El 31% de empresas españolas no audita sus riesgos tecnológicos
“La auditoría interna de las tecnologías de la información no puede ser una caja negra para los auditores internos generalistas”. Con estas palabras resume Andrés de Benito, ingeniero de telecomunicaciones y gerente de Auditoría Interna de Sistemas de Grupo Logista, el estado de la supervisión de los riesgos tecnológicos por parte de la función de auditoría interna en las empresas españolas.
La reflexión de De Benito ha tenido lugar durante la presentación de un estudio elaborado por el Instituto de Auditores Internos de España (IAI), que pone de relieve que un tercio de las organizaciones en España no cuenta con un área de auditoría interna específica de TI dentro de la dirección de auditoría interna y que el 64% tiene sólo “uno” o “ningún” auditor interno de TI en su organización.
El dato no es bueno, pues las organizaciones cada vez tienen una mayor dependencia de las tecnologías de la información. Y, según José Manuel Vidal, director de Auditoría de Sistemas de BBVA y co-responsable del estudio, esto significa que, “a pesar de la urgencia de los riesgos asociados al progreso tecnológico: espionaje, robos de información, suplantación de identidades, fraude electrónico… queda camino por recorrer”.
Ese camino, según expone el documento-guía del laboratorio de ideas del IAI, La Fábrica de Pensamiento, pasa por estructurar auditorías internas integradas; es decir, “que las organizaciones trabajen en base a planes de auditoría interna y de sistemas (los que analizan los riesgos tecnológicos) comunes que den respuesta a todos los miedos e inquietudes de la organización”.
En este contexto, Andrés de Benito, encargado junto con Vidal de dar a conocer el documento-guía, pide a los auditores internos generalistas “que pierdan el miedo” porque en este momento “todos los procesos de negocio están soportados por alguna aplicación de TI y, por tanto, hay riesgo”.
Para el éxito de esta misión será fundamental contar con profesionales muy cualificados que puedan dar respuesta tanto a un análisis de los riesgos en entorno tecnológico cambiante como a las medidas para mitigarlos y que al mismo tiempo tengan conocimiento del negocio. José Manuel Vidal aseguró que “se están buscando ya estos perfiles en el mercado y la perspectiva es que se incremente su contratación”.
El documento, que proporciona a la dirección de auditoría interna de las empresas unas directrices básicas sobre auditoría interna de TI, ha sido elaborado por el IAI. El informe, en el que han colaborado un comité de expertos en este área de empresas como Mapfre, Mutua Madrileña, Mutua Universal, BBVA, Grupo Logista, Deloitte y EY, ha sido elaborado durante casi un año y muestra cómo atacar la cobertura de los riesgos tecnológicos de las empresas desde esta función.