoría de TI es imperativo para asegurar un enfoque realmente basado en el riesgo que sea relevante para los desafíos de TI que enfrentan hoy las organizaciones”, dijo Brand. “La falta de habilidades necesarias a menudo predispone las funciones de auditoría internas para enfocarse en las áreas tradicionales donde tienen la capacidad de funcionar, en lugar de las áreas más críticas que agregan valor”, concluyó el ejecutivo.