Sin duda, la palabra ‘auditoría’ nos hace pensar en revisiones exhaustivas, interrogatorios constantes y una excesiva entrega de información. Esto es particularmente certero en las auditorías de Tecnologías de la Información (TI); el proceso puede ser tan desgastante, o implica revisar tanta información que las empresas percibirán al auditor como un inspector empeñado en detectar fallas en la gestión. Esta es una visión estrecha. En realidad, el auditor nos brinda la oportunidad de recibir retroalimentación constructiva para minimizar los riesgos, y para mejorar la operación y los procesos internos de la empresa.

En el artículo “Las 5 omisiones más riesgosas en auditoría” (publicado en la edición enero-febrero 2017 de esta revista), el autor menciona elementos que no reciben la debida importancia en el ejercicio de una auditoría: planeación, comunicación, seguimiento, patrocinio y compromiso. En este artículo atenderemos las primeras tres cuestiones para plantear una propuesta de mejora proactiva en la atención y el seguimiento de las recomendaciones del auditor, por parte del área o negocio auditado.

1. Planeación.

Todo proyecto requiere una planeación adecuada. Las auditorías no son la excepción, pues son un conjunto de actuaciones con un inicio y un fin. Al planear una auditoría, es importante contemplar tanto la periodicidad en la realización de las auditorías como el seguimiento integral de las mismas —que debe realizarse durante la ejecución del ejercicio, y al implementar el plan de acción para atender los hallazgos y observaciones resultantes—. La planeación debe considerar los siguientes pasos:

• Definir el objetivo que busca cumplir.

• Delimitar el alcance de la auditoría en las áreas involucradas.

• Avalar el calendario de trabajo con los directivos, gerentes o stakeholders involucrados en la operación.

• Especificar documentos entregables y tiempos de entrega.

Con una planeación adecuada, las auditorías gozarán de una ejecución más sólida y organizada, sin interrumpir el trabajo de las áreas funcionales del negocio.

2. Comunicación

Después de establecer los canales de comunicación entre los auditores y los auditados (tanto en el proceso como en el seguimiento), será de gran ayuda desarrollar las siguientes herramientas:

• La estructura y el contenido de la Lista de Información Requerida (RIL, por sus siglas en inglés),  para solicitar y entregar los datos pertinentes a la auditoría.

• El Plan de Configuración, que nombra los documentos solicitados por los auditores para llevar un control y seguimiento adecuado sobre la evidencia solicitada y entregada.

3. Seguimiento

El seguimiento debe considerarse en dos sentidos:

• Durante la auditoría: a través del RIL y de una comunicación fluida con los auditores y el equipo de TI.

• Después de la auditoría: por medio del monitoreo en el cumplimiento del plan de acción que garantice la solvencia de los hallazgos y observaciones de la auditoría.

Ambos aspectos contribuyen a la entrega de información clave, y como consecuencia, al éxito de la misma auditoría.

Registrar actividades, documentar proyectos, operación y procesos internos son áreas de oportunidad para los equipos de TI. Entonces, si establecemos claramente y con antelación los elementos que estarán sujetos a ser auditados —documentos, evidencia, responsables de la información, frecuencia en la generación de datos, hallazgos, observaciones y planes de acción—, lograremos que el área de TI se transforme en el área estratégica que las organizaciones necesitan.