Presupuesto y talento: la auditoría interna de TI requiere más recursos

Los riesgos que amenazan a las tecnologías de la información de las compañías son muchos y muy diversos. Algunos son viejos conocidos y otros son desafíos emergentes que previsiblemente llegarán de la mano de las nuevas aplicaciones y alcance de la tecnología. La labor de la auditoría interna de TI está llamada a ser muy relevante para prever y tamizar cualquier potencial contingencia pero ¿cuenta con los recursos necesarios? El informe de KPMG IT Internal Audit: Multiplying Risk amid scarce resources  responde a esta pregunta a través de una encuesta a 250 profesionales de este campo a nivel mundial. De ella, se concluye que estos son los grandes retos para la función en empresas de todos los tamaños:

—    Planificación ante riesgos emergentes: En la actualidad la auditoría interna de TI se centra sobre todo en la atención a los riesgos derivados de las operaciones principales -para un 41%- tales como accesos no autorizados o cambios en las aplicaciones críticas. Sin embargo, 6 de cada 10 encuestados prevén un cambio de orientación para 2018 hacia los riesgos emergentes asociados a la robótica o al Internet de las Cosas.

—    Presupuesto: Más de la mitad de los profesionales encuestados afirma que el presupuesto destinado a la auditoría interna de TI no crecerá el próximo año. En este sentido, el informe sugiere que los responsables de esta función deberían sentirse con la suficiente confianza para solicitar un aumento de las partidas a sus directivos y consejos de administración y alertar de las consecuencias de la falta de recursos en el alcance de su labor. Juan Ignacio Ríos, manager de IT Advisory de KPMG en España, advierte de que “si los planes de auditoría interna se formulan basándose en el coste en lugar del riesgo, lo más probable es que los profesionales no puedan desempeñar su rol adecuadamente”. Tal y como comenta, “incluso en empresas medianas o pequeñas, un problema tecnológico imprevisto y mal gestionado puede tener consecuencias catastróficas para el negocio”. En este sentido, el informe expone que los presupuestos pueden optimizarse mediante el uso de tecnologías basadas en la analítica de datos, la automatización de parte del flujo de trabajo de la auditoría o el incremento de la eficiencia con especialistas experimentados.

—    Talento y formación: Los encuestados afirman, asimismo, no estar suficientemente preparados para algunas de las áreas que tienen que auditar. La ciberseguridad, la analítica de datos y la privacidad son las tres áreas señaladas por más de la mitad de los encuestados como los ámbitos en los que más formación y recursos necesitan.Infografias_TI_Talento2

Las empresas de mayor tamaño son las que más acusan la brecha de talento en el ámbito de la ciberseguridad y la analítica de datos, probablemente porque compiten de manera más directa por estos perfiles escasos con otras grandes organizaciones, agencias gubernamentales o consultoras.

Tampoco sorprende que la privacidad sea uno de los terrenos que más preocupen ya que los responsables de riesgos de TI serán los principales garantes del uso de datos en la nube. Como destaca el propio informe, la preocupación por la privacidad se incrementa aún más con la aplicación del nuevo Reglamento Europeo de Protección de Datos (RGPD), que podría suponer multas de hasta un 4% de los ingresos anuales para las compañías. También los ciudadanos están cada vez más atentos al uso de sus datos personales por parte de empresas e instituciones.

¿Qué tipo de formación buscan las compañías para sus equipos de auditoría interna de TI?

Las empresas señalan una alta preferencia (96% de los encuestados) por la certificación de sus auditores internos de TI. Independientemente del tamaño de la empresa, un 35% prefiere candidatos con algún tipo de cualificación como auditores de TI mientras que un 16% está en busca de profesionales de sistemas y seguridad de la información.

Teniendo en cuenta la dimensión de la organización, las pequeñas y medianas empresas buscan más perfiles relacionados con auditoría interna y contabilidad más que especialistas en TI, mientras que las grandes empresas están más orientadas a la búsqueda de profesionales con formación o experiencia específica en áreas de TI como la ciberseguridad. Esto evidencia que las empresas más grandes cuentan con un mayor aseguramiento de sus riesgos de TI frente a las pymes.

Infografia_TI_Cuali2

El informe destaca a su vez una serie de recomendaciones para mejorar la estrategia de los departamentos de auditoría interna de TI:

  • Salir de la zona de confort: la automatización y la analítica de datos pueden mejorar mucho la eficiencia de la auditoría interna de TI pero asumir nuevos conocimientos, incrementar presupuestos y modificar la forma de trabajar requiere que los profesionales de estas áreas salgan de su zona de confort (en la que sobre todo auditan los riesgos de sus operaciones principales).
  • Convencer de la necesidad de invertir en la auditoria interna de sistemas: Para convencer al consejo de administración de la necesidad de invertir en talento, herramientas y modelos es fundamental tener claros los motivos y saberlos comunicar con datos, argumentos y seguridad.
  • Llevar la voz cantante: los responsables de auditoría interna de TI tienen que asegurarse de que todos los niveles de la organización están alineados ante los posibles riesgos. Serán los garantes de que cada efectivo, desde el Consejo de Administración o dirección hasta el cargo más bajo, sepa cuál es su rol y responsabilidad en la gestión del riesgo.